Security-Experte Rolf Haynberg.
De-Mail-Nutzer können ab April eine Browser-Erweiterung zur Ende-zu-Ende-Verschlüsselung ihrer Nachrichten installieren. Die Verschlüsselung basiert auf PGP.
Rolf Haynberg, Security-Experte bei der United-Internet-Gruppe, erklärt in einem Gastbeitrag, wie das Verfahren funktioniert und vor welchen Bedrohungen es schützt.
Wer bei E-Mails auf Nummer sicher gehen will, sollte anhand einer digitalen Signatur überprüfen können, ob eine empfangene Nachricht tatsächlich von dem Absender stammt, der darin angegeben ist. Um außerdem zu verhindern, dass Unbefugte auf den Inhalt der E-Mails zugreifen können, können Nutzer neben der Transportverschlüsselung, die zum Beispiel bei „E-Mail made in Germany“-Providern standardmäßig auf allen Transportwegen durch das Netz vorgenommen wird, eine Ende-zu-Ende-Verschlüsselung vorhanden sein. Dies bedeutet, dass eine E-Mail zusätzlich zu den Übertragungswegen zwischen jeweils zwei Servern über die gesamte Strecke vom Absender bis zum Empfänger verschlüsselt wird. Auf diese Weise können sich beide Kommunikationspartner ganz sicher gehen, dass ausschließlich sie die Nachricht lesen können.
Für diesen Zweck wurde OpenPGP oder kurz PGP entwickelt. PGP steht für Pretty Good Privacy. Aus dem Englischen übersetzt: Ziemlich gute Privatsphäre. Die Software wurde von dem Informatiker Philip R. Zimmermann geschrieben. Die erste Version stammt aus dem Jahr 1991. Zimmermanns Ziel, so das Online-Lexikon Wikipedia, war es, dass alle Nutzer und insbesondere Bürgerbewegungen vor der Neugier der Geheimdienste geschützt sind und sicher verschlüsselte Nachrichten austauschen können.
Browser-Plugin
Der große Vorteil von PGP ist, dass es sowohl eine Möglichkeit zur Ende-zu-Ende-Verschlüsselung als auch ein standardisiertes Datenformat für digitale Signaturen bietet. Anwender können folglich zwei Fliegen mit einer Klappe schlagen. Über ein Browser-Plugin lässt sich PGP in den beliebtesten Webmailern oder E-Mail-Programmen nutzen. Mit ihm können E-Mails bei Bedarf und nahezu transparent an andere PGP-Nutzer signiert und verschlüsselt gesendet werden.
Intern nutzt PGP ein sogenanntes Public-Key-Verfahren. Dabei gibt es für jeden Nutzer ein eindeutig zugeordnetes Schlüsselpaar: Den öffentlichen und den geheimen Schlüssel. E-Mails an einen Empfänger werden mit dessen öffentlichem Schlüssel verschlüsselt und können dann mithilfe seines privaten Schlüssels nur von ihm selbst entschlüsselt werden.
Beim Signieren von E-Mails geht man umgekehrt vor. Hier wird der private Schlüssel vom Absender verwendet, um eine digitale Unterschrift zu erstellen. Der Empfänger kann später anhand des öffentlichen Schlüssels die Signatur der Nachricht verifizieren.
Verlässliche Zuordnung
Die Sicherheitseigenschaften basieren also darauf, dass die Nutzer die öffentlichen Schlüssel verlässlich einer Person zuordnen können. Dies kann neben dem persönlichen Austausch des Schlüssels u.a. durch den nachträglichen Abgleich per Telefon geschehen. Alternativ ermöglicht PGP, die öffentlichen Schlüssel über ein sogenanntes Web of Trust auszutauschen. Dabei werden die öffentlichen Schlüssel in Verzeichnissen gespeichert. Die Nutzer müssen in diesem Fall darauf vertrauen, dass die hinterlegten Daten korrekt sind.
Wenn Sie Ihre Urlaubserlebnisse wirklich nur Ihrem besten Freund schreiben wollen, denken Sie beim nächsten Mal daran, ihm vorher Ihren öffentlichen Schlüssel mitzuteilen.
