E-Mail Verschlüsselung - Vorschläge und Tipps gefragt

Hallo,

http://www.uckanleitungen.de/gnupg/

Installiert sich auch in Outlook... durchlesen musst Du selbst

Gruß
LS

Hallo,

für PGP muss tatsächlich etwas installiert werden, bei S/MIME ist außer dem benötigten Zertifikat alles schon in Outlook vorhanden. Die Einrichtung als solches zu beschreiben ist recht umfangreich. Ich versuche es aber so knapp wie möglich und ausführlich wie nötig.

In jedem Fall (PGP und S/MIME) benötigen beide Seiten (Sie und Ihr Kunde) einen E-Mail-Client der die E-Mail-Verschlüsselung unterstützt (Outlook, Windows Mail etc) und ein Softwarezertifikat, welches Sie sich bei diversen Anbietern besorgen können. Vertrauenswürde Anbieter für kostenfreie Zertifikate sind zum Beispiel www.trustcenter.de oder www.startssl.com. Ein wichtiger Hinweis für die Beantragung: Das Zertifikat sollte von dem PC aus beantragt werden, von dem später die verschlüsselten und signierten E-Mails geschickt werden sollen. Jeder von Ihnen muss das Zertifikat auf seinem PC installieren und in seinen Mail-Client einbinden. Nur auf diesem PC gibt es dann den sogenannten privaten Schlüssel zu dem Zertifikat.
Nachdem Sie das Zertifikat installiert und im Mail-Client konfiguriert haben, können Sie jede ausgehende E-Mail signieren. WICHTIGE EINSCHRÄNKUNG: Bei der Beantragung des Zertifikats geben Sie eine E-Mail-Adresse an. Sie können nur E-Mails signieren, die Sie mit der angegebenen Adresse verschicken!
Mit der Signatur in der ausgehenden E-Mail kann der Empfänger nun überprüfen, ob die E-Mail auch wirklich von Ihnen stammt und ob die E-Mail unterwegs verändert wurde oder nicht. Mit der Signatur verschicken Sie automatisch auch den öffentlichen Teil Ihres Zertifikats, das nennt man den öffentlichen Schlüssel. Mit diesem öffentlichen Schlüssel kann Ihr Kunde nun eine E-Mail an Sie verschlüsseln. Umgekehrt funktioniert es genauso: Der Kunde schickt Ihnen eine signierte E-Mail, damit haben Sie den öffentlichen Schlüssel Ihres Kunden und können damit fortan alle E-Mails an Ihren Kunden verschlüsseln.
Für die Entschlüsselung kommt dann der private Schlüssel zum Einsatz. Dieser liegt derzeit nur auf dem PC, auf dem das Zertifikat ursprünglich beantragt und installiert wurde. Somit kann die E-Mail auch nur an diesem einen PC gelesen werden!
Auch hier gibt es noch eine weitere Einschränkung zeitlicher Art. Sie können nur so lange verschlüsseln, bis das Zertifikat abläuft. Kostenfreie Zertifikate laufen in der Regel nach einem Jahr ab. Ab dann können Sie dieses Zertifikat nur noch zum entschlüsseln verwenden.
Vorteil dieser Art und Weise ist sicherlich der niedrige Kostenfaktor. Es gibt aber entscheidende Nachteile:
Die beschriebenen kostenfreien Zertifikate sind nur begrenzt vertrauenswürdig. Bei der Beantragung wird lediglich überprüft, ob der Antragsteller zu diesem Zeitpunkt die Kontrolle über eine bestimmte E-Mail-Adresse hatte. Nichts und niemand hindert mich daran mit eine beliebige E-Mail-Adresse zum Beispiel mit dem Namen meines Nachbarn zu generieren und dafür ein Zertifikat zu beantragen. Der Empfänger einer E-Mail kann nicht wirklich überprüfen, ob es sich bei dem Absender wirklich um meinen Nachbarn handelt, oder nicht. Bei dieser Art von Zertifikaten spricht man von Klasse 1 Zertifikaten.
Um einiges vorteilhafter sind Klasse 2 Zertifikate. Hier muss ich mich bei der Beantragung des Zertifikats zumindest mit einer Kopie meines Personalausweises identifizieren. Die Vertrauenswürdigkeit eines solchen Zertifikats ist somit um einiges höher. Die höchste Stufe bieten die Zertifikate der Klasse 3. Diese werden erst ausgestellt, wenn ich mich per PostIdent-Verfahren identifiziert habe. Klasse 2 und 3 Zertifikate sind aus diesem Grund auch nicht kostenfrei. Dennoch sollten Sie dies bei Ihren Überlegungen und Planungen mit berücksichtigen.
Auf der Seite Ihrer Kunden gibt es wenig Optimierungsmöglichkeiten hinsichtlich der Handhabung. Auf Ihrer Seite können Sie jedoch noch etwas optimieren, was die Arbeitsabläufe angeht. Damit Sie und Ihre Kollegen nicht jeder einzeln ein Zertifikat beantragen und installieren und die öffentlichen Schlüssel der Kunden sammeln müssen, gibt es die Möglichkeit eines E-Mail-Verschlüsselungsgateways. Ein solches Gateway übernimmt die komplette Verwaltung aller beteiligten Schlüssel (Zertifikate). Sie müssen lediglich die Zertifikate beantragen, im Gateway installieren und es übernimmt die komplette Verschlüsselung und Signaturerstellung automatisch für Sie. Bitte nehmen Sie sich 10 Minuten Zeit und sehen Sie sich zum Thema E-Mail-Verschlüsselung den folgenden Vortrag von mir an:
http://mediaeventservices.com/videoconsole/player.html?it-sa/2010/BL_Do ...
Hier wird noch einmal anschaulich erklärt wann welche Schlüssel zum Einsatz kommen. Des Weiteren stelle ich die Clientbasierte und die gatewaybasierte Verschlüsselung gegenüber. Bei der clientbasierten Verschlüsselung wie ich Sie oben beschrieben habe, muss der private Schlüssel immer irgendwie zur Verfügung stehen, damit die E-Mail entschlüsselt werden kann. Das bedeutet im schlimmsten Fall folgendes: Wenn der PC, auf dem der private Schlüssel installiert ist einen Defekt hat und neuinstalliert wird, ist der private Schlüssel verloren und Sie können dann nicht mehr auf die E-Mail zugreifen. Diese bleiben dann für immer verschlüsselt. Es gibt keinen Masterschlüssel oder ähnliches. Das sollte dann gleichzeitig Ihre Frage nach der Sicherheit beantworten. Solange man nicht im Besitz des privaten Schlüssels ist, bleiben verschlüsselte E-Mails verschlüsselt, egal für wen.
Bitte lassen Sie mich wissen, ob diese Informationen für Sie ausreichend waren. Wenn Sie weitere Fragen haben sollten, lassen Sie es mich bitte wissen.

Den kompletten Text gibt es noch ausführlicher und bebildert auf unserer Homepage zum kostenfreien Download unter www.enqsig.de/download/WP_SMIME_mit_Outlook2010.pdf

Mit freundlichen Grüßen

Stefan Cink

www.enqsig.de - E-Mail-Verschlüsselung am Gateway

Hey super erklärt, muss aber trotzdem noch meinen Senf dazu geben.

Bei pgp können die Schlüssel (statt Zertifikaten) selbst generiert werden. Bei der pgp Kaufversion wird ein Proxy auf dem Rechner installiert, der für die automatische Ver- und Entschlüsselung sorgt. Bei mehreren E-Mail-Konten auf einem Rechner ist pgp flexibler. Dafür ist die Echtheit des Absenders bei pgp stärker zu hinterfragen.

Als Verschlüsselungsvielnutzer bin ich augenblicklich dabei von pgp nach S/Mime zu wechseln. Vor allem, weil die Vollversion von pgp seit der Übernahme durch Symantec nicht mehr wirklich zukunftsträchtig erscheint. Die frickelei bei gpg ist mir bei der großen Anzahl von verschlüsselten E-Mails zu doof.

Hth
Pitti

Besten Dank für das Feedback direkt von der Front. Bin immer froh und dankbar wenn ich auch mal Berichte direkt vom Nutzer lesen oder hören darf.
Eine Frage stellt sich mir trotzdem immer wieder: Alle schimpfen auf Symantec, aber irgendjemand scheint das Zeug ja trotzdem immer wieder zu kaufen.
Gruß Stefan

Hi, nochmal ne Frage dazu:

woher würde ich denn ein PGP-Gateway-Zertifikat bekommen? Muss ich mich da an Symantec wenden oder kann ich das selbst erstellen?

Danke und viele Grüße, der Maze

Hey Maze,
ein PGP Zertifikat musst Du Dir immer selber erstellen. Das wird üblicherweise mit dem PGP Client gemacht.

Gruß Stefan

Hey Stefan, danke Dir! Und mit dem Client kann ich dann auch ein GW-Zertifikat, also bespielsweise für eine bestimmte Domain und nicht für eine Einzelperson erstellen, ja?!

Gruß Maze

Soweit mir bekannt ist, gibt es im PGP Bereich keine Gateway-Zertifikat Funktionalität. Die gibt es meines Wissens nur für SMIME Zertifikate. Das wiederum bedeutet, wenn Du Dich für PGP entscheidest, fällt diese Option aus.

Oje, gut zu wissen! Danke Dir nochmals! VG Maze

Gern geschehen.
Gruß Stefan