|
|
|
|
| 3 Zwei Wege, ein Ziel: OpenPGP & S/MIME | Inhalt |
Wie so oft gibt es für das gleiche Ziel verschiedene Wege, ähnlich ist es auch in der Verschlüsselung Ihrer E-Mails mit den Standards OpenPGP und S/MIME. Beide Standards und ihre Umsetzungen in Software ermöglichen die E-Mail-Veschlüsselung mit Freier Software, wie z.B. Gpg4win.
Beim Verschlüsseln bzw. bei der Sicherheit der geheimen Datenübertragung sind zwei Perspektiven wichtig, einmal die Gewährleistung der Geheimhaltung und zum anderen die Authentizität des Absenders. Authentizität bedeutet hier, dass der Inhalt auch tatsächlich vom besagten Absender ist.
Konzeptionell steckt hinter OpenPGP und S/MIME die gleiche Methode zur Geheimhaltung, und zwar das „Public-Key“ Verfahren. Was heißt das?
Stellen Sie sich vor, die E-Mail oder die Datei sei in einer Truhe verschlossen. Im Gegensatz zu einem „normalen“ Schloss mit einem Schlüssel gibt es beim „Public-Key“ Verfahren zum Verschlüsseln / Entschlüsseln ein Schlüsselpaar. So gibt es einen beglaubigten Schlüssel zum Verschlüsseln (der „öffentliche Schlüssel“) und einen Schlüssel zum Entschlüsseln (der „geheime Schlüssel“).
Betrachtet man den öffentlichen Schlüssel zusammen mit Angaben über den Schlüssel (sogenannten Metadaten), so spricht man von einem öffentlichen Zertifikat. Metadaten können z.B. die zum Schlüssel zugehörige E-Mail-Adresse, die Benutzer-Kennung oder der Gültigkeitszeitraum sein (vgl. Kapitel 14).
Die Eigenschaften geheim / privat bzw. öffentlich / publik sind völlig
unabhängig (orthogonal) davon, ob sie sich auf einen reinen
(„nackten“) Schlüssel oder ein Zertifikat (Schlüssel mit Metadaten)
beziehen.
Anmerkung: Technisch werden für die eigentliche Kryptografie
(Verschlüsseln und Signieren) nur Schlüssel verwendet;
praktisch handhabt man ausschließlich Zertifikate (z.B. in
den Gpg4win-Programmkomponenten).
Bezogen auf das obige Beispiel mit der Truhe klingt es komisch, ein öffentlichen und geheimen Schlüssel zu haben. Aber bei Software löst diese Idee das Problem, dass man seinen Schlüssel für jeden Empfänger aus der Hand geben müsste. Denn normalerweise muss ein Schlüssel zum Verschlüsseln / Abschließen auch zum Entschlüsseln bzw. Aufschließen benutzt werden. Also müsste man Ihnen, wenn man etwas für Sie in der Truhe verschließt, die Truhe und den Schlüssel geben. Wenn der Schlüssel bei der Übertragung abhanden kommt oder jemand davon eine Kopie erstellt, ist das ein großes Problem.
Beim „Public-Key“ Verfahren verschließt man mit Ihrem öffentlichen Zertifikat die Truhe und Sie schließen die Truhe mit Ihrem geheimen Schlüssel auf. Man muss also nur die Truhe zu Ihnen transportieren lassen. Das ist auf jeden Fall sicherer als den geheimen Schlüssel mit zu transportieren, selbst wenn er einen anderen Weg als die Truhe zu Ihnen nehmen würde.
Trotz dieses gleichen Ansatzes zur Geheimhaltung unterscheiden sich OpenPGP und S/MIME aber z.B. bei der Schlüsselerzeugung (Näheres erfahren Sie später im Kapitel 5).
Falls Sie sich jetzt fragen, wie das „Public-Key“ Verfahren so funktionieren kann, lesen Sie einmal Kapitel 12. Wenn Sie sich dann noch fragen, warum Gpg4win so sicher ist, sind vermutlich die Kapitel 24 und 25 genau das richtige für Sie!Mit ein wenig Interesse und Zeit kann man dort auch die kleinen mathematischen Geheimnisse verstehen. Viel Spaß beim Entdecken.
Der wesentlichste Unterschied zwischen OpenPGP und S/MIME liegt im Bereich der Authentisierung.
Um die Authentizität des Absenders festzustellen, ist bei S/MIME ein Zertifikat notwendig, welches die Authentizität des Schlüsselpaar-Besitzers unzweifelhaft beglaubigt. Das heißt, dass Sie Ihren öffentlichen Schlüssel von einer dazu berechtigten Organisation zertifizieren lassen muss, bevor er dadurch wirklich nutzbar wird. Diese Organisation wurde wiederum von einer höher stehenden Organisation zertifiziert usw. bis man zu einem Wurzelzertifikat kommt. Vertaut man nun diesem Wurzelzertifkat, so vertaut man automatisch allen darunter liegenden Zertfizierungen. Das nennt man hierarchisches Vertrauenskonzept. Zumeist ist die Kette nur 3 Komponenten lang: Wurzelzertifikat, Zertifizierungsstelle (auch CA für Certificate Authority genannt), Anwender. Die „Wurzel“ zertifiziert CA, die CA zertifiziert den Anwender.
Im Gegensatz dazu verwendet OpenPGP in der Regel eine direkte „peer-to-peer“ Zertifizierung (Anwender A zertfiziert Anwender B, B zertifiziert A und C usw.) und macht damit aus einem Zertifizierungs-Baum ein Zertifizierungs-Netz, das sogenannte Web-of-Trust. Im Fall der direkten Authentisierung bei OpenPGP haben Sie also die Möglichkeit, ohne die Zertifizierung von einer höheren Stelle, verschlüsselte Daten und E-Mails auszutauschen. Dafür reicht es aus, wenn Sie der E-Mail-Adresse und dem dazugehörigen Zertifikat ihres Kommunikationspartners vertrauen.
Nähere Informationen zu Authentisierungswegen, wie z.B. dem Web-of-Trust oder den Zertifizierunsstellen, erhalten Sie später in Kapitel 16.Was bedeutet das für Sie?
Falls Ihnen das etwas zuviel Informationen waren, machen Sie sich keine Sorgen: In den folgenden Kapiteln wird jeder Schritt von der Installation bis hin zur Verschlüsselung sowohl mit OpenPGP als auch mit S/MIME detailliert erklärt.
Die beiden nachfolgenden Symbole weisen Sie in diesem Kompendium auf spezifische Erklärungen zu OpenPGP bzw. S/MIME hin, so dass Sie immer schnell überblicken, welche Besonderheiten bei welchem Konzept zu beachten sind.
|
|
|
|
| 3 Zwei Wege, ein Ziel: OpenPGP & S/MIME | Inhalt |