Ausgebootet

Inhaltsverzeichnis

E-Mail muss nicht anonym sein. Zusätzlich zur Absenderangabe, die sich beliebig fälschen lässt, kann man jede Nachricht mit einer fälschungssicheren Unterschrift versehen. Diese Möglichkeit der digitalen Signatur gibt es schon lange, doch leider wird sie kaum eingesetzt. Dafür gibt es nachvollziehbare Gründe: Es existieren zwei inkompatible Standards, nicht jedes Programm unterstützt beide davon, und die für Signaturen benötigten Zertifikate kosten teilweise Geld.

Der Absender muss also Aufwand betreiben, während der Empfänger davon profitiert, dass er mit Sicherheit weiß, von wem die Nachricht stammt. So verzichten selbst Firmen, die ihren Kunden wichtige Dokumente wie Rechnungen, Mahnungen oder Kündigungen per Mail zustellen, auf die digitale Signatur. Jetzt nutzen Versender von gefälschten Phishing-Mails diese durch Geiz und Faulheit entstandene Lücke.

Den schwarzen Peter haben die Anwender, die auf die Fälschungen hereinfallen und Passwörter, Kreditkartennummern oder gar PIN und TAN verraten. Sie werden ihren Schaden kaum von den Firmen ersetzt bekommen; schließlich haben sie gegen die Regeln der Sicherheit verstoßen. Das müssen sich aber auch die signaturfaulen Firmen vorwerfen lassen.

Nun kann man niemanden zwingen, seine Mails zu signieren. Doch warum nicht mit gutem Beispiel vorangehen? So schwer ist es nicht: Die meisten E-Mail-Programme sind in der Lage, mit oder ohne Plug-in E-Mails zu signieren, und ein kostenloses Zertifikat ist schnell besorgt. Vielleicht reagieren Banken, Online-Händler und Provider, wenn ihnen immer mehr Kunden signierte Mails schicken.

Aufgeschlüsselt

Wer seine E-Mail signieren möchte, hat die Wahl zwischen zwei Standards: S/MIME und OpenPGP. Beide arbeiten zwar nach dem gleichen Grundprinzip, nutzen aber unterschiedliche Datenformate, sodass ein S/MIME-fähiges Programm nichts mit einer PGP-Signatur anfangen kann und umgekehrt. Es gibt aber auch Software, die beide Standards unterstützt.

Das Grundprinzip des Signierens beruht auf asymmetrischer Verschlüsselung: Der Absender besitzt ein Schlüsselpaar; einer ist geheim, der andere öffentlich. Das Mailprogramm erzeugt eine Prüfsumme des Nachrichteninhalts, verschlüsselt diese mit dem geheimen Schlüssel und hängt das Ergebnis an die Mail an. Der öffentliche Schlüssel wird mit übertragen oder kann aus einem öffentlichen Verzeichnis (Directory) online geladen werden. Das Mailprogramm des Empfängers entschlüsselt die Prüfsumme, errechnet diese selbst noch einmal und vergleicht die Ergebnisse. Stimmen sie überein, wurde die Nachricht mit dem geheimen Schlüssel, der zum mitgeschickten öffentlichen gehört, signiert und seither nicht verändert.

Die Signatur ist aber nur von Wert, wenn der Empfänger den vorliegenden öffentlichen Schlüssel eindeutig dem Absender zuordnen kann. Dafür sorgt eine Zertifizierungsstelle (Certification Authority, CA), die die Person identifiziert und für ihren öffentlichen Schlüssel ein Zertifikat ausstellt. Dieses erhält durch die Signatur der CA seine Gültigkeit. Das System des Empfängers muss wiederum den öffentlichen Schlüssel der CA kennen, um das Zertifikat auf Echtheit prüfen zu können. Solche Schlüssel sind häufig bereits im Browser vorinstalliert und stehen damit auch dem zugehörigen Mailprogramm zur Verfügung. Andernfalls muss man sie einmal vom Webserver der CA laden und installieren.

Zertifikate gibt es in verschiedenen Qualitätsstufen, den so genannten Trust Levels. Diese hängen davon ab, wie viel Mühe sich die CA gibt, die Identität der Person festzustellen. Im einfachsten Fall erfolgt die Ausstellung online über die E-Mail-Adresse, die der Antragsteller angibt. Damit ist sichergestellt, dass er das Passwort zum Abruf von Nachrichten kennt, die an diese Adresse gehen. Ob er allerdings die Person ist, für die er sich ausgibt, bleibt dabei offen. Erst in höheren Trust Levels werden Dokumente geprüft oder der Antragsteller muss sich persönlich vorstellen und ausweisen. Je größer der Aufwand für die Zertifizierung ist, desto höher fallen die Kosten aus.

