E-Mail – Verschlüsseln und Signieren

Weltweit wird sämtlicher E-Mail Verkehr systematisch gescannt. Führend ist die NSA mit Echelon, das wie wir es auch von Edward Snowden`s Dokumenten erfahren haben auch zur Industriespionage sowie zum Abhören von NGOs verwendet wird. Frankreich betreibt ein ähnliches System unter dem Namen „French ECHELON“. Das russische Pendant zur NSA ist der SSSI (früher FAPSI). Der schwedische Geheimdienst FRA und das Schweizer Onyx Projekt nutzen Supercomputer zur Verarbeitung der abgeschnorchelten Daten­mengen. Für Saudi Arabien, Syrien, Iran und Ägypten wurden entsprechende Aktivitäten nach­gewiesen und die „Great Firewall“ von China verfügt ebenfalls über die nötigen Features.

In Deutschland wird der E-Mail Verkehr im Rahmen der „Strategischen Fernmeldeaufklärung“von den Geheimdiensten gescannt. Eine von der G-10 Kommision des Bundestages frei­gegebene Stichwortliste mit 16.400 Begriffen (Stand 2010) wird für die automatisierte Vor­auswahl verwendet, um nach Waffenhandel, Prolieferation und Terroristen zu suchen. Im Jahr 2010 meldeten die Scanner 37 Mio. E-Mails als verdächtig. 2011 hat der BND es geschafft, die automatisierten Scanner mit einem Spamfilter zu kombinieren, so dass „nur noch“ 2,1 Mio. E-Mails als verdächtig gemeldet und kopiert wurden.

Mit dem Verschlüsseln von E-Mails wird die Vertraulichkeit der Kommunikation gewährleistet. Eine Nachricht kann nur vom Empfänger geöffnet und gelesen werden. OpenPGP und S/MIME sind zwei etablierte Standards für diese Aufgabe.

Asymmetrischen Verschlüsselung

  • Jeder Anwender besitzt ein Schlüsselpaar bestehend aus einem geheimen und einem öffentlichen Schlüssel. Während der geheime Schlüssel sorgfältig geschützt nur dem Anwender selbst zur Verfügung stehen sollte, ist der öffentliche Schlüssel an alle Kommunikationpartner zu verteilen.
  • Wenn Anton eine signierte E-Mail an Beatrice senden will, erstellt er eine Signatur mit seinem geheimen Schlüssel. Die Anwenderin Beatrice kann mit dem öffentlichen Schlüssel von Anton die Nachricht verifizieren, da nur Anton Zugriff auf seinen geheimen Schlüssel haben sollte.
  • Wenn Beatrice eine verschlüsselte Nachricht an Anton senden will, nutzt sie den öffentlichen Schlüssel von Anton, um die Nachricht zu chiffrieren. Nur Anton kann diese E-Mail mit seinem geheimen Schlüssel dechiffrieren und lesen.

OpenPGP Verschlüsselung

PGP (Pretty Good Privacy) und die kostenlose Alternative GnuPG (GNU Privacy Guard) stellen für die Verschlüsselung eine lang erprobte Software zur Verfügung. In der Regel können gängige E-Mail Programme nicht out-of-the-box mit OpenPGP umgehen. Installation zusätzlicher Software ist nötig. Dafür ist es relativ einfach, die nötigen Schlüssel zu erzeugen. Für den Austausch der Schlüssel stellt das Internet eine ausgebaute Infrastruktur bereit.

OpenPGP wird seit der Einführung kontinuierlich weiterentwickelt.

 

S/MIME Verschlüsselung

Das Secure MIME Protokoll (S/MIME) wurde 1998 entwickelt und ist heute in den meisten E-Mail Clients integriert. Es werden Zertifikate nach dem Standard X.509 v3 für die Verschlüsselung genutzt, der 1999 verabschiedet wurde.

Eine Certification Authority (CA) bestätigt mit einer Signatur die Echtheit und die Identität des Besitzers eines ausgegebenen Zertifikates. Für diese Signatur wird das Root Certificate der CA genutzt. Die Root Certificates etablierter CAs sind in nahezu allen Browsern und E-Mail Clients enthalten. Wer diesen Zertifikaten vertraut, vertraut auch ohne weitere Nachfrage den damit signierten persönlichen Zertifikaten anderer Nutzer.

Neben der Möglichkeit, ein Zertifikat bei einer etablierten CA für bis zu 100 Euro jährlich signieren zu lassen, bieten CAcert.org, StartSSL.com u.a. kostenfreie Alternativen. Allerdings sind diese CAs nicht etabliert und ihre Root Certificates nicht überall standardmäßig vorhanden.

Für erfahrene Nutzer ist es auch möglich, eine eigene CA aufzubauen und zu pflegen.

Schreibe einen Kommentar