Verschlüsselung soll einfacher werden

E-Mail, anfangs ein effizientes Mittel der schnellen Kommunikation, wird immer mehr zum Ärgernis: Sie muss auf Viren gescannt, nach Spam gefiltert und auf Botschaften von Betrügern untersucht werden, bevor man die Nachrichten findet, die man tatsächlich lesen will. Auch das Internet als Ganzes ist durch die Bedrohung durch Web-Betrüger und Daten-Sammler eine eher feindliche Umgebung geworden. Das Verschlüsseln und Signieren von E-Mails könnte Besserung bringen, doch ist es für die meisten Leute zu kompliziert und zeitraubend.

Das ist auch der Hauptgrund dafür, dass sich Verschlüsselungsprogramm bislang bei der breiten Masse noch nicht durchgesetzt haben. Ciphire Labs will das nun mit einem neuen Ansatz ändern. Das Unternehmen aus Zürich wird von Business Angels finanziert, die nach eigenen Angaben an die Mission der Firma glauben, laut der Persönlichkeitsschutz und Privatsphäre Rechte sind, die in einer Zivilgesellschaft unbedingt geschützt werden müssen.

Vergangene Woche stellte Ciphire Labs mit "Ciphire Mail" ein E-Mail-Verschlüsselungsprogramm vor, das mit allen Standard-E-Mail-Clients funktionieren soll und nahezu unmerklich im Hintergrund läuft. Die Anwendung verschlüsselt, entschlüsselt und nutzt digitale Signaturen für jede einzelne Mail. So wird der Absender der Mail überprüft und sichergestellt, dass sie auf dem Transportweg nicht verändert wurde.

"Ciphire Mail ist transparent - man installiert es und muss dann nicht mehr daran denken", sagt Jim Schuyler, Technikchef bei der Dailai Lama Foundation und einer der Beta-Tester von Ciphire Mail. "Mails an Personen, die Ciphire Mail benutzen, werden automatisch verschlüsselt, alle anderen erhalten Klartexte. Bei PGP und GPG schlägt man sich hingegen oft mit der Zertifikate- und Schlüsselverwaltung herum. Dort muss man sich außerdem merken, bei welchem E-Mail-Partner man überhaupt verschlüsseln kann."

Schuyler will Ciphire Mail einsetzen, um die Mitarbeiter der Stiftung vor Phishing-Betrügern, E-Mail-Viren und Spam zu schützen. Unternehmen, die eng mit der Stiftung zusammenarbeiten, empfiehlt er den Einsatz der Software ebenfalls: So können die Nutzer endlich wieder E-Mails mit Anhängen austauschen, den die Software hilft dem User, diejenigen E-Mails zu identifizieren und auszusortieren, die durch einen Computervirus mit einer gefälschten Absenderadresse versendet wurden.

Ciphire Mail wird seit drei Jahren entwickelt. Die Software hat ihren Platz zwischen E-Mail-Programm und E-Mail-Server. Wenn beide Kommunikationspartner Ciphire Mail benutzen, lädt das Programm zunächst das Zertifikat des Empfängers herunter, führt einige Sicherheitschecks durch und sichert die Nachricht dann inklusive aller Anhänge mit dem Schlüssel des Empfängers.

Beim Empfänger wird die Nachricht dann entschlüsselt und der Abender anschließend über einen Abgleich seines Zertifikates mit Chiphires Datenbank bestätigt. All das ist längst passiert, wenn die Mail geöffnet wird.

Die Ciphire-Zertifikate enthalten öffentliche Schlüssel auf Grundlage von jeweils drei verschiedenen Algorithmen - RSA, DSA und ElGamal. Das System unterstützt mehrschichtige Verschlüsselung. Voreingestellt ist, dass die E-Mails selbst sowohl mit dem Algorithmus AES als auch mit TwoFish verschlüsselt werden. "Die Sicherheit von Ciphire ist sehr robust. In allen Anwendungsfällen werden jeweils die stärksten Verschlüsselungsalgorithmen und die längste mögliche Schlüssellänge verwendet", sagt Russ Housley, Sicherheitsdirektor bei der Standard-Organisation Internet Engineering Task Force.

Für viele Cipher-Mail-Betatester war besonders die Authentifizierung von Mails ein wichtiges Features. Im täglichen Einsatz ist Verschlüsselung nicht immer notwendig: Manchmal sind die Inhalte einer Mail so trivial, dass sie keinen Schutz braucht. Digitale Signaturen lohnen sich hingegen fast immer, insbesondere, wenn sie so wenig Mühe kosten.

Dazu kommt: Wenn der Empfänger eine Mail nicht entschlüsseln kann, hilft Verschlüsselung wenig. Zur Signierung braucht es aber nur eine Partei. Selbst wenn die Gegenstelle keine Verschlüsselungssoftware einsetzt, lässt sich jede Mail mit Ciphire signieren. Der Empfänger sieht dann eine kurze Information am Ende der Nachricht, dass diese authentifiziert sei.

"Scherzhaft könnte man sagen, dass unser Firmenslogan 'Seien Sie sie selbst, bevor es jemand anderes tut' lauten sollte", sagt Laird Brown, Chief Strategist bei Ciphire Labs. "Wir leben in einer Überwachungsgesellschaft, in der alle Details unseres Lebens offen liegen. Der Schutz der Privatsphäre ist wichtig, aber die Sicherstellung von Authentizität ist noch wichtiger."

Ciphire Labs hat keine neuen Verschlüsselungsalgorithmen oder Authentifizierungstechnologien für Ciphire Mail entwickelt. Statt dessen wollte man die besten vorhandenen Lösungen leichter benutzbar machen. "Nichts erschreckt Kryptoexperten mehr als die zwei Worte 'neuer Algorithmus'", sagt Brown. "Deshalb blieben wir beim Bestehenden. Wir haben das Rad nicht neu erfunden, sondern nur die Achsen geschmiert."

Im Frühjahr 2005 soll eine kommerzielle Firmen-Version von Ciphire Mail auf den Markt kommen. Einzelpersonen und gemeinnützige Organisationen sollen die Technik weiterhin kostenlos nutzen können.

"Wir sind kein Wohlfahrtsverband. Wir sind ein .com und kein .org", sagt Brown, "aber wir können unseren Reichtum teilen, weil wir gewinnorientiert sind. Und unser Reichtum ist in diesem Fall der kostenlose Schutz der Privatsphäre und Persönlichkeit für nicht-kommerzielle Benutzer."

Ciphire Mail ist derzeit noch immer im Beta-Stadium, wurde aber bereits intensiv getestet. Der Quellcode der Anwendung soll noch in diesem Jahr veröffentlicht werden, wenn sie aus dem Test-Betrieb ist und der Programmcode stabil genug wurde. Bis dahin hofft Brown, dass möglichst viele Leute die Anwendung herunterladen und so intensiv wie möglich testen werden.

"Wir sind stolz auf Ciphire Mail und trotzdem ein bisschen besorgt. So wie Eltern, die ein hochbegabtes Kind zum ersten Mal in den Kindergarten schicken", sagt Brown. (sma)