E-Mailverschluesselung und Signierung

Aus Linupedia
Wechseln zu: Navigation, Suche

Autor: nbkr

das Thema E-Mailverschlüsselung ist immer wieder interessant. Wer sich darüber informieren möchte, dem sei diese Seite des GNU Privacy Projekts (GnuPP) empfohlen.

GnuPG

Warum sollte man E-Mails verschlüsseln?

E-Mails werden auf dem Weg von Sender zu Empfänger durch mehrere Stationen durchgeleitet, z.B. dem Provider, von Sender zu Empfänger. Beim Provider lagern die Mails u.U. einige Zeit, bis sie abgeholt oder verschickt werden können. Teilweise werden sie sogar absichtlch gelagert für spätere Ermittlungsverfahren (eine entsprechende Verordnung steht zur Zeit auf der Prüfungbank vor dem Verfassungsgericht).

Diese Mails sind dann im Klartext lesbar und jeder, der dort Zugriff hat, kann den Inhalt einfach so lesen. Dies bedeutet, dass beispielsweise jeder Mitarbeiter von z.B. 1&1 mit entsprechenden Zugriffsrechten die Mails von allen Kunden lesen kann.

Dagegen hilft nur, wenn man die E-Mail wirkungsvoll verschlüsselt.


E-Mails verschlüsseln?

Es gibt verschiedene Methoden, Texte (und somit auch E-Mails) zu verschlüsseln. Viele davon sind leicht zu knacken und bieten keinen wirksamen Schutz. (Bestes Beispiel für absolut unwirksame Verfahren sind sogenannte Rotationsverfahren: Hierbei wird jeder Buchstabe des Textes einfach durch einen anderen Buchstaben des Alphabets ausgetauscht. Über Häufigkeitsuntersuchungen lassen sich solche Texte aber in Sekunden entschlüsseln).

Ein wirksames Verfahren ist GPG bzw. PGP. GPG ist ein Public/Private Key-Verfahren. Wie das genau funktioniert, steht im Link weiter oben. Nur kurz: Jeder Teilnehmer hat bei diesem Verfahren zwei Schlüssel, einen öffentlichen und eine privaten. Der öffentliche kann frei verteilt werden, beispielsweise per E-Mail oder auch über sogenannte Schlüsselserver. Der private Schlüssel muss absolut geheim gehalten werden. Wenn jemand nun eine Mail schreiben möchte, verschlüsselt er diese mit dem öffentlichen Schlüssel des Empfängers. Der Empfänger kann die Mail dann nur mit seinem privaten Schlüssel entschlüsseln.

Eine gutes Programm für Linux, das die Schlüsselerstellung und -verwaltung sehr einfach macht, ist KGPG.


E-Mail Signierung

Eine Verschlüsselung ist die eine Sache, aber durch die Verschlüsselung allein ist noch nicht sicher gestellt, dass derjenige, der bei "Sender" in der Mail steht, wirklich auch der ist, der die Mail geschreiben hat. Außerdem kann man auch nicht wissen, ob die Mail nicht zwischendurch von jemandem verändert wurde.

Um dieses Problem zu lösen, kann man eine E-Mail (oder auch jeden beliebigen Text) signieren. Das funktioniert folgendermaßen: Der Sender erstellt eine Prüfsumme von dem Text, den er senden möchte. Gewissermaßen eine Quersumme, nur etwas komplizierter. Diese verschlüsselt er mit seinem privaten Schlüssel. Anschließend wird der Text versandt.

Der Empfänger kann jetzt mit dem öffentliche Schlüssel des Senders die Signatur entschlüsseln. Danach kann er von dem Text die Prüfsumme erstellen. Stimmt diese mit der des Empfängers überein, wurde der Text nicht verändert. Zusätzlich weiß der Empfänger auch, dass die Mail tatsächlich vom angegebenen Sender stammt, da nur dieser die passenden privaten Schlüssel hat. Ansonsten wäre die Prüfsumme mit dem öffentlichen Schlüssel des Senders nicht zu entschlüsseln gewesen.


Quellenangaben und weiterführende Links



Zurück zur Security Übersicht