Zum Schutz von Emails und Dokumenten im digitalen Datenaustausch haben sich zwei Standards herausgebildet:
S/MIME und OpenPGP. Beide Verfahren sind nicht kompatibel, d.h. Anwender
des jeweiligen Verfahrens können keine signierten oder
verschlüsselten Nachrichten mit Anwendern des anderen Verfahrens austauschen.
ComSafe Computersicherheit / IT Security
Verschlüsselungverfahren
S/MIME
Die Secure/Multipurpose Internet Mail Extensions (S/MIME) wurden
durch ein Konsortium von Herstellern unter der Leitung der RSA
Data Security Inc. entwickelt. S/MIME ist kein separates Programm,
sondern eine Erweiterung der Multimedia Internet Mail Extension
(MIME). MIME ist ein Kodierstandard, der die Struktur und den
Aufbau von E-Mails und anderen Internetnachrichten festlegt. S/MIME wird daher von den meisten Emailprogrammen standardmäßig zur Verfügung gestellt.
S/MIME verlangt den Einsatz eines (zeitlich befristeten) Zertifikats nach dem 
X.509 Standard. Dieses wird von einer "Certification Authority" (CA - dt. Zertifizierungstelle) in drei Zertifizierungsklassen (je nach Grad der Überprüfung des Zertifikatinhabers) angeboten. Das Zertifikat muss in der Regel käuflich erworben werden (je nach Dauer des Zertifikats und Zertifizierungsklasse ab 50,-/Jahr). Einige Anbieter bieten jedoch 1-Jahr gültige Zertifikate der Klasse 1 für Privatanwender kostenlos an (z.B. StartSSL.com).
Als Alternative bietet die gemeinschaftsbetriebene, nicht-kommerzielle Zertifizierungsstelle CAcert kostenlose X.509 Zertifkate an. Die Identitätsfeststellung wird in einem Web of Trust von qualifizierten, freiwilligen Mitgliedern der CAcert-Gemeinschaft vorgenommen.
OpenPGP
OpenPGP beschreibt die das Verfahren, das festlegt,
wie Programme digitale Schlüssel und Zertifikate in Dateien speichern
bzw. über
das Internet übertragen sollen. Entstanden ist OpenPGP im
Jahre 2001 durch den Zusammenschluss von Softwareunternehmen
mit dem Ziel, der Festlegung eines einheitlichen Sicherheitsstandard
für Verschlüsselungen in herkömmlichen Email-Programmen.
OpenPGP baut auf der von Phil Zimmermann im Jahre 1991 entwickelten
Software Pretty Good Privacy (PGP) und dem PGP Message Format
auf.
Das OpenPGP-Protokoll wird vom kommerziellen Programm PGP und
dem Open Source Programm GnuPG genutzt.
Unterschiede zwischen OpenPGP und S/MIME
Beide Protokolle erfüllen heutige Sicherheitsanforderungen durch Verwendung
identischer Verschlüsselungsalgorithmen. Allerdings sind S/MIME und OpenPGP nicht kompatibel, das heisst Anwender der beiden Systeme können keine signierten oder verschlüsselten Nachrichten miteinander austauschen.
Ein elementarer Unterschied zwischen OpenPGP und S/MIME ist das Verfahren der Schlüsselbeglaubigung. Während OpenPGP auf dem Konzept des Vertrauens unter den Benutzern (Web of Trust) aufbaut, verlangt S/MIME im Rahmen einer Public Key Infrastructure (PKI) zwingend die Ausstellung eines X.509-Zertifikats, das die Identität des Schlüsselbesitzers beglaubigt. X.509-Zertifakte sind von diversen Zetifizierungsstellen (Trustcentern) in Deutschland erhältlich. Dieses Verfahren ist sehr aufwändig und mit Kosten verbunden ist und hat sich deswegen bei privaten Nutzern bisher nicht durchgesetzt.
Während OpenPGP mittels zusätzlicher Software mit fast allen
bekannten Emailprogrammen realisiert werden kann, müssen Emailprogramme,
die für S/MIME verwendet werden sollen, die Funktionalität von
S/MIME direkt enthalten.
