Im Zeitalter des Computers und der weltweiten Vernetzung spielen elektronische Daten eine wichtige Rolle. Heutzutage ist es einfach und effektiv möglich in die Privatsphäre von Dritten einzudringen, also Zugang zu deren vertraulichen Informationen zu erlangen. Nicht nur Privatleute, auch Firmen, Politiker und Behörden kommunizieren zunehmend per E-Mail. Das Mailaufkommen hat sich exponentiell auf 10 Milliarden EMails am Tag3 erhöht. Persönliche Informationen, Firmengeheimnisse, Kundendaten, Forschungsergebnisse, Patienteninformationen, Umsatzzahlen, Daten zur Abwicklung von Geschäftsvorgängen und viele andere sensible Informationen werden vermehrt über das Internet versendet. Den Weg, den diese Daten zu einer Zieladresse nehmen, kann man im Regelfall weder vorhersagen noch vorherbestimmen. Alle Daten, die unverschlüsselt verschickt werden, sind quasi öffentlich. Vergleichbar wäre der Versand unverschlüsselter E-Mail Kommunikation mit dem Versenden von Postkarten. Das Problem ist jedoch vielen nicht in diesem Ausmaß bekannt, was unter anderem an falschen Analogien liegt. So wird die E-Mail als „elektronischer Brief“ bezeichnet, obwohl es besser „elektronische Postkarte“ heißen müsste. In vielen Programmen und auf vielen Webseiten hat sich der Briefumschlag als Symbol für das Verschicken von EMails durchgesetzt. Genau dieser Umschlag, der Sicherheit suggeriert, fehlt bei unverschlüsselter Internet-Kommunikation. Daher verwundert es nicht, dass E-Mails auf ihrem Weg durch das Internet mitgelesen, gelöscht, verändert oder gespeichert werden können.
Inhaltsverzeichnis
1 Einleitung
1.1 Allgemeines
1.2 Warum Kryptographie?
2 Konzepte
2.1 Symmetrische Verschlüsselung
2.2 Asymmetrische Verschlüsselung
2.3 Hybride Verschlüsselungsverfahren
2.4 Digitale Unterschriften
3 Vorstellung der de-facto Standards
3.1 PGP, OpenPGP und GnuPG
3.2 S/MIME
4 Unterschiede zwischen PGP (GnuPG) und S/MIME
4.1 Sicherheit
4.2 Konzept des Vertrauens
4.2.1 PGP und das Web-of-Trust
4.2.2 S/MIME und Certificate Chains
4.3 Widerruf
5 Gebrauch in der Praxis
5.1 Beispiel einer S/MIME Zertifikat Installation
5.2 Erfahrungen einer Zertifizierungsinstanz
6 Alternativen
7 Kritische Würdigung
8 Literaturverzeichnis
Zielsetzung und thematische Schwerpunkte
Diese Arbeit untersucht den sicheren E-Mail-Verkehr durch einen detaillierten Vergleich der beiden führenden Standards PGP (GnuPG) und S/MIME, um ihre Eignung für verschiedene Sicherheitsanforderungen zu bewerten.
- Grundlagen der Kryptographie (symmetrische und asymmetrische Verfahren)
- Analyse der Standards PGP, OpenPGP und GnuPG
- Untersuchung der Vertrauenskonzepte (Web-of-Trust vs. Certificate Chains)
- Praktische Anwendung und Implementierung von Sicherheitszertifikaten
- Kritische