Es folgt ein kleiner (?) Blogpost zum Thema E-Mail-Verschlüsselung.

E-Mails kann man mit Postkarten vergleichen. Der Zusteller kann sie lesen. Im Falle von E-Mail sind das die Mailserver und alle, die darauf Zugriff haben. Daher empfiehlt es sich, E-Mails zu verschlüsseln.

Es gibt 2 populäre Verfahren: PGP und S/MIME. Beide Verfahren erlauben das Verschlüsseln und/oder Signieren von Mails (letzeres stellt sicher, dass die Mail während des Transports nicht manipuliert wurde). Diese beiden Verfahren sind miteinander inkompatibel. Man muss sich also für eines entscheiden.

Unterschiede gibt es einige:

Feststellung der Vertrauenswürdigkeit eines Schlüssels. Schhlüssel können gefälscht werden, z.B. unter falschem Namen ausgestellt werden. Daher muss es eine Möglichkeit geben, Schlüssel als vertrauenswürdig zu kennzeichnen. Bei S/MIME geschieht das hierarchisch. So genannte “Certification Authorities” (CA) stellen die Schlüssel/Zertifkate aus und beglaubigen/”unterschreiben” diese. Vertraut man der CA, vertraut man damit Schlüsseln/Zertifikaten, die von der CA beglaubigt wurden. Die Prüfung kann auf unterschiedliche Weise erfolgen (es gibt verschiedene Klassen von Zertifikaten). Im einfachsten Fall wird nur geprüft, ob die E-Mail-Adresse existiert und derjenige, der das Zertifikat angefordert hat, Zugriff auf den Mailaccount hat. Höherwertige Zertifikate erfordern eine Identifizierung mit z.B. Personalausweis. Bei PGP erfolgt die Ermittlung des Vertrauens über das “Web of Trust”, das Vertrauensnetzwerk. Nutzer der Systems legen fest, welchen Schlüsseln sie vertrauen und unterschreiben/beglaubigen diese. Vertraut man (als Benutzer X) dem Schlüssel von Y, und Y vertraut dem Schlüssel von Z, akzeptiert PGP den Schlüssel von Z, auch wenn man diesem Benutzer als X nicht vertraut. (Dies ist etwas vereinfacht, im Detail gibt es da noch Abstufungen)

Software-Unterstützung Die Unterstützung für S/MIME ist in gängigen Mail-Clients eingebaut, zumindest was den PC angeht. Mein Android-Smartphone bot standardmäßig keine Möglichkeit für Verschlüsselung. Diese kann nachgerüstet werden, z.B. mit cipherMail Bei PGP sieht es schon etwas trübe aus, die Unterstützung in Mail-Clients muss durch Plugins nachgerüstet werden, z.B. mit Enigmail für Thunderbird. Weiterhin wird GnuPG benötigt. Unter Linux kann dies meist über den Paketmanager installiert werden, unter Windows gibt es das Projekt GPG4Win. Unter Android empfehle ich K9Mail mit z.B. OpenKeychain. (Von Macs habe ich ehrlich gesagt keine Ahnung).

Kostenpunkt S/MIME: 1-Jahres-Zertifikate sind bei einigen Anbietern kostenlos, diese enthalten aber nur E-Mail-Adresse, keinen Namen. Längere Gültigkeit und der Name im Zertifikat sind möglich, das kostet aber. Eine Ausnahme ist CACert, diesen Zertifikaten wird aber standardmäßig vom Betriebssystem nicht vertraut. Bei S/MIME ist auch die Erstellung eigener, selbstsignierter Zertifikate möglich. In diesem Fall zeigen die meisten (wenn nicht gar alle) E-Mail-Clients eine Warnung an. Eine Liste von CAs gibt es hier. PGP: Ist Kostenlos, sofern GnuPG verwendet wird.