Читать книгу eMail - aber sicher - Gunnar Wolf - Страница 4

Vertrauliche Kommunikation setzt voraus, dass die Nachrichten während der Übermittlung nicht von Dritten gelesen werden können; z.B. indem der Inhalt verschlüsselt ist. Man spricht deshalb von Ende-zu-Ende-Verschlüsselung. Ebenso wichtig ist aber, dass man sich über die Identität von Sender und Empfänger im Klaren ist.

2.1 Verschlüsselung ist nichts Neues

Seit alters her bedienen sich die Menschen der Verschlüsselung des Textes um vertrauliche Nachrichten zu übermitteln. Dabei besaßen nur der Absender und der Empfänger den erforderlichen Schlüssel um zu verschlüsseln und zu entschlüsseln. Man spricht deshalb von symmetrischer Verschlüsselung. Bei dieser Methode stellt sich allerdings die Frage, wie die Beiden zu dem Schlüssel kommen, ohne dass ein Anderer sie belauscht. Ein weiteres Problem wird die sichere Verwahrung der Schlüssel, vor allem wenn diese mal in größerer Zahl vorliegen. Ein spontaner Nachrichtenversand ist bei der symmetrischen Verschlüsselung nicht möglich. Es muss immer der Schlüsselaustausch vorausgehen.

Hilfreicher ist ein System, bei dem ein Schlüsselpaar verwendet wird, das aus einem Schlüssel zum Verschlüsseln und einem dazugehörigen Schlüssel zum Entschlüsseln besteht. Man nennt dies asymmetrische Verschlüsselung. Der Vorteil dieses Systems liegt insbesondere darin, dass man einen der beiden Schlüssel – nämlich den zum Verschlüsseln – jedermann bekannt geben kann; zum Beispiel auf einem öffentlich erreichbaren Webserver. Den dazugehörigen (privaten) Schlüssel hält man quasi „unter Verschluss“; denn nur mit diesem kann man alle Nachrichten, die für einen selbst verschlüsselt wurden, auch entschlüsseln.

Das bekannteste dieser „Public-Key-Verfahren“ ist PGP – Pretty Good Privacy. Es basiert auf einem „Web of Trust“ und hat keine Zertifizierungsinstanz. Jeder verknüpft seinen Schlüssel selbst mit einer eMail-Adresse und seinem Namen und hinterlegt diesen auf einem PGP-Server.

Speziell für den eMail-Verkehr wurde der MIME-Standard (Multipurpose Internet Mail Extensions) geschaffen, der das Datenformat von eMails festlegt. Eine Erweiterung dieses Standards ist S/MIME, das Format für Verschlüsselung und Signatur.

Diese beiden Standards unterscheiden sich nicht nur im Format der Nachricht, sondern vor Allem in der Verknüpfung des Schlüssels mit der Identität, die ihn verwendet. S/MIME setzt auf elektronische Zertifikate einer vertrauenswürdigen Instanz.

Die meisten E-Mail-Clients (insbesondere die meistgenutzten: Outlook, Thunderbird) unterstützen S/MIME standardmäßig

2.2 Zertifizierungsstellen/Zertifikatsdiensteanbieter

Wenn nicht jeder sich seinen Pass selbst ausstellen soll, braucht es vertrauenswürdige Instanzen und gesetzliche Rahmenbedingungen um solche Leistungen zu erbringen. Zertifizierungsstellen oder „Zertifikatsdiensteanbieter (ZDA)“ - wie sie im Signaturgesetz heißen – gibt es international sehr viele. Die meisten arbeiten auf der Grundlage von Regeln und Gesetzen, die – wen wundert's – natürlich nicht einheitlich sind.

Entscheidend für den Benutzer ist aber, wer zu den exklusiven Anbietern gehört, die in den aktuellen Browsern und Mailprogrammen bereits als vertrauenswürdig anerkannt sind. Dies bestimmt das internationale Industriekonsortium „CA/Browser Forum“. Nur diese Herausgeber werden also bei der Prüfung einer Signatur oder Verschlüsselung auf Anhieb akzeptiert. Bei Zertifikaten anderer Anbieter weist der Browser und das Mailproramm auf einen unbekannten Aussteller bzw. das erhöhte Risiko hin, bevor der Benutzer dann selbst entscheidet, ob er diesem das Vertrauen ausspricht. Diese Zusammenhänge sind den meisten Benutzern nicht bekannt. Deshalb lassen sie auch die Finger von der Verschlüsselung insgesamt.

2.3 Zertifikatsklassen

In Deutschland regelt das Signaturgesetz einige wichtige Grundsätze, aber längst nicht alles. Beispielsweise sind nur einige der in Deutschland akkreditierten Zertifizierungsdiensteanbieter (ZDA) auch in den Browsern und Mailprogrammen bereits enthalten - also standardmäßig als vertrauenswürdig anerkannt.

Die Kosten für ein 2 Jahre gültiges Zertifikat (Class 2) der Bundesdruckerei (D-Trust) belaufen sich beispielsweise auf 69 €. Dabei werden Name und Anschrift, Geburtsdatum und -ort sowie eMail-Adresse geprüft und bestätigt. Deswegen muss auch eine Kopie des Personalausweises mit dem Antrag mitgeschickt werden. Enthalten in dieser Leistung ist auch ein öffentliches Verzeichnis, in dem die Gültigkeit des Zertifikats geprüft werden kann und ein Sperrdienst um Zertifikate, die kompromittiert wurden, auch zurück zu rufen.

Wer mit weniger zufrieden ist, kann auch kostenlose Zertifikate von ausländischen Anbietern erhalten. Bei Class-1-Zertifikaten wird nur die eMail-Adresse bescheinigt und die Geltungsdauer beträgt meist nur 1 Jahr. Wer sich hinter dieser Adresse verbirgt, müssen Sie also selbst klären! Bei Funktionsadressen wie pctreff@outlook.com gilt dies aber auch.