E-Mail-Verschlüsselung

E-Mail-Verschlüsselung wird verwendet, um vertrauliche Informationen so per E-Mail vom Absender zum Empfänger zu schicken, dass niemand außer Absender und Empfänger sonst Zugang zu diesen Informationen bekommt.

Die E-Mail-Verschlüsselung geht oft einher mit der E-Mail-Signatur und wird in vielen Szenarien tatsächlich mit ihr kombiniert. Das Ziel der E-Mail-Signatur ist es, Informationen so per E-Mail vom Absender zum Empfänger zu schicken, dass sie niemand unbemerkt auf dem Weg vom Absender zum Empfänger manipulieren kann. Die E-Mail-Signatur befriedigt das Bedürfnis nach Authentizität.

Anwendungsformen im Vergleich

Für E-Mail-Verschlüsselung und E-Mail-Signatur gibt es verschiedene Anwendungsformen.

Client-basierte E-Mail-Verschlüsselung und -Signatur

Der klassische Weg, E-Mail-Verschlüsselung und -Signatur zu betreiben, ist der Weg von Client zu Client. Beispiel:

• Alice schickt eine verschlüsselte und signierte Nachricht per E-Mail an Bob.
• Die Verschlüsselung und Signatur der Nachricht übernimmt der E-Mail-Client von Alice.
• Die Entschlüsselung und Signaturprüfung der Nachricht übernimmt der E-Mail-Client von Bob.

Wenn das alles zutrifft, dann liegt eine Client-basierte E-Mail-Verschlüsselung und -Signatur vor.

Server-basierte E-Mail-Verschlüsselung und -Signatur

Client-basierte Lösungen haben den Nachteil, dass sie für viele Organisationen (Unternehmen, Vereine, …) zu komplex sind. Weil entsprechende IT-Infrastrukturen nicht vorhanden sind, ist die Versuchung groß, in der Organisation ganz auf E-Mail-Verschlüsselung und Signatur zu verzichten.

In solchen Situationen sind Server-basierte Lösungen das Mittel der Wahl. Die Arbeit der Verschlüsselung und Signatur wird dabei nicht von Clients, sondern von Servern erledigt.

Beispiel 1:

• Alice arbeitet in einem Unternehmen A und schickt eine verschlüsselte und signierte Nachricht per E-Mail an Bob.
• Die Verschlüsselung und Signatur der Nachricht übernimmt ein E-Mail-Server, der sich im Unternehmen A befindet.
• Die Entschlüsselung und Signaturprüfung der Nachricht übernimmt der E-Mail-Client von Bob.

Beispiel 2:

• Alice arbeitet in einem Unternehmen A und schickt eine verschlüsselte und signierte Nachricht per E-Mail an Bob. Bob arbeitet in einem Unternehmen B.
• Die Verschlüsselung und Signatur der Nachricht übernimmt ein E-Mail-Server, der sich im Unternehmen A befindet.
• Die Entschlüsselung und Signaturprüfung der Nachricht übernimmt ein E-Mail-Server, der sich im Unternehmen B befindet.

Die Vorteile einer Server-basierten Lösung sind also folgende:

• Die Mitglieder der Organisation (z. B. die Mitarbeiter im Unternehmen) müssen sich mit dem Thema Verschlüsselung und Signatur nicht beschäftigen. Die Arbeit macht der Administrator, der den zentral aufgestellten Server wartet.
• Trotzdem kann sämtlicher E-Mail-Verkehr verschlüsselt und signiert ablaufen, sofern die internen Benutzer es wollen und die externen Kommunikationspartner mitmachen.

Server-basierte Lösungen können dem Administrator folgende Leistungen anbieten:

• geheime und öffentliche Schlüssel der internern Nutzer automatisch generieren, verwalten und bei Bedarf auch publizieren (z. B. bei öffentlichen LDAP-Verzeichnissen)
• die Zertifikate externer Kommunikationspartner automatisch abfragen, validieren und eventuell für eine spätere Nutzung speichern
• vollautomatisiert Zertifikate ausstellen

PKI-basierte E-Mail-Verschlüsselung und -Signatur

Die häufig angetroffene Methode, bei der E-Mail Vertraulichkeit und Authentizität zu erreichen, ist die PKI-basierte E-Mail-Verschlüsselung und -Signatur. PKI steht für Public-Key-Infrastruktur. Bei der PKI-basierten E-Mail-Verschlüsselung und -Signatur kommt fast immer einer der zwei folgenden Standards zum Einsatz:

1. S/MIME: Secure / Multipurpose Internet Mail Extensions
2. OpenPGP: Open Pretty Good Privacy

PKI-basierte E-Mail-Verschlüsselung und -Signatur kommt in folgenden Situationen zum Einsatz:

• fast ausschließlich (sowohl S/MIME als auch OpenPGP) bei der Verwendung von Client-basierten Lösungen
• häufig (sowohl S/MIME als auch OpenPGP) bei der Verwendung von Server-basierten Lösungen

Passwort-basierte E-Mail-Verschlüsselung

Die Passwort-basierte E-Mail-Verschlüsselung ist eine Option, die von Server-basierten Lösungen angeboten werden kann. Sie löst dabei folgendes Problem:

• Wenn Server-basierte Lösungen PKI-basiert arbeiten, dann können sie zwar die internen Kommunikationspartner der betreibenden Organisation von komplizierter PKI entlasten, nicht jedoch die externen Kommunikationspartner. Die externen Kommunikationspartner müssen entweder selbst eine Server-basierte Lösung in ihrer Organisation betreiben oder, wenn dies nicht möglich ist, ihre PKI Client-basiert betreiben. Können sie beides nicht, dann ist eine E-Mail-Verschlüsselung zumindest PKI-basiert nicht möglich.

Um zu vermeiden, dass gar nicht verschlüsselt wird, können Server-basierte Lösungen neben PKI-basierter E-Mail-Verschlüsselung auch Passwort-basierte E-Mail-Verschlüsselung anbieten. Bei externen Kommunikationspartnern, die über eine PKI verfügen, wird dann PKI-basiert verschlüsselt. Bei Kommunikationspartnern, die über keine PKI verfügen, kann Passwort-basiert verschlüsselt werden.

Funktionsprinzip

Es gibt verschiedene Möglichkeiten, eine Passwort-basierte E-Mail-Verschlüsselung zu realisieren.

Beispiel für eine von vielen Möglichkeiten:

• Alice arbeitet in einem Unternehmen mit einer Server-basierten Lösung. Bob verfügt über keinerlei PKI.
• Alice schickt eine Nachricht per E-Mail an Bob.
• Die Server-basierte Lösung findet keine Zertifikate für Bob und entscheidet sich automatisch für eine Passwort-basierte Zustellung der Nachricht an Bob.
• Die Nachricht von Alice kommt in eine Warteschleife.
• Bob erhält eine Benachrichtigung per E-Mail, dass eine Nachricht auf ihn wartet.
• Bob richtet sich auf einem Web-Server einen Account ein und vergibt für sich ein Passwort.
• Anschließend wird die in der Warteschleife befindliche Nachricht automatisch in eine PDF-Datei umgewandelt, der Inhalt der PDF-Datei mit dem von Bob angegebenen Passwort verschlüsselt und das so geschützte PDF per E-Mail (als Attachment) an Bob ausgeliefert.
• Bob öffnet das PDF, gibt in den PDF-Reader sein Passwort ein und kann so die Nachricht von Alice lesen.
• Jede weitere Nachricht aus dem Unternehmen, in dem Alice arbeitet, wird ab sofort automatisch Passwort-verschlüsselt als PDF an Bob verschickt.

