E-Mail-Verschlüsselung
Sicher mit E-Mail-Verschlüsselung
E-Mails sind häufig wie Postkarten, die jedermann lesen kann. Die Verschlüsselung ist der Briefumschlag, der den Inhalt vor neugierigen Augen bewahrt. Nur mit dem richtigen Passwort oder dem richtigen Schlüssel kann man den Klartext der verschlüsselten Nachricht sehen. Außerdem können die aktuellen Verschlüsselungstechniken eine E-Mail auch signieren. So kann man wie bei einem Briefumschlag oder einem Wachssiegel sehen, ob jemand die Nachricht verändert hat. Die Signatur ist zudem eine Bestätigung dafür, dass eine E-Mail wirklich von einem bestimmten Absender stammt.
Verschlüsselt auf den Weg
E-Mails sind nur dann für jeden lesbare Postkarten, wenn sie bei der Übertragung zum jeweiligen E-Mail-Provider nicht verschlüsselt werden. Das passiert zum Beispiel, wenn ein Benutzer seine E-Mails über die Protokolle POP3 (Post Office Protocol) und SMTP (Simple Mail Transfer Protocol) auf den Ports 110 und 25 verschickt. Besser ist es, Mails über eine nach dem TLS-Verfahren (Transport Layer Security) verschlüsselte Verbindung zu schicken. Dann sind in den Einstellungen Ihres E-Mail-Programms für das jeweilige Konto die Ports 995 (POP3) und 465 (SMTP) eingetragen. Jetzt muss ein Angreifer den Datenverkehr erst entschlüsseln, um darin die Post lesen zu können. Leider bieten nicht alle Anbieter von E-Mail-Diensten diese Verschlüsselungsfunktion an.
Verschlüsseln mit S/MIME und OpenPGP
Mit TLS wird nur die Übertragung der E-Mails verschlüsselt. Ist der elektronische Brief einmal im Postfach oder auf einem E-Mail-Server gelandet, liegt er wieder im Klartext vor. Deshalb gibt es zwei gängige Verfahren, um den Inhalt der Nachricht selbst zu sichern. Sie heißen S/MIME (Secure Multipurpose Internet Mail Extensions) und OpenPGP (Pretty Good Privacy). Beide verwenden ein Public-Key-Verfahren, auch asymmetrisches Verfahren genannt, um die für die Entschlüsselung notwendigen Schlüssel (englisch Keys) zwischen den Benutzern auszutauschen.
Dabei hat jeder Anwender einen öffentlichen und einen privaten Schlüssel, mit denen er seine Daten kodiert. Den öffentlichen muss er an alle seine Kommunikationspartner weitergeben. Der private Schlüssel sollte möglichst sicher auf seinem lokalen Rechner oder auf einem speziellen Server verwahrt werden.
Komplizierte Schlüsselverwaltung
Zusätzlich zu den beiden Schlüsseln benötigt der Anwender ein digitales Zertifikat, das deren Gültigkeit bestätigt. Mit OpenPGP kann sich der Anwender zur Not selber ein Zertifikat ausstellen, das aber noch nicht sehr vertrauenswürdig ist. Wer S/MIME benutzen will, benötigt man normalerweise ein Zertifikat von einer sogenannten Zertifizierungsinstanz (X.509-basiert). Das sind Firmen oder Behörden, die meist gegen eine Gebühr bestätigen, das hinter dem von ihnen ausgestellten Zertifikat zumindest eine bestimmte, wirklich existierende E-Mail-Adresse steht, auf die der zertifizierte Besitzer Zugriff hat (Class 1). X.509-Zertifikate kann man allerdings auch für den privaten Gebrauch mit Programmen wie XCA selbst herstellen.
Praktisch alle modernen E-Mail-Programme unterstützen die Verschlüsselung mit S/MIME und OpenPGP. Da die Verwaltung der Schlüssel aber recht aufwändig und mit kostenpflichtigen X.509-Zertifikaten auch teuer ist, wird E-Mail-Verschlüsselung meist nur in Unternehmen angewandt.
E-Mails signieren
Durch Zertifikate wird bestätigt, dass eine E-Mail wirklich von dem angegebenen Empfänger stammt. Zusätzlich wird bei den genannten Verfahren ein digitaler Fingerabdruck der Nachricht gebildet. Mit ihm kann man erkennen, ob die Nachricht, die man vor sich hat, nachträglich geändert wurde. Für die Signierung verwendet man eine Hash-Funktion, die man in manchen E-Mail-Programmen selbst wählen kann.
Meist wird der Text der E-Mail-Nachricht nicht nach dem Public-Key-Verfahren verschlüsselt, weil das zu zeitaufwändig wäre. Typischerweise verwendet man ein gemischtes (hybrides) Verfahren. Dabei verschlüsselt die Software die Nachricht mit einem schnelleren Verfahren wie AES (Advanced Encryption Standard). Nur der Schlüssel selbst, der zur Dekodierung der AES-Verschlüsselung benötigt wird, wird nach dem Public-Key-Verfahren kodiert und an den Adressaten geschickt.
Bildquelle: © so47 - Fotolia.com