« Webserver-Sicherheit für Freaks | Blog | Passwort-Sicherheit und Marketing-Experten »

Wieviel Verschlüsselung braucht die Mail?

Donnerstag 12 März 2015 von Rainer W. Gerling

Die Ankündigung, dass im April De-Mail um eine Ende-zu-Ende Verschlüsselung auf Basis von Mailvelope angereichert werden soll, ist sehr zurückhaltend aufgenommen worden. Bisher war eine wesentliche Kritik an De-Mail die fehlende Ende-Zu-Ende Verschlüsselung.

Was ist eigentlich der Unterschied zwischen einer TLS-Transport-Verschlüsselung und einer Ende-zu-Ende Verschlüsselung wie OpenPGP oder S/Mime?

Bei einer TLS-Transport-Verschlüsselung wird der Mail-Verkehr zwischen zwei Mail-Servern oder zwischen dem Mail-Klienten komplett verschlüsselt. Die einzelnen unverschlüsselten E-Mails werden – wie in einem Tunnel – geschützt übertragen. Ein Lauscher sieht nur noch, dass Mail-Server A mit Mail-Server B Daten austauscht. Er sieht nicht mehr, wer wem eine E-Mail schickt.

Auf den beteiligten Mailservern liegen die E-Mails unverschlüsselt und damit ist der Provider technisch in der Lage die E-Mails zu lesen (auch wenn er es rechtlich nicht darf). Deshalb propagierten Experten immer, dass „nur“ eine TLS-Transport-Verschlüsselung Blödsinn sei.

Die Abbildung zeigt eine unverschlüsselte und eine mit S/Mime verschlüsselte E-Mail (Die Header der E-Mail wurden stark verkürzt). In der verschlüsselten E-Mail sind Absender, Empfänger, Zeitpunkt und Betreff immer noch im Klartext zu lesen: nur der Mail-Body und eventuelle Anhänge werden verschlüsselt. Die berühmte Speicherung und Analyse der Meta-Daten durch die NSA ist auch bei der verschlüsselten E-Mail immer noch möglich ohne eine Verschlüsselung zu knacken.

Dies macht deutlich das wird beides dringend brauchen: die TLS-Transport-Verschlüsselung, damit die Header der Mail beim Transport zwischen den Mail-Servern verschlüsselt sind und die Ende-zu-Ende-Verschlüsslung, damit der Provider die Mail-Inhalte nicht lesen kann.

In diesem Zusammenhang ist es auch wichtig, dass wir in unserem Mail-Klienten (Outlook, Thunderbird oder wie immer er heißt) die Verschlüsslung für SMTP und POP3 oder IMAP aktivieren.

Die Einführung der TLS-Transport-Verschlüsslung durch Projekte wie De-Mail und „E-Mail made in Germany“ ist zu begrüßen. Aber OpenPGP und S/Mime sind auch unverzichtbar. Erst im Zusammenspiel beider Mechanismen wird ein vernünftiges Gesamtpaket daraus.

Kategorien: IT-Sicherheit