eMails im Internet werden in der Regel im Klartext verschickt. An vielen Stellen (Provider, Techniker, Hacker, Chefs, …) kann Ihre Post gelesen werden. Für viele eMails ist das eigentlich egal, bei einigen vielleicht unschön und bei anderen gefährlich oder gar bedrohlich. Dabei ist es so einfach, eMails sicher zu verschlüsseln. So geht es:
Wie funktioniert Verschlüsselung?
Um etwas zu verschlüsseln ist primär ein Schlüssel notwendig. Der Text, der verschlüsselt werden soll, wird mit dem Schlüssel so bearbeitet, dass hinterher nur noch ein wildes Durcheinander von Buchstaben herauskommt. Um wieder den Text zu erhalten, ist wieder der Schlüssel notwendig. Bei eMails wird der Schlüssel in zwei Teile getrennt, den privaten und den öffentlichen. Der private Schlüssel wird vom Besitzer geheimgehalten, der öffentliche wird Verbreitet. Der öffentliche Schlüssel wird zum Verschlüsseln verwendet und zum Entschlüsseln der private. Eine Entschlüsselung mit dem öffentlichen Schlüssel ist nicht möglich.
Möchte ich jemand eine verschlüsselte Nachricht schicken, so verschlüssele ich die Nachricht mit dem öffentlichen Schlüssel des Empfängers. Somit kann nur der Empfänger die Nachricht entschlüsseln, da nur er im Besitz des privaten Schlüssels ist, sonst niemand!
Was sind Zertifikate?
Um die Verbreitung und Verwaltung von öffentlichen Schlüsseln einfach zu halten, wird dieser in ein Zertifikat gepackt. Hinzu kommt noch der Name, die eMail Adresse und eine Unterschrift von der Zertifizierungsstelle. Die Zertifizierungsstelle bestätigt damit, dass der Schlüssel, der Name und die eMail Adresse zusammengehören. Damit ist das Zertifikat sozusagen ein digitaler Ausweis. Dieser Ausweis wird normalerweise vom Besitzer jeder eMail als Signatur angehängt.
Alles ist signiert
Nichts ist vor Fälschungen sicher. Genauso wenig sind eMails, Zertifikate und öffentliche Schlüssel vor Fälschungen sicher. Mit dem Zertifikat ist es auch möglich, eine Signatur zu erstellen, die die Echtheit bestätigt. Die Signatur ist der Text, der mit seinem eigenen privaten Schlüssel verschlüsselt wird. Das kann nur der echte Absender tun, da nur er im Besitz des privaten Schlüssels ist. Zum Überprüfen, ob alles echt ist, muss die Signatur mit dessen öffentlichen Schlüssel entschlüsselt werden. Ist der Text der selbe kann der Empfänger sicher sein, dass der Text vom Empfänger stammt und auf dem Übertragungsweg nicht verändert wurde. Um eMails zu signieren, wird der Nachrichtentext als Basis verwendet.
Aber nicht nur eMails können signiert werden, sondern beliebige Informationen wie z.B. Programme oder Zertifikate selbst. Ein Zertifikat wird wird von der Zertifizierungsstelle mit deren Zertifikat signiert und verbürgt sich somit, dass das Zertifikat richtig ist. So ist jedes Zertifikat signiert, bis hin zum Zertifikat der Zertifikate, dem Root-Zertifikat. Die Root-Zertifikate sind in den Programmen fest enthalten und können nicht geändert werden. Damit gelten auch diese als echt.
Woher kriege ich mein Zertifikat?
Bei einer Zertifizierungsstelle oder auch TrustCenter genannt. Das klappt unkompliziert bei kommerziellen Zertifizierungsstellen wie z.B. bei GlobalSign.
Was brauche ich für Programme?
Aktuelle eMail Programme enthalten die Standards PKCS und S/MIME. Diese reichen aus, um zu Verschlüsseln und signieren. Anleitungen für die Integration und Benutzung der Zertifikate in den einzelnen Programmen gibt es bei der Zertifizierungsstelle oder beim Hersteller der eMail Software.
Wo sind Hürden?
Größte Hürde ist hauptsächlich, dass die Internetbevölkerung für Verschlüsselung und die Technik sensibilisiert werden muss. Für Firmen ist es ein leichtes, Zertifikate zu beschaffen und zu integrieren und somit vertrauen bei ihren Kunden zu wecken.
Auch kann es sein, dass Mailinglisten oder eGroups eine Fußzeile anfügen oder den Betreff verändern. Dann ist die eMail nicht mehr „original“ und die Empfänger erhalten eine entsprechende Meldung. Hier also nicht signieren.
Nebeneffekt: Spam!
Spam zu erkennen, zu vermeiden und zu unterbinden ist das Thema der Branche. Eine Signatur hilft nicht den Spam zu vermeiden, aber identifiziert hundertprozentig eine „richtige“ eMail. Spammer haben es schwer, sich für „gestohlene“ eMail-Adressen ein Zertifikat zu besorgen und werden sich hüten, eine eigene Adresse zu Zertifizieren. Somit ist sicher, dass eine unterschriebene eMail wirklich vom angegebenen Absender kommt. Und alles was nicht unterschrieben ist, ist potentieller Spam!