Die Verschlüsselung von E-Mails: Grundlagen und Empfehlungen für Einsteiger

Mit Edward Snowden und dem NSA-Spähskandal ist die Frage nach der Sicherheit der persönlichen Daten im Netz und der digitalen Kommunikation im Fokus der öffentlichen Betrachtung. Bundesinnenminister Friedrich sprach davon, dass der Schutz sensibler Informationen zu allererst bei jedem selbst anfangen muss. In diesem Sinne geben wir Ihnen einen kurzen Einblick in die Grundlagen der E-Mail-Verschlüsselung und Tipps wie Sie diese anwenden können.

Die Kryptografie – die Wissenschaft der Verschlüsselung – datiert bereits mehr als 2000 Jahre zurück. Schon der Römische Feldherr Cäsar setzte eine Verschlüsselungstechnik für seine Feldzugskommunikation ein, die posthum nach ihm benannt wurde. Bis in die Gegenwart hinein, wurde die klassische, symmetrische Verschlüsselungstechnik (deren Basisprinzip: eine verschlüsselte Nachricht mit einem Dechiffriercode (Schlüssel) verwendet.

Allerdings hat sie für die Kommunikation zwischen zwei bzw. mehreren Personen einen gravierenden Nachteil: Der notwendige Schlüssel muss dem anderen Kommunikationsteilnehmer irgendwie zugestellt werden.

Dass dessen Mitsenden in der gleichen E-Mail (i.d.R. über eine nicht-abgeschirmte Verbindung) ziemlich dumm wäre und die persönliche Übergabe des Schlüssels an jeden Kommunikationsteilnehmer einzeln ggf. sehr schwierig, wenn nicht gar unmöglich sein kann, ist offensichtlich.

[adcode categories=“computer,sicherheit“]

Das asymmetrische Verschlüsselungsverfahren

Um diesem Problem zu begegnen, wurden in den 1970er Jahren und fortfolgend asymmetrische Verschlüsselungsverfahren entwickelt. Diese operieren auf der Basis von Schlüsselpaaren. Jeder Nutzer generiert über eine entsprechende Software zeitgleich einen privaten (versteckten) und einen öffentlichen Schlüssel.

Beide sind notwendig, um eine chiffrierte Nachricht am Ende wieder in Klartext zu verwandeln. Der öffentliche Schlüssel wird naturgemäß jedem zugänglich gemacht. Dies geschieht gemeinhin über spezielle Public Key Server, die sonstige Hinterlegung auf Webseiten bzw. die Übermittlung per E-Mail. Wenn also Person B(ob) eine E-Mail an Person A(ngela) sicher versenden möchte, nimmt er Angelas öffentlichen Schlüssel zur Verschlüsselung der Nachricht.

Angela kann nach Erhalt der Nachricht diese mit ihrem dazugehörigen privaten Schlüssel entschlüsseln. Natürlich geht das Ganze auch vice versa.

Neben der direkten Verschlüsselung von E-Mail-Inhalten ermöglichen asymmetrische Double Key-Verfahren eine grundsätzliche Authentifizierung des jeweils anderen Kommunikationsteilnehmers, sprich ist Bob wirklich Bob, oder ist die E-Mail eine Fälschung. Dafür dienen digitale Signaturen (nicht zu verwechseln mit den Adressdaten-enthaltenden E-Mail-Signaturen).

Die digitale Signatur

Eine digitale Signatur entsteht aus dem Zusammenwirken von, in unserem Beispiel, Angelas privatem Schlüssel und einer hash-Funktion. Ein hash-Wert ist eine über eine spezielle Funktion erzeugte kleinere Zielmenge (Zahlenreihe einer bestimmten, immer gleichen Länge) aus einer größeren Eingabemenge (E-Mail-Daten). Aus der kleineren Zielmenge lässt sich demzufolge die Ursprungsmenge (die Nachricht) nicht mehr rekonstruieren.

Bob kann nach Erhalt der Nachricht mit Hilfe derselben hash-Funktion und Angelas öffentlichen Schlüssel die Korrektheit der digitalen Signatur überprüfen. Stimmen die Werte überein, ist die Nachricht authentisch, d.h. die Nachricht stammt von der richtigen Person und ist auf dem Weg vom Sender zum Empfänger nicht abgefangen und verändert worden.

Für Einsteiger im Bereich Sicherheit im Internet sei zunächst auf die Informationsseite des Bundesamtes für Sicherheit in der Informationstechnik und auf Verbraucher sicher online hingewiesen. Dort lassen sich viele nützliche Tipps und weiterführende Informationen zu Datensicherheit im Allgemeinen und Speziellen finden.

Mit PGP (kurz für ‚Pretty Good Privacy‘), dem z.Z. populärsten kommerziellen Verschlüsselungstool treffen Sie definitiv keine schlechte Wahl. Von diesem von Phil Zimmerman 1991 erstmals veröffentlichten Programm gibt es mittlerweile eine ganze Reihe von Freeware-Ablegern, die qualitativ mithalten und sich primär auf das freie GnuPG-Projekt (GNU Privacy Guard oder GPG) stützen.

Das bekannteste Tool dieser Gruppe ist definitiv Enigmail, welches als Plug-in für den Mozilla E-Mail-Client Thunderbird installiert wird. Ein vom Projektteam bereitgestelltes 106-Seiten starkes Handbuch (momentan nur auf Englisch) hilft bei der Einrichtung weiter. Wer eine deutschsprachige Alternative dazu sucht, wird mit gpg4win fündig.

Dessen Vorteile liegen in der Integration in Thunderbird und Outlook (bis Version 2007) und der leichtverständlichen deutschsprachigen Dokumentation. Als Bonus bietet das Tool einen eigenen E-Mail-Client, mit dem die Verschlüsselung bzw. gleich der Ganze Mailverkehr vorgenommen werden kann.