Worum es hier nicht geht, sind Cryptographieverfahren, Algorithmen oder sonstiges. Ich möchte hier nur eine kurze Einführung geben, warum es wichtig ist, Emails zu verschlüsseln. Ausserdem stelle ich 2 Methoden vor, mit denen sich Emails leicht und von Jedermann verschlüsseln lassen.
EMails sind wie Postkarten. Jeder kann sie lesen. Bei der Übertragung im Internet wird eine Email nicht einfach von deinem Rechner zu meinem Rechner übertragen. Stattdessen wird sie von einem Rechner zum nächsten weiter gereicht. Theoretisch ist es im Internet möglich mit einfachsten Mitteln jede Email abzufangen, zu lesen, und erst dann an den Empfänger zuzustellen. Sogar das verändern der Nachricht ist möglich, ohne das der Empfänger dies bemerkt. In Deutschland müssen alle größeren Provider Anlagen bereitstellen, die es Behörden ermöglichen, Email Verkehr jederzeit zu belauschen. Man kann sich aber auch leicht vorstellen, das solche Anlagen von Hackern (oder gar Mitarbeitern von Behörden oder Providern) missbraucht werden, denn auch wenn die Technik korrekt funktioniert kommt es immer wieder zu "menschlichem Versagen".
All dies kann mit einfachen, so genannten Public Key Crypographie Verfahren unterbunden werden. Das wohl bekannteste ist PGP. Leider ist PGP für viele Emailprogramme nicht einfach einzurichten. Auch die freie und unabhängig dazu entwickelte Variante, GPG ist hiervon nicht ausgenommen. Ein anderes Verfahren basiert auf sogenannten X.509 Zertifikaten. Es basiert auf der gleichen Technik wie die Kommunikation über https, die zum Beispiel von Banken für das Online-Banking eingesetzt wird. Daher ist das Verfahren auch in jedem Emailclient integriert, und man braucht fast nichts zu tun, ausser das Zertifikat zu installieren.
Hinter diesem kryptischen Namen verbirgt sich ein Verfahren, das heute quasi in jedem aktuellen Email Client verfügbar ist. Dabei besitzt sowohl der Empfänger, als auch der Sender einer Nachricht ein Zertifikat. Ein Zertifikat besteht aus zwei Teilen, einem öffentlichen und einem privatem Schlüssel. Ausserdem wird es von einer sogenannten Certification Authority (CA) beglaubigt, d.h. eine dritte Instanz garantiert für die Echtheit der im Zertifikat enthaltenen Daten (die Abhängigkeit zwischen öffentlichem Schlüssel und beispielsweise der Email Adresse). Es gibt verschiedene Stufen der Beglaubigung. Die einfachste Art der Beglaubigung besteht in der Verbindung von Schlüssel und Email Adresse. Solche Zertifikate werden meist als Klasse 1 Zertifikate ausgestellt. Der Nachteil solcher Zertifikate besteht darin, dass die meisten Programme nicht über die Zertifikate der CAs verfügen, mit denen die Schlüssel auf ihre Gültigkeit überprüft werden. Klasse 3 Zertifikate enthalten zusätzlich noch den Namen des Schlüsselbesitzers. Dieser wird nach strengen Kriterien überprüft. Viele CAs haben die Überfungsschlüssel für Klasse 3 Zertifikate in Emailprogramme integrieren lassen, sodass sich Klasse 3 Zertifikate im Besonderen für die Emailverschlüsselung eignen. Einen Klasse 3 Schlüssel stellt beispielsweise Thawte aus. Eine gute Anleitung zur Erzeugung von Zertifikaten findet sich auf der Webseite von Steffen Heil, da die Thawte Seite leider nur in englisch verfügbar ist (siehe Linkliste am Ende der Seite).
Wollen nun zwei Personen, Alice und Bob, miteinander verschlüsselt miteinander kommunizieren, so müssen Sie Ihre Schlüssel zunächst miteinander austauschen. Im Falle von X.509 Zertifikaten ist dies sehr einfach: Alice sendet Bob eine kurze Nachricht. Das Emailprogramm signiert diese Nachricht, und schon kennt Bob den öffentlichen Schlüssel von Alice. Er kann sich auch sicher sein, dass dieser Schlüssel von Alice stammt, da dieser ja durch die CA beglaubigt ist. Nun sendet Bob eine verschlüsselte Nachricht an Alice. Nun kann Alice ebenfalls verschlüsselt mit Bob kommunizieren.
Thawte Notare beglaubigen im Auftrag von Thawte die Identität von Nutzern der Thawte Zertifikate. Damit eine Person ein auf ihren Name ausgestelltes Thawte Zertifikat erhalten kann, muss die Identität der Person durch wenigstens zwei Thawte Notare beglaubigt werden. Jeder Thawte Nutzer kann selbst Notar werden, wenn wenigstens 3 Notare sich von seiner Identität überzeugt haben. Die genaue Anzahl der benötigten Beglaubigungen ergibt sich aus der Punktezahl, die ein Notar vergeben kann. Sie liegt zwischen 10 und 35 Punkten, und steigt mit der Zahl der Beglaubigungen, die der Notar durchführt. Um ein Zertifikat auf den eigenen Namen ausgestellt zu bekommen werden 50 Punkte benötigt, um Notar zu werden 100.
Auf dieses Verfahren möchte ich nur kurz eingehen, da es im Gegensatz zu X.509 Zertifikaten sehr schwierig einzurichten ist. Bei PGP werden die reinen Schlüssel zwischen Alice und Bob ausgetauscht. Dies passiert entweder Explizit oder durch Hinterlegung des öffentlichen Schlüssels auf einem Schlüsselserver. Die Überprüfung des Schlüssels erfolgt durch den Vergleich von Fingerprints (Fingerabdrücken), die Alice und Bob am besten bei einem persönlichen Treffen vergleichen. Dann können sie beide den Schlüssel des jeweils Anderen beglaubigen, und Charly, der Bob Vertraut kann den Schlüssel von Alice nutzen, ohne den Fingerprint persönlich mit Alice zu tauschen.
© 2005-2010 Copyright by martin-kaiser.info