E-Mail-Verschlüsselung: Nur ein „Ausnahmezustand“?

Wie funktioniert sichere E-Mail-Kommunikation?

Was Julius Cäsar schon wusste

Verschlüsselung sensibler Inhalte ist fast so alt, wie die schriftliche Kommunikation selbst. Bereits der Feldherr und spätere römische Kaiser Cäsar hat seine Korrespondenz verschlüsselt. Dabei wurden die Buchstaben im Alphabet um drei Stellen verschoben. Das ist zugegebener Maßen ein sehr einfaches Verfahren, war aber wohl dennoch erfolgreich. Für die heutige Zeit sind dank moderner Technologien natürlich viel ausgefeiltere Verschlüsselungsmethoden nutzbar. In der E-Mail-Kommunikation haben sich hierbei zwei Standards herausgebildet, S/MIME und PGP. Beide Standards sorgen dafür, dass die Säulen der sicheren Kommunikation umgesetzt werden können.

Drei Säulen der sicheren Kommunikation

  • Integrität

Im Rahmen der sicheren E-Mail-Kommunikation stellen S/MIME und PGP sicher, dass sich der Inhalt der Nachricht auf dem Weg vom Absender zum Empfänger nicht verändert bzw. etwaige Veränderungen dem Empfänger sofort angezeigt werden. Dies wird mit Hilfe der digitalen Signatur erreicht.

  • Authentizität

Eine weitere Aufgabe der digitalen Signatur ist es, die Echtheit des Absenders sicherzustellen. D.h. der Empfänger einer signierten Nachricht hat die Sicherheit, dass die E-Mail tatsächlich vom angegebenen Absender versandt wurde.

  • Vertraulichkeit

Mit E-Mail-Verschlüsselung wird schließlich gewährleistet, dass der Inhalt einer E-Mail auf dem Weg vom Absender zum Empfänger von Dritten nicht gelesen werden kann.

Problem erkannt…

Sehen wir uns im Folgenden genauer an, wie S/MIME und PGP die Verschlüsselung realisieren. Eine der Herausforderungen bei der Verschlüsselung ist die Frage, wie der Empfänger die Informationen erhält, um eine verschlüsselte Nachricht zu entschlüsseln. Nehmen wir das Anfangsbeispiel der sogenannten Cäsar-Verschlüsselung. Der Empfänger muss für die Entschlüsselung wissen, wie der Absender die Nachricht verschlüsselt hat. Würde diese Information nun gemeinsam mit dem verschlüsselten Text transportiert werden, so könnte jemand den Überbringer der Nachricht stoppen und bekäme damit Zugriff auf die geheime Information. Damit wäre er in der Lage, die aktuelle Nachricht und alle zukünftigen auf der gleichen Basis verschlüsselten Texte lesbar zu machen.

Vor- und Nachteile des Secret Key

Verwendung eines Schlüssels Symmetrische Verschlüsselungsverfahren verwenden zum Ver- und Entschlüsseln jeweils den gleichen Schlüssel, den privaten Schlüssel (Secret Key). Die schon erwähnte Cäsar-Chiffre ist ein symmetrisches Verfahren. Mit dem Besitz dieses Schlüssels ist es möglich, Nachrichten zu ver- und zu entschlüsseln. Es gestaltet sich problematisch, den Schlüssel auf einem sicheren Weg zwischen den Kommunikationspartnern zu vereinbaren und auszutauschen. Der Vorteil ist die Geschwindigkeit dieser Methode.

Vor- und Nachteile des Public Key

Verwendung eines Schlüsselpaares Beim asymmetrischen Verschlüsselungsverfahren ist ein Schlüsselpaar beteiligt. Mit dem Public Key wird die Nachricht verschlüsselt und mit dem dazugehörigen privaten Schlüssel wieder entschlüsselt. Hieraus ergibt sich der Vorteil, dass nur der öffentliche Schlüssel verteilt werden muss. Der Secret Key bleibt an einem sicheren Ort geheim. Der Nachteil dieses Verfahrens besteht darin, dass es mehr Rechenkapazität erfordert und im Vergleich zum symmetrischen Verfahren langsamer ist.

…Problem gebannt: Hybridverfahren – Die Kombination macht’s!

S/MIME und PGP kombinieren Diese Schwierigkeit wird bei S/MIME und PGP durch die kombinierte Verwendung von symmetrischen und asymmetrischen Verschlüsselungsmethoden gelöst. Man spricht hierbei auch von einem Hybridverfahren. Der Weg einer verschlüsselten Nachricht zum Klartext Die Information wird mittels eines so genannten Sitzungsschlüssels, der nur ein Mal Verwendung findet, symmetrisch verschlüsselt. Dieser Session Key wird dann asymmetrisch mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und der Nachricht angehängt. Der Empfänger kann mit seinem Secret Key den Schlüssel und anschließend die Information entschlüsseln. Für Nachrichten ist dieses Vorgehen effektiver als eine asymmetrische Verschlüsselung der gesamten Nachricht. Da der Session Key nur ein einziges Mal verwendet wird, ist diese Methode genauso sicher wie eine asymmetrische Verschlüsselung.

Fazit

E-Mail Verschlüsselung – zu kompliziert?

LesetippStellen Sie sich die Frage nach der Vertraulichkeit der versendeten Daten und der Notwendigkeit einer Verschlüsselung? In diesem Artikel werfen wir einen Blick auf das brisante Thema: E-Mail-Verschlüsselung: Muss das sein?

Man sieht, die Abläufe und Voraussetzungen bei Verschlüsselung sind recht komplex. Daher zeigt sich auch in der Praxis: Eine effiziente Verschlüsselung findet dann in der Breite Verwendung, wenn die einzelnen E-Mail-Absender und -Empfänger mit den eigentlichen Ver- und Entschlüsselungsprozessen nicht konfrontiert werden. Der beste Weg dahin ist die Nutzung einer servergestützten Ver- und Entschlüsselung, die dafür sorgt, dass die erforderlichen Funktionen voll automatisch durch ein unternehmensweites Regelwerk gesteuert werden. S/MIME- und PGP-Verschlüsselung funktioniert dann, wenn Absender und Empfänger einen dieser Standards aktiv unterstützen. Das heißt bevor mit der Verschlüsselung begonnen werden kann, sind die jeweils öffentlichen Schlüssel bzw. Zertifikate zwischen Absender und Empfänger auszutauschen. Hat der Absender nun die Anforderung mit beliebigen Empfängern verschlüsselt zu kommunizieren, also auch mit solchen, die nicht S/MIME oder PGP nutzen können oder wollen, existieren dafür web-basierte Alternativen. Diese beleuchten wir in einem der nächsten Blog-Artikel.

Sie haben bereits Erfahrungen mit dem Thema E-Mail-Verschlüsselung? Oder haben Sie Fragen zum Thema? Ich freue mich auf Ihre Kommentare.

geschrieben von: Heiko Brenn

Heiko Brenn

Heiko Brenn ist bei GBS als Principal Senior Produkt Manager verantwortlich für die Collaboration Security Lösungen. Sein Aufgabengebiet erstreckt sich dabei sowohl auf die IBM-, Microsoft- als auch die Cloud-Plattformen. Er verfügt über umfassende, projektbezogene Expertise in den Bereichen E-Mail-Management und Collaboration.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.