Sichere E-Mail Kommunikation per PGP
Vielleicht haben Sie den Vergleich schon mal gehört: „Wenn man eine
Email schreibt ist das in etwa so, als ob man eine Postkarte versenden
würde“. Warum dieser Vergleich?
Jeder Server-Knotenpunkt, über den eine Mail auf ihrer Reise läuft, kann
in Echtzeit eine Kopie davon anlegen und speichern. Speziell in
Firmennetzwerken kann dies öfter der Fall sein. Dabei ist es nicht
unbedingt wichtig, ob sie den firmeneigenen Mail-Server oder Ihr
privates E-Mail Konto (z.B. über Outlook und Co.) auf der Arbeit nutzen.
Eine kleine Ausnahme bieten hier nur so genannte Web-Mail Kontos, die
mit einer gesicherten Verbindung (https) arbeiten. Aber auch hier ist
nur die gesicherte Übermittlung bis zum ersten Knotenpunkt, Ihrem
Provider, wirklich gewährleistet. An dem Mail-Prozess sind aber
mindestens 4 (Absender -> Provider Absender -> Provider Empfänger ->
Empfänger) und oft auch mehr Stationen beteiligt.
Ein weiteres Problem
stellt das einfache Fälschen von Absendern dar. Jeder, der über ein
bisschen fachliches Know-how verfügt, kann einen beliebigen Absender
vortäuschen. Grundsätzlich gibt es also durchaus ein berechtigtes
Interesse an einer verlässlichen Authentifizierung des Absenders und
einer hohen Sicherheit gegen ungefugtes Lesen von E-Mails.
Hierfür bietet sich das
Verschlüsselungsprotokoll PGP (Pretty Good Privacy) an. Es funktioniert
nach dem Prinzip der „Public-Key-Systeme“. Im Kern dreht es sich dabei
immer um ein Schlüsselpärchen. Einer von beiden Schlüsseln kann NUR
zuschließen, der andere kann NUR aufschließen. Dieses Pärchen kann also
nur zusammen sinnvoll arbeiten.
Der „Verschließer“ wird
öffentlicher Schlüssel genannt und kann jedem, der Ihnen eine E-Mail
schreiben will, frei zugänglich gemacht werden. Hierfür gibt es mehrere
Möglichkeiten, die später angesprochen werden.
Der „Aufschließer“ ist
der private Schlüssel und geheim. Nur Sie besitzen diesen Schlüssel und
er ist selbst durch ein Passwort vor fremden Zugriff geschützt. Dieser
Schlüssel dient dem Entschlüsseln und Signieren von E-Mails.
Sobald Sie also eine
E-Mail mit dem öffentlichen Schlüssel des Empfängers verschlüsseln, ist
diese Nachricht auch für Sie nicht mehr lesbar. Klar, denn Sie haben ja
nur den „Zuschließer“ und nur der Empfänger kann die Nachricht wieder
entschlüsseln. Zusätzlich können Sie diese Nachricht vor dem Versand
auch mit dem Ihrem privaten Schlüssel signieren. Sie bestätigen damit,
dass die Nachricht auf jeden Fall von Ihnen kommt.
In der Vergangenheit kam
es wegen der extrem hohen Sicherheit des Verfahrens zu diversen
Versuchen, PGP zu verbieten. Auch heute noch unterliegt es einigen
Export-Beschränkungen seitens der USA. Auf jeden Fall Sie sich recht
sicher sein, dass dieses Verfahren nicht ohne einen unproportional hohen
Aufwand zu knacken ist.
Um dieses Verfahren
sinnvoll und ohne hohen Aufwand nutzen zu können, gibt es Software, die
das Erstellen und Verwalten der Schlüssel übernimmt. Außerdem werden
darin Plug-Ins für gängige E-Mail Anwendungen (Outlook, Outlook Express,
etc.) angeboten, die den ganzen Prozess sehr einfach gestalten. Nach dem
Schreiben einer Nachricht drücken Sie z.B. nur noch auf den Knopf „Mail
vor dem Senden verschlüsseln und Signieren“ und alles weiter wird
automatisch für Sie erledigt.
Den öffentlichen
Schlüssel können Sie mit der Software auf einem so genannten „Key-Server“
ablegen und damit hat jeder, der Ihnen gern vertraulich schreiben will,
die Möglichkeit eine Mail an Sie mit PGP zu verschlüsseln.
Alternativ können Sie
Ihren öffentlichen Schlüssel auch einfach per Mail versenden oder als
Download auf einer beliebigen Internetseite anbieten.
Ein Beispiel für so eine
Software ist PGP Personal
Desktop (
http://www.pgp.com/de/products/windows.html ). Die Software kostet
im Online Shop 49€ und ist auch in deutscher Sprache erhältlich. |