Schwerpunkt: Verschlüsselung mit iQ.Suite Crypt
1. Welche Verschlüsselungsverfahren werden zum Verschlüsseln von E-Mails eingesetzt?
2. Welche Methoden können zum Verschlüsseln von E-Mails eingesetzt werden?
3. PGP oder S/MIME?
4. Wie funktioniert Server-zu-Server Verschlüsselung?
5. Wie verschlüssele ich alle Mails an eine bestimmte Domäne mit einem Schlüssel?
6. Wie funktioniert Server-zu-Client Verschlüsselung?
7. Wie mache ich bereits verschlüsselte Dateien für mich lesbar?
8. Was passiert bei nicht vorhandenen öffentlichen Schlüsseln meiner Kommunikationspartner?
2. Welche Methoden können zum Verschlüsseln von E-Mails eingesetzt werden?
3. PGP oder S/MIME?
4. Wie funktioniert Server-zu-Server Verschlüsselung?
5. Wie verschlüssele ich alle Mails an eine bestimmte Domäne mit einem Schlüssel?
6. Wie funktioniert Server-zu-Client Verschlüsselung?
7. Wie mache ich bereits verschlüsselte Dateien für mich lesbar?
8. Was passiert bei nicht vorhandenen öffentlichen Schlüsseln meiner Kommunikationspartner?
Welche Verschlüsselungsverfahren werden zum Verschlüsseln von E-Mails eingesetzt?
Die drei gängigsten Verfahren zur E-Mail-Verschlüsselung sind:
- Die symmetrische Verschlüsselung: Bei der symmetrischen Verschlüsselung wird nur ein Schlüssel verwendet. Der Sender einer Nachricht verschlüsselt, der Empfänger entschlüsselt damit. Der Vorteil der symmetrischen Verschlüsselung liegt in der Geschwindigkeit. Nachteil: Der Schlüssel muss dem Empfänger auf einem sicheren Weg übermittelt werden. DES, Triple DES (3DES), RC4, IDEA und AES sind die bekanntesten symmetrischen Verfahren.
- Die asymmetrische Verschlüsselung: Diese Methode nutzt Paare aus jeweils zwei Schlüsseln, die sich in ihrer Funktion ergänzen. Mit dem öffentlichen Schlüssel des Kommunikationspartners wird eine Nachricht verschlüsselt. Zum Entschlüsseln benötigt man den eigenen privaten Schlüssel. Man spricht auch vom "Public-Key-Verfahren", da nur einer der beiden Schlüssel geheim gehalten werden muss (der private Schlüssel zum Entschlüsseln), während der andere veröffentlicht wird (der öffentliche Schlüssel zum Verschlüsseln). Dieses Verfahren ist zwar komfortabler, da die Schlüsselweitergabe problemlos ist, aber auch deutlich langsamer als symmetrische Verschlüsselungsverfahren. Ein gängiges asymmetrisches Verfahren ist RSA.
- Das Hybridverfahren: Die optimale Variante ist meist eine Kombination aus symmetrischem und asymmetrischem Verfahren, auch "Hybridverfahren" genannt. Dabei wird eine Nachricht nach dem symmetrischen Verfahren verschlüsselt und nur der zugehörige, jeweils neu und zufällig erzeugte symmetrische Schlüssel wird nach dem asymmetrischen Prinzip mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Beides zusammen wird an den Empfänger gesendet. Dieser entschlüsselt mit seinem privaten Schlüssel den Schlüssel für die Nachricht und mit diesem Schlüssel wiederum die Nachricht selbst. Entscheidender Vorteil bei dieser Vorgehensweise: Die gesamte Nachricht kann mit dem schnellen Verfahren verschlüsselt werden, nur die relativ kurze Zeichenfolge des Schlüssels wird mit dem langsameren Verfahren bearbeitet. Das Problem der sicheren Schlüsselübergabe wird hier also mit dem asymmetrischen Verfahren geläst, während die eigentliche Nachrichtenverschlüsselung dem symmetrischen Prinzip folgt.
 |
 |
|
|
Welche Methoden können zum Verschlüsseln von E-Mails eingesetzt werden?
Es gibt mehrere verschiedene Verschlüsselungstechniken, die sich für den Einsatz zur Verschlüsselung von E-Mails eignen. Die zwei verbreitesten sind "Pretty Good Privacy" (PGP) und S/MIME. Beide arbeiten nach dem Hybridverfahren.
|
|
|
|
PGP oder S/MIME?
Ob Sie mit dem einen oder mit dem anderen Standard arbeiten, ist eine Frage der individuellen Präferenz. Von der zur Verfügung gestellten Grundfunktionalität und der Sicherheit her sind beide Verfahren gleich gut. In beiden Standards werden grundsätzlich die gleichen Verfahren verwendet, siehe auch Whitepaper Kryptographie. S/MIME hat den Vorteil, dass die meisten Webclients und Mailclients eine Unterstützung schon integriert haben.
PGP dagegen erfordert die Installation einer PGP-Software, die auch als Open-Source-Version (GnuPG) zur Verfügung steht. Mit PGP kann der Benutzer seine Schlüsselpaare selbst erstellen. Eine externe Zertifizierung kann vorgenommen werden, ist aber nicht zwingend.
Wichtig ist, dass - egal welches Verfahren Sie verwenden - Ihr Kommunikationspartner dasselbe benutzt. Ein Verschlüsseln mit PGP und ein Entschlüsseln über S/MIME z.B. ist nicht möglich. Mit iQ.Suite Crypt können aber beide Verfahren parallel genutzt werden, d.h. für die entsprechenden Adressaten/Absender von E-Mails das jeweils passende Verfahren.
Für beide Standards gilt, dass das Passwort, das mit Ihrem privaten Schlüssel verbunden ist, sicher verwahrt sein muss und nicht in fremde Hände geraten darf.
PGP dagegen erfordert die Installation einer PGP-Software, die auch als Open-Source-Version (GnuPG) zur Verfügung steht. Mit PGP kann der Benutzer seine Schlüsselpaare selbst erstellen. Eine externe Zertifizierung kann vorgenommen werden, ist aber nicht zwingend.
Wichtig ist, dass - egal welches Verfahren Sie verwenden - Ihr Kommunikationspartner dasselbe benutzt. Ein Verschlüsseln mit PGP und ein Entschlüsseln über S/MIME z.B. ist nicht möglich. Mit iQ.Suite Crypt können aber beide Verfahren parallel genutzt werden, d.h. für die entsprechenden Adressaten/Absender von E-Mails das jeweils passende Verfahren.
Für beide Standards gilt, dass das Passwort, das mit Ihrem privaten Schlüssel verbunden ist, sicher verwahrt sein muss und nicht in fremde Hände geraten darf.
|
|
|
|
Wie funktioniert Server-zu-Server Verschlüsselung?
Bei der Server-Server-Verschlüsselung mit iQ.Suite Crypt wird ein sicherer Kanal, basierend auf den entsprechenden Unternehmensschlüsseln, zwischen zwei Servern aufgebaut, die über das Netzwerk/Internet verbunden sind. Damit können alle Benutzer auf dem einen Server mit allen Benutzern auf dem anderen Server ohne Benutzer-Interaktion sicher kommunizieren.
|
|
|
|
Wie verschlüssele ich alle Mails an eine bestimmte Domäne mit einem Schlüssel?
Bei der Verschlüsselung muss auf dem Server des Versenders der öffentliche Schlüssel des Empfängers erreichbar sein. Damit die Verschlüsselung für alle Adressen des empfangenden Unternehmens funktioniert, unabhängig von der Empfängeradresse, führen Sie ein Mapping der E-Mail-Adressen auf den entsprechenden Schlüssel durch:
*@domaene.de gemappped auf PublicKey_der_Firma_info@domaene.de.
*@domaene.de gemappped auf PublicKey_der_Firma_info@domaene.de.
|
|
|
|
Wie funktioniert Server-zu-Client Verschlüsselung?
Die Server-Client-Verschlüsselung funktioniert genauso wie die Server-Server-Verschlüsselung mit dem Unterschied, dass auf der Empfängerseite anstelle eines Servers ein Client die E-Mail entschlüsselt. Ein Mapping ist nicht erforderlich, wenn mit dem empfangenden Unternehmen nicht ohnehin eine Server-Server-Verschlüsselung eingerichtet ist.
Ausgehende Mails werden dann automatisch am Server mit dem öffentlichen Schlüssel des (externen) Empfängers verschlüsselt.
Ausgehende Mails werden dann automatisch am Server mit dem öffentlichen Schlüssel des (externen) Empfängers verschlüsselt.
|
|
|
|
Wie mache ich bereits verschlüsselte Dateien für mich lesbar?
Um ausgehende Mails nach der Verschlüsselung wieder "lesbar" zu machen, verschlüsseln Sie diese Mails nicht nur mit dem öffentlichen Schlüssel des Empfängers, sondern gleichzeitig mit Ihrem eigenen öffentlichen Schlüssel. So können Sie die Mail mit dem eigenen privaten Schlüssel entschlüsseln. Dazu tragen den Namen des eigenen Schlüssels zusätzlich im "Recipient-Parameter" ein.
|
|
|
|
Was passiert bei nicht vorhandenen öffentlichen Schlüsseln meiner Kommunikationspartner?
Wenn der öffentliche Schlüssel für ausgehende Mails nicht vorhanden oder korrupt ist, kann die Mail nicht verschlüsselt werden. In den Konfigurationseinstellungen der iQ.Suite haben Sie die Möglichkeit festzulegen, ob solche Mails unverschlüsselt versendet oder entsprechend der Konfiguration in die Quarantäne gestellt werden sollen.
Wenn der öffentliche Schlüssel für eingehende Mails nicht vorhanden oder korrupt ist, kann eine eventuell vorhandene Signatur des Absenders nicht verifiziert werden, da dazu der öffentliche Schlüssel des Absenders benötigt wird. In diesem Fall kann eine entsprechende Information an den Benutzer gesendet oder die E-Mail entsprechend der Konfiguration in die Quarantäne gestellt werden.
Wenn der öffentliche Schlüssel für eingehende Mails nicht vorhanden oder korrupt ist, kann eine eventuell vorhandene Signatur des Absenders nicht verifiziert werden, da dazu der öffentliche Schlüssel des Absenders benötigt wird. In diesem Fall kann eine entsprechende Information an den Benutzer gesendet oder die E-Mail entsprechend der Konfiguration in die Quarantäne gestellt werden.
|
|
|
|
