Passwörter in E-Mails sind eine leichte Beute für Kriminelle. Vertrauliche Informationen haben in Klartext-Nachrichten nichts zu suchen. ZDNet stellt die wichtigsten Tools zur Verschlüsselung von E-Mails vor und erklärt, wie sie funktionieren.
In der Regel gehen E-Mails unverschlüsselt durch das Internet. Obwohl das verwendete Übertragungsprotokoll SMTP mittlerweile um die Möglichkeit der Verschlüsselung erweitert wurde, setzen viele große Provider diese Technik nicht ein, wie ein ZDNet-Praxistest[1] zeigt.
Hinzu kommt, dass E-Mail ein Store-and-Forward-Dienst[2] ist. Man liefert eine E-Mail bei einem "Briefkasten" ab. Das ist meist der SMTP[3]-Server des eigenen Providers oder der Firma. Der Absender hat keinen Einfluss darauf, wie es von dort weitergeht. Der Betreiber des SMTP-Servers entscheidet, ob er die E-Mail direkt an den SMTP-Server des Empfängers sendet, den er aus den MX-Records[4] im DNS[5] entnehmen kann, oder ob er jede E-Mail zunächst an einen externen Dienstleister in der "Cloud" schickt, der eine Überprüfung auf Malware vornimmt.
Obwohl E-Mails in der Regel innerhalb einer Minute beim Empfänger ankommen, haben sie möglicherweise unverschlüsselt eine ganze Reihe von Zwischenstationen durchlaufen. Abhilfe schafft man nur, wenn man den Inhalt seiner E-Mails vor der Abgabe am ersten Briefkasten verschlüsselt. Der Empfänger muss wissen, wie er die E-Mail wieder entschlüsseln kann.
Das ist leichter gesagt als getan. Macht man mit einem Empfänger einen symmetrischen Schlüssel[6] aus, so kann man sich nicht sicher sein, ob der Empfänger diesen Schlüssel nicht absichtlich oder unabsichtlich jemand anderem verrät. Daher muss ein asymmetrisches Schlüsselpaar[7] verwendet werden. Bei diesem Verfahren sind die Schlüssel zum Ver- und Entschlüsseln verschieden.
Den Schlüssel zum Verschlüsseln nennt man Public Key. Man kann ihn an beliebig viele Empfänger versenden, die man bittet, jede E-Mail damit zu verschlüsseln. Den Schlüssel zum Entschlüsseln nennt man Private Key. Ihn muss man geheim halten. Nur damit lassen sich die E-Mails wieder in Klartext umwandeln.
Das erste Programm mit asymmetrischer Verschlüsselung für E-Mails, das größere Bekanntheit erreichte, war Pretty Good Privacy von Phil Zimmerman[8], kurz PGP genannt. Die aktuelle Version verschlüsselt nicht nur E-Mails, sondern auf Wunsch auch ganze Datenträger, etwa Festplatten und USB-Sticks. Auch CD- und DVD-Images lassen sich vor dem Brennen verschlüsseln.
Dass Phil Zimmerman seine Software kommerziell vertreibt und zunächst nicht jeden Verschlüsselungsalgorithmus offenlegte, gefiel Open-Source-Guru und Google-Mail-Kritiker[9] Richard Stallman[10] überhaupt nicht. Innerhalb des Gnu-Projektes entwickelte er den quelloffenen Klon Gnu Privacy Guard[11] (GPG oder GnuPG). Das darin verwendete OpenPGP-Protokoll[12] ist längst mit dem Titel RFC 4880[13] geadelt. Die meisten E-Mail-Verschlüsselungsprogramme basieren heute auf GnuPG.
Das Projekt Gpg4win ist ein vom Bundesamt für Sicherheit in der Informationstechnik beauftragtes Verschlüsselungspaket für E-Mails. Gpg4win umfasst ein Gesamtpaket, das auch den Schlüsseltausch mit anderen Nutzern erlaubt. Mit Gpg4win kann jeder Nutzer E-Mails und Dateien einfach und kostenlos verschlüsseln.
Gnupt ist ein deutschsprachiges Paket und besteht aus GnuPG und dem Windows Privacy Tray (WinPT). Das Installationsprogramm ist so ausgelegt, dass auch Benutzer ohne Administratorrechte die Software installieren und ihre E-Mails somit vor Unbefugten schützen können. Das Schlüsselverzeichnis muss nicht auf der Festplatte liegen, sondern kann frei definiert werden. So lässt sich beispielsweise ein USB-Stick verwenden.
Eine integrierte OpenPGP-Verschlüsselung und Authentifizierung in Thunderbird[14] bietet Enigmail. Das Add-on integriert sich in die Benutzeroberfläche, während GnuPG die Verschlüsselung im Hintergrund vornimmt. Somit ist das Programm kompatibel zu allen Empfängern, die eine auf PGP oder GnuPG basierende Lösung einsetzen.Das erste Programm mit asymmetrischer Verschlüsselung für E-Mails, das größere Bekanntheit erreichte, war Pretty Good Privacy von Phil Zimmerman[8], kurz PGP genannt. Die aktuelle Version verschlüsselt nicht nur E-Mails, sondern auf Wunsch auch ganze Datenträger, etwa Festplatten und USB-Sticks. Auch CD- und DVD-Images lassen sich vor dem Brennen verschlüsseln.
Weitere Features
- automatische Verschlüsselung von E-Mails aus Desktop-E-Mail-Programmen ohne zusätzliche Bedienvorgänge
- verschlüsseltes Instant Messaging
Fazit
Die aktuelle Version der Shareware PGP ist weit mehr als ein reines E-Mail-Verschlüsselungsprogramm, sondern bietet eine Komplettlösung rund um das Thema Datensicherheit.
Zum Download[15]Das Projekt Gpg4win ist ein vom Bundesamt für Sicherheit in der Informationstechnik beauftragtes Verschlüsselungspaket für E-Mails. Gpg4win umfasst ein Gesamtpaket, das auch den Schlüsseltausch mit anderen Nutzern erlaubt. Mit Gpg4win kann jeder Nutzer E-Mails und Dateien einfach und kostenlos verschlüsseln.
Inhalt des Bundles
- GnuPG als Verschlüsselungsengine
- GNU Privacy Assistent (GPA), eine Schlüsselverwaltung
- WinPT, eine weitere Schlüsselverwaltung mit Clipboardunterstützung
- GPGol, ein Plug-in für Microsoft Outlook 2003
- GPGee, ein Plug-in für den Windows Explorer zur Dateiverschlüsselung
- Sylpheed-Claws, ein komplettes E-Mail-Programm mit integrierter GnuPG-Bedienung
- deutsches Handbuch "Gpg4win für Einsteiger"
- deutsches Handbuch "Gpg4win für Durchblicker"
Fazit
Obwohl Gpg4win reichhaltige Features bietet, zeigt es vor allem, dass Behörden weder Software entwickeln noch Handbücher erstellen sollten. Auch das Prinzip der Auftragsvergabe nach einer öffentlichen Ausschreibung versagt hier kläglich. Sylpheed-Claws überzeugt nicht wirklich als Groupwarelösung, und bis man mit Outlook 2003 die erste verschlüsselte E-Mail verschickt hat, vergeht eine Weile.
Sollte diese Lösung für Bürger-Behörden-Kommunikation zum Standard erhoben werden, dann können die Gegner der E-Demokratie noch eine Weile ruhig schlafen.
Zum Download[16]Gnupt ist ein deutschsprachiges Paket und besteht aus GnuPG sowie dem Windows Privacy Tray (WinPT). Das Installationsprogramm ist so ausgelegt, dass auch Benutzer ohne Administratorrechte die Software installieren und ihre E-Mails somit vor Unbefugten schützen können. Das Schlüsselverzeichnis muss nicht auf der Festplatte liegen, sondern kann frei definiert werden, so lässt sich beispielsweise ein USB-Stick verwenden.
Fazit
Die Integration in Desktop-E-Mail-Programme lässt zu wünschen übrig. Schlüssel und E-Mail über das Clipboard mit WinPT auszutauschen ist nicht jedermanns Sache. Da sich jedoch Outlook-Plug-ins ohne Administratorrechte nun mal nicht installieren lassen, ist das Maximum an Komfort erreicht, das Microsoft-Sicherheitsexperten ihren hörigen Admins auf Firmen-PCs gerade noch erlauben.
Zum Download[17]Eine integrierte OpenPGP-Verschlüsselung und Authentifizierung in Thunderbird[14] bietet Enigmail. Das Add-on integriert sich in die Benutzeroberfläche, während GnuPG die Verschlüsselung im Hintergrund vornimmt. Somit ist das Programm kompatibel zu allen Empfängern, die eine Lösung basierend auf PGP oder GnuPG einsetzen.
Neben den von GnuPG ausgeführten Operationen kann Enigmail auch selbst einige OpenPGP-Funktionen ausführen, beispielsweise das Suchen nach fehlenden Schlüsseln. Das macht viele Funktionen komfortabler.
Fazit
Anwender von Thunderbird finden mit Enigmail eine ausgezeichnete Lösung, um verschlüsselte E-Mails zu versenden. Das Add-on ist zwar auf ein einziges E-Mail-Programm beschränkt, kann jedoch ohne Vorkenntnisse installiert und benutzt werden.
Zum Download[18]
URLs in diesem Artikel:[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = http:/
[17] = http:/
[18] = http:/