ACOSYS- Simplifying IT
Tel.: +49 (0)431 22 100 10
Mail: kontakt@acosys.de

Verschlüsselte E-Mails und digitale Unterschriften:

Bei E-Mails muss man zwischen zwei Anwendungsfällen unterscheiden:

  1. Die E-Mail wird digital unterschrieben (signiert) und garantiert die Echtheit des Absenders, den Zeitpunkt und den unveränderten Inhalt.
  2. Die E-Mail wird mit dem öffentlichen Schlüssel des Empfängers verschlüsselt um dann beim Empfänger entschlüsselt zu werden. Empfänger und Sender benötigen einen eigenen Schlüssel und den öffentlichen Schlüssel des jeweils anderen.

Voraussetzungen für das signieren und verschlüsseln von Mails ist, dass der Empfänger auch ein Verschlüsselungsprogramm nutzt. Das muss nicht die gleiche Software sein, wohl aber das gleiche Verschlüsselungsverfahren.
Die gebräuchlichsten Verschlüsselungsverfahren sind S/Mime und GnuPG. Sie sind sehr ähnlich, untereinander jedoch inkompatibel. 

Beide Techniken benötigen individuelle Schlüssel (Zertifikate)— und damit auch eine Schlüsselverwaltung — und befassen sich nur mit dem Mailkörper, die Kopfzeilen (Metadaten mit den Angaben zu Betreff, Absender und Empfänger uva.) bleiben außen vor.
Sie verwenden eine asymmetrische Verschlüsselung, welche die E-Mail mit dem öffentlichen Schlüssel des Empfängers verschlüsselt, die dieser  dann mit seinem privaten Schlüssel entschlüsselt kann. Das funktioniert, weil der öffentliche und private Schlüssel mathematisch zusammenhängen.
Der Unterschied zwischen den beiden Protokollen liegt im Authentifizierungsverfahren.  S/MIME garantiert über ein hierarchisches System mit einen Zertifikat die Echtheit, OpenPGP authentifiziert mit dem so genannten "Web of Trust", einem User bestätigen User, Verfahren.

 

1. S/Mime im Überblick:

1.1. Problemlose Konfiguration bei allen gängigen E-Mail Clients.

1.2. Viele Mail Programmen unterstützen S/Mime standardmäßig, wie Outlook, Apple Mail oder Thunderbird, problematisch sind einzig Android Smartphones/ Tablets.

1.3. Vertrauensbasis der verwendeten Schlüssel:
1.3.1. Beglaubigung / Zertifikat durch „digitales Notariat“ (Fachsprache: Certification Authority – CA bzw. Trust-Center).
1.3.2. Zertifikat fast immer kostenpflichtig. "Lebensdauer" des Zertifikats sind bei bezahlten Zertifikaten 3 Jahre, bei den (wenigen) kostenlosen Zertifikaten i.d.R. nur 1 Jahr.
1.3.2.1. Kostenlose Zertikate gibt es von Comodo (englische Website): zu Comodo und unterstützt die folgenden Mail Clients: 
Microsoft Outlook, Microsoft Mail, Microsoft Outlook Express, Microsoft Entourage, Apple Mail, Mozilla Thunderbird, und jede andere S/MIME kompatible Software. An Mobilgeräten wird bzw. iPhone/ iPad, Android Geräte, Blackberry Geräte, Nokia Telefone, Windows Telefone und Tablets unterstützt.
1.3.2.2. Kostenlose Zertifikate auch von Secorio oder Wisekey, wie bei Comodo gelten auch hier die Zertifkate für max. 1 Jahr und müssen dann erneuert werden.

 

2. GnuPG nach OpenPGP-Standard im Überblick:

2.1. Problemlose Installation bei allen gängigen E-Mail Clients, leider sehr problematisch ist das iOS von Apple auf iPhone und iPad.

2.2. Kein Standard in Mailprogrammen – muss deshalb fast immer über Add-Ons / Plugins nachgerüstet werden.
2.2.1. Folgende Software kann je nach Betriebssystem und Mail- Client beispielsweise verwendet werden:
2.2.1.1. Apple OS-X und die Standard mail.app: GPGTools, hier herunterzuladen: https://gpgtools.org
2.2.1.2. Windows und Outlook: GPG4Win für die Schlüsselverwaltung (hier herunterzuladen) und für Outlook das Plugin
2.2.1.3. Windows und Thunderbird: GPG4Win für die Schlüsselverwaltung (hier herunterzuladen) und das Thunderbird Plugin Enigmail, hier herunterzuladen: https://www.enigmail.net/index.php/en/2.2

2.3. Vertrauensbasis der verwendeten Schlüssel: 
2.3.1. Gegenseitige Absprachen / Beglaubigungen der Anwender untereinander, das sogenannte "Web of Trust"
2.3.2. Zertifikate/ Beglaubigungen kostenlos, beliebig lange Laufzeit.

 

Allgemeines/ was man beachten sollte/ persönliche Meinung:

S/Mime:
Die kurze Laufzeit macht eine regelmäßige Neubeantragung mit anschließender Verteilung an die Empfänger notwendig. Gleichzeitig müssen die alten Zertifikate mit den zugehörigen Passwörtern gesichert sein, um alte E- Mails auch in Zukunft öffnen zu können. Das muss man auch beim Backup und bei PC-Wechsel beachten. Im Hinterkopf sollte man im geschöftlichen Umfeld immer haben, daß die Gesetzgebung verlangt, E-Mails u.U. auch in 8+x Jahren noch digital dem Finanzamt zur Prüfung vorgelegen zu können.

GnuPG:
Im Prinzip das gleiche Problem, nur sind die Laufzeiten der Zertifikate länger.

S/Mime und GnuPG:
Der E-Mail Adresse muss ja das Zertifikat zugeordnet werden. Diese geschieht in einer Datenbank. Der Betreiber der Datenbank hat damit ein Pool an verifizierten E-Mail Adressen. Er hat zwar nicht die Schlüssel und kann die Mails nicht lesen, aber dieser Datenpool an verifizierten und offensichtlich genutzten E-Mail Adressen ist z.B. für Spamversender sehr wertvoll. Darum sollte man vor der Beantragung des Zertifikats (S/Mime) bzw. vor Veröffentlichung in einer Datenbank (GPG) sich sehr gut über den Anbieter informieren. Bei S/Mime ist es etwas leichter, man braucht nur den Vertrag/ Geschäftbedingung der Zertifizierungsstelle genau zu lesen, bei GPG liegen die Mail Adressen in einer mehr oder weniger frei zugänglichen Datenbank in der "jeder" herumsuchen kann. Also nicht wundern, wenn das Spam Aufkommen plötzlich steigt, da hilft dann nur ein guter Spamfilter.

S/Mime:
Bei S/Mime sehen einige die Gefahr, dass durch die zentralisierte Struktur und des nicht öffentlichen Quellcodes Geheimdienste sich Hintertürchen haben einbauen lassen; oder der Anbieter selber infiltriert ist. Naja, selbst wenn die NSA meine Mails lesen sollte,.... . Interessanter finde ich den Schutz von vertraulichen Informationen vor Mitarbeitern, Administratoren und Geschäftspartners. Vorausgetzt die haben keine Geheimdienstkontakte  :-),- verhindere ich mit verschlüsselten Mails wirksam das Lesen, Weiterleiten oder Ausdrucken vertraulicher E-Mails. 

S/Mime und GnuPG:
Signierte E-Mails können wirksam helfen, sogenannte Phishing- Mails auszusortieren. Banken z.B. signieren i.d.R. ihre E-Mails, also können falsch signierte E-Mails von Banken gleich aussortiert oder zumindest mit einem Vermerk versehen werden. Das ist zwar nicht immer sicher, wie man z.B. bei Paypal beobachten kann, aber eine fehlende oder falsche Signatur ist doch schon ein starker erster Hinweis, daß man hier abgezockt werden soll.

Ich selber arbeite nur mit Signatur, also digitaler Unterschrift aber ohne Verschlüsselung. Vertrauliche Daten sende ich als Anhang in einer verschlüsselten PDF und teile dem Empfänger das Passwort telefonisch, per SMS oder Whatsapp mit. Nicht so sicher wie eine zusätzliche Verschlüsselung der ganzen Mail, aber wesentlich leichter zu verwalten. Nach wie vor sind leider die wenigsten Empfänger auf verschlüsselte E-Mails eingestellt.

 

INSTALLATION BEISPIELE: