Sicherheit bei E-mails

E-Mails und Sicherheit

Warum ich überhaupt darüber rede? Einfach deshalb: emails werden von einem zum nächsten rechner kopiert, so oft, bis der Weg vom Sender zum Empfänger zurückgelegt ist. Und jeder Administrator einer solchen Zwischenstation kann die Mails mitlesen. Alle Mails außerhalb des Landes teilen sich wenige Leitungen, und es besteht der Verdacht, daß diese Abgehört werden. Auf diesen Leitungen kann man Mails mitlesen.

Bei der Briefpost gibt es einen Schutz des einzelnen, das Briefgeheimnis. Dieses gibt es für emails nicht. Ergo muß man selber dafür sorgen - indem man seine mails verschlüsselt.

Darüber hinaus kann man sich sehr einfach für jemanden anders ausgeben. Also sollte es eine Möglichkeit geben, sicherzustellen, daß man anderen klarstellen kann, daß man eine mail auch wirklich abgeschickt hat - das nennt man üblicherweise unterschreiben. Im elektronischen bedeutet das, daß eine Prüfsumme erstellt und dem Original beigefügt wird.

Leider ist es nicht überall erlaubt, seine Daten zu verschlüsseln. Vor allem in Frankreich gibt es ein sehr striktes Gesetz gegen Verschlüsselung - der Geheimdienst könnte ja vielleicht mitlesen wollen ;-)

Um uns was verschlüsselt und/oder signiert zu schicken, bietet sich "PGP" an. Damit kann jeder (für den es erlaubt ist) Daten wie Mailtexte und beigefügte Dateien verschlüsseln und signieren. Dazu braucht man einen Schlüssel. Um das Problem des Schlüsselaustausches im Griff zu haben, wenn mehr als 3 Personen an einer solchen Kommunikation beteiligt sind, bedient man sich eines sogenannten asymetrischen Verfahrens, mit anderen Worten, die Schlüssel zum Ver- und Entschlüsseln sind unterschiedlich. Den einen Schlüssel kann man jedem zugänglich machen (public key), den anderen hält man geheim (private key).

Signieren funktioniert damit, daß man eine Prüfsumme errechnet und diese mit seinem eigenen private key verschlüsselt. Der Empfänger kann dann mit dem public key des Sender die Richtigkeit der Prüfsumme prüfen.
Verschlüsseln funktioniert umgekehrt - mit dem public key des Empfängers wird verschlüsselt, und der Empfänger entschlüsselt mit seinem private key.

Um zu dem public key eines Kommunikationspartners zu kommen, gibt es "keyserver". Ich lehne diese ab, denn die dort veröffentlichten Schlüssel belegen nichts, außer daß jemand einen solchen Schlüssel erzeugt hat. Vor allem wiegen diese Server den Besucher in der falschen Sicherheit, die Schlüssel seien echt. Ein Schlüssel kann nur dann als zu einer Person gehörig betrachtet werden, wenn dieser Zusammenhang z.B. durch ein gegenseitiges Treffen nachgewiesen wurde. Und das sollte doch der Sinn des Einsatzes einer solchen Software sein.

Bevor ich den Schlüssel anderer Leute unterschreibe, versuche ich herauszufinden, ob diese Person wirklich die ist, für die sich diese ausgibt. Nur bei positiver Prüfung unterschreibe ich einen Schlüssel. Einen Schlüssel, den ich nur per E-Mail erhalte, signiere ich nicht.

Allerdings: Ich habe seit 2011 kein PGP mehr in die Hand genommen, und den Schlüssel unwiederbringlich verlegt. Daher: Hier ist nix mehr los.

Wenn man mit mir verschlüsselt kommunizieren will, dann geht das heutzutage nur mehr über Threema.

Schick doch 'nen Brief an Holger oder an Alexandra.

This page was last updated Januar 05, 2016