Fachartikel

Der aktuelle Stand der E-Mail-Verschlüsselung

In vielen Unternehmen gehört der Austausch sensibler Nachrichten wie Vertragsdetails oder Bankdaten via E-Mail zum normalen Geschäftsalltag. Diese vertraulichen Informationen müssen geschützt werden, damit sich die Inhalte verschickter Nachrichten nicht im Klartext auslesen lassen. Der Fachartikel stellt den aktuellen Stand der PGP-Verschlüsselung und der damit verbundenen Bestandteile vor – einschließlich des kryptografischen Protokolls, der Schlüsselerzeugung und -übertragung, der Verschlüsselungsverfahren und der Integritätsprüfung.
Gerade in kleineren Umgebungen stellt PGP/MIME eine kostengünstige Art der Verschlüsselung dar.
Die Software PGP, auch bekannt als "Pretty Good Privacy" (Deutsch: "Besonders guter Datenschutz"), wurde im Jahr 1991 von Phil Zimmermann entwickelt. Das Softwarepaket war die erste starke kryptographische Technologie, die auf die Nutzung auf gängigen Computern abzielte. Es gibt zwei Hauptanwendungen von PGP: Signieren und Verschlüsseln. Das Signieren erlaubt es dem Empfänger, die Integrität der Nachricht zu überprüfen – ob der signierte Inhalt manipuliert wurde, zum Beispiel auf dem Weg vom Sender verändert wurde. Das Signieren beweist auch, dass die Nachricht tatsächlich vom Signierer (der in der Regel der Absender ist) gesendet wurde.

Der zweite Zweck von PGP ist die Verschlüsselung – der Absender möchte sicherstellen, dass der Inhalt der Nachricht von niemandem außer den gewünschten Empfängern gelesen werden kann. Auch die Kombination von Signieren und Verschlüsselung ist ein sehr übliches Verfahren: Somit ist sichergestellt, dass die Nachricht vom Absender erstellt wurde und nur der adressierte Empfänger sie lesen kann sowie eine Manipulation nicht möglich ist.

Einsatzweisen von PGP
In der E-Mail-Kommunikation kann PGP auf zwei Arten Verwendung finden: PGP/MIME und Inline PGP. Der PGP/MIME-Standard ermöglicht das Signieren und Verschlüsseln ganzer E-Mails inklusive Anhängen, von formatiertem Inhalt und eingebundenem Bildmaterial. Inline-PGP hingegen verschlüsselt und signiert dagegen nur einfachen Text.

Eine beliebte Alternative zur PGP-Technologie ist S/MIME, die von fast allen gängigen E-Mail-Clients unterstützt wird. Wie PGP basiert sie auf einer asymmetrischen Kryptographie, bei der jeder Benutzer zwei Schlüssel hat: einen privaten Schlüssel, der niemandem offenbart werden sollte, und einen öffentlichen Schlüssel, der an andere Benutzer verteilt wird. In S/MIME wird jedoch eine Zertifizierungsstelle benötigt, um die Authentizität zu überprüfen.

Dies kann die Glaubwürdigkeit weiter erhöhen, aber auch die Kosten, da dieser Dienst nicht kostenlos ist. Für größere Unternehmen, die eine einheitliche Lösung in ihren globalen Netzwerken benötigen, mag dies eine geeignetere Option sein. Allerdings ist PGP für kleine Unternehmen eine bevorzugte Alternative, da es kostengünstiger und mit den richtigen Werkzeugen schneller zu implementieren ist.
Kryptographische Protokolle
Um wirkungsvoll verschlüsseln zu können, reicht ein effektiver Algorithmus nicht aus, sondern es gilt, auch die verschiedenen Probleme der Datenübertragung und Kommunikation zu lösen. Dazu sind standardisierte kryptographische Protokolle, Verschlüsselungsprotokolle genannt, unerlässlich.

Die einzelnen Komponenten der Kryptographie sind nicht in einem einzigen Verfahren und Protokoll implementiert, sondern verschiedene Algorithmen und Vorgehensweisen sind miteinander verwoben. Sie sind teilweise austauschbar. Mehrere von ihnen bilden eine Cipher Suite oder ein Verschlüsselungsverfahren, das in seiner Gesamtheit einem Verschlüsselungsprotokoll oder einem kryptographischen Protokoll entspricht.

Die heute in der Kommunikations- und Netzwerktechnologie verwendeten kryptographischen Protokolle sind in der Regel eine Kombination aus Verfahren zur Schlüsselerzeugung, zum Schlüsselaustausch und zur Datenverschlüsselung. Häufig beinhalten sie zudem eine Integritätskontrolle und Authentifizierung. Die genaue Zusammensetzung eines kryptographischen Protokolls hängt von den Anforderungen und dem Anwendungsfall ab.

Schlüsselerzeugung und -austausch
Es gibt grundsätzlich drei Faktoren, die bei der Schlüsselproduktion wichtig sind. Woraus der Schlüssel besteht (Schlüsselmaterial), wie der Schlüssel erzeugt wird (Prozess) und wo (Hardware/System).

Für die PGP-Verschlüsselung muss ein Benutzer ein Paar aus öffentlichem und privatem Schlüssel besitzen. Die Schlüssel sind mit der E-Mail-Adresse des Benutzers verknüpft. Der private Schlüssel ist sicher zu verwahren und sollte niemals an jemanden gesendet werden. Er kommt zum Einsatz, wenn eine ausgehende E-Mail signiert oder eine eingehende E-Mail entschlüsselt wird. Der öffentliche Schlüssel muss den Personen zugänglich sein, mit denen der Benutzer kommunizieren möchte. Mit dem öffentlichen Schlüssel eines Benutzers kann der Empfänger einer signierten E-Mail des Benutzers die Signatur überprüfen. Es ist auch möglich, verschlüsselte E-Mails an den Benutzer zu senden.

Unabhängig vom Verschlüsselungsverfahren – symmetrisch oder asymmetrisch – müssen Schlüssel zwischen den Kommunikationspartnern ausgetauscht werden, um sie zur Ver- und Entschlüsselung von Nachrichten verwenden zu können. Die Verfahren unterscheiden sich darin, wie viele Schlüssel erzeugt werden und welche öffentlich weitergegeben werden dürfen.
19.02.2020/ln/Michal Bürger, CEO und Mitgründer von eM Client

Nachrichten

Schutzschild für KMU [7.04.2020]

Die Telekom bietet ab Mitte April ein neues Sicherheitspaket für Großunternehmen und Mittelstand namens "Magenta Security Shield" an. Das Paket umfasst die wichtigsten Cyber-Abwehrmaßnahmen zum Schutz von Unternehmen ab einer Größe von 300 Mitarbeitern. Es deckt Schwachstellen auf und wehrt automatisch Angriffe ab. [mehr]

Identitätsautomat [2.04.2020]

SailPoint Technologies Holdings Inc., ein Anbieter von Werkzeugen für das Identitätsmanagement, präsentiert neue Updates für seine Plattform "SailPoint Predictive Identity", mit der sich leicht die richtigen Zugriffsrechte für Nutzer definieren und bereitstellen lassen sollen. [mehr]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen