Zertifikate

...oder: E-Mail? Aber sicher...

Jeder wäre wohl sauer, wenn die Post oder ein anderer Zusteller einen persönlichen Brief vor der Auslieferung öffnet und den Inhalt inspiziert. Dagegen kann man sich wehren: eines der Grundrechte ist das Briefgeheimnis.

Bei der elektronischen Post sieht das anders aus: man wird als Nutzer wohl kaum feststellen können, ob der Briefverkehr nicht "belauscht" wird, erst recht nicht, von wem, wie oder wann. Um das zu vermeiden, gibt es nur eine Möglichkeit: das Verschlüsseln und Signieren von E-Mails mit Zertifikaten (oder: Certificates, Digital IDs, Digitale Signaturen).

Wie das geht, will ich auf dieser Seite erklären.

Gründe für ein persönliches Zertifikat

Verwendung eines persönlichen Zertifikats

  • Grundsätzlich basieren die meisten Zertifizierungssysteme auf der Public Key Infrastructure (PKI). Hierbei wird das Zertifikat in zwei Teile zerlegt: in den persönlichen (auch "Private Key") und in den öffentlichen Teil des Schlüssels (auch "Public Key"). Der öffentliche Teil ist, wie der Name schon vermuten lässt, für alle öffentlich zugänglich (meist auf einem Server der Zertifizierungsstelle oder aber auch in E-Mails von Kommunikationspartnern, die ein persönliches Zertifikat besitzen). Der persönliche Schlüssel erfüllt besondere Funktionen und sollte deshalb unter Verschluss bleiben.
  • Damit das ganze funktioniert, müssen sowohl beim Empfänger als auch beim Absender das Stammzertifikat der jeweiligen Zertifizierungsstelle (= Stelle, die ein Zertifikat ausstellt) eingerichtet sein, damit Zertifikate dieser Art überhaupt genutzt werden können. Es ist nicht zwingend notwendig, dass Empfänger und Absender ein Zertifikat der gleichen Zertifizierungsstelle nutzen.
  • Signieren: Beim Absenden der der elektronischen Post wird der Inhalt mit Hilfe des "Private Keys" des Absenders codiert und diese Codierung als Anhang ("Signatur", "elektronische Unterschrift") beigefügt. Je nach Sicherheitsstufe ist für diesen Vorgang die Eingabe eines Passworts nötig. Diese Signatur wird beim Empfänger mit dem "Public Key" des Absenders überprüft. Passen die beiden Schlüsselteile nicht zusammen, erhält der Empfänger einen Hinweis, dass der Inhalt möglicherweise "corrupt" sein könnte. Das schafft für die Dokumente, die keine solche Fehlermeldung erzeugen, eine Vertrauensstellung: der Empfänger kann sicher sein, dass das Dokument tatsächlich vom Absender stammt und unverändert ans Ziel gekommen ist.
  • Verschlüsseln: Beim Absenden der elektronischen Post wird der Inhalt mit dem "Public Key" des Empfängers verschlüsselt. Der Empfänger kann mit seinem "Private Key" die Verschlüsselung aufheben und den Inhalt für sich zugänglich machen. Auch hier ist je nach Sicherheitsstufe die Eingabe eines Passworts nötig. Das stellt sowohl für den Absender als auch für den Empfänger sicher, dass das Dokument nicht in unbefugte Hände fällt.
  • Widerruf: Falls der "Private Key" in die falschen Hände gerät, kann das komplette Zertifikat bei der Zertifizierungsstelle widerrufen werden. Bei der Überprüfung an der Zertifizierungsstelle wird dem Empfänger einer E-Mail die Nachricht zuteil, dass das Zertifikat, das zum Signieren benutzt wurde, ungültig ist. Ebenso wird beim Verschlüsseln einer E-Mail der Absender über diese Tatsache informiert. Nach dem Widerruf eines Zertifikats kann man sich in der Regel sofort ein neues ausstellen lassen.
  • Zum Signieren benötigt der Absender ein eigenes persönliches Zertifikat, der Empfänger hingegen nicht zwingend. Zum Überprüfen der Signatur kann der Empfänger auch nach dem Eingang den "Public Key" sowie dessen Stammzertifikat des Absenders vom Server der Zertifizierungsstelle beziehen. Viele Mail-Clients hängen den öffentlichen Schlüssel auch direkt an die elektronische Post, so dass er nur noch importiert werden muss. Soll elektronische Post verschlüsselt werden, so muss der Empfänger ein persönliches Zertifikat besitzen. Der Absender muss sich den "Public Key" des Empfängers und das Stammzertifikat allerdings schon vor dem Versand verfügbar gemacht haben. Nur, wenn E-Mails sowohl signiert als auch verschlüsselt werden sollten, müssen sowohl der Absender als auch der Empfänger den "Public Key" des Kommunikationspartners und jeweils die eigenen "Private Keys" besitzen.

Fazit

Die Kombination von Signatur und Verschlüsselung macht den Umgang mit elektronischer Post doch um Einiges entspannter. Seit dem Jahr 2001 haben die USA die Exportbeschränkung für Produkte mit einer Verschlüsselungsstärke von mehr als 48 Bit aufgehoben, so dass auch z. B. in Deutschland eine Verschlüsselung von mehr als 48 Bit möglich ist. In einigen Produkten sind weiterhin Beschränkungen auf 48 Bit eingebaut. Dieses geschieht allerdings nicht mit Verweis auf die Exportbeschränkungen, sondern um "Abwärtskompatibilität" zu gewährleisten.

Kostenlose Zertifikate von Thawte

Dieser Service wurde leider Mitte November 2009 eingestellt. Schade! Die Jungs haben mir in den letzen sechs Jahren echt gute Dienste geleistet.

Kostenlose Zertifikate von web.de

Der Dienst web.de bietet für alle seine E-Mail-Kunden ein kostenloses Zertifikat an. Dieses Zertifikat kann sowohl mit gängigen E-Mail-Clients als auch mit dem Web-Mailer ausschließlich mit Postfächern dieses Anbieters verwendet werden. Die Nutzung mit Postfächern anderer Anbieter ist nicht möglich oder unsicher.

Andere Anbieter

Andere kostenfreie Anbieter sind mir nicht bekannt. Ich bleibe aber auf der Suche.

PGP

Wer hundertprozentig sicher gehen will, sollte definitiv PGP nutzen. Dieses Programm wurde zwar noch zu einer Zeit entwickelt, als die US-Exportbeschränkungen noch im vollem Umfang selbst gegenüber der EU galten, aber die Programmierer haben die Ausfuhr ziemlich clever angestellt: sie haben den Quellcode ausgedruckt und als Buch in die Schweiz versandt. Dort hat man eben dieses Buch wieder eingescannt und, voi là, die Exportbeschränkungen der USA, die ja nur für Softwareprodukte galten, waren sauber und legal umschifft... Auch PGP funktioniert nach dem oben beschriebenen PKI-Verfahren, nur dass zur Nutzung ein extra Programm installiert sein muss, das Plug-Ins für die gängigsten E-Mail-Clients zur Verfügung stellt. Diese Software ersetzt das Stammzertifikat, so dass nur der jeweilige öffentliche oder private Schlüssel vorhanden sein muss.

PGP kann in der Freeware-Version E-Mails verschlüsseln und signieren. Wer nur diese Funktion nutzen möchte, kann auf diverse auf PGP basierende kostenlose Alternativen wie GnuPG oder GPG4win zurückgreifen. Für diejenigen, die jedoch auch Dateien oder ganze Partitionen verschlüsseln wollen, ist PGP - jedoch kostenpflichtig in der "Desktop-Version - die ideale Lösung.

Weitere Infos

Erstellt: 2002-04-03; Stand: 1970-01-01