eMail – aber sicher
Fälschungs- und abhörsichere Kommunikation mit S/MIME
für Privatanwender und gewerbliche Nutzer
Version 3.1
Autor:
Gunnar Wolf
gunnar@wolfsland.info
© Gunnar Wolf 2019: Alle Rechte vorbehalten.
Vervielfältigung – auch auszugsweise – nur mit Zustimmung des Autors.
Drei Fragen vorab:
Sollte nicht der vorgesehene Empfänger einer eMail und kein anderer diese öffnen und lesen können?
Sollte nicht jeder Empfänger einer eMail sicher sein können, dass der Inhalt unverändert ist und von der genannten Absenderadresse stammt?
Wussten Sie, dass man dies auch ohne Zusatzkosten erreichen kann?
Man muss nur mitmachen und sich ein Zertifikat besorgen.
1.1 Wer braucht das?
Ich hab keine so vertraulichen Nachrichten. Meine Mails kann jeder mitlesen. Die NSA schneidet sowieso alles mit. Absolute Sicherheit gibt es nicht.
Kennen Sie diese Aussagen auch? Sollten wir unsere Türen besser offen lassen, weil es ja sowieso keine absolute Sicherheit gibt? Warum nur verschicken manche Leute Schriftstücke in einem verschlossenen Brief?
1.2 Was schadet es?
Es tut niemandem weh, wenn sie Ihr Haus oder Auto abschließen. Und es schadet auch niemandem, wenn Sie die Verschlüsselung von Nachrichten an Sie für jedermann ermöglichen. Ob jemand davon Gebrauch macht – generell oder im Einzelfall – wird derjenige selbst entscheiden.
1.3 Und die Kosten?
Wenn Sie sich etwas Mühe geben, ist das Ganze für Sie kostenlos. Sie können es sich aber auch bequem machen; dann kostet es etwa 12 € pro Jahr.
1.4 Wenn es so einfach wäre, …
...dann hätte es sich schon längst überall durchgesetzt! Das ist Richtig.
Aber einfache Lösungen sind für Jedermann. Sind Sie Jedermann?
Vertrauliche Kommunikation setzt voraus, dass die Nachrichten während der Übermittlung nicht von Dritten gelesen werden können; z.B. indem der Inhalt verschlüsselt ist. Man spricht deshalb von Ende-zu-Ende-Verschlüsselung. Ebenso wichtig ist aber, dass man sich über die Identität von Sender und Empfänger im Klaren ist.
2.1 Verschlüsselung ist nichts Neues
Seit alters her bedienen sich die Menschen der Verschlüsselung des Textes um vertrauliche Nachrichten zu übermitteln. Dabei besaßen nur der Absender und der Empfänger den erforderlichen Schlüssel um zu verschlüsseln und zu entschlüsseln. Man spricht deshalb von symmetrischer Verschlüsselung. Bei dieser Methode stellt sich allerdings die Frage, wie die Beiden zu dem Schlüssel kommen, ohne dass ein Anderer sie belauscht. Ein weiteres Problem wird die sichere Verwahrung der Schlüssel, vor allem wenn diese mal in größerer Zahl vorliegen. Ein spontaner Nachrichtenversand ist bei der symmetrischen Verschlüsselung nicht möglich. Es muss immer der Schlüsselaustausch vorausgehen.
Hilfreicher ist ein System, bei dem ein Schlüsselpaar verwendet wird, das aus einem Schlüssel zum Verschlüsseln und einem dazugehörigen Schlüssel zum Entschlüsseln besteht. Man nennt dies asymmetrische Verschlüsselung. Der Vorteil dieses Systems liegt insbesondere darin, dass man einen der beiden Schlüssel – nämlich den zum Verschlüsseln – jedermann bekannt geben kann; zum Beispiel auf einem öffentlich erreichbaren Webserver. Den dazugehörigen (privaten) Schlüssel hält man quasi „unter Verschluss“; denn nur mit diesem kann man alle Nachrichten, die für einen selbst verschlüsselt wurden, auch entschlüsseln.
