Fachartikel

Der aktuelle Stand der E-Mail-Verschlüsselung

In vielen Unternehmen gehört der Austausch sensibler Nachrichten wie Vertragsdetails oder Bankdaten via E-Mail zum normalen Geschäftsalltag. Diese vertraulichen Informationen müssen geschützt werden, damit sich die Inhalte verschickter Nachrichten nicht im Klartext auslesen lassen. Der Fachartikel stellt den aktuellen Stand der PGP-Verschlüsselung und der damit verbundenen Bestandteile vor – einschließlich des kryptografischen Protokolls, der Schlüsselerzeugung und -übertragung, der Verschlüsselungsverfahren und der Integritätsprüfung.
Gerade in kleineren Umgebungen stellt PGP/MIME eine kostengünstige Art der Verschlüsselung dar.
Die Software PGP, auch bekannt als "Pretty Good Privacy" (Deutsch: "Besonders guter Datenschutz"), wurde im Jahr 1991 von Phil Zimmermann entwickelt. Das Softwarepaket war die erste starke kryptographische Technologie, die auf die Nutzung auf gängigen Computern abzielte. Es gibt zwei Hauptanwendungen von PGP: Signieren und Verschlüsseln. Das Signieren erlaubt es dem Empfänger, die Integrität der Nachricht zu überprüfen – ob der signierte Inhalt manipuliert wurde, zum Beispiel auf dem Weg vom Sender verändert wurde. Das Signieren beweist auch, dass die Nachricht tatsächlich vom Signierer (der in der Regel der Absender ist) gesendet wurde.

Der zweite Zweck von PGP ist die Verschlüsselung – der Absender möchte sicherstellen, dass der Inhalt der Nachricht von niemandem außer den gewünschten Empfängern gelesen werden kann. Auch die Kombination von Signieren und Verschlüsselung ist ein sehr übliches Verfahren: Somit ist sichergestellt, dass die Nachricht vom Absender erstellt wurde und nur der adressierte Empfänger sie lesen kann sowie eine Manipulation nicht möglich ist.

Einsatzweisen von PGP
In der E-Mail-Kommunikation kann PGP auf zwei Arten Verwendung finden: PGP/MIME und Inline PGP. Der PGP/MIME-Standard ermöglicht das Signieren und Verschlüsseln ganzer E-Mails inklusive Anhängen, von formatiertem Inhalt und eingebundenem Bildmaterial. Inline-PGP hingegen verschlüsselt und signiert dagegen nur einfachen Text.

Eine beliebte Alternative zur PGP-Technologie ist S/MIME, die von fast allen gängigen E-Mail-Clients unterstützt wird. Wie PGP basiert sie auf einer asymmetrischen Kryptographie, bei der jeder Benutzer zwei Schlüssel hat: einen privaten Schlüssel, der niemandem offenbart werden sollte, und einen öffentlichen Schlüssel, der an andere Benutzer verteilt wird. In S/MIME wird jedoch eine Zertifizierungsstelle benötigt, um die Authentizität zu überprüfen.

Dies kann die Glaubwürdigkeit weiter erhöhen, aber auch die Kosten, da dieser Dienst nicht kostenlos ist. Für größere Unternehmen, die eine einheitliche Lösung in ihren globalen Netzwerken benötigen, mag dies eine geeignetere Option sein. Allerdings ist PGP für kleine Unternehmen eine bevorzugte Alternative, da es kostengünstiger und mit den richtigen Werkzeugen schneller zu implementieren ist.
Kryptographische Protokolle
Um wirkungsvoll verschlüsseln zu können, reicht ein effektiver Algorithmus nicht aus, sondern es gilt, auch die verschiedenen Probleme der Datenübertragung und Kommunikation zu lösen. Dazu sind standardisierte kryptographische Protokolle, Verschlüsselungsprotokolle genannt, unerlässlich.

Die einzelnen Komponenten der Kryptographie sind nicht in einem einzigen Verfahren und Protokoll implementiert, sondern verschiedene Algorithmen und Vorgehensweisen sind miteinander verwoben. Sie sind teilweise austauschbar. Mehrere von ihnen bilden eine Cipher Suite oder ein Verschlüsselungsverfahren, das in seiner Gesamtheit einem Verschlüsselungsprotokoll oder einem kryptographischen Protokoll entspricht.