In typisch deutscher Gründlichkeit legt das Signaturgesetz sehr hohe Maßstäbe an eine Signatur, die juristisch der handschriftlichen Unterschrift gleichzusetzen ist. Doch um mit digitalen Signaturen gegen die Absenderfälschung von E-Mails anzu-gehen, benötigt man keine Chipkarten und Kartenleser sowie Zertifikate, die jährlich 50 Euro oder mehr kosten. Ein einfaches Class-1-Zertifikat mit E-Mail-Überprüfung, das verschlüsselt auf der Platte abgelegt wird, stellt bereits sicher, dass der Absender Zugriff auf die Mailbox mit der verwendeten Adresse hat. Ob er wirklich die Person ist, für die er sich ausgibt, ist dabei nebensächlich. Firmen sollten sich hingegen ein kostenpflichtiges Zertifikat leisten, das ihre Identität bestätigt.

Schön und gut

OpenPGP baut auf der PGP-Software 5.x und dem PGP Message Format auf, das ursprünglich Phil Zimmermann entwickelt hat. Bei OpenPGP muss der Anwender im Unterschied zu S/MIME den Inhalt einer Mail und eventuell angehängte Dateien getrennt signieren. Außerdem unterscheiden sich die beiden Standards bei den Zertifikaten. S/MIME verwendet X.509-Zertifikate, OpenPGP signierte öffentliche Schlüssel. Ein X.509-Zertifikat, ausgestellt von einer CA, beglaubigt die Identität seines Besitzers und bindet diese an dessen öffentlichen Schlüssel. OpenPGP setzt hingegen auf ein Netz des Vertrauens: Nutzer signieren die Schlüssel von anderen, die sie kennen.

In der Praxis bewährt sich eine hierarchische Struktur besser, bei der man lediglich die Zertifikate einiger weniger vertrauenswürdiger CAs benötigt, um die Gültigkeit vieler Schlüssel prüfen zu können. Dies lässt sich auch unter OpenPGP realisieren, indem man einfach CAs einführt, die Schlüssel signieren. So betreibt das CERT des DFN die Policy Certification Authority (PCA) [1|#literatur], die Benutzerzertifikate für PGP-Schlüssel vergibt. Der Inhaber muss dazu persönlich erscheinen und sich ausweisen. Die PCA nennt 23 Anlaufstellen, meist Universitäten, bei denen man seine Schlüssel zertifizieren lassen kann. c't signiert im Rahmen der seit 1997 laufenden Krypto-Kampagne [2|#literatur] auf der CeBIT und anderen Messen PGP-Schlüssel. Die nächste Gelegenheit ist auf der Systems vom 18. bis 22. Oktober in München.

Um PGP nutzen zu können, benötigt man entsprechende Software. Einfach zu installieren und zuverlässig ist PGP 8.1 (siehe Soft-Link). Es kostet 49 Euro und ist für Windows in Deutsch, für den Mac nur in Englisch erhältlich. Die Freeware-Version darf in keinem kommerziellen Zusammenhang genutzt werden und hat etliche Einschränkungen. So fehlen die Plug-ins für gängige Mailprogramme, sodass man vor dem Senden den Inhalt des Fensters per Hotkey signieren muss. Außerdem unterstützt nur die kommerzielle Version auch S/MIME-Zertifikate.

Eine Alternative ist das freie GnuPG. Es besteht aus Kommandozeilen-Tools, an denen Windows- und Mac-Benutzer wenig Freude haben. Doch es gibt Plug-ins wie Enigmail für Mozilla, die GnuPG in die grafische Oberfläche integrieren. Allerdings verzichtet GnuPG aus lizenzrechtlichen Gründen auf den Verschlüsselungsalgorithmus IDEA. Das kann bei der Kommunikation mit Leuten, die ältere PGP-Versionen und -Schlüssel verwenden, zu Inkompatibilitäten führen. Abhilfe schafft eine erweiterte Version von GnuPG namens Nullify.

Systemnah

Unter Windows bietet sich die Verwendung von S/MIME an; XP enthält bereits eine Zertifikatsverwaltung dafür. Allerdings verwalten die meisten anderen Browser und Mailer die Zertifikate selbst und ignorieren das Krypto-API von Microsoft. Offenbar ziehen die Programmierer eine zu anderen Plattformen wie dem Mac kompatible Variante vor.

