E-Mail Sicherheit

Eine unverschlüsselte E-Mail ist von ihrem Grundprinzip vergleichbar mit einer Postkarte: jede Station, an der sie vorbeiläuft, kann den Inhalt lesen und sogar verändern. Durch Verschlüsselung wird der Text der E-Mail für den unbefugten Betrachter zu einem unverständlichen Zeichensalat.

Symmetrische Verschlüsselungsverfahren

Verschlüsselungsverfahren gab es bereits in der Antike, allerdings waren diese bis nach dem Zweiten Weltkrieg nur symmetrisch. Das bedeutete, beiden Kommunikationspartnern musste ein Schlüssel bekannt sein, der zum Ver- und Entschlüsseln diente. Diesen Schlüssel sicher vom einen zum anderen zu transportieren (ohne dass ein Dritter Zugriff hatte) war die große Schwäche bei der Sicherheit des Konzepts.

Die meiste verschlüsselte Kommunikation im Internet basiert heute allerdings auf asymmetrischen Verfahren, die erst durch die Rechenleistung von Computern praktikabel wurden. Dabei werden zwei voneinander abhängige Schlüssel erzeugt, ein öffentlicher und ein geheimer Schlüssel.

Asymmetrische Verfahren

Eine Nachricht, die mit einem der Schlüssel chiffriert wurde, kann nur mit dem anderen Schlüssel wieder dekodiert werden. Eine weitere Eigenschaft des Verfahrens ist, dass aus dem öffentlichen Schlüssel der geheime nur mit unvorstellbar großem Aufwand berechnet werden kann. Dadurch kann der Schlüssel tatsächlich gefahrlos veröffentlicht werden.

Möchte also A eine verschlüsselte Nachricht an B schicken, besorgt A sich den öffentlichen Schlüssel von B (den B z. B. per E-Mail zuvor an A geschickt hat), kodiert damit die Nachricht und nur B, der den zugehörigen geheimen Schlüssel besitzt, kann sie lesen.

A kann außerdem die Nachricht unterschreiben, um für B sicherzustellen, dass sie tatsächlich von A stammt und nicht verändert wurde. Dazu benutzt A seinen geheimen Schlüssel, um die Nachricht (bzw. eine darüber gebildete Prüfsumme) zu verschlüsseln. Kann B nun mit dem öffentlichen Schlüssel von A die korrekte Prüfsumme dekodieren, so ist die Nachricht echt.

Das Programm PGP

Die Ersten, die ein solches Verfahren vorstellten, waren die Mathematiker Rivest, Shamir und Adleman. Die dazugehörige Methode bekam darum den Namen RSA (nach den Anfangsbuchstaben der Namen) und ist bis heute im Einsatz.

Zu einer breiten Nutzung durch den Endverbraucher kamen die Verfahren erst mit der Veröffentlichung des Programms PGP (Abkürzung für „Pretty Good Privacy„), das der Amerikaner Phil Zimmermann 1991 entwickelte. Das Programm kann allerdings ausschließlich per Tastatur über die Kommandozeile bedient werden.

Es wurden jedoch bald so genannte „Frontends“ veröffentlicht, die eine bequeme grafische Benutzeroberfläche boten und den Aufruf der eigentlichen Verschlüsselungssoftware unsichtbar im Hintergrund durchführten. Ebenso gab es Ergänzungsmodule („Plugins“) für verschiedene E-Mail-Programme, um die Funktionalität nahtlos in diese Programme zu integrieren.

Die Alternative GnuPG

1997 wurde PGP von der Firma McAfee gekauft und dann im Rahmen ihrer eigenen Produkte vertrieben. Während zuvor der Quelltext des Programms ebenfalls veröffentlicht wurde, tat McAfee dies eine Zeit lang nicht. Als wirklich vertrauenswürdig gilt eine Verschlüsselungssoftware allerdings nur, wenn der Quelltext bekannt ist, um Fehler und eventuelle „Hintertüren“ erkennen zu können.

Dies führte zur Entwicklung des grundsätzlich quelloffenen Programms GnuPG, das eine ähnliche Funktionalität aufweist und auch nur über die Kommandozeile bedient wird. Inzwischen ist GnuPG eine vollwertige Alternative geworden, die dank zahlreicher Frontends und Plugins ebenfalls sehr bequem zu bedienen ist.