Archiv für den Monat: Juli 2013

Sichere E-Mail – eine kleine Anleitung

Nach der Aufdeckung der massenhaften Überwachung durch „unsere“ Geheimdienste bzw. durch den Staat tritt das Thema „Schutz der Privatsphäre“ wieder einmal in den Vordergrund.

Die Verschlüsselung und digitale Signierung von E-Mail kann und sollte ein erster Schritt sein. Neben dem zu weiten Teilen dezentral arbeitenden PGP gibt es eine weitere standardisierte Methode für sichere E-Mail: S/MIME mit X.509 Zertifikaten.

Diese X.509 Zertifikate kennt der ein oder andere bereits von TLS/SSL bei der Verschlüsselung von Webseiten per HTTPS Protokoll. Bei diesen Zertifikaten gibt es immer eine zentrale Stelle, die die Zertifikate beglaubigt (sog. CA = Certification Authority). Dabei ist – meist im Gegensatz zu PGP – auch eine echte Identitätskontrolle möglich bzw. vorgesehen.

Die Krux an diesen CAs ist: Wenn mein Client (Browser, E-Mail Client) das einzelne Root-Zertifikat der CA einmal installiert hat (oder es bereits vorinstalliert ist), dann werden alle Client-Zertifikate meiner Kommunikationspartner als gültig angesehen. Es entfällt damit das sich gegenseitige Kontrollieren wie bei PGP (Schlüssel-Fingerprint). Denn die Person bzw. die zugehörige E-Mail-Adresse an sich wurde bei S/MIME bzw. X.509 bereits bei der Ausstellung des Zertifikats „beglaubigt“. Ich muss also „nur“ der CA trauen (was natürlich auch ein Problem sein kann).

Ein weiterer Vorteil gegenüber PGP: Der Standard S/MIME, der diese X.509 Zertifikate nutzt, ist in alle gängigen Clients eingebaut, so z.B. in Thunderbird, KDEs kmail oder – wer unbedingt mag – in Outlook. Es sind also keine Plugins nötig. Auch für mobile Plattformen gibt es S/MIME Lösungen (für Android z.B. „DJIGZO S/MIME Email Encryption“), wenn auch hier noch ein wenig rudimentär. In Thunderbird ist S/MIME jedenfalls perfekt integriert. [Update 06.12.2013] Perfekt war übertrieben, denn aktuell gibt es das Problem „Thunderbird gibt falschem Absender das Echtheits-Siegel„.

Und noch ein Vorteil von S/MIME: Clients verschicken in der Regel die Zertifikate mit dem öffentlichen Schlüssel in jeder E-Mail mit. Es entfällt somit der manuelle Download bzw. Austausch der öffentlichen Schlüssel wie bei PGP. Die Clients speichern bei S/MIME alle öffentlichen Schlüssel meiner Kommunikationspartner automatisch, und zwar wie gesagt als Zertifikate, die von der zentralen CA beglaubigt sind.

Wie kommt man nun zu solch einem X.509 Zertifikat? Nun, neben einigen wenigen für Privatkunden offenen kommerziellen Diensten gibt es seit einigen Jahren das Community-basierte und nicht-kommerzielle CAcert mit Sitz in Australien. Jeder kann sich anmelden und mitmachen.
Schon direkt nach Anmeldung kann man sich einfache (Class 1) X.509 Zertifikate für E-Mail ausstellen lassen, mit denen man z.B. in Thunderbird sofort loslegen kann. Die privaten Schlüssel verlassen dabei nie den eigenen PC, sondern werden im Browser generiert, am besten ist dazu Firefox geeignet.

Wenn man ein Class 3 Zertifikat haben möchte, bei der eine Identitätsprüfung nötig ist, muss man „Punkte“ sammeln, indem man sich von den sog. CAcert-Assurern „assuren“ lässt. Dabei muss man sich in einem persönlichen Treffen ausweisen. Nach ca. 3 solcher Treffen ist man dann „identifiziert“ und kann sich auf den Namen lautende Zertifikate erzeugen. Das funktioniert mit allen E-Mail Adressen.

Übrigens bin ich einer der offiziellen CAcert Assurer, von denen es in Ballungsgebieten eine hinreichend große Zahl gibt (z.B. oft auch beim CCC, Chaostreff oder bei den Piraten).

Wer also im Raum Düsseldorf „assured“ werden möchte, kann sich nach Anmeldung bei CAcert bei mir melden, so dass man die kleine Prozedur z.B. auf einem Stammtisch der Piraten in Mettmann durchführen könnte.

Ich habe in meinem Wiki ein paar Infos und Links zu S/MIME und CAcert zusammengetragen: