Fachartikel

Der aktuelle Stand der E-Mail-Verschlüsselung

In vielen Unternehmen gehört der Austausch sensibler Nachrichten wie Vertragsdetails oder Bankdaten via E-Mail zum normalen Geschäftsalltag. Diese vertraulichen Informationen müssen geschützt werden, damit sich die Inhalte verschickter Nachrichten nicht im Klartext auslesen lassen. Der Fachartikel stellt den aktuellen Stand der PGP-Verschlüsselung und der damit verbundenen Bestandteile vor – einschließlich des kryptografischen Protokolls, der Schlüsselerzeugung und -übertragung, der Verschlüsselungsverfahren und der Integritätsprüfung.
Gerade in kleineren Umgebungen stellt PGP/MIME eine kostengünstige Art der Verschlüsselung dar.
Die Software PGP, auch bekannt als "Pretty Good Privacy" (Deutsch: "Besonders guter Datenschutz"), wurde im Jahr 1991 von Phil Zimmermann entwickelt. Das Softwarepaket war die erste starke kryptographische Technologie, die auf die Nutzung auf gängigen Computern abzielte. Es gibt zwei Hauptanwendungen von PGP: Signieren und Verschlüsseln. Das Signieren erlaubt es dem Empfänger, die Integrität der Nachricht zu überprüfen – ob der signierte Inhalt manipuliert wurde, zum Beispiel auf dem Weg vom Sender verändert wurde. Das Signieren beweist auch, dass die Nachricht tatsächlich vom Signierer (der in der Regel der Absender ist) gesendet wurde.

Der zweite Zweck von PGP ist die Verschlüsselung – der Absender möchte sicherstellen, dass der Inhalt der Nachricht von niemandem außer den gewünschten Empfängern gelesen werden kann. Auch die Kombination von Signieren und Verschlüsselung ist ein sehr übliches Verfahren: Somit ist sichergestellt, dass die Nachricht vom Absender erstellt wurde und nur der adressierte Empfänger sie lesen kann sowie eine Manipulation nicht möglich ist.

Einsatzweisen von PGP
In der E-Mail-Kommunikation kann PGP auf zwei Arten Verwendung finden: PGP/MIME und Inline PGP. Der PGP/MIME-Standard ermöglicht das Signieren und Verschlüsseln ganzer E-Mails inklusive Anhängen, von formatiertem Inhalt und eingebundenem Bildmaterial. Inline-PGP hingegen verschlüsselt und signiert dagegen nur einfachen Text.

Eine beliebte Alternative zur PGP-Technologie ist S/MIME, die von fast allen gängigen E-Mail-Clients unterstützt wird. Wie PGP basiert sie auf einer asymmetrischen Kryptographie, bei der jeder Benutzer zwei Schlüssel hat: einen privaten Schlüssel, der niemandem offenbart werden sollte, und einen öffentlichen Schlüssel, der an andere Benutzer verteilt wird. In S/MIME wird jedoch eine Zertifizierungsstelle benötigt, um die Authentizität zu überprüfen.

Dies kann die Glaubwürdigkeit weiter erhöhen, aber auch die Kosten, da dieser Dienst nicht kostenlos ist. Für größere Unternehmen, die eine einheitliche Lösung in ihren globalen Netzwerken benötigen, mag dies eine geeignetere Option sein. Allerdings ist PGP für kleine Unternehmen eine bevorzugte Alternative, da es kostengünstiger und mit den richtigen Werkzeugen schneller zu implementieren ist.
Kryptographische Protokolle
Um wirkungsvoll verschlüsseln zu können, reicht ein effektiver Algorithmus nicht aus, sondern es gilt, auch die verschiedenen Probleme der Datenübertragung und Kommunikation zu lösen. Dazu sind standardisierte kryptographische Protokolle, Verschlüsselungsprotokolle genannt, unerlässlich.

Die einzelnen Komponenten der Kryptographie sind nicht in einem einzigen Verfahren und Protokoll implementiert, sondern verschiedene Algorithmen und Vorgehensweisen sind miteinander verwoben. Sie sind teilweise austauschbar. Mehrere von ihnen bilden eine Cipher Suite oder ein Verschlüsselungsverfahren, das in seiner Gesamtheit einem Verschlüsselungsprotokoll oder einem kryptographischen Protokoll entspricht.

