Verschlüsselung


 

Home
Nach oben
POP3 oder IMAP?
Mail mit Outlook
Webmail
Live Mail
Verschlüsselung

In erster Linie geht es bei verschlüsselten Datenverbindungen darum, dass niemand mithören kann, welche Daten übertragen werden (selbst wenn er es irgendwie schaffen würde, den Datenstrom zu belauschen). Bei Mail gibt es dazu zwei Ansätze: Entweder man verschlüsselt die Mail, das Protokoll aber nicht, dann kann der Lauscher allerdings Sachen wie das Passwort (abhängig vom Authentifikationsverfahren) mithören, oder aber man verschlüsselt die komplette Verbindung, dazu kommen dann entweder SSL (Secure Socket Layer) oder TLS (Transport Layer Security) zum Einsatz.

Wie funktioniert nun so eine Verbindungsverschlüsselung? Aus Geschwindigkeitsgründen benutzt man eine symmetrische Verschlüsselung für die eigentliche "Nutzlast", d.h. für Ver- und Entschlüsselung wird der gleiche Schlüssel eingesetzt. Eine asymmetrische Verschlüsselung (anderer Schlüssel zum Verschlüsseln als zum Entschlüsseln) arbeitet mit sehr großen Primzahlen und ist daher rechenintensiv.

Nun muss für die symmetrische Verschlüsselung der Schlüssel ja beiden Seiten bekannt sein, dieser muss also irgendwann über das unsichere Medium übertragen werden. Das ist unsicher.

Also nutzt man zu Beginn der SSL/TLS-Verbindung zunächst asymmetrische Verschlüsselung, um einen je Verbindung individuellen symmetrischen Schlüssel auszuhandeln.

Für die asymmetrische Verschlüsselung hat der Mailserver einen privaten Schlüssel, mit dem er die Daten verschlüsselt und den nur er kennt, und einen öffentlichen Schlüssel, den er dem Mailprogramm mitteilt, und mit dem es die Daten entschlüsseln kann. Umgekehrt verschlüsselt das Mailprogramm die Antwort mit dem öffentlichen Schlüssel und der Server kann diese dann nur mit dem privaten Schlüssel entschlüsseln. Es ist also sichergestellt, dass niemand lauschen kann und dass sich der Server nicht zwischendrin "ändert". Hat man sich so auf einen symmetrischen Schlüssel geeinigt, dann wird auf symmetrische (schnellere) Verschlüsselung umgestellt. Den symmetrischen Schlüssel kann niemand belauschen, wenn er lang genug gewählt wurde (darum kümmert sich die SSL/TLS-Schicht selbst). Dann kann man ihn auch nur mit (derzeit) riesigem Rechenaufwand knacken, und das auch nur, wenn man "Brocken" des Klartextinhalts kennt.

Der private Schlüssel ist auf dem Server in einer Key-Datei enthalten, der öffentliche Schlüssel wird der Zertifikatsdatei entnommen.

Warum heißen Zertifikate nun Zertifikate und nicht nur Schlüssel?

Zusätzlich zum Schutz gegen das Abhören möchte man gerne auch noch die Sicherheit haben, dass das Gegenüber (der Mailserver) auch wirklich der ist, der er behauptet zu sein. D.h. man erzeugt auf Basis des privaten Schlüssels eine Zertifizierungsanfrage (die den öffentlichen Schlüssel enthält), schickt diese einer Zertifizierungsstelle und diese stellt dann - wenn sie die Echtheit des um Zertifizierung Bittenden prüfen und bestätigen kann - das Zertifikat aus. Dazu wird das Zertifikat mit Daten aus dem Zertifizierungsstellen-Zertifikat digital signiert.

Der Browser oder das Mailprogramm akzeptiert so ein Zertifikat nur dann widerspruchslos, wenn er die Zertifizierungsstelle (also deren Zertifizierungsstellenzertifikat) bereits kennt. Nur dann kann er die Signatur prüfen.

Wer also seine Mail verschlüsseln möchte, kann sich bei der gemeinnützigen Zertifizierungsstelle www.cacert.org Zertifikate besorgen, die kostenlos und in der Abwicklung sehr unkompliziert sind. Leider ist diese Zertifizierungsstelle bisher nur wenigen Browsern "ab Werk" bekannt, d.h. man muss in der Regel noch für eine Weile deren Zertifizierungsstellenzertifikat per Hand installieren, damit es keine Sicherheitsabfragefenster mehr gibt.

Daniel Weber

Stand: 10.11.2015

 

Zurück • Home   Impressum  Datenschutzerklärung
Copyright © 1998-2017 EBE-Online. Alle Rechte vorbehalten.