Das bekannteste dieser „Public-Key-Verfahren“ ist PGP – Pretty Good Privacy. Es basiert auf einem „Web of Trust“ und hat keine Zertifizierungsinstanz. Jeder verknüpft seinen Schlüssel selbst mit einer eMail-Adresse und seinem Namen und hinterlegt diesen auf einem PGP-Server.
Speziell für den eMail-Verkehr wurde der MIME-Standard (Multipurpose Internet Mail Extensions) geschaffen, der das Datenformat von eMails festlegt. Eine Erweiterung dieses Standards ist S/MIME, das Format für Verschlüsselung und Signatur.
Diese beiden Standards unterscheiden sich nicht nur im Format der Nachricht, sondern vor Allem in der Verknüpfung des Schlüssels mit der Identität, die ihn verwendet. S/MIME setzt auf elektronische Zertifikate einer vertrauenswürdigen Instanz.
Die meisten E-Mail-Clients (insbesondere die meistgenutzten: Outlook, Thunderbird) unterstützen S/MIME standardmäßig
2.2 Zertifizierungsstellen/Zertifikatsdiensteanbieter
Wenn nicht jeder sich seinen Pass selbst ausstellen soll, braucht es vertrauenswürdige Instanzen und gesetzliche Rahmenbedingungen um solche Leistungen zu erbringen. Zertifizierungsstellen oder „Zertifikatsdiensteanbieter (ZDA)“ - wie sie im Signaturgesetz heißen – gibt es international sehr viele. Die meisten arbeiten auf der Grundlage von Regeln und Gesetzen, die – wen wundert's – natürlich nicht einheitlich sind.
Entscheidend für den Benutzer ist aber, wer zu den exklusiven Anbietern gehört, die in den aktuellen Browsern und Mailprogrammen bereits als vertrauenswürdig anerkannt sind. Dies bestimmt das internationale Industriekonsortium „CA/Browser Forum“. Nur diese Herausgeber werden also bei der Prüfung einer Signatur oder Verschlüsselung auf Anhieb akzeptiert. Bei Zertifikaten anderer Anbieter weist der Browser und das Mailproramm auf einen unbekannten Aussteller bzw. das erhöhte Risiko hin, bevor der Benutzer dann selbst entscheidet, ob er diesem das Vertrauen ausspricht. Diese Zusammenhänge sind den meisten Benutzern nicht bekannt. Deshalb lassen sie auch die Finger von der Verschlüsselung insgesamt.
2.3 Zertifikatsklassen
In Deutschland regelt das Signaturgesetz einige wichtige Grundsätze, aber längst nicht alles. Beispielsweise sind nur einige der in Deutschland akkreditierten Zertifizierungsdiensteanbieter (ZDA)auch in den Browsern und Mailprogrammen bereits enthalten - also standardmäßig als vertrauenswürdig anerkannt.
Die Kosten für ein 2 Jahre gültiges Zertifikat (Class 2) der Bundesdruckerei (D-Trust) belaufen sich beispielsweise auf 69 €. Dabei werden Name und Anschrift, Geburtsdatum und -ort sowie eMail-Adresse geprüft und bestätigt. Deswegen muss auch eine Kopie des Personalausweises mit dem Antrag mitgeschickt werden. Enthalten in dieser Leistung ist auch ein öffentliches Verzeichnis, in dem die Gültigkeit des Zertifikats geprüft werden kann und ein Sperrdienst um Zertifikate, die kompromittiert wurden, auch zurück zu rufen.
Wer mit weniger zufrieden ist, kann auch kostenlose Zertifikate von ausländischen Anbietern erhalten. Bei Class-1-Zertifikaten wird nur die eMail-Adresse bescheinigt und die Geltungsdauer beträgt meist nur 1 Jahr. Wer sich hinter dieser Adresse verbirgt, müssen Sie also selbst klären! Bei Funktionsadressen wie pctreff@outlook.com gilt dies aber auch.
Конец ознакомительного фрагмента.
Текст предоставлен ООО «ЛитРес».
Прочитайте эту книгу целиком, купив полную легальную версию на ЛитРес.
Читать дальше