Verschlüsselte E-Mail-Kommunikation

aktuelle Standards zum kryptographischen Schutz von E-Mails

• S/MIME (Secure MIME)
• OpenPGP; Implementierungen: PGP und GnuPG

beide verfolgen identische Anliegen

• Sicherung der Authentizität, Integrität und Unleugbarkeit von Nachrichten durch digitale Signaturen
• Schutz der Vertraulichkeit durch Verschlüsselung
• Verschlüsselung und Signierung sind zusammen oder getrennt anwendbar
• Verschlüsselung erfolgt hybrid:
  1. Nachrichten werden symmetrisch mit einem zufälligen Sitzungsschlüssel chiffriert
  2. der Sitzungsschlüssel wird mit den Public Keys der Empfänger verschlüsselt
• signiert werden die Hash-Werte der Nachrichten
• Sicherung der Authentizität von Public Keys durch Zertifikate

Unterschiede

• verschiedene und damit inkompatible Formate der Nachrichten und Zertifikate (X.509v3 bei S/MIME, OpenPGP-Zertifikate bei OpenPGP)
• teilweise unterschiedliche kryptographische Algorithmen
• obligatorische CA-Hierarchie (hierarchische PKI) bei S/MIME vs. Web of Trust bei OpenPGP

  Anmerkung: Bei OpenPGP ist ebenfalls eine hierarchische PKI nutzbar. So bietet z.B. die DFN-PCA auch die Ausstellung von PGP-Zertifikaten an.

• S/MIME erweitert MIME um Sicherheitseigenschaften
• OpenPGP ist ein allgemeinerer Standard zum Schutz beliebiger Dateien ohne zwingende Bindung an MIME, wenngleich OpenPGP-Nachrichten oft per MIME transportiert werden und auch spezielle MIME-Inhaltstypen für OpenPGP existieren
• S/MIME ist integraler Bestandteil moderner Mailer, z.B. Mozilla Thunderbird
• OpenPGP-Unterstützung muss durch Plugins oder Filter nachinstalliert werden, die das externe PGP/GnuPG-Werkzeug bequem verwendbar machen

  Beispiele: Enigmail für Thunderbird oder ez-pine-gpg für Pine

• TUC/URZ-CA stellt X.509v3-Zertifikate aus, die man für S/MIME nutzen kann

Das Werkzeug GnuPG

• kommandozeilenorientiertes kryptographisches Werkzeug zur Verschlüsselung und/oder Signierung von Dateien
• Hinweise zur Benutzung: Praktischer Einsatz von GnuPG
• verschiedene GUIs verfügbar, z.B.
  • GPA
  • KGPG
• OpenPGP-kompatibel gemäß RFC 4880
• keine Unterstützung der MIME-Formatierung gemäß RFC 3156
• Versionen:
  • 1.4.X ohne S/MIME-Unterstützung
  • 2.X mit S/MIME-Unterstützung
• symmetrische und asymmetrische Ver- und Entschlüsselung
• Generierung und Verifikation digitaler Signaturen
• Management von Public-Key-Schlüselpaaren und Zertifikaten:
  • Key-Generierung
  • Zertifikatserstellung
  • Import/Export von Keys und Zertifikaten
  • Verwaltung einer Trust-Datenbank
  • Kommunikation mit Key-Servern
• Gültigkeit von Keys kann über das Web of Trust (auf Basis des individuell zugeordneten Vertrauens in die einzelnen Signierer) berechnet oder direkt gesetzt werden
• die öffentlichen Schlüssel anderer Partner inkl. Signaturen kann man von diversen Key-Servern importieren, z.B.
  • GPG-Keyserver
  • PGP-Keyserver pgpkeys.pca.dfn.de
  • JoGuNET PGP Public Key Server
  • PGP Global Directory
  • KeyServer@veridis.com
  • Public Keyserver der AUDI AG
• den eigenen öffentlichen Schlüssel inkl. Signaturen kann man ebenfalls auf derartige Key-Server exportieren