Aber sicher Pt. 2

Und weil auch vor einem Jahr in einem Artikel nur Zeit für GnuPG war, nicht aber für die andere, einfachere (?), manchen deshalb etwas sympathischere Art der Mail-Verschlüsselung, folgt hier gleich der zweite Artikel zum Thema: Sichere Email mit S/MIME – ebenfalls fast ein Jahr alt, aber aktuell wie eh und je:

„Nachdem ich erst kürzlich meine drei Leser mit einer ausführlichen Beschreibung von PGP, GnuPG & Co. so verwirrt habe, dass nur einer dieser drei Leser mir noch am Abend eine mit GnuPG verschlüsselte Mail schickt, kommt heute das Geständnis:

Es geht auch einfacher.

Das (kicher!) Schlüsselwort heißt S/MIME und ist in alle aktuellen Browser und die meisten mir bekannten Mailprogramme bereits eingebaut – soweit Schlüsselwörter irgendwo eingebaut sein können. Mit S/MIME lassen sich – ebenso wie mit GnuPG/PGP – Emails signieren und verschlüsseln, aber ohne dass langwierig Programme installiert werden müssten. Alles, was der Mensch dazu braucht, ist ein persönliches Email-Zertifikat.

Derartige Zertifikate werden von darauf spezialisierten Agenturen, aber auch von vielen Internet-Providern ausgegeben und kosten nichts oder nur wenig. Meine (Gratis-)Mail-Zertifikate beziehe ich seit 1999 (doch, ich habe nachgeguckt) von der südafrikanischen Firma Thawte, die inzwischen zum VeriSign-Konzern gehört.

Ein solches Zertifikat wird online bestellt und kann nach der Ausstellung mit einem simplen Mausklick in den Zertifikate-Ordner des Browsers importiert werden. Nutzer von Outlook Express, aber auch von Netscape/Mozilla Messenger sind damit auch schon bedient: mit dem Import in den Browser (im Falle von Outlook Express in den Internet Explorer, sonst eben Netscape/Mozilla) ist das Zertifikat automatisch auch schon im Mailer installiert. Nutzer von Thunderbird, The Bat!, Evolution & Co. müssen noch zwei weitere Schritte gehen, das Zertifikat aus dem Browser exportieren und auf der Festplatte abspeichern und dann in das jeweilige Mailprogramm importieren. Danach kann jeder seine Mail sofort mit dem persönlichen Zertifikat signieren – und hat damit automatisch dem Empfänger der Mail seinen öffentlichen Schlüssel (siehe Teil eins) übergeben, so dass dieser die Rückmail bereits verschlüsseln kann.

Bleibt die Frage: Wenn das so einfach ist, warum macht das dann nicht jeder?

Leider haben Email-Zertifikate ein paar Nachteile. Anders als PGP-Signaturen oder -Schlüssel kommen sie in Form von Email-Anhängen daher und werden, gerade in der Welt der Büros, von Firmen-Firewalls und Firmen-Virenscannern sehr kritisch angesehen. Die Firewall meines Arbeitgebers lässt z.B. nur Mails mit Anhängen durch, deren Dateiformate bekannt sind; unbekannte Formate werden mitsamt der Mail kommentarlos gelöscht. Manche Virenscanner verändern auch ein angehängtes Zertifikat und machen es dadurch unbrauchbar. Signatur und Verschlüsselung per Zertifikat funktionieren also nur, wenn Absender und Empfänger darüber Bescheid wissen, wie ihre Mail auf den eigenen Systemen behandelt werden.

Und noch ein Nachtrag zum Thema Personalisierung: Zertifikate und PGP-Signaturen sagen erst einmal nur aus, dass der Absender einen S/MIME- oder PGP-Schlüssel hat, nicht aber, dass er wirklich der ist, der zu sein er behauptet. Nutzer beider Systeme haben aber die Möglichkeit, sich gegenseitig die Identität zu bestätigen – in einem sogenannten Web of Trust, einem Netz des Vertrauens also. PGP-Nutzer haben die Möglichkeit, die Schlüssel von Freunden und persönlich Bekannten mit Hilfe des eigenen Schlüssels zu signieren – und je mehr Signaturen ein solcher Schlüssel aufweist, umso vertrauenswürdiger gilt er auch für völlig Fremde. Thawte geht da einen anderen Weg: Inhaber eines Freemail-Zertifikats können sich ihre Identität von sog. Thawte-Notaren (siehe Logo in der rechten Spalte der Hauptseite!) bestätigen lassen. Diese Notare (die übrigens ehrenamtlich oder gegen Unkostenersatz arbeiten) lassen sich einen amtlichen Ausweis zeigen (ja, ein persönliches Treffen ist nötig, aber die Liste der Notare ist online verfügbar, und zumindest in den Städten finden sich immer welche) und vergeben bis zu 35 WoT-Punkte. Mit 50 Punkten (also mit zwei Notar-Besuchen) ist dann die Identität im Zertifikat bestätigt.

Na denn. Frohes Signieren, frohes Verschlüsseln, und dass mir keiner mehr darüber meckert, Email sei doch nur so sicher wie eine Postkarte! Es liegt an euch.“