Die heute in der Kommunikations- und Netzwerktechnologie verwendeten kryptographischen Protokolle sind in der Regel eine Kombination aus Verfahren zur Schlüsselerzeugung, zum Schlüsselaustausch und zur Datenverschlüsselung. Häufig beinhalten sie zudem eine Integritätskontrolle und Authentifizierung. Die genaue Zusammensetzung eines kryptographischen Protokolls hängt von den Anforderungen und dem Anwendungsfall ab.

Schlüsselerzeugung und -austausch
Es gibt grundsätzlich drei Faktoren, die bei der Schlüsselproduktion wichtig sind. Woraus der Schlüssel besteht (Schlüsselmaterial), wie der Schlüssel erzeugt wird (Prozess) und wo (Hardware/System).

Für die PGP-Verschlüsselung muss ein Benutzer ein Paar aus öffentlichem und privatem Schlüssel besitzen. Die Schlüssel sind mit der E-Mail-Adresse des Benutzers verknüpft. Der private Schlüssel ist sicher zu verwahren und sollte niemals an jemanden gesendet werden. Er kommt zum Einsatz, wenn eine ausgehende E-Mail signiert oder eine eingehende E-Mail entschlüsselt wird. Der öffentliche Schlüssel muss den Personen zugänglich sein, mit denen der Benutzer kommunizieren möchte. Mit dem öffentlichen Schlüssel eines Benutzers kann der Empfänger einer signierten E-Mail des Benutzers die Signatur überprüfen. Es ist auch möglich, verschlüsselte E-Mails an den Benutzer zu senden.

Unabhängig vom Verschlüsselungsverfahren – symmetrisch oder asymmetrisch – müssen Schlüssel zwischen den Kommunikationspartnern ausgetauscht werden, um sie zur Ver- und Entschlüsselung von Nachrichten verwenden zu können. Die Verfahren unterscheiden sich darin, wie viele Schlüssel erzeugt werden und welche öffentlich weitergegeben werden dürfen.
19.02.2020/ln/Michal Bürger, CEO und Mitgründer von eM Client

Nachrichten

Kostenfreies blizz für Remote-Unterricht [30.03.2020]

TeamViewer stellt angesichts der Coronavirus-Pandemie allen Schulen und Universitäten ab sofort die Online-Kollaborationslösung blizz kostenlos zur Verfügung. Entsprechende Gratis-Lizenzen für blizz sollen es Lehrern und Professoren ermöglichen, auch während der aktuellen Schließung interaktiven Unterricht über Video- und Telefonkonferenzen abzuhalten. [mehr]

Scan all you can [30.03.2020]

Epson stellt mit den "WorkForce DS-30000" und "DS-32000" seine ersten DIN-A3-Einzugsscanner für Unternehmen vor. Die neuen Epson-Scanner kommen mit einer Erfassungsgeschwindigkeit von bis zu 90 Seiten pro Minute und wollen mit einer hohen Flexibilität hinsichtlich der verarbeitbaren Dokumente punkten – sowohl was deren Format als auch Grammatur angeht. [mehr]

Tipps & Tools

Jetzt erhältlich: Sonderheft Clientmanagement [6.04.2020]

Das IT-Administrator Sonderheft 2020 "Clientmanagement - Stationäre und mobile Rechner administrieren und absichern" versorgt Administratoren mit Strategien und praktischem Wissen rund um die Verwaltung der Endgeräte im Unternehmen. Wir zeigen, worauf IT-Verantwortliche bei der Beschaffung sowie der Einführung von Clientmanagementwerkzeugen achten müssen. Weiterhin betrachten wir Sicherheitskonzepte für mobile wie stationäre Clients sowie das Management der Anwendungen auf den Clients. Das Sonderheft ist ab sofort versandbereit. [mehr]

Zusammenarbeit via Computer oder Smartphone [3.04.2020]

Durch das derzeit notwendige Social Distancing ist für viele die Arbeit nur noch von Zuhause möglich. Um die Kommunikation im Unternehmen dennoch aufrechtzuerhalten, sind vor allem Anwendungen für die Videotelefonie hilfreich. Das kostenfreie Tool "Houseparty" für Android, iOS, macOS und Chrome bietet einen einfachen Weg, aktiv via Video mit mehreren Personen auf einmal zu kommunizieren. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen