Achtung! Die Informationen in diesem Artikel sind veraltet und teils auch irreführend.Emails signieren und verschlüsselnWenn man eine Email verschickt, sollte einem bewusst sein, daß diese ohne große Probleme von jedermann, der gewillt ist, mitgelesen werden kann. Zudem ist es bei Emails sehr einfach, jedweden Absender anzugeben - so kann jeder Böswillige Emails unter dem Namen eines Anderen verschicken. Und umgekehrt kann sich niemand sicher sein, daß die Email in der Inbox auch wirklich von dem stammt, der als Absender angegeben ist.
Es bedarf wohl keiner weiterer Ausführungen, um auf die Problematik des Mediums unverschlüsselte Email bei strikt privaten und vor allem auch geschäftlichen Kommunikationen hinzuweisen. Glücklicherweise kann man diesen Problemen aber relativ leicht Abhilfe schaffen.
Durch Verschlüsselung und Signierung kann niemand mehr die Email während ihres Weges mitlesen und ist der Schlüssel vernünftig authentifiziert (dazu weiter unten mehr) ist auch eine Identitätsfälschung praktisch ausgeschlossen.
Da Ciphire
eingestellt wurde, sind zur Zeit wieder zwei altbekannte, verschiedene Methoden zur Signierung & Verschlüsselung verbreitet:
PGP/GPGGPP steht für Gnu Privacy Guard und baut auf dem lange quelloffenem PGP auf. Die beiden Standards sind so gut wie vollständig kompatibel.
PGP wird mittlerweile ausschließlich kommerziell vertrieben und ist nicht vollständig quelloffen. GnuPG alias GPG dagegen ist für alle Anwendungen frei und ebenfalls recht einfach einzusetzen. Allerdings kommt man um ein bisschen Terminal nicht herum. Die notwendigen Schritte sind aber sehr gut beschrieben und teilweise kann man sich auch über eine GUI erledigen.
Zunächst lädt man sich
die deutsche Mac-OS-X-Version des Gnu Privacy Guards herunter.
Dort findet man auch diverse Links zu Zusatzsoftware, empfehlenswert sind auf jeden Fall "GPG Schlüsselbund" und "GPG Preferences", auch "GPG File Tool" für das Verschlüsseln beliebiger Dateien und "GPG Drop Thing" sind mitunter sehr nützlich.
Alle notwendigen Schritte sind in einem wirklich guten Tutorial auf
Usability Inside erläutert:
Teil 1 beschreibt alle Schritte vom Download bis zur ersten Schlüsselgenerierung.
Teil 2 erklärt die Schlüsselverwaltung mit den oben erwähnten Tools und die Authentifizierung.
Teil 3 erläutert die Verwendung von GPG in Apple Mail und Entourage.
Desweiteren findet man dort eine
Anleitung zur Verschlüsselung von Jabber-ChatsSchön bebilderte Anleitungen gibt es auch
bei zeitform.infoAuch über ICQ kann man GPG verwenden, daß hängt vom verwendeten Programm ab und dürfte z.B. in
Fire kein Problem sein, sobald man erst mal einen Schlüssel generiert hat.
Weitere Links:Direkter Link zum Mail.app-Plugin
GPGMail.
Enigmail erlaubt die Nutzung von GPG in Thunderbird und Mozilla. Die Vorgehensweise ist unter OS X praktisch genauso wie unter Windows.
Auch
Eine Anleitung für die Installation auf Mozilla zeigt die Einfachheit der Unternehmung.
Enigmail wird ständig weiterentwickelt und ist daher immer bald für neue Thunderbird-Versionen verfügbar.
Hier findet man einige AppleScripts für die Verwendung in Eudora.
Und
hier gibt es einige für Mailsmith.
Das
offizielle GnuPG-Handbuch sollte noch erwähnt werden. Denn es bietet auch alle Informationen für Fortgeschrittene an der GPG Shell.
Nun kann man seine Emails verschlüsseln und den öffentlichen Schlüssel weitergeben. Verschlüsseln und verifizieren kann man nur, wenn man den öffentlichen Schlüssel des anderen hat. Deshalb gibt es öffentliche Schlüsselserver - alles in den Tutorials erläutert. Man kann den Schlüssel oder einen Link zu ihm auch an die eigenen Mails anhängen. Eine Signatur allein erlaubt dem Empfänger keine Verschlüsselung und auch keine Überprüfung der Signatur.
Ein Schlüssel, der von anerkannten Stellen zertifiziert, d.h. einen sich ausweisenden Person eindeutig zugeordnet worden ist, ist generell vertrauenswürdiger als ein Schlüssel, der nur von unbekannten Privatpersonen oder gar überhaupt nicht überprüft wurde. Deshalb bieten einige Initiativen eine kostenlose Zertifizierung an:
Die
c't Kryptokampagne zertifiziert seit Jahren auf diversen Messen, z.B. CeBit (Hannover) und Systems (München). Bitte das beschriebene Prozedere beachten!
