DSIW

Alles was interessant ist... (Linux, Programmierung, Datenschutz, Medien, uvm.)

E-Mails verschlüsseln

| Comments

Das Versenden von E-Mails entspricht dem Verschicken von Postkarten in der analogen Welt. Jeder Serverbetreiber, über den die E-Mail läuft, kann sie abfangen und lesen und ggf. auch verändert weiterversenden. Möchte man vertrauliche Informationen, wie zum Beispiel Bewerbungsunterlagen, die personenbezogenen Daten beinhalten, der Öffentlichkeit zeigen? Ich möchte das auf gar keinen Fall. Es geht niemandem etwas an, welche Qualifikationen und Hobbies ich habe. Wenn ich Informationen über mich veröffentliche, dann mache ich das gut überlegt. Desweiteren möchte ich nicht, dass verschiedene Geheimdienste, wie zum Beispiel der BND oder die CIA, vertrauliche Informationen über mich sammeln können.

Mit diesem Artikel möchte ich die Funktionsweise und das Einrichten einer Public-Key-Verschlüsselung mit dem Mail-Client Thunderbird vorstellen.

Symmetrische Verschlüsselung

Wie wäre es, wenn man einen einzigen Schlüssel zum Ver- und Entschlüsseln nutzt? Das wäre doch relativ einfach, oder? Na klar wäre das einfach, aber nicht nur für Dich sondern auch für den Angreifer. Das Problem bei dieser symmetrischen Verschlüsselung ist die sichere Übertragung des Schlüssels. Wie versendet man also diesen an den Partner? Vielleicht auf einem USB-Stick über die Post? Unsicher. Vielleicht wird der Schlüssel telefonisch übermittelt. Sicherer, aber immer noch zu unsicher. Vielleicht in einer E-Mail? Wie wir gelernt haben ist das auch nicht sicher; Stichwort "Postkarte"! Also es gibt keine sichere Möglichkeit dies zu tun.

Asymmetrische Verschlüsselung

Nun kommt das Public-Key-Verfahren ins Spiel. Dabei wird ein Schlüsselpaar erzeugt, das zwei Schlüssel beinhaltet. Der private Schlüssel ist privat, das heißt er darf unter keinen Umständen in falsche Hände oder auf falsche Datenträger gelangen, denn mit diesem Schlüssel entschlüsselt man die empfangenen E-Mails. Der öffentliche Schlüssel darf gerne weitergegeben werden. Sogar das Veröffentlichen auf einem Server oder einer Webseite bringt keinen Sicherheitsnachteil. Dieser Schlüssel wird dazu genutzt, um eine E-Mail zu verschlüsseln und an einen Empfänger zu versenden. Dabei wird aber der öffentliche Schlüssel des Empfängers genutzt. Dieses Verfahren nennt man deshalb "asymmetrische Verschlüsselung", weil nicht der gleiche Schlüssel zum ver- und entschlüsseln genutzt wird.

Beispiel

Ich möchte zum Beispiel eine E-Mail an Eva (Empfänger) senden. Dazu verschlüssel ich die E-Mail mit dem öffentlichen Schlüssel von Eva, die ihn auf einem Keyserver veröffentlicht hatte. Diese E-Mail kann Eva dann mit ihrem privaten Schlüssel entschlüsseln und lesen. Die Antwort würde ähnlich aussehen. Sie sendet die mit meinem öffentlichen Schlüssel verschlüsselte E-Mail an mich. Ich kann die E-Mail dann mit meinem privaten Schlüssel entschlüsseln und auch lesen. Somit haben wir 4 Schlüssel genutzt und nur die beiden öffentlichen Schlüssel wurden übertragen bzw. waren öffentlich. Ein Angreifer hätte mit diesen Schlüsseln nichts anfangen können! Das ist der Sinn dieses Verfahrens.

Kommt man auf die blöde Idee und verschlüsselt eine E-Mail mit dem eigenen privaten Schlüssel, dann kann diese E-Mail JEDER entschlüsseln, der den passenden öffentlichen Schlüssel, also meinen, besitzt. D.h. das bringt nicht viel. ;-)

Signierung

Allerdings ist nicht nur die Verschlüsselung wichtig, sondern auch, dass die E-Mail auf dem Weg zum Empfänger nicht verändert wurde. Das ermöglicht das Verfahren auch. Dazu wird die verschlüsselte oder Klartext-E-Mail signiert. Um eine solche Signatur zu erstellen, wird ein Hash der Nachricht gebildet. Dieser Hash wird dann mit dem eigenen privaten Schlüssel (asymmetrisch) verschlüsselt. Bei meinem Empfänger wird nun aus der unverschlüsselten Nachricht ein eigener Hash gebildet. Dieser wird mit dem mitversandten und mit dem entschlüsseltem Hash, verglichen. Dabei wird der öffentliche Schlüssel des Partners genutzt. Wenn die beiden Hashs identisch sind, wurde die Nachricht nicht verändert. Damit kann man also die Integrität sicherstellen.

Einrichtung

Das Einrichten eines Verschlüsselung-Systems ist eigentlich kein Hexenwerk. Leute, die Mozilla Thunderbird als Mail-Client benutzen haben eine komfortable Lösung. Es lässt sich durch das Installieren des Add-ons Enigmail ermöglichen. Enigmail nutzt GnuPG als Public-Key-Verschlüsselungssoftware, die natürlich open-source ist. Mit GnuPG kann man alle Schlüssel der Partner verwalten. Man kann aber auch einen eigenen Schlüssel erzeugen. Den privaten Schlüssel sollte man auf einem sicheren Datenträger exportieren. Den öffentlichen Schlüssel kann man auf einen Keyserver hochladen, damit die Partner darauf Zugriff haben. Ich empfehle noch das Erstellen eines Widerrufzertifikats, falls der private Schlüssel in falsche Hände gelangen sollte.

Was kann man tun?

Ich schreibe zum Beispiel in meine E-Mail-Signatur, dass ich E-Mails verschlüsseln kann und sende auch gleich immer meinen öffentlichen Schlüssel mit. Ich finde aber auch, dass Firmen viel mehr in Punkto E-Mail-Verschlüsselung tun könnten. Denn, wenn ich eine Bewerbung per E-Mail abschicke, dann gibt es oft keine Möglichkeit dies verschlüsselt zu tun. Jedenfalls kenne ich keine Firma die das anbietet. Wieso?!

Ich würde mich sehr freuen, wenn jemand mir eine verschlüsselte E-Mail schicken würde, wenn er durch diesen Artikel dazu bewogen wurde. Viel Spaß mit der verschlüsselten, "sicheren" Kommunikation!

Weitere Informationen

Comments