Verschlüsslungsprogramme PGP und GnuPG
Da das Verfahren der Zertifierung von Schlüsseln bei S/MIME aufwändig
und kostenintensiv ist, verwenden viele private Anwender entweder die kommerzielle
Software PGP (Pretty Good
Privacy) oder das auf zahlreichen Plattformen lauffähige Open Source
Programm GnuPG zur Verschlüsselung ihrer Emails. Beide Programme basieren auf OpenPGP und können untereinander verschlüsselte Nachrichten austauschen.
PGP
Zur Zeit existiert eine kommerzielle Version von PGP, die in der Version 9.0 von der Firma PGP Corporation vertrieben wird und für den privaten Gebrauch kostenlos ist.
Download
des Programms PGP (30 Tage Testversion, danach reduzierte Freeware-Version)
Zur Zeit existiert eine kommerzielle Version von PGP, die in der Version 9.0 von der Firma PGP Corporation vertrieben wird und für den privaten Gebrauch kostenlos ist.
Download
des Programms PGP (30 Tage Testversion, danach reduzierte Freeware-Version) GnuPG
Neben dem kommerziellen PGP gibt es das auf demselben Verfahren beruhende kostenlose Open Source ProgrammGnuPG (GNU
Privacy Guard). Als Partner der Aktion „Sicherheit im Internet” des
Bundesministeriums für Wirtschaft und Arbeit (BMWA) und des
Bundesministeriums des Innern (BMI) entwickelten Spezialisten mit WinPT eine grafische Oberfläche unter Windows für das Verschlüsselungsprogramm GnuPG. Auf der Webseite des GNU Privacy Projekts GnuPP finden
Sie weitere detaillierte Informationen zur Verschlüsselungssoftware.
Download
der aktuellen Version des Programms GnuPG ( GnuPG compiled for Microsoft Windows.)
Eine Übersicht über
die Funktionsweise von GnuPG vermittelt die lesenswerte Broschüre GnuPP
für Durchblicker (PDF-Datei - 3.498 kb).
Einzelheiten
zur Installation und Funktionsweise von GnuPG und den GNU Privacy Tools vermittelt die Broschüre GnuPP
für Einsteiger (PDF-Datei - 2.330 kb).
Neben dem kommerziellen PGP gibt es das auf demselben Verfahren beruhende kostenlose Open Source Programm
GnuPG (GNU
Privacy Guard). Als Partner der Aktion „Sicherheit im Internet” des
Bundesministeriums für Wirtschaft und Arbeit (BMWA) und des
Bundesministeriums des Innern (BMI) entwickelten Spezialisten mit WinPT eine grafische Oberfläche unter Windows für das Verschlüsselungsprogramm GnuPG. Auf der Webseite des GNU Privacy Projekts GnuPP finden
Sie weitere detaillierte Informationen zur Verschlüsselungssoftware. Download
der aktuellen Version des Programms GnuPG ( GnuPG compiled for Microsoft Windows.) Eine Übersicht über
die Funktionsweise von GnuPG vermittelt die lesenswerte Broschüre GnuPP
für Durchblicker (PDF-Datei - 3.498 kb). Einzelheiten
zur Installation und Funktionsweise von GnuPG und den GNU Privacy Tools vermittelt die Broschüre GnuPP
für Einsteiger (PDF-Datei - 2.330 kb). GPG4win
Das Programm GnuPG wurde betriebssystemunabhängig
entwickelt wurde und liegt deswegen nur als kommandozeilenorientiertes Programm vor.
Zur komfortablen Verwaltung seiner Schlüssel empfiehlt es sich deswegen,
ein grafisches Programm zu verwenden, das unter einer intuitiven Oberfläche
die Funktionen von GnuPG zur Verfügung stellt. Hierzu kann man unter Windows entweder WinPT (Windows
Privacy Tray) oder GPA (GNU Privacy Assistant) als Programme zur Verwaltung und Erzeugung der Schlüssel verwenden. Desweitern werden Programme zur Ver- und Entschlüsselung
POP3-basierender Emailprogramme angeboten. Zwei Projekte GPG4Win und GnuPG-Pack Basics bündeln die erforderlichen Programme und bieten Sie jeweils in einem Programmpaket zum Download an.