TC Trustcenter [3|#literatur] stellt privaten Anwendern ein kostenloses S/MIME-Zertifikat aus: TC Express. Die Installation mit dem Internet Explorer ist einfach; ActiveScripting muss aktiviert sein. Auf den Download der vier CA-Schlüssel kann man bei aktuellen IE-Versionen verzichten, da sie bereits vorinstalliert sind. Ein Formular fragt auf einer SSL-Seite die Daten ab: Name, E-Mail-Adresse und Land. Der Anwender muss die AGB zur Kenntnis nehmen, die ihn unter anderem zum sorgfältigen Umgang mit dem geheimen Schlüssel verpflichtet, und einwilligen, dass seine Daten im Zertifikat veröffentlicht werden.

Danach generiert der Browser ein Schlüsselpaar, von dem TC Trustcenter nur den Fingerprint zu sehen bekommt. Hier kann man einige Optionen setzen: Das Notfallpasswort dient dazu, einen gestohlenen Schlüssel telefonisch sperren zu lassen. Der geheime Schlüssel sollte durch ein Passwort vor Missbrauch geschützt werden, das man jedes Mal eingeben muss, um eine Mail zu signieren. Wird die Sicherheit auf niedrig gesetzt, dann entfällt diese Abfrage. Zur Schlüsselerzeugung empfiehlt sich „Microsoft Enhanced Cryptographic Provider v1.0“, die Basic-Version arbeitet mit kürzeren Schlüsseln.

Innerhalb weniger Minuten schickt die CA eine E-Mail an die im Antrag eingetragene Adresse. Sie enthält Auftragsnummer und Zahlencode, die man zurücksenden muss. Danach erhält man eine letzte Nachricht mit einem Link, über den man das Zertifikat installieren kann. Danach muss man im Outlook oder Outlook Express nur noch die Option „E-Mail signieren“ setzen.

Systemfern

Opera unterstützt leider keine S/MIME-Zertifikate. Bei Mozilla, Firefox und Netscape ab Version 4.5 verläuft der Installationsprozess analog zum Internet Explorer. Der Zertifikatsmanager verbirgt sich bei Mozilla und Netscape hinter „Optionen/Edit/Privacy & Security/Certificates“. In den Browsern sind die Aussteller-Zertifikate von TC Trustcenter schon vorinstalliert - allerdings im Unterschied zum Internet Explorer nur für Class2- und Class3-Zertifikate, nicht für Class1-Zertifikate wie TC Express. Ohne das Ausstellerzertifikat kann der E-Mailer aber das persönliche Zertifikat nicht verifizieren. Das fehlende Ausstellerzertifikat muss man also einbinden, was sich aber auch nach der Installation des persönlichen Zertifikats nachholen lässt.

Da der Browser während des Installationsprozesses ein Schlüsselpaar erzeugen muss, lässt sich im reinen E-Mail-Programm Thunderbird nicht direkt ein Zertifikat einbinden. Allerdings kann man Zertifikate importieren, die mit Mozilla oder Firefox erzeugt und als Sicherheitskopie (Backup) gespeichert wurden. Bei Thunderbird findet sich der Zertifikatsmanager unter dem Punkt „Advanced/Passwords and Security“ des Menüs „Tools/Options“. Bei Firefox wird man unter dem Menü „Tools/Options/Advanced/Certificates“ fündig.

Um eine Nachricht digital zu signieren, wählt man bei Thunderbird unter dem Button „Security“ der Werkzeugleiste im Editierfenster den Punkt „Digitally Sign This Message“. Alternativ lässt sich der Mail-Client auch so konfigurieren, dass er E-Mails per default signiert. Dazu findet sich bei den Optionen jedes Accounts (Menü Tools/Account Settings) unter dem Punkt „Security“ die Checkbox „Digitally sign messages (by default)“.

Ein fertiges Zertifikat erhalten Freemail-Kunden bei Web.de. Im Webinterface können sie unter jeder Nachricht anklicken, dass sie signiert versendet werden soll, oder dies unter „Extras/Einstellungen“ als Default einstellen. Das CA-Zertifikat, mit dem sich Signaturen von Web.de-Kunden prüfen lassen, kann man unter [3|#literatur] herunterladen und im Zertifikatsmanager importieren. Im Internet Explorer findet man diesen unter „Extras/Internetoptionen/Inhalte/Zertifikate“. Danach verschickt Outlook Express auch über den SMTP-Zugang von Web.de signierte Mails.

