E-Mail Verschlüsselung und rumgeheule

In den letzten Tagen finden sich immer mehr Artikel zum Thema E-Mail Verschlüsselung und warum es denn keiner macht. Hier die Hauptgründe, warum die wenigsten E-Mail verschlüssel benutzen:

Der Mensch ist ein Gewohnheitstier: Er hat noch nie E-Mails verschüsselt und weiß genommen auch nicht, wie das geht. Das warum ist ihm schon irgendwie klar… nur das wie ist noch offen. Es gibt viele Plugins für fast alle Clients. Dummerweise gibt es neben PGP und GNUPG auch noch S/MIME. Somit ist die Verwirrung bei vielen Komplett. Dazu kommt, dass vielen nicht klar ist, was nun sinnvoll ist.

Verschlüsseln und/oder Unterschreiben

Was will man eigentlich. Das ist die Hauptfrage. Will man, dass die Geheimdienste der Welt nicht mehr so ohne weiteres mitlesen können oder will man, dass die Gegenseite sicher ist, dass da wirklich die Richtige Person eine E-Mail geschrieben und sich diese wären dem Transport nicht verändert hat? Oder gar beides beides?

Eine E-Mail kann unterwegs halbwegs einfach verändert werden. Niemand würde es mitbekommen. Bei einer Signierten E-Mail würde das hingegen sofort bemerkt werden.

S/MIME und  OpenPGP/MIME

Ich will hier nicht viel zur Geschichte der oben genannten erzählen. Eher etwas dazu, ob wie gut ich das eine bzw das andere finde.

Das S/MIME (Secure / Multipurpose Internet Mail Extensions) verfahren ist ein guter Standard, der in fast jedem Mailclient eingebaut ist. Dummerweise taugt dieser praktisch nichts, da die ganzen kommerziellen CAs (Certificate authority) nur sehr rudimentär überprüfen, wer ein solches Zertifikat erhält (das Thema CAs werde ich bei Gelegenheit noch mal näher beleuchten).

Entsprechend kann man sich nie 100% sicher sein, ob die empfangene E-Mail wirklich vom richtigen Absender kommt. Denn nur weil sie Digital unterschrieben ist, heißt nicht, dass diese E-Mail auch wirklich vom angezeigten Absender kommt. S/MIME ist dafür in der Nutzung sehr einfach.

Augenscheinlich aufwendiger aber besser: OpenPGP/MIME

Ich halte das OpenPGP/MIME verfahren für besser; es ist ganz klar in der Administration aufwendiger. Es braucht ein paar Plugins und wissen wie das mit den Keys läuft. Meiner Mutter könnte ich das sicherlich nicht so einfach erklären.

Und nun?

Gute Frage. Zum ausprobieren würde ich euch ein S/MIME Zertifikat von startssl.com empfehlen. So ein Zertifikat ist recht schnell installiert (google) und kann praktisch sofort genutzt werden.
ALLERDINGS: Wer mit einem solchen Zertifikat verschlüsselte E-Mails empfangen hat, kann diese nur und ausschließlich mit diesem Zertifikat entschlüsseln! Also müssen diese Zertifikate sicher aufgehoben werden.
Achtung Nr.2: Ein solches Zertifikat ist in der Regel nur 12 Monate gültig. Sprich: Es muss andauernd neu erstellt werden.

So richtig glücklich bin ich eigentlich nur mit der OpenPGP/MIME Lösung. Ich erstelle einmal meinen Key, lade diesen auf einen öffentlichen Key-Server (so kann jeder meinen Public-Key runterladen und mit verschlüsselte Nachrichten zusenden). Die Gültigkeit kann ich auf einen beliebigen Zeitraum setzen. Dazu muss ich meinen Rechner dafür vorbereiten und entsprechende Tools installieren und den Private + Pulic-Key importieren. Und schon kann’s losgehen.

In der nächsten Woche werde ich dann eine kleine Anleitung dazu schreiben.


Zuletzt bearbeitet am 12.07.2013