Die c't-Seiten bieten auch
Links zu anderen Zertifizierungsstellen.
The PKI Page bietet einen Katalog an internationalen (auch deutschen, österreichischen und schweizerischen) Zertifizierungsstellen. Offline, suche Alternative!
Nicht nur im privaten Bereich ist GPG eine gute Wahl, im geschäftlichen geht es aber ohne zusätzliches S/Mime kaum noch.S/MimeDer Einsatz von S/Mime ist meistens noch einfacher als der von GPG. Viele Mail-Programme - darunter Apple Mail, Thunderbird, Entourage und viele mehr - haben eine eingebaute Unterstützung. Zur Signierung braucht man nur noch ein Zertifikat, daß aus dem privaten und den öffentlichen Schlüssel besteht. Zur Verschlüsselung benötigt man, wie bei GPG, den öffentlichen Schlüssel des Kommunikationspartners, welchen dieser bei signierten Emails, anders als bei GPG, automatisch
immer mitschickt.
Und diese Zertifikate sind auch der grundlegende Unterschied zu PGP/GPG. Denn sie werden von sog. Zertifizierungsinstanzen herausgegeben - zwar kann man mittlerweile auch recht einfach Schlüssel selbst herstellen, aber wer soll diesen vertrauen? Immerhin kann man so mit bekannten, privaten Kommunikationspartnern kommunizieren.
In Mac OS X kann man sich auch selbst zur Zertifizierungsinstanz erklären, in Snow Leopard versteckt sich die Funktion in /Programme/Dienstprogramme/Schlüsselbundverwaltung. Programm starten und dort in der Menüleiste unter Schlüsselbundverwaltung.
In Vorgängerversionen von Mac OS X war der Zertifikatsassistent noch direkt im obig genannten Ordner als Programm vertreten.
Zwar sind die Zertifikate von kommerziellen Instanzen für Privatanwender teilweise kostenlos, aber der Graswurzel-Ansatz ist natürlich dahin, insbesondere wenn diese Unternehmen vielleicht auch andere Interessen haben.
Zudem sind die kostenlosen verfügbaren Zertifikate nicht wirklich authentifiziert, d.h. man muss sich doch wieder zusätzliche "Assurer"/Identitätsprüfer suchen, die das Zertifikat signieren/zertifizieren, was ja so auch auf GPG/PGP zutrifft, wenn der Schlüssel wirklich sicher zuzuordnen sein soll. Für diesen Zweck betreiben praktisch alle Zertifikatsausgeber eine Netz, in dem sich, nicht immer kostenfrei agierende, Personen oder Institute eintragen können, sobald sie gewisse Kriterien erfüllen - v.a. natürlich muss ihre Identität völlig zweifelsfrei feststehen. Es gilt, diese "Assurer", i.d.R. Privatpersonen, persönlich zu treffen, damit sie, anhand des Personalausweises, daß Zertifikat der Person einwandfrei zuordnen können.
Ein Beispiel:
Bei Thawte (siehe unten) erhält man ein Zertifikat für den persönlichen Gebrauch kostenlos. Allerdings lautet es auf "Thawte Freemail Member" plus Email-Adresse (denn nur diese wurde von Thawte übers Internet überprüft). Um seinen echten Namen dem Zertifikat hinzuzufügen, muss man im "Web of Trust" (Thawte entlehnt den Begriff von PGP) nach Freiwilligen, genannt Notaries, in seiner Nähe suchen. Diese verleihen, je nach ihrem Status, nach einem Treffen
in Person 10-35 Punkte, je erfahrener sie sind, desto mehr. Um seinen realen Namen einem Zertikat zuzuordnen, benötigt man fünfzig Punkte. Es sind also mindestens zwei Treffen mit verschiedenen Notaries nötig.
Achtung! Das Beispiel lasse ich stehen, aber Thawte bietet keine kostenlosen Zertifikate mehr an, und die bestehenden wurden mit 16.11.09 ungültig „gestempelt“ (revoked)! User erhalten für ein Jahr ein Verisign-Zertifikat kostenlos, danach kostet es 20$ im Jahr. Das Web of Trust von Thawte gibt es nicht mehr und Verisign bietet anscheinend auch keins an!
Alles dazu: https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO12658Die vermeintliche Leichtigkeit erweist sich bei
wirklich identitätssichernden, kostenlosen Zertifikaten also nur teilweise als richtig. Aber ohne tatsächliche Treffen kann eben eine Identität nicht befriedigend sicher überprüft werden. Es ist also der Preis, der so oder so zu zahlen ist.