Sowohl im Softwarepaket GPG4WIN als auch im Softwarepaket GnuPG-Pack Basics sind folgende Elemente der GnuPG Software in der jeweils aktuellsten Version enthalten:
• GnuPG, das eigentliche Backendprogramm in der aktuellsten Version.
• WinPT grafische Oberfläche zur Verwaltung und Erzeugung der Schlüssel.
• Plugins für Emailprogramme zur Email-Verschlüsselung.
GnuPG enhält darüber hinaus mit GPA eine weitere grafische Oberfläche als Alternative.
Enigmail
Soll die Verschlüsselung nur für den Emailverkehr eingesetzt werden, so existiert für die Programme Mozilla Firefox und Mozilla Thunderbird eine leistungsfähige
Erweiterung (add-on) namens Enigmail, die die direkte Ver-/Entschlüsselung
im Emailprogramm ermöglicht und den Einsatz einer anderen grafischen Oberfläche wie z.B. GPGRelay entbehrlich
macht. Zum Verschlüsseln von Emails ist neben Enigmail nur das eigentliche Verschlüssellungsprogramm GnuPG erforderlich.
Download
des Plug-Ins Enigmail für die Browser Mozilla, Thunderbird und
Netscape
Download
der aktuellen Version von GnuPG (gehen Sie zum Kapitel
"Binärdateien (Executables)")
Weitere Informationen zu Enigmail (deutsch)
Die Bedeutung der elektronischen Unterschrift
Am 1.8.2001 ist das Gesetz zur Anpassung von Formvorschriften in Kraft
getreten und erkennt die „elektronische Form” als Alternative
für die bisherige Schriftform der eigenhändigen Unterschrift
an. Dies gilt aber nicht ausnahmslos. Beispielsweise bleibt für § 623
BGB (Kündigung, Beendigung, Befristung eines Arbeitsverhältnisses)
oder für die Bürgschaft (§ 766 BGB) weiterhin die klassische
Schriftformerfordernis bestehen. Wie die elektronische Form zustandekommt,
regelt der § 126a BGB. Danach muss der Aussteller der Erklärung
seinen Namen hinzufügen und das elektronische Dokument mit einer
qualifizierten elektronischen Signatur nach dem Signaturgesetz (SigG) versehen. Bei einem
Vertragschluss gilt dieses Erfordernis auf beiden Seiten.
Elektronische Signatur
Die elektronische Signatur ist eine Unterschrift (Signatur)
im Sinne des Signaturgesetzes (vergl. SigG01 = Gesetz über
die Rahmenbedingungen für elektronische Signaturen). Danach
gibt es die
• einfache elektronische Signatur,
• fortgeschrittene elektronische Signatur,
• qualifizierte elektronische Signatur.
Für den Rechtsverkehr ist die qualifizierte Signatur erforderlich. Dabei werden die Schlüsselpaare (privater und öffentlicher Schlüssel) durch anerkannte Stellen natürlichen Personen fest zugeordnet und durch ein Signaturschlüssel-Zertifikat beglaubigt. Die Einzelheiten regelt das Signaturgesetz.
Die Aufsicht liegt bei der Bundesnetzagentur (ehemals Regulierungsbehörde für die
Telekommunikation und Post RegTP)
.
Weitere Informationen zur elektronischen Signatur bietet das Bundesamt
für Sicherheit in der Informationstechnik BSI.
Akkreditierte Zertifizierungsdiensteanbieter finden Sie bei der Bundesnetzagentur.
Stand: 1.8.2013 |
||
| © 2004-2013 Carl Klüter |
Web-Design & Realisation by cfpk |
|
 Diese
Seite drucken |
||
