E-Mail verschlüsseln
Das Verschlüsselungsprogramm PGP oder GnuPG als Basis
Zum Weitergeben von Daten über unsichere Kanäle wie z.B. dem Internet sowie zur Kommunikation allgemein eignet sich wegen der sogannten asymmetrischen Verschlüsselung vor allem GnuPG, dass mit dem offenen und bewährten PGP bzw. OpenPGP-Standard verschlüsselt.
Aufgrund asymmetrischer Verschlüsselung muss kein Passwort ausgetauscht werden. Dieses müssten Sie ja andernfalls zuvor über einen sicheren Kanal übertragen, der nicht immer auf die Schnelle existiert. Ansonsten könnten Sie die Daten über diesen oft nicht vorhandenen Kanal austauschen.
Deshalb wird von jedem Kommunikationspartner ein sogenanntes Schlüsselpaar für asynchrone Verschlüsselung bzw. PGP erstellt, welches aus einem öffentlichen und einem privaten Schlüssel besteht.
Für verschlüsselte Kommunikation muss und darf lediglich der sogenannte öffentliche Schlüssel ausgetauscht werden. Diese öffentlichen Schlüssel dürfen auch veröffentlicht oder aus öffentlich zugänglichen Quellen wie z.B. Webseiten heruntergeladen werden.
Der private Schlüssel und der öffentliche Schlüssel
Der öffentliche Schlüssel ist zwar zum Verschlüsseln geeignet, jedoch nicht zum Entschlüsseln. Deshalb darf der öffentliche Schlüssel frei kopiert, weitergegeben und veröffentlicht werden, vergleichbar mit einem Stapel ausschliesslich an Sie adressierter verschliessbarer Briefumschläge.
Jeder kann mit einem öffentlichen Schlüssel Daten für den jeweiligen Besitzer verschlüsseln.
Um mit einem öffentlichen Schlüssel verschlüsselte Daten wieder zu entschlüsseln wird der zugehörige private Schlüssel benötigt, den der/die jeweilige KommunikationspartnerIn grundsätzlich für sich behält und der dem Brieföffner gleicht, der genau zu den vorher verteilten verschliessbaren Briefumschlägen passt.
Eine andere Analogie wären offene Vorhängeschlösser, die Sie frei verteilen können und mit denen jedeR (öffentlicher Schlüssel) Ihnen etwas abschliessen kann. Aber nur Sie, weil sie die Schlüssel der Vorhängeschlösser behalten und nicht aus der Hand gegeben haben (privater Schlüssel) können mit diesen Vorhängeschlössern verschlossenes wieder entsperren.
Ist ein Schlüssel tatsächlich von der Person, der ich Vertrauliches mitteilen möchte?
Um zu überprüfen, ob mensch wirklich den öffentlichen Schlüssel des jeweiligen Kommunikationspartners nutzt, lassen sich z.B. telefonisch die als “Fingerprint” bezeichneten Prüfsummen der Schlüssel vergleichen.
Sonst riskiert mensch in eine Falle zu tappen, indem ein Schlüssel eines Angreifers, der die Daten damit auch entschlüsseln kann, genutzt wird.
Ein gefälschter Schlüssel kann ja durchaus auf die eigentlich vertrauenswürdige E-Mail-Adresse bzw. Person ausgestellt sein, in einer verschlüsselten Mail ankommen oder unterwegs oder auf einem Server ausgetauscht werden.
E-Mail-Verschlüsselung automatisieren
Durch entsprechende Plugins wie Enigmail ist das Verschlüsseln von E-Mail mittlerweile sehr komfortabel geworden und wird nach dem bei jedem Kommunikationspartner nur einmal nötigen Austausch der Schlüssel ab diesem Zeitpunkt automatisch erledigt.