Die Firmenseite

Ein wesentlicher Grund, warum sich digitale Signaturen in Firmen nicht durchgesetzt haben und überhaupt Verschlüsselung von E-Mail nicht stattfindet, ist die damit verbundene Komplexität. Es funktioniert eben nicht auf Knopfdruck - jedenfalls nicht ohne einiges an Infrastruktur im Hintergrund. Das beginnt bei der Verwaltung der notwendigen Schlüssel und Zertifikate - Administratoren packt schon bei dem Begriff Public Key Infrastructure (PKI) das Grauen. Es geht weiter über die notwendige Schulung der Anwender und hört bei Problemen mit nicht lesbaren Mails, weil der Absender ein inkompatibles Programm verwendet, der eigentliche Empfänger gerade im Urlaub ist oder sein Passwort vergessen hat, noch lange nicht auf. Das alles kostet Zeit und Geld - und beides nicht zu knapp.

Diese Komplexität wollen Firmen wie PGP und C1 - früher T/Bone - mit Server-Lösungen in den Griff bekommen. Der PGP Universal Server [4|#literatur] und auch das C1 SecureMail Gateway [5|#literatur] sitzen als eine Art Proxy zwischen dem eigentlichen Mail-Server und dem Internet. Dort signieren sie die ausgehende E-Mail der Firmenangestellten und überprüfen die digitalen Unterschriften auf ankommenden E-Mails. Korrekt signierte Mails versehen sie mit einem entsprechenden Hinweis. Analog übernehmen die Server auch das Ver- und Entschlüsseln der E-Mails. Beide Systeme können sowohl mit S/MIME als auch PGP umgehen.

Im Vergleich zu Einzelplatzlösungen verringert ein zentraler Proxy, auf dem alle ausgehenden Mails signiert werden, in Firmen den Administrationsaufwand und Schulungsbedarf.

Damit erfolgt das Signieren der ausgehenden Mails komplett unsichtbar für den Endanwender. Auch das aufwendige Suchen nach dem PGP-Schlüssel des jeweiligen Absenders entfällt. Der Server holt sich automatisch Schlüssel von voreingestellten Key-Servern und überprüft deren Vertrauenswürdigkeit anhand der voreingestellten Policy. So kann man beispielsweise dem C1 SecureMail Gateway vorgeben, dass es der CA der c't-Kryptokampagne vertraut und hat damit auf einen Schlag tausende Kommunikationspartner, mit denen man sicher kommunizieren kann.

Transparent

Beide Produkte sind darauf angelegt, dass man im Wesentlichen durch die Installation eines Servers alle E-Mails digital signieren und E-Mail-Kommunikation mit anderen Firmen verschlüsselt abwickeln kann, ohne dass die Anwender sich umstellen müssen. Diese arbeiten weiterhin mit ihrem gewohnten E-Mail-Programm und lesen und verschicken E-Mail wie gewohnt.

Bei diesem Konzept erreicht man natürlich keine echte Ende-zu-Ende-Sicherheit, denn die Kommunikation zwischen dem Gateway und Arbeitsplatzrechner bietet einige Angriffspunkte. Die zentrale Schlüsselverwaltung auf dem Gateway ist ein weiterer Angriffspunkt. Selbst wenn das Gateway mit personalisierten Zertifikaten/Schlüsseln arbeitet, weiß der Empfänger nur, dass die E-Mail von einem autorisierten Gateway erstellt wurde.

Deshalb bietet PGP als Ergänzung den Universal Satelite an, der als eine Art Black-Box auf dem Desktop des Anwenders installiert wird und mit dem Universal Server kommuniziert. Damit findet Ver- und Entschlüsselung und auch das Signieren der E-Mails tatsächlich auf dem Arbeitsplatzrechner statt. Die dafür notwendigen persönlichen Schlüssel und Zertifikate verlassen nicht den Hoheitsbereich ihres Inhabers.

Selbst für die sichere Kommunikation mit externen Internet-Anwendern ohne eigene Verschlüsselungssoftware hat PGP eine Lösung vorgesehen. Dabei erhalten die Empfänger lediglich eine E-Mail, dass eine sichere Mail eingegangen ist, die sie dann anschließend unter einer URL in der Mail über eine gesicherte und authentifizierte SSL-Verbindung im Browser abrufen können.

Digitale Signaturen sind kein Allheilmittel gegen Spam, Phishing und Mail-Viren. Doch wenn die Mehrzahl der Anwender und alle Firmen sie einsetzten, dann wäre ein wichtiger Schritt in die richtige Richtung getan. Statt zu warten, bis die IETF einen Standard zur Bekämpfung anonymer E-Mail verabschiedet hat und dieser umgesetzt ist (siehe S. 134), kann jeder selbst etwas beitragen. (ad)

Literatur

[1] DFN Policy Certification Authority

[2] c't-Krypto-Kampagne

[3] Web.de-Zertifikate

[4] Universal Server

[5] C1 SecureMail Gateway

(ad)