Die heute in der Kommunikations- und Netzwerktechnologie verwendeten kryptographischen Protokolle sind in der Regel eine Kombination aus Verfahren zur Schlüsselerzeugung, zum Schlüsselaustausch und zur Datenverschlüsselung. Häufig beinhalten sie zudem eine Integritätskontrolle und Authentifizierung. Die genaue Zusammensetzung eines kryptographischen Protokolls hängt von den Anforderungen und dem Anwendungsfall ab.

Schlüsselerzeugung und -austausch
Es gibt grundsätzlich drei Faktoren, die bei der Schlüsselproduktion wichtig sind. Woraus der Schlüssel besteht (Schlüsselmaterial), wie der Schlüssel erzeugt wird (Prozess) und wo (Hardware/System).

Für die PGP-Verschlüsselung muss ein Benutzer ein Paar aus öffentlichem und privatem Schlüssel besitzen. Die Schlüssel sind mit der E-Mail-Adresse des Benutzers verknüpft. Der private Schlüssel ist sicher zu verwahren und sollte niemals an jemanden gesendet werden. Er kommt zum Einsatz, wenn eine ausgehende E-Mail signiert oder eine eingehende E-Mail entschlüsselt wird. Der öffentliche Schlüssel muss den Personen zugänglich sein, mit denen der Benutzer kommunizieren möchte. Mit dem öffentlichen Schlüssel eines Benutzers kann der Empfänger einer signierten E-Mail des Benutzers die Signatur überprüfen. Es ist auch möglich, verschlüsselte E-Mails an den Benutzer zu senden.

Unabhängig vom Verschlüsselungsverfahren – symmetrisch oder asymmetrisch – müssen Schlüssel zwischen den Kommunikationspartnern ausgetauscht werden, um sie zur Ver- und Entschlüsselung von Nachrichten verwenden zu können. Die Verfahren unterscheiden sich darin, wie viele Schlüssel erzeugt werden und welche öffentlich weitergegeben werden dürfen.
19.02.2020/ln/Michal Bürger, CEO und Mitgründer von eM Client

Nachrichten

Intra2net mit neuem Lizenzmodell [19.01.2021]

Der Groupware- und Security-Anbieter Intra2net startet mit einem neuen Lizenzmodell ins Jahr 2021. Kunden sollen fortan von einer übersichtlicheren Preisgestaltung mit festen Benutzerpaketen profitieren. Für den Bereich von fünf bis 100 Benutzer stehen zehn Lizenzpakete in einer besonders kleinschrittigen Staffelung zur Verfügung. [mehr]

Matrix42 kauft FastViewer [14.01.2021]

Matrix42 übernimmt FastViewer, einen Anbieter für Remote Access, Remote Support und Collaboration-Lösungen. Der langjährige Partner von Matrix42 ist mit seiner Fernzugriff- und Fernwartungs-Plattform für PCs, Laptops, mobile Geräte, Server und Cloud-Workload bereits in die Matrix42-Produkte integriert. Mit der FastViewer Akquisition baut der Frankfurter Softwarehersteller für Digital Workspace Management zusätzlich sein Angebot für Edge-, IoT-Computing und Cloud Management aus. [mehr]

Tipps & Tools

Jetzt buchen: "Office 365 bereitstellen und absichern" [11.01.2021]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und sparen Lizenzgebühren. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensiv-Seminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange und SharePoint Online sowie MS Teams. Die Veranstaltung im März findet sowohl vor Ort als auch parallel online statt. [mehr]

Kommen Sie gut über die stade Zeit! [24.12.2020]

Es fällt nicht leicht, am Ende dieses Jahres frei von der Leber weg die üblichen Weihnachtsgrüße auszusenden – zu viel ist in den vergangenen Monaten passiert. Trotzdem möchten wir uns an dieser Stelle bedanken, dass Sie noch immer zu unseren Lesern gehören. In turbulenten Phasen wie diesen ist das beileibe keine Selbstverständlichkeit. Wir wünschen Ihnen und Ihrer Familie, dass Sie die diesmal wohl besonders stille Zeit zuversichtlich verbringen und freuen uns darauf, Sie im neuen Jahr gesund wieder zu begrüßen! [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen