eMail-Signierung oder Verschlüsselung

Bei der Verschlüsselung von eMails werden im allgemeinen assymetrische Verfahren eingesetzt. Dabei kann man grundsätzlich zwischen Verschlüsselung des Nachrichtentextes und Signierung (Unterschreiben) wählen. Zu Beachten ist, dass Headerinformationen (Absender, Zwischenstationen, …) und die Betreffzeile dabei nicht geschützt werden und deshalb nicht vertrauenswürdig sind.

Seriöse eMailprogramme sollten eine Integration der meist verwendeten Verfahren bieten:

• S/MIME
• oder PGP.

Leider muss man sich für eines der beiden Verfahren entscheiden, da Sie inkompatibel sind.

Eine elektronische Signatur erfüllt (technisch gesehen) den gleichen Zweck wie eine eigenhändige Unterschrift auf Papierdokumenten. Wobei es hier eher um eine Vertrauensschaffende Maßnahme geht als tatsächlich um einen rechtlichen Status.

• GnuPG Anleitung
• S/MIME-Anleitung
• Sicherer E-Mail Verkehr - Vergleich von PGP und S/MIME
• Digitale Signatur
• Elektronisch unterschreiben
• PGP Anwendertipps
• Enigmail (Thunderbird-Addon)
• key-manager (CA-Verwaltungstool; Thunderbird-Addon)

S/MIME ¹⁾ wird von E-Mail-Programmenen relativ gut unterstützt, d.h. die Einrichtung funktioniert in den meisten Fällen ohne extra Plugins und beim Empfänger wird es richtig angezeigt. Darunter sind Outlook, Thunderbird, Apple Mail etc. Der Absender und Empfänger sowie der Betreff bleibt in jedem Fall unverschlüsselt bzw. unsigniert. In der Regel werden S/MIME-Zertifikate von Zertifizierungsstellen ausgegeben so das der Empfänger relativ gut die Authentizität überprüfen kann.

Signatur:

Outlook

• zeigt zusätzlich ein kleines Siegel-Symbol an: ein Doppelklick darauf zeigt zusätzliche Informationen:
• Wichtig: Leider bietet Outlook 2013 (und vermutliche auch alle anderen Versionen) keine Möglichkeit S/MIME selektiv für bestimmte E-Mail-Konten zu aktivieren. D.h. wenn mehrere Mail-Accounts angelegt sind, müssen für alle Konten S/MIME-Zertifikate vorhanden sein wenn S/MIME benutzt werden soll. Andernfalls bekommt man Fehlermeldungen das kein Zertifikat für diese Mail-Adresse gefunden werden konnten.
• Leider fragt Outlook beim jeweils ersten Zugriff auf das Zertifikat (=erste ausgehende Mail) nach on Zugriff auf dieses Zertifikat erlaubt werden soll

Thunderbird:

• Wenn die E-Mail signiert ist zeigen die Programme die es nicht verstehen als Anhang eine Datei Namens „smime.p7s“ an, das betrifft fast alle Webmails und einige E-Mail-Programme auf Smartphones (z.B. K9 auf Android). Die Nachricht ist jedoch lesbar.
• Verschlüsselung: Funktioniert nur wenn das Zertifikat des Empfängers bekannt ist.

PGP ²⁾ bietet eine ähnliche Funktionalität wie S/MIME, ist aber i.d.R. weniger hierarchisch organisiert ab (sprich: außerhalb von Zertifizierungsstellen). Es sind vorrangig selbst generierte Schlüssel/Zertifikatspaare von Einzelleuten zur 1:1 Kommunikation dar.

Die Unterstützung der E-Mail-Clients ist relativ schlecht, ohne Zusatzprogramme können die meisten Empfänger nicht damit arbeiten. Allerdings läuft gerade (Ende 2015) einige Initiativen von Mail-Providern PGP (z.B. durch Browser-Plugins wie Mailvelope) für alle Kunden verfügbar zu machen. Bei einer signierten Nachricht stehen die Kennzeichnungen für PGP im Klartext lesbar am Anfang und Ende des Nachrichtentextes. Bei Thunderbird ist z.B. Enigmail als Zusatzprogramm nötig.

Verschlüsselung: Funktioniert nur wenn das Zertifikat des Empfängers bekannt ist. Allerdings kann dieser Prozess durch Schlüsselserver vereinfacht werden, leider kann man dadurch nicht sicher sein das der empfangene öffentliche Schlüssel der richtige ist, da keine Überprüfung stattfindet. Der Absender und Empfänger sowie der Betreff bleibt in jedem Fall unverschlüsselt bzw. unsigniert.