Fachartikel

Seite 2 - Der aktuelle Stand der E-Mail-Verschlüsselung

Symmetrisch und asymmetrisch
Bei der symmetrischen Verschlüsselungsmethode, der ältesten und bekanntesten Technik, wird nur ein Schlüssel von Sender und Empfänger benötigt, um eine E-Mail zu ver- und entschlüsseln. Dieser Schlüssel muss vor der eigentlichen Kommunikation zwischen Sender und Empfänger auf einem sicheren Weg ausgetauscht und von beiden Seiten geheim gehalten werden. Für die Verschlüsselung von Nachrichten innerhalb großer und offener Nutzergruppen, wie es beim E-Mail-Verkehr der Fall ist, ist die symmetrische Verschlüsselung nicht geeignet, da alle Beteiligten den zur Verschlüsselung verwendeten Schlüssel austauschen müssen, bevor sie die Daten entschlüsseln können. Sie hat jedoch den Vorteil, dass sie selbst große Datenmengen schnell ver- und entschlüsseln kann.

Bei der asymmetrischen Verschlüsselung wird der private Schlüssel nur von seinem Besitzer verwendet und geheim gehalten. Das schließt das Risiko eines Diebstahls des Entschlüsselungsschlüssels weitgehend aus. Der zugehörige öffentliche Schlüssel desselben Eigentümers steht allen potenziellen Kommunikationspartnern zur Verfügung. Der öffentliche Schlüssel ist vergleichbar mit einem herkömmlichen offenen Vorhängeschloss, das von jedermann verschlossen, sich aber nur vom Besitzer des zugehörigen privaten und geheimen Schlüssels wieder öffnen lässt.

Um eine Nachricht sicher zu übertragen, sperrt der Absender die Nachricht mit dem öffentlichen Schlüssel des Empfängers. Er kann die E-Mail dann nur noch mit dem privaten Schlüssel öffnen und lesen. Das asymmetrische Verschlüsselungsverfahren findet Verwendung, um nur einen zufällig generierten eindeutigen Key zu verschlüsseln, der anschließend zur Verschlüsselung der Nachricht mit einem symmetrischen Algorithmus zum Einsatz kommt.
Überprüfung von Schlüsselintegrität und -authentizität
Wenn öffentliche Schlüssel über einen potenziell unsicheren Kanal, wie es die E-Mail von Natur aus ist, ausgetauscht werden, ist es sehr wichtig, ihre Authentizität zu überprüfen – um sicherzustellen, dass der Schlüssel unterwegs nicht verändert wurde, was die Sicherheit der zukünftigen Kommunikation gefährden würde. Um dies zu erleichtern, hat jeder Schlüssel einen einzigartigen Fingerabdruck. Der Fingerabdruck ist eine kurze Folge von Buchstaben und Zahlen. Um die Authentizität eines Schlüssels zu überprüfen, sollten die Fingerabdrücke eines Schlüssels auf der Seite des Senders und des Empfängers über andere Kanäle, etwa über ein Smartphone, verglichen werden.

Die Integrität einer Nachricht lässt sich bei asymmetrischer Verschlüsselung überprüfen. Dazu berechnet der Absender aus der Nachricht eine Prüfsumme, die für diese Mail eindeutig ist und mit einem Fingerabdruck vergleichbar ist. Diese Prüfsumme wird mit dem privaten Schlüssel des Absenders verschlüsselt, wodurch eine digitale Signatur entsteht, die sich mit einer Signatur oder einem Siegel verglichen lässt.

