E-Mailverschluesselung und Signierung
Autor: nbkr
das Thema E-Mailverschlüsselung ist immer wieder interessant. Wer sich darüber informieren möchte dem sei
empfohlen.
Warum sollte man E-Mail verschlüsseln? E-Mails werden auf dem Weg von Sender zu Empfänger durch mehrere Stationen durchgeleitet. Z.B. dem Provider von Sender um Empfänger. Bei diesen langern die Mails u.U. einige Zeit bis sie abgeholt oder verschickt werden können. Teilweise werden sie sogar absichtlch gelagert für spätere Ermittlungsverfahren (eine enstprechende Verordnung steht zur Zeit auf der Prüfungbank vor dem Verfassungsgericht).
Diese Mails sind dann im Klartext lesbar, d.h. jeder der dort Zugriff hat kann den Inhalt einfach so lesen. D.h. jeder Mitarbeiter von z.B. 1&1 mit entsprechenden Zugriffsrechten kann die Mails von allen Kunden lesen. Auch vertrauliche ...
Dagegen hilft nur wenn man die E-Mail wirkungsvoll verschlüsselt. Wie kann man E-Mails verschlüsseln? Es gibt verschiedene Methoden Texte (und somit auch E-Mails) zu verschlüsseln. Viele davon sind leicht zu knacken und bieten keinen wirksamen Schutz. (Bestes Beispiel für absolut unwirksame Verfahren sind, sogenannte Rotationsverfahren. Hierbei wird jeder Buchstabe des Textes einfach durch einen anderen Buchstaben des Alphabets ausgetauscht. Über Häufigkeitsuntersuchen lassen sich solche Texte aber in Sekunden entschlüsseln).
Ein wirksames Verfahren ist GPG bzw. PGP. GPG ist ein Public/Private Keyverfahren. Wie das genau funktioniert steht im Link weiter oben. Nur kurz. Jeder Teilnehmer hat bei diesem Verfahren zwei Schlüssel. einen öffentlichen und eine privaten. Der öffentliche kann frei verteilt werden, per E-Mail, oder auch über sogenannte Schlüsselserver. Der private Schlüssel muss absolut geheim gehalten werden. Wenn jemand nun eine Mail schreiben möchte, verschlüsselt er diese mit dem öffentlischen Schlüssel es Empfängers. Der Empfänger kann die Mail dann mit seinem privaten Schlüssel entschlüsseln.
Eine gutes Programm für Linux das die Schlüsselerstellung und Verwaltung sehr einfach macht ist KGPG.
Was ist E-Mailsignierung? Eine Verschlüsselung ist die eine Sache, aber durch die Verschlüsselung allein ist noch nicht sicher gestellt, dass derjenige der bei "Sender" in der Mail steht wirklich auch der ist, der die Mail geschreiben hat. Außerdem kann man auch nicht wissen ob die Mail nicht zwischendurch von jemandem verändert wurde.
Um dieses Problem zu lösen kann man eine E-Mail (oder auch jeden beliebigen Text ) signieren. Das funktioniert folgendermaßen. Der Sender erstellt eine Prüfsumme von dem Text den er senden möchte. Gewissermaßen eine Quersumme nur etwas komplizierter. Diese verschlüsselt er mit seinem privaten Schlüssel. Anschließend wird der Text versand.
Der Empfänger kann jetzt mit dem öffentliche Schlüssel des Senders die Signatur entschlüsseln. Danach kann er von dem Text die Prüfsumme erstellen. Stimmt diese mit der des Empfängers überein wurde der Text nicht verändert. Zusätzlich weiß der Empfänger auch, dass die Mail tatsächlich vom angebenen Sender stammt, da nur dieser die passenden privaten Schlüssel hat. Ansonsten wäre die Prüfsumme mit dem öffentlichen Schlüssel des Senders nicht zu entschlüsseln gewesen.