Sicherer Datenaustausch

E-Mail-Verschlüsselung mit PGP

27.02.2016
Von 
Thomas Drilling ist als freier IT-Journalist und IT-Consultant tätig. Seine Spezialgebiete sind Linux und Open-Source-Software.
Spätestens der NSA-Skandal sollte jedem Internet-Nutzer vor Augen geführt haben, dass nicht verschlüsselte Mails sträflicher Leichtsinn sind. Trotzdem verschlüsseln noch immer nur wenige Benutzer ihre E-Mails. An der Technik wie PGP oder S/MIME liegt es nicht.

Dass trotz NSA-Skandal nicht jeder Internetnutzer ohne Wenn und Aber seine E-Mail signiert und verschlüsselt, bleibt ein Rätsel. Es liegt definitiv nicht an der Technik. Die ist sowohl mit S/MIME, als auch mit PGP und den zugehörigen Werkzeugen für jeden beherrschbar und einigermaßen gut verständlich, auch wenn sich gerade in Deutschland die Provider wie Mailbox.org oder Posteo.de redlich darum bemühen, das Verfahren noch transparenter und einfacher handhabbar zu machen.

Es liegt offenbar am Aufwand. Allerdings nicht am Aufwand zum Installieren und Bereitstellen der Verschlüsselungstechnologie und Tools, sondern allgemein am verfahrenstechnischen Aufwand zur Schaffung der Vertrauensebene, sowie konkret am Aufwand zum Schlüsselaustausch. Dieser ist prinzipbedingt bei PGP und OpenPGP/GnuPG (GPG) mit seiner verteilten (Public-Key-Infrastruktur) PKI etwas geringer, weshalb sich dieses Verfahren eher bei Privatnutzen etabliert hat. Zudem ist die Technologie im Falle OpenPGP/GPG kostenlos zu haben. Eine irrige Annahme ist, dass PGP nur für Linux und Unix verfügbar ist. Die quelloffene Variante gibt es zum Beispiel auch in einer Windows-Version Gpg4Win.

Warum nicht S/MIME?

Der vorrangige Verschlüsselungsstandard der Windows-Welt ist dagegen S/MIME. Dass sich S/MIME zumindest unter Privatnutzern nur zögerlich bis gar nicht verbreitet liegt neben den Kosten für den Erwerb eines Zertifikats daran, dass S/MIME ein Verfahren darstellt, bei dem die Vertrauensebene durch eine zentral betriebene Zertifizierungsstelle (die Certificate Authorities - CA) sichergestellt wird, die auch für die Ausgabe von prinzipiell kostenpflichtigen S/MIME-Zertifikaten nach dem ITU-Standard X.509v3 zuständig ist.

Die gibt es in vier verschiedenen Klassen, die sich im Umfang der Überprüfung der Daten und damit indirekt in der Vertrauenswürdigkeit unterscheiden. Klasse 1 beinhaltet nur eine Plausibilitätsprüfung der Anschrift und einen Test, ob der Antragsteller auf die angegebene E-Mail-Adresse zugreifen kann. Nur Klasse-1-Zertifikate sind von einigen Anbietern auch kostenlos zu haben. Den Aufwand der Betragung trägt in jeden Fall der Nutzer.

Dafür ist der Aufwand des Schlüsselaustauschs im Vergleich zu PGP sogar etwas geringer, weil die benötigten Tools und Verfahren in Windows und den betreffenden Mail-Werkzeugen integriert sind. So wird der öffentliche Schlüssel automatisch übertragen, sobald man eine signierte E-Mail empfängt. Zwar ist es wie bei HTTPS/SSL alternativ auch möglich, eigene S/MIME-Zertifikate auf dem eigenen Windows Server zu generieren, dies ist aber nur für Unternehmen oder Nutzer sinnvoll. Diese wollen in der Regel nur mit wenigen Partnern verschlüsselt kommunizieren, die vertrauenswürdige Zertifikate besitzen.