Bei
kommerziellen Zertifikaten übernimmt i.d.R. die Zertifikatsinstanz selbst die sichere Identitätsprüfung, auf die eine oder andere Weise. Das ist natürlich mit Kosten verbunden.
Bekannter und
beliebter Zertifikatsaussteller ist
Thawte, eine südafrikanische Tochter der, in anderen Dingen,
nicht immer unumstrittenen Verisign. Ein Tutorial für die Einrichtung eines solchen Thawte-Zertikats in Apple Mail hat macnews.de
auf Lager.
Achtung! Es gibt leider kein kostenloses Zertifikat mehr von Thawte (siehe oben).Vorteil eines Thawte-Zertifikats ist, daß es, mit persönlicher Identitätsprüfung verbunden, praktisch überall als vertrauenswürdig akzeptiert wird.
Die Einrichtung in Thunderbird und anderen Programmen dürfte nach dem Lesen kaum noch Schwierigkeiten bereiten.
Eine deutsche Alternative zu Thawte ist
trustcenter.de, die mittlerweile zu Symantec gehören. Auch hierzu gibt es
eine Anleitung auf Usability Inside. Die Anleitung ist nicht ganz aktuell, daher der nunmehr hier direkt der
korrekte Link zum kostenlosen Trustcenter-Zertifikat. Ein System zur echten Identifikationsprüfung über Freiwillige, etwa wie Thawte, hat Trustcenter leider nicht. Das Wort kostenlos gilt nur für private Kommunikation.
Eine weiterer Zertifikatsaussteller ist
startssl.com aus Israel. Diese Firma bieten einen ähnlichen Service wie einst Thawte. Ein kostenloses, unüberprüftes Zertfikat, welches man über ein Web of Trust aufwerten kann - dann wird der Name eingefügt. Zudem bekommt man wenn man will ein Internetprofil, in dem vermerkt ist, welche und wie viele Überprüfungen man hat. Beispiel eines Machers:
https://eddyn.startssl.com/Man kann auch Domains im Zertifikat eintragen und so die Homepage absichern.
Eine Beschränkung auf privaten Einsatz konnte ich nicht entdecken, kann mich aber irren. Ich schreibe das jeweils nur weil sich bei vielen Leuten Privatleben und Arbeit ja überschneiden und auch Email-Accounts nicht immer so streng getrennt sind.
Es gibt auch mindestens zwei völlig unkommerzielle, also auch für den geschäftlichen Bereich kostenfreie, Ausgabestellen.
CAcertund
PHP KiAn sich eine schöne Sache, nur steht man hier vor dem Problem, daß diese ehrenamtlich betriebenen Dienste bei den Browser- und Emailprogramm-Herstellern noch keine Aufnahme in die Liste der vertrauenswürdigen Stellen gefunden haben. Man muss das sog. root-Zertikat also manuell nachinstallieren. Das ist nicht schwierig (und auf der jeweiligen Seite erklärt); Nur müssen das auch alle Kommunikationspartner machen, sonst erscheint in ihren Programmen die Warnung, daß Zertifikat käme von einer nicht als vertrauenswürdig eingestuften Seite!
Damit ist, gerade im geschäftlichen Umfeld, der Einsatz doch recht schwierig bis unmöglich.
Generell sollte man sich als Geschäfttreibender wohl ohnehin ein kostenpflichtiges Class-2-Zertifikat holen. Da überprüft der Aussteller die Identität und verlangt
Web.de bietet auch seinen Freemail-Kunden ein kostenloses Zertifikat inklusive "halbsichere" Identitätsprüfung via den Postweg. Web.de erlaubt auch die Signierung und Verschlüsselung via das Web-Interface des Dienstes - vorbildlich.
Bei Verwendung von Mail wird für das Verwalten der eigenen und eingehenden Zertifikate praktischerweise der systemweite Schlüsselbund verwendet.
Fazit:
Um für alle Kommunikationspartner gut gewappnet zu sein empfiehlt sich der Einsatz beider Systeme, GPG und S/Mime.
Momentan fehlt es, was die anerkannten Zertifikationsinstanzen angeht, anscheinend an einem für Privatkunden kostenlosen S/Mime-Zertifikat mit angeschlossenem Web of Trust oder anderer wirklich sicherer Identitätprüfung. Wenn der Kommunikationspartner darauf Wert legt, und CaCert nicht akzeptiert, und auch nicht auf GPG ausweichen will, bleibt nur zu zahlen. Alles unter Vorbehalt! Gibt es doch ein Angebot, bitte melden!Letzte Aktualisierung: 17.10.10