Diese Signatur wird an die E-Mail angehängt und versendet. Der Empfänger entschlüsselt die Signatur mit dem öffentlichen Schlüssel des Absenders und erhält die Prüfsumme der E-Mail. Diese Prüfsumme wird mit der vom Empfänger berechneten Prüfsumme abgeglichen. Stimmen beide Prüfsummen überein, ist sichergestellt, dass die Nachricht während der Übertragung keine Manipulation erfahren hat, das heißt dass ihre Integrität erhalten geblieben ist. Eine Signatur dient dem Nachweis, dass ein Dokument wirklich von einer bestimmten Person stammt. Dies beweist seine Authentizität. Ebenso kann eine E-Mail mit einer digitalen Signatur signiert werden, wie im vorigen Abschnitt zur Integrität beschrieben. Wird das generierte Schlüsselpaar eines Eigentümers zusätzlich formal und nachweislich mit einer E-Mail-Adresse verknüpft, so ist durch eine erfolgreiche Integritätsprüfung der Signatur sichergestellt, dass die Nachricht tatsächlich von der E-Mail-Adresse stammt, zu der das Schlüsselpaar gehört. Auf diese Weise lässt sich die Authentizität des Absenders gewährleisten. Eine verschlüsselte und signierte E-Mail entspricht somit einem versiegelten Brief.

Fazit
Trotz aller Sicherheitsprobleme ist die E-Mail-Verschlüsselung in den meisten Unternehmen noch nicht sehr weit verbreitet. Es ist ironisch, wie es als normal angesehen wird, ein kritisches Dokument per Einschreiben zu versenden, es aber ungewöhnlich ist, dieselben Vorsichtsmaßnahmen für den Versand von E-Mails zu treffen. Vielleicht sollten IT-Administratoren diesen Vergleich ziehen, wenn sie Büroangestellte über die Folgen einer nachlässigen E-Mail-Nutzung aufklären.

19.02.2020/ln/Michal Bürger, CEO und Mitgründer von eM Client

Nachrichten

Verschlüsselte Micro-SSD mit Anti-Malware-Quarantäne [29.05.2020]

Als hardwareverschlüsselte microSATA SSD eignet sich Sentry K300 von DataLocker für den sicheren Transport kritischer Daten. Im Zuge eines Firmware-Updates auf Version 6.3.1 stellt der Anbieter Nutzern zusätzliche Funktionen für den USB-Datenspeicher zur Verfügung, darunter die Laufwerks-Bereinigung und die Anti-Malware-Quarantäne. [mehr]

Schwachstellensuche als Service [27.05.2020]

Aufgrund der wachsenden Bedrohungslage und gezielteren Cyberangriffe erweitert Allgeier CORE sein Security-as-a-Service-Portfolio um das Schwachstellenmanagement des finnischen Herstellers F-Secure. Bei F-Secure Radar handelt es sich um eine schlüsselfertige Schwachstellenscanning- und -management-Plattform. Sie ermöglicht es Anwendern, interne sowie externe Gefahren zu erkennen und zu verwalten. [mehr]

Tipps & Tools

Vorschau Juni 2020: Hybrid Cloud [25.05.2020]

Längst stehen Firmen mit einem Fuß in der Cloud. Um den Übergang in die Wolke möglichst reibungslos zu gestalten, dreht sich der Schwerpunkt im Juni-Heft um das Thema "Hybrid Cloud". Darin zeigen wir unter anderem, wie sich Firmen eine passende Hybrid-Cloud-Strategie zurechtlegen und gleichzeitig die Business Continuity im Blick behalten. Außerdem erfahren Sie, wie Sie Windows Virtual Desktop mit freien Tools verwalten und Azure AD Connect in Betrieb nehmen. In den Tests tritt unter anderem Virtana CloudWisdom zur Kostenoptimierung bei Cloudressourcen an. [mehr]

Proxmox VE 6.2 freigegeben [22.05.2020]

Die Proxmox Server Solutions GmbH hat eine neue Version Ihrer Open-Source-Virtualisierungslösung für Server veröffentlicht: Proxmox VE 6.2 basiert auf Debian Buster 10.4, nutzt den Linux-Longterm-Kernel 5.4 und integriert verschiedene neue Funktionen. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen