LinuxUser Spuren im Netz verwischen, Kommunikation absichern (Vorschau)
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
E-Mail-Verschlüsselung<br />
Schwerpunkt<br />
ten heute erhältlichen E-Mail-<br />
Clients bereits native S/MIME-<br />
Unterstützung, während man PGP<br />
oft nachrüsten muss.<br />
S/MIME ist als MIME-Erweiterung<br />
konzipiert und definiert dazu<br />
zwei zusätzliche Content- Typen:<br />
Multipart/Signed zum Signieren<br />
einer Mail und Multipart/Encrypted<br />
zum Verschlüsseln. Im Gegensatz<br />
zu (Open)PGP benötigt<br />
S/MIME auf dem X.509-Standard<br />
basierende Zertifikate.<br />
Die Anhänger beider Lager streiten<br />
seit Jahrzehnten, welche Lösung<br />
die bessere ist. Dass besser<br />
nicht zwangsläufig praktikabler<br />
bedeutet, ist einer der Gründe dafür,<br />
dass sich inzwischen die meisten<br />
Firmen und Anwender aufgrund<br />
der einfacheren Handhabbarkeit<br />
für OpenPGP entscheiden.<br />
Zwar garantieren beide Verfahren<br />
gute Sicherheit, und auch die Verfügbarkeit<br />
der notwendigen Frontends<br />
kann nicht mehr als Argument<br />
für oder gegen PGP oder<br />
S/MIME herhalten. Die Flexibilität<br />
der PKI spricht aber für PGP.<br />
PGP-PKI<br />
Das A und O der Praktikabilität bei<br />
der E-Mail-Verschlüsselung stellt<br />
ein effizientes Verfahren zum Verteilen<br />
der Schlüssel dar. OpenPGP<br />
nutzt dazu (bei PGP spricht man<br />
nicht von Zertifikaten) eine Public-<br />
Key-Infrastruktur. Der Begriff<br />
kennzeichnet in der Kryptologie ein<br />
System, das digitale Zertifikate ausstellen,<br />
verteilen und prüfen kann.<br />
Im Gegensatz zu S/MIME verwendet<br />
OpenPGP jedoch keine<br />
X.509-Zertifikate. Seine PKI besteht<br />
aus einem öffentlich zugänglichen<br />
System zum Verteilen von<br />
Schlüsseln auf Basis von<br />
HTTP-Schlüsselservern. Ein<br />
wesentlicher Vorteil gegenüber<br />
S/MIME: Die (Open)PGP-Anwender-Gemeinde<br />
hat <strong>im</strong> Verbund<br />
Pgp.net sowie mit Servern der Anbieter<br />
von OpenPGP-Software (wie<br />
etwa Keyserver.de) über die Jahre<br />
eine recht gut synchronisierte PKI<br />
geschaffen. In der X.509-Welt ist<br />
das bis heute nicht der Fall.<br />
Bei den Schlüsselservern der PGP-<br />
PKI handelt es sich um gewöhnliche<br />
Datenbanken mit einer<br />
HTTP-Schnittstelle, welche es Benutzern<br />
erlaubt, Schlüssel abzuliefern<br />
oder nach diesen zu suchen.<br />
Der Schlüssel-Server antwortet<br />
mit einer HTML-Seite, die<br />
der Nutzer entweder manuell<br />
oder – mithilfe der Verschlüsselungssoftware<br />
– automatisch auswertet.<br />
Ein HTTP-Keyserver lässt<br />
sich <strong>im</strong> Gegensatz zu einer X.509-<br />
PKI relativ einfach aufsetzen und<br />
verursacht wenig Wartungsaufwand<br />
– unter anderem, weil das<br />
System <strong>im</strong> Gegensatz X.509-Architektur<br />
nicht hierarchisch aufgebaut<br />
ist, was Konsequenzen für<br />
die Schlüsselbeglaubigung hat.<br />
S/MIME-PKI<br />
Bei X.509-Schlüsseln handelt es<br />
sich um lupenreine Zertifikate, die<br />
ausschließlich durch eine Zertifizierungstelle<br />
(Certificate Authority,<br />
CA) ausgestellt werden und die<br />
das System in einem X.500-konformen<br />
LDAP-Verzeichnisdienst<br />
speichert. Letzterer sieht eine<br />
streng hierarchische Struktur vor,<br />
die zwingend eine vertrauenswürdige<br />
Instanz als CA benötigt.<br />
Prinzipiell stellt ein LDAP-Verzeichnisdienst<br />
tatsächlich die bessere<br />
Lösung zum Speichern von<br />
Zertifikaten dar, unter anderem,<br />
weil er sich einfacher replizieren<br />
lässt. HTTP-Keyserver, wie Open-<br />
PGP sie nutzt, benötigen dagegen<br />
einen eigenen Replikationsmechanismus,<br />
nebst zugehöriger Konzepte<br />
für Hochverfügbarkeit und<br />
Backups. Allerdings ist es aus Sicherheitsgründen<br />
problematisch,<br />
LDAP-Verzeichnisdienste externen<br />
Partnern zugänglich zu machen:<br />
Ein LDAP-Dienst ist nicht<br />
Proxy-fähig und benötigt einen eigenen<br />
TCP-Port in der Firewall.<br />
Ein weiteres Problem für die Verbreitung<br />
einer X.509-PKI besteht<br />
darin, dass nur offizielle Zertifizierungsstellen<br />
und Organisationen<br />
entsprechende Zertifikate<br />
ausstellen können. Ein X.509-Zertifikat<br />
enthält als Nachweis der<br />
Gültigkeit einen öffentlichen<br />
Schlüssel, eine User-ID und eine<br />
Unterschrift. Daneben vergibt die<br />
CA für jedes X.509-Zertifikat außer<br />
der Unterschrift noch weitere<br />
Teile, wie einen Distin guished<br />
Name und eine Seriennummer.<br />
Die in der Regel kommerziellen<br />
CAs lassen sich den Aufwand für<br />
A Auch Thunderbird enthält von Haus aus Unterstützung für S/MIME, sodass<br />
Sie hierzu keine Erweiterung installieren müssen.<br />
Glossar<br />
MIME: Multipurpose Internet<br />
Mail Extensions.<br />
Erweiterungen des Internetstandards<br />
RFC822,<br />
der das Datenformat<br />
von E-Mails definiert.<br />
MIME ermöglicht es,<br />
zwischen Sender und<br />
Empfänger Informationen<br />
über den Typ der<br />
übermittelten Daten<br />
auszutauschen und eine<br />
entsprechende Zeichencodierung<br />
festzulegen.<br />
X.509: Standard der<br />
Internationalen Fernmelde-Union<br />
(ITU-T) für<br />
eine Public-Key-Infrastruktur<br />
zum Erstellen<br />
digitaler Zertifikate.<br />
LDAP: Lightweight Directory<br />
Access Protocol<br />
(RFC4510/4511).<br />
Dieses Client/Server-<br />
Protokoll für IP-<strong>Netz</strong>werke<br />
erlaubt das Abfragen<br />
und Modifizieren<br />
von Informationen eines<br />
Verzeichnisdienstes (einer<br />
<strong>im</strong> <strong>Netz</strong>werk verteilten,<br />
hierarchischen Datenbank).<br />
www.linux-user.de<br />
11 | 11 21