Vertrauensfragen
S/MIME-Verschlüsselung mit Thunderbird
Schlüsselverwaltung
Enttäuschend: Die Entwickler haben kein Regelwerk implementiert, mit dem Thunderbird steuert, welche Nachrichten er verschlüsselt oder signiert. Das wirkt sich spürbar aus, falls Sie beispielsweise gleichzeitig Enigmail (PGP/GnuPG) und S/MIME einsetzen möchten. Praktisch wäre, wenn Sie dediziert festlegen könnte, ob und welche Verschlüsselungsart Thunderbird wann verwenden soll.
Da Sie sich pro Nachricht für Enigmail oder S/MIME entscheiden müssen (ein doppeltes Signieren mit zwei Methoden ist nicht ohne Weiteres möglich), wäre es hilfreich, im Adressbuch die Empfänger als PGP/GnuPG-oder S/MIME-Anwender markieren zu können. Sicherlich reichen die Entwickler diese Funktion früher oder später nach; ihr Fehlen erfordert zum jetzigen Zeitpunkt gelegentlich höheren Klick-Aufwand.
Fazit
Die für den Anwender größte Hürde beim Einsatz von S/MIME ist das Verständnis dafür, wie man Zertifikate bestellt und einrichtet. Haben Sie diese erst einmal genommen, fällt die Arbeit damit einfach. S/MIME bietet gegenüber PGP/GnuPG den Vorteil, dass es Signaturen auch von solchen Personen prüft, die das Verfahren nicht selbst benutzen – ein Punkt, der zu so manchem Nachahmer im eigenen Bekanntenkreis führt. Weitergehende Funktionen wie etwa Revocation-Listen für den Widerruf von Zertifikaten und die Möglichkeit, eine eigene Zertifizierungsinstanz aufzubauen, können das Vertrauen in die S/MIME-Infrastruktur stärken.
Es bleibt aber durchaus auch Raum für Kritik: Es ist bedauerlich, dass unter Linux viele Programme die Zertifikate selbst speichern und dem Anwender nur der umständliche Weg über Ex- und Import bleibt. Mit Gpg-SM soll sich dies zwar ähnlich zu GnuPG ändern; dass aber Thunderbird, Firefox und Evolution auf diese Technik umsteigen, ist derzeit nicht in Sicht. Windows und Mac OS X dagegen verwalten die Zertifikate betriebssystemweit.
Ob Sie S/MIME oder GnuPG nutzen, bleibt letztlich eine Frage des Geschmacks – viele Anwender benutzen beide Systeme auch nebeneinander. Für S/MIME spricht, dass viele öffentlichen Einrichtungen wie der Bundestag es einsetzen, selbst wenn die verschlüsselte Kommunikation mit einem Abgeordneten nicht unbedingt leicht fällt [12]. Wichtig ist, dass überhaupt verschlüsselt wird – S/MIME bietet dazu einen einfachen Einstieg.
Glossar
S/MIME
Secure / Multipurpose Internet Mail Extensions (RFC 3851). Standard für das Verschlüsseln und Signieren von MIME-gekapselter E-Mails mittels asymmetrischer Verschlüsselungsverfahren.
PGP/GnuPG
PGP ("Pretty Good Privacy") ist ein von Phil Zimmermann entwickeltes Programm zum Verschlüsseln und Signieren von Daten. GnuPG ist eine freie Implementation auf Basis des OpenPGP-Standards (RFC 4880).
SSL
Secure Sockets Layer. Ein hybrides Verschlüsselungsprotokoll zur Datenübertragung im Internet, seit Version 3.0 als Transport Layer Security (TLS) weiterentwickelt.
X.509
ITU-T-Standard für eine Public-Key-Infrastruktur und derzeit der wichtigste Standard für digitale Zertifikate. Aktuell ist Version 3 (X.509v3).
[1] GNU Privacy Guard: http://gnupg.org/index.de.html
[2] FireGPG, Firefox-GnuPG-Addon: http://firegpg.tuxfamily.org
[3] Mehr zu Kryptostandards: Lars Packschies, "Praktische Kryptographie unter Linux", Open Source Press 2005, ISBN 3-937514-06-6
[4] Biglumber Key-Signing-Koordination: http://biglumber.com/x/web?qs=Germany
[5] Vertrauenspfad-Suche für PGP: http://pgp.cs.uu.nl
[6] c't-Krypto-Kampagne: http://heise.de/security/dienste/pgp/
[7] S/MIME bei OpenSSL: http://www.openssl.org/docs/apps/smime.html
[8] TC Internet ID: http://www.trustcenter.de/products/tc_internet_id.htm
[9] Thawte, Web of Trust: http://www.thawte.com/secure-email/web-of-trust-wot/
[10] CA-Cert: http://www.cacert.org/index.php?id=0&lang=de_DE
[11] Projekt Ägypten: http://www.gnupg.org/aegypten/index.de.html
[12] Burkhart Schröder, "Security by Obscurity im Bundestag": http://heise.de/tp/r4/artikel/27/27182/
Einem Freund empfehlen
