AA_visitenkarte_sxc814455.jpg

© sxc.hu

S/MIME-Verschlüsselung mit Thunderbird

Vertrauensfragen

Mit den richtigen Tools und Einstellungen wird E-Mail-Verschlüsselung zum Kinderspiel: S/MIME bildet den Rahmen für die sichere Kommunikation, Thunderbird betätigt sich als Mailclient.

E-Mail-Verschlüsselung steckt im Dilemma: Jeder hält sie für wichtig, kaum jemand verschlüsselt. Viele Anwender fühlen sich verloren, für die sichere Kommunikation finden sich nur wenige Partner. So manchen, der Kryptographie eigentlich für nötig hält, schreckt die Fülle an Varianten und Konfigurationen ab. Zwar hat sich PGP und besonders seine freie Implementation GnuPG [1] mit unzähligen Versionen für die meisten E-Mail-Programme und sogar Web-Maildienste [2] hervorgetan, übersichtlich fällt das Angebot jedoch nicht aus. Eher als Randnotiz gilt der Verschlüsselungsstandard S/MIME, den zwar das Bundesamt für Sicherheit in der Informationstechnik (BSI) gezielt fördert, den Anwender aber nur mit Vorbehalt aufnehmen – zu Unrecht.

Dabei bringen viele E-Mail-Programme das Rüstzeug für den S/MIME-Einsatz bereits von Haus aus mit. Aber das Verschlüsselungsformat kämpft weithin mit dem Klischee, es sei nur für den Unternehmenseinsatz geeignet, kommerziell und unfrei, was nicht stimmt. Aufklärung und pragmatische Hinweise, wie man S/MIME beispielsweise mit Thunderbird einsetzt, tun also not.

Eine Frage des Geschmacks

Die Unterschiede zwischen S/MIME und PGP/GnuPG liegen weniger auf der technischen als auf organisatorischer Ebene. Aus Sicht von Kryptographen lassen sich die zwei durchaus vergleichen: Beide benutzen akzeptierte Kryptostandards wie RSA, Triple-DES, MD5 und SHA-1 [3], und beide verwenden moderne asymmetrische Verfahren, um Daten sowohl zu verschlüsseln als auch zu signieren – also um Authentizität und Integrität zu schaffen. Das sorgt dafür, dass niemand Nachrichten unbemerkt manipuliert und sie tatsächlich vom angegebenen Absender stammen.

Wollen Sie über einen unsicheren Kanal auch einer Person vertrauen, die Sie nicht persönlich getroffen haben, benötigen Sie nicht nur dessen öffentlichen Schlüssel, sondern auch die Gewähr, dass dieser authentisch ist. Mailverschlüsselungen lösen dieses Problem über das Signieren von Schlüsseln durch eine vertrauenswürdige Stelle. Der fundamentale Unterschied der Systeme besteht darin, ob sie wie PGP auf ein "Web of Trust" oder auf einen zentralen Ansatz setzen.

Web of Trust

Trotz steigender Nutzerzahlen gibt es Schlüssel, denen Anwender mangels Vertrauenskette blind vertrauen müssen. Etwas Linderung schaffen die oft auf Konferenzen veranstalteten Key-Signing-Partys, bei denen viele Teilnehmer gegenseitig ihre Identität überprüfen. Webdienste wie Biglumber [4] unterstützen bei der Organisation dieser Treffen. Auch das Web unterstützt bei der Suche nach Vertrauensketten [5].

Prüft eine vertrauenswürdige und unabhängige Institution die Identität der Teilnehmer, trägt dies zum Ausbau des Web of Trust bei. Der Heise-Verlag bietet mit seiner seit mehr als zehn Jahren laufenden c't-Krypto-Kampagne [6] diesen Dienst an: Auf Messen legen Besucher ihre Personaldokumente dem Verlag vor und erhalten im Gegenzug eine Signatur unter dem eigenen PGP/GnuPG-Schlüssel. Wer der Heise-Krypto-Instanz (und der Transitivität von Vertrauen) vertraut, kommuniziert nun guten Gewissens mit allen anderen Teilnehmern, die der Verlag signiert hat.

Genau diese Verdichtung bildet das Grundprinzip von S/MIME, das auf einer hierarchischen Zertifizierungsidee beruht: Nicht Benutzer sollen sich untereinander Vertrauen aussprechen, sondern zentrale Institutionen schaffen die Basis für ein Vertrauensnetzwerk. Diese Methode kennt man bereits von SSL-Zertifikaten für Webserver: Gängige Browser bringen eine Menge vertrauenswürdiger Zertifikate von Certification Authoritys mit. Bietet ein Webserver über HTTPS ein Zertifikat an, prüft der Browser, ob es von einer als vertrauenswürdig eingestuften Stelle ausgestellt wurde, und akzeptiert es. Kann er die Signatur nicht validieren, warnt er den Nutzer.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Brief und Siegel
    Das SSL-Protokoll ist aus dem Internet nicht mehr wegzudenken – sei es, um Daten zu verschlüsseln oder um mittels Zertifikaten auch deren Herkunft sicherzustellen. Wir zeigen, wie Sie schnell und günstig an ein eigenes Zertifikat kommen.
  • S/MIME und PGP mit Thunderbird
    Entgegen der allgemeinen Auffassung ist E-Mail alles andere als ein Medium mit Privatsphäre. Die Nachrichten sind so geheim wie jede beliebige Postkarte. Mit den richtigen Hilfsmitteln sorgen Sie dennoch für Vertraulichkeit.
  • S/MIME und PGP mit Thunderbird
    Entgegen der allgemeinen Auffassung ist E-Mail alles andere als ein Medium mit Privatsphäre. Die Nachrichten sind so geheim wie jede beliebige Postkarte. Mit den richtigen Hilfsmitteln sorgen Sie dennoch für Vertraulichkeit.
  • E-Mail-Sicherheit für KMail, Evolution und Thunderbird
    Verschlüsseln ist sinnvoll, heißt es überall. Doch fast niemand nutzt PGP oder S/MIME. Wir untersuchen, wie benutzerfreundlich die Krypto-Unterstützung der drei großen Mailer KMail, Thunderbird und Evolution ist.
  • E-Mails verschlüsseln in Thunderbird mit GnuPG und Enigmail
    Eine E-Mail gleicht sicherheitstechnisch einer Postkarte: Jeder Interessierte kann den Inhalt lesen. Dabei lassen sich die elektronischen Nachrichten relativ problemlos mit frei zugänglichen Verfahren verschlüsseln.
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 0 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...
Tinte sparen bei neuem Drucker
Lars Schmitt, 30.11.2017 17:43, 2 Antworten
Hi Leute, ich habe mir Anfang diesen Monats einen Tintenstrahldrucker angeschafft, der auch su...
Für Linux programmieren
Alexander Kramer, 25.11.2017 08:47, 3 Antworten
Ich habe einen Zufallsgenerator entworfen und bereits in c++ programmiert. Ich möchte den Zufalls...