Vorteile für die externen Kommunikationspartner

• Es sind keine Zertifikate auf Empfängerseite erforderlich.
• Das automatisierte Passwortmanagement ersetzt für den externen Kommunikationspartner den komplexen Zertifikats-Ausstellungsprozess bei Trustcentern. Einzige Voraussetzung ist, dass er über Standard-Software (z. B. Web-Browser oder PDF-Reader) verfügt.

S/MIME-basierte E-Mail-Verschlüsselung und -Signatur im Detail

Das folgende Beispiel zeigt anschaulich, wie eine häufig vorkommende Anwendungsform der E-Mail-Verschlüsselung und -Signatur im Detail funktionieren kann. Bei der S/MIME-basierten E-Mail-Verschlüsselung und -Signatur kommen viele bekannte Aspekte aus der hybriden Verschlüsselung zum Einsatz. Zusätzlich jedoch enthält diese Form der Verschlüsselung und -Signatur weitere technische Feinheiten, die über die Prinzipien der einfachen hybriden Verschlüsselung hinausgehen, was insbesondere dann zum Vorschein kommt, wenn die E-Mail-Verschlüsselung, wie in der Praxis üblich, mit der E-Mail-Signatur kombiniert wird.

Das folgende Beispiel lehnt sich sehr stark an das im Artikel "Hybride Verschlüsselung" verwendete Beispiel an, beinhaltet hier aber weitere Aspekte, die für die E-Mail-Verschlüsselung und -Signatur typisch sind und mit der hybriden Verschlüsselung an sich nicht mehr viel zu tun haben.

Schlüsselverwaltung

Wie bei der reinen hybriden Verschlüsselung auch, muss sich jeder Kommunikationspartner ein Schlüsselpaar erzeugen, bevor er aktiv E-Mail-Verschlüsselung und -Signatur betreiben kann. Ohne eigenem Schlüsselpaar wäre maximal das Verifizieren fremder Nachrichten sinnvoll. Das Verschlüsseln von Nachrichten wäre zwar möglich, wird in der Praxis aber nicht durchgeführt, weil ohne eigenem Schlüsselpaar derartige Nachrichten vom Absender selbst nicht entschlüsselbar sind.

Erzeugung asymmetrischer Schlüssel als Voraussetzung für E-Mail-Verschlüsselung und Signatur

In der S/MIME-Welt ist es üblich, dass neue Kommunikationspartner ihren öffentlichen Schlüssel von einer Zertifizierungsstelle signieren lassen. Dazu wird der öffentliche Schlüssel an die Zertifizierungsstelle geschickt. Je nach Sicherheitsklasse prüft die Zertifizierungsstelle mehr oder weniger streng, ob der öffentliche Schlüssel tatsächlich der Person gehört, die das behauptet. Nach Bestehen der Prüfung verwendet die Zertifizierungsstelle ein sogenanntes CA-Zertifikat, um damit den öffentlichen Schlüssel der Person zu unterschreiben.

Ein so unterschriebener öffentlicher Schlüssel wird fortan "Zertifikat" genannt. Das Zertifikat besteht dabei aus dem öffentlichen Schlüssel selbst, der Signatur und ein paar Verwaltungsdaten.

Bei dem für das Signieren verwendete CA-Zertifikat handelt es sich um den öffentlichen Schlüssel der Zertifizierungsstelle, der wiederum von einer Zertifizierungsstelle signiert wurde. Auf diese Weise entsteht eine Kette aus CA-Zertifikaten. Das letzte Glied einer solchen Kette wird Root-CA-Zertifikat genannt. Das Root-CA-Zertifikat wurde mit sich selbst signiert, so dass in der Praxis weitere Wege beschritten werden, um sicherzustellen, dass das Root-CA-Zertifikat echt ist.

Zertifikatserzeugung

Nachdem ein Kommunikationspartner ein Schlüsselpaar erzeugt und sich auf Basis des öffentlichen Schlüssels ein Zertifikat besorgt hat, ist er in der Lage, mit anderen Kommunikationspartnern verschlüsselte und signierte Nachrichten auszutauschen.

Signatur

Das aktuelle Beispiel geht davon aus, dass Alice per E-Mail eine signierte und verschlüsselte Nachricht an Bob sendet. Die Signatur soll später Auskunft darüber geben, ob die Nachricht den Empfänger unverfälscht erreicht hat. Damit die Signatur auch verwendet werden kann, wenn die Nachricht beim Empfänger längst wieder entschlüsselt ist, ist es üblich, die Nachricht erst zu signieren, und danach die Nachricht samt Signatur zu verschlüsseln.

Signatur einer Nachricht mit Hilfe eines Hashs

Im Detail läuft das wie folgt ab:

• Der Absender (Alice) schreibt eine Nachricht.
• Die Software berechnet aus der Nachricht einen Hashwert, also eine Art Quersumme fester Länge, die die Nachricht möglichst zuverlässig identifiziert.
  • Mögliche Hash-Funktionen, die (je nach Software) zum Einsatz kommen können, wären MD5 oder SHA1.
• Mit Hilfe des geheimen Schlüssels von Alice wird der entstandene Hash asymmetrisch verschlüsselt. Das Resultat daraus ist die Signatur.
• Die unsignierte Nachricht, die Signatur und das Zertifikat vom Absender (Alice) bilden in ihrer Gesamtheit eine signierte Nachricht.

Wesentliche Bestandteile einer signierten Nachricht

Verschlüsselung

Die auf oben gezeigte Weise entstandene signierte Nachricht kann im nächsten Schritt verschlüsselt werden:

• Die signierte, unverschlüsselte Nachricht wird dabei symmetrisch verschlüsselt:
  • Dazu wird ein symmetrischer Session-Key generiert.
  • Mit diesem Session-Key wird das Dokument verschlüsselt.
• Anschließend wird der Session-Key asymmetrisch verschlüsselt:
  • Dafür kommt das Zertifikat des Empfängers (Bob) zum Einsatz.
• Die signierte, verschlüsselte Nachricht und der verschlüsselte Session-Key können nun an den Empfänger (Bob) versendet werden.

E-Mail-Verschlüsselung

Das Beispiel wurde zwecks Übersichtlichkeit bewusst einfach gehalten. In der Praxis kommen bei der E-Mail-Verschlüsselung weitere Details zur Anwendung:

• Nicht nur für den Empfänger wird ein verschlüsselter Session-Key erzeugt, sondern auch für den Absender selbst. Tatsächlich enthält eine verschlüsselte Nachricht also mindestens zwei verschlüsselte Session-Keys:
  • Einmal wird der Session-Key mit dem Zertifikat des Empfängers verschlüsselt, damit der Empfänger die Nachricht entschlüsseln kann.
  • Ein zweites Mal wird der Session-Key mit dem Zertifikat des Absenders verschlüsselt, damit der Absender selbst seine eigene Nachricht entschlüsseln kann.
• Für jeden weiteren Empfänger (der per "To:" oder "Cc:" adressiert wird) wird zusätzlich ein weiterer verschlüsselter Session-Key erzeugt und mitgesendet.
• Die verschlüsselte Nachricht selbst wird genau einmal verschlüsselt. Es können aber beliebig viele verschlüsselte Session-Keys vorkommen.

Entschlüsselung

Nachfolgend wird beispielhaft gezeigt, wie der Empfänger die erhaltene signierte, verschlüsselte Nachricht entschlüsseln kann:

• Der Empfänger (Bob) erhält vom Absender (Alice) eine signierte, verschlüsselte Nachricht und einen verschlüsselten Session-Key.
• Zunächst wird der Session-Key asymmetrisch entschlüsselt:
  • Dazu kommt der geheime Schlüssel des Empfängers (Bob) zum Einsatz.
• Mit Hilfe des so erhaltenen Session-Keys wird anschließend die Nachricht symmetrisch entschlüsselt.

