von Redaktion IT-A…
Lesezeit
2 Minuten
Der aktuelle Stand der E-Mail-Verschlüsselung
In vielen Unternehmen gehört der Austausch sensibler Nachrichten wie Vertragsdetails oder Bankdaten via E-Mail zum normalen Geschäftsalltag. Diese vertraulichen Informationen müssen geschützt werden, damit sich die Inhalte verschickter Nachrichten nicht im Klartext auslesen lassen. Der Fachartikel stellt den aktuellen Stand der PGP-Verschlüsselung und der damit verbundenen Bestandteile vor – einschließlich des kryptografischen Protokolls, der Schlüsselerzeugung und -übertragung, der Verschlüsselungsverfahren und der Integritätsprüfung.
Die Software PGP, auch bekannt als "Pretty Good Privacy" (Deutsch: "Besonders guter Datenschutz"), wurde im Jahr 1991 von Phil Zimmermann entwickelt. Das Softwarepaket war die erste starke kryptographische Technologie, die auf die Nutzung auf gängigen Computern abzielte. Es gibt zwei Hauptanwendungen von PGP: Signieren und Verschlüsseln. Das Signieren erlaubt es dem Empfänger, die Integrität der Nachricht zu überprüfen – ob der signierte Inhalt manipuliert wurde, zum Beispiel auf dem Weg vom Sender verändert wurde. Das Signieren beweist auch, dass die Nachricht tatsächlich vom Signierer (der in der Regel der Absender ist) gesendet wurde.
Der zweite Zweck von PGP ist die Verschlüsselung – der Absender möchte sicherstellen, dass der Inhalt der Nachricht von niemandem außer den gewünschten Empfängern gelesen werden kann. Auch die Kombination von Signieren und Verschlüsselung ist ein sehr übliches Verfahren: Somit ist sichergestellt, dass die Nachricht vom Absender erstellt wurde und nur der adressierte Empfänger sie lesen kann sowie eine Manipulation nicht möglich ist.
Einsatzweisen von PGP
In der E-Mail-Kommunikation kann PGP auf zwei Arten Verwendung finden: PGP/MIME und Inline PGP. Der PGP/MIME-Standard ermöglicht das Signieren und Verschlüsseln ganzer E-Mails inklusive Anhängen, von formatiertem Inhalt und eingebundenem Bildmaterial. Inline-PGP hingegen verschlüsselt und signiert dagegen nur einfachen Text.
Eine beliebte Alternative zur PGP-Technologie ist S/MIME, die von fast allen gängigen E-Mail-Clients unterstützt wird. Wie PGP basiert sie auf einer asymmetrischen Kryptographie, bei der jeder Benutzer zwei Schlüssel hat: einen privaten Schlüssel, der niemandem offenbart werden sollte, und einen öffentlichen Schlüssel, der an andere Benutzer verteilt wird. In S/MIME wird jedoch eine Zertifizierungsstelle benötigt, um die Authentizität zu überprüfen.
Dies kann die Glaubwürdigkeit weiter erhöhen, aber auch die Kosten, da dieser Dienst nicht kostenlos ist. Für größere Unternehmen, die eine einheitliche Lösung in ihren globalen Netzwerken benötigen, mag dies eine geeignetere Option sein. Allerdings ist PGP für kleine Unternehmen eine bevorzugte Alternative, da es kostengünstiger und mit den richtigen Werkzeugen schneller zu implementieren ist.
Kryptographische Protokolle
Um wirkungsvoll verschlüsseln zu können, reicht ein effektiver Algorithmus nicht aus, sondern es gilt, auch die verschiedenen Probleme der Datenübertragung und Kommunikation zu lösen. Dazu sind standardisierte kryptographische Protokolle, Verschlüsselungsprotokolle genannt, unerlässlich.
Die einzelnen Komponenten der Kryptographie sind nicht in einem einzigen Verfahren und Protokoll implementiert, sondern verschiedene Algorithmen und Vorgehensweisen sind miteinander verwoben. Sie sind teilweise austauschbar. Mehrere von ihnen bilden eine Cipher Suite oder ein Verschlüsselungsverfahren, das in seiner Gesamtheit einem Verschlüsselungsprotokoll oder einem kryptographischen Protokoll entspricht.
Die heute in der Kommunikations- und Netzwerktechnologie verwendeten kryptographischen Protokolle sind in der Regel eine Kombination aus Verfahren zur Schlüsselerzeugung, zum Schlüsselaustausch und zur Datenverschlüsselung. Häufig beinhalten sie zudem eine Integritätskontrolle und Authentifizierung. Die genaue Zusammensetzung eines kryptographischen Protokolls hängt von den Anforderungen und dem Anwendungsfall ab.
Schlüsselerzeugung und -austausch
Es gibt grundsätzlich drei Faktoren, die bei der Schlüsselproduktion wichtig sind. Woraus der Schlüssel besteht (Schlüsselmaterial), wie der Schlüssel erzeugt wird (Prozess) und wo (Hardware/System).
Für die PGP-Verschlüsselung muss ein Benutzer ein Paar aus öffentlichem und privatem Schlüssel besitzen. Die Schlüssel sind mit der E-Mail-Adresse des Benutzers verknüpft. Der private Schlüssel ist sicher zu verwahren und sollte niemals an jemanden gesendet werden. Er kommt zum Einsatz, wenn eine ausgehende E-Mail signiert oder eine eingehende E-Mail entschlüsselt wird. Der öffentliche Schlüssel muss den Personen zugänglich sein, mit denen der Benutzer kommunizieren möchte. Mit dem öffentlichen Schlüssel eines Benutzers kann der Empfänger einer signierten E-Mail des Benutzers die Signatur überprüfen. Es ist auch möglich, verschlüsselte E-Mails an den Benutzer zu senden.
Unabhängig vom Verschlüsselungsverfahren – symmetrisch oder asymmetrisch – müssen Schlüssel zwischen den Kommunikationspartnern ausgetauscht werden, um sie zur Ver- und Entschlüsselung von Nachrichten verwenden zu können. Die Verfahren unterscheiden sich darin, wie viele Schlüssel erzeugt werden und welche öffentlich weitergegeben werden dürfen.
ln/Michal Bürger, CEO und Mitgründer von eM Client
Der zweite Zweck von PGP ist die Verschlüsselung – der Absender möchte sicherstellen, dass der Inhalt der Nachricht von niemandem außer den gewünschten Empfängern gelesen werden kann. Auch die Kombination von Signieren und Verschlüsselung ist ein sehr übliches Verfahren: Somit ist sichergestellt, dass die Nachricht vom Absender erstellt wurde und nur der adressierte Empfänger sie lesen kann sowie eine Manipulation nicht möglich ist.
Einsatzweisen von PGP
In der E-Mail-Kommunikation kann PGP auf zwei Arten Verwendung finden: PGP/MIME und Inline PGP. Der PGP/MIME-Standard ermöglicht das Signieren und Verschlüsseln ganzer E-Mails inklusive Anhängen, von formatiertem Inhalt und eingebundenem Bildmaterial. Inline-PGP hingegen verschlüsselt und signiert dagegen nur einfachen Text.
Eine beliebte Alternative zur PGP-Technologie ist S/MIME, die von fast allen gängigen E-Mail-Clients unterstützt wird. Wie PGP basiert sie auf einer asymmetrischen Kryptographie, bei der jeder Benutzer zwei Schlüssel hat: einen privaten Schlüssel, der niemandem offenbart werden sollte, und einen öffentlichen Schlüssel, der an andere Benutzer verteilt wird. In S/MIME wird jedoch eine Zertifizierungsstelle benötigt, um die Authentizität zu überprüfen.
Dies kann die Glaubwürdigkeit weiter erhöhen, aber auch die Kosten, da dieser Dienst nicht kostenlos ist. Für größere Unternehmen, die eine einheitliche Lösung in ihren globalen Netzwerken benötigen, mag dies eine geeignetere Option sein. Allerdings ist PGP für kleine Unternehmen eine bevorzugte Alternative, da es kostengünstiger und mit den richtigen Werkzeugen schneller zu implementieren ist.
Kryptographische Protokolle
Um wirkungsvoll verschlüsseln zu können, reicht ein effektiver Algorithmus nicht aus, sondern es gilt, auch die verschiedenen Probleme der Datenübertragung und Kommunikation zu lösen. Dazu sind standardisierte kryptographische Protokolle, Verschlüsselungsprotokolle genannt, unerlässlich.
Die einzelnen Komponenten der Kryptographie sind nicht in einem einzigen Verfahren und Protokoll implementiert, sondern verschiedene Algorithmen und Vorgehensweisen sind miteinander verwoben. Sie sind teilweise austauschbar. Mehrere von ihnen bilden eine Cipher Suite oder ein Verschlüsselungsverfahren, das in seiner Gesamtheit einem Verschlüsselungsprotokoll oder einem kryptographischen Protokoll entspricht.
Die heute in der Kommunikations- und Netzwerktechnologie verwendeten kryptographischen Protokolle sind in der Regel eine Kombination aus Verfahren zur Schlüsselerzeugung, zum Schlüsselaustausch und zur Datenverschlüsselung. Häufig beinhalten sie zudem eine Integritätskontrolle und Authentifizierung. Die genaue Zusammensetzung eines kryptographischen Protokolls hängt von den Anforderungen und dem Anwendungsfall ab.
Schlüsselerzeugung und -austausch
Es gibt grundsätzlich drei Faktoren, die bei der Schlüsselproduktion wichtig sind. Woraus der Schlüssel besteht (Schlüsselmaterial), wie der Schlüssel erzeugt wird (Prozess) und wo (Hardware/System).
Für die PGP-Verschlüsselung muss ein Benutzer ein Paar aus öffentlichem und privatem Schlüssel besitzen. Die Schlüssel sind mit der E-Mail-Adresse des Benutzers verknüpft. Der private Schlüssel ist sicher zu verwahren und sollte niemals an jemanden gesendet werden. Er kommt zum Einsatz, wenn eine ausgehende E-Mail signiert oder eine eingehende E-Mail entschlüsselt wird. Der öffentliche Schlüssel muss den Personen zugänglich sein, mit denen der Benutzer kommunizieren möchte. Mit dem öffentlichen Schlüssel eines Benutzers kann der Empfänger einer signierten E-Mail des Benutzers die Signatur überprüfen. Es ist auch möglich, verschlüsselte E-Mails an den Benutzer zu senden.
Unabhängig vom Verschlüsselungsverfahren – symmetrisch oder asymmetrisch – müssen Schlüssel zwischen den Kommunikationspartnern ausgetauscht werden, um sie zur Ver- und Entschlüsselung von Nachrichten verwenden zu können. Die Verfahren unterscheiden sich darin, wie viele Schlüssel erzeugt werden und welche öffentlich weitergegeben werden dürfen.
ln/Michal Bürger, CEO und Mitgründer von eM Client
