intelligenSE - intelligente Software Entwicklung


	Navigation
	Willkommen Über uns Projekte und Leistungen Produkte Support Infobase Sicher mailen eMail Overkill Entwurfsmuster Web-Impressum Gefahr Internet Explorer Kontakt

Sicher mailen

eMails im Internet werden in der Regel im Klartext verschickt. An vielen Stellen (Provider, Techniker, Hacker, Chefs, ...) kann Ihre Post gelesen werden. Für viele eMails ist das eigendlich egal, bei einigen vielleicht unschön und bei anderen gefährlich oder gar bedrohlich. Dabei ist es so einfach, eMails sicher zu verschlüsseln. So gehts:

Wie funktioniert Verschlüsselung?

Um etwas zu verschlüsseln ist erstmal ein Schlüssel notwendig. Der Text, der verschlüsselt werden soll, wird mit dem Schlüssel so bearbeitet, dass hinterher nur noch ein wildes Durcheinander von Buchstaben herauskommt. Um wieder den Text zu erhalten, ist noch ein Schlüssel notwendig. Somit gibt es zwei Schlüssel (die natürlich zusammen passen), der öffentliche Schlüssel zum verschlüsseln, und zum entschlüsseln der private. Der private Schlüssel wird vom Besitzer geheimgehalten, der öffentliche wird Verbreitet.
Möchte ich jemand eine verschlüsselte Nachricht schicken, so verschlüssele ich die Nachricht mit dem öffentlichen Schlüssel des Empfängers. Somit kann nur der empfänger die Nachricht entschlüsseln, sonst niemand!

Was sind Zertifikate?

Um die Verbreitung und Verwaltung von öffentlichen Schlüsseln einfach zu halten, wird dieser in ein Zertifikat gepackt. Hinzu kommt noch der Name, die eMail Adresse und der Stempel von der Zertifizierungsstempel. Die Zertifizierungsstelle bestätigt damit, dass der Schlüssel, der Name und die eMail Adresse zusammengehören. Damit ist das Zertifikat sozusagen ein digitaler Ausweis.

Alles ist signiert

Nichts ist vor Fälschungen sicher. Genausowenig sind eMails, Zertifikate und öffentliche Schlüssel vor Fälschungen sicher. Mit der Signatur und seinem Zertifikat kann die Echtheit nachweisen. Die Signatur ist ein vorgegebener Text, der mit seinem eigenen privaten Schlüssel verschlüsselt wird. Das kann nur der wirkliche Absender tun. Zum überprüfen, ob alles echt ist, muss die Signatur mit dessen öffentlichen Schlüssel entschlüsselt werden. Und der öffentliche Schlüssel ist im Zertifikat enthalten.
Um eMails zu signieren, wird also der Nachrichtentext als Basis verwendet. Aber nicht nur eMails sind signiert, sondern auch Zertifikate. Das macht die Zertifizierungsstelle mit ihrem Zertifikat. So ist jedes Zertifikat signiert, bishin zum Zertifikat der Zertifikate, dem Root-Zertifikat. Die Root-Zertifikate sind in den Programmen fest enthalten und können nicht geändert werden. Damit gelten auch diese als echt.

Woher kriege ich mein Zertifikat?

Bei einer Zertifizierungsstelle oder auch TrustCenter genannt. Die günstigste Methode ist bei http://trust.web.de . Hier kostet das Zertifikat nur eine Anmeldung, hat allerdings den Nachteil, dass das Web.de Root-Zertifikat in gängigen eMail-Programmen nicht vorhanden ist. Dieses muss manuell nachinstalliert werden. Auch kostenlos aber mit Root-Zertifikat ist Thawte, allerdings ist es dort etwas aufwändiger an sein Zertifikat zu kommen. Unkomplizierter klappt das auf jeden Fall bei kommerziellen Zertifizierungsstellen wie z.B. bei GlobalSign oder S-Trust.

Was brauche ich für Programme?

Aktuelle eMail Programme enthalten die Standards PKCS und S/MIME. Diese reichen aus, um zu Verschlüsseln und signieren. Anleitungen für die einzelnen Programme gibt es auf http://trust.web.de oder bei der Zertifizierungsstelle.

Wo sind Hürden?

Grösste Hürde ist hauptsächlich, dass das Root-Zertifikat nicht im eMail-Programm des Empfänger vorhanden ist. Dann muss dieses beim Empfänger der eMail manuell installiert werden oder der Empfänger erhält eine Fehlermeldung, dass die Gültigkeit des Zertifikats nicht nachgewiesen werden kann. An der Wahl seiner Zertifizierungsstelle kann man dem aber aus dem Weg gehen.

Auch kann es sein, dass Mailinglisten oder eGroups eine Fusszeile anfügen oder den Betreff verändern. Dann ist die eMail nicht mehr "orginal" und die Empfänger erhalten eine entsprechende Meldung. Hier also nicht signieren.

Nebeneffekt: Spam!

Spam zu erkennen, zu vermeiden und zu unterbinden ist das Thema der Branche. Eine Signatur hilft nicht den Spam zu vermeiden, aber identifiziert hundertprozentig eine "richtige" eMail. Spammer haben es schwer, sich für "gestohlene" eMail-Adressen ein Zertifikat zu besorgen und werden sich hüten, eine eigene Adresse zu Zertifizieren. Somit ist sicher, dass eine unterschriebene eMail wirklich vom angegebenen Absender kommt. Und alles was nicht unterschrieben ist, ist potentieller Spam!
Auch Heise hat es gut erkannt: Ausgebootet

0,19985795021057