E-Mail-Entschlüsselung

Prüfung der Signatur

Nachdem die Nachricht entschlüsselt ist, wird geprüft, ob die Nachricht auch tatsächlich vom angegebenen Absender (von Alice) stammt.

Die signierte Nachricht muss in ihre Bestandteile zerlegt werden

Im Detail läuft das wie folgt ab:

• Die signierte Nachricht wird in ihre Bestandteile zerlegt. Die Software erhält dadurch die unsignierte Nachricht, die Signatur und das Zertifikat vom Absender (Alice).
• Erneut berechnet die Software aus der Nachricht einen Hash.
• Unabhängig davon wird aber auch die vom Absender erhaltene Signatur mit Hilfe des Zertifikats des Absenders (von Alice) entschlüsselt.
  • So kommt der Empfänger an den Hash, der vom Absender abgeschickt wurde.
• Beide Hash-Werte werden miteinander verglichen.
  • Wenn beide Hash-Werte (der von Bob generierte und der von Alice versendete) identisch sind, dann kann Bob sicher sein, dass die Nachricht tatsächlich von Alice stammt, denn nur Alice ist in der Lage, mit Hilfe ihres geheimen Schlüssels den Hash so zu verschlüsseln, dass Bob ihn mit dem Zertifikat von Alice entschlüsseln kann, um den Hash zu erhalten. Keine andere Person hätte den Hash so verschlüsseln können, weil keine andere Person Zugriff auf den geheimen Schlüssel von Alice hat.

Prüfung der Signatur, um herauszufinden, ob die Nachricht echt ist

Anwendungsgebiete

E-Mail-Verschlüsselung kommt unter anderem in folgenden Situationen zum Einsatz:

• wenn es darum geht, die Privatsphäre zu wahren
• in Institutionen, die gesetzlich zum Datenschutz verpflichtet sind

Literatur

• Bruce Schneier: Applied Cryptography. Protocols, Algorithms, and Source Code in C, Second Edition. 1996, ISBN 0-471-11709-9.
• Niels Ferguson und Bruce Schneier: Practical Cryptography. 2003, ISBN 978-0471223573.
• Bruce Schneier: E-mail Security. How to Keep Your Electronic Messages Private. 1995, ISBN 978-0471053187.

Weblinks

• tools.ietf.org → RFC 2315 (PKCS#7 – Cryptographic Message Syntax – März 1998)
• tools.ietf.org → RFC 3852 (Cryptographic Message Syntax (CMS) – Juli 2004)
• tools.ietf.org → RFC 5652 (Cryptographic Message Syntax (CMS) – September 2009)
• tools.ietf.org → RFC 2440 (OpenPGP – November 1998)
• tools.ietf.org → RFC 4880 (OpenPGP – November 2007)
• tools.ietf.org → RFC 3156 (MIME Security with OpenPGP – August 2001)
• tools.ietf.org → RFC 2986 (PKCS#10 – Certification Request Standard – November 2000)
• tools.ietf.org → RFC 1847 (Security Multiparts for MIME: Multipart/Signed and Multipart/Encrypted – Oktober 1995)
• tools.ietf.org → RFC 3851 (Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Message Specification – Juli 2004)
• tools.ietf.org → RFC 1421 (Privacy Enhancement for Internet Electronic Mail: Part I – Februar 1993)
• tools.ietf.org → RFC 1422 (Privacy Enhancement for Internet Electronic Mail: Part II – Februar 1993)
• tools.ietf.org → RFC 1423 (Privacy Enhancement for Internet Electronic Mail: Part III – Februar 1993)
• tools.ietf.org → RFC 1424 (Privacy Enhancement for Internet Electronic Mail: Part IV – Februar 1993)
• thunderbird-mail.de → Mailverschlüsselung mit S/MIME
• selbstdatenschutz.info → E-Mail verschlüsseln (PGP/GnuPG)
• elektronikinfo.de → eMail-Verschlüsselung mit PGP
• verbraucher-sicher-online.de → Schwerpunkt E-Mail-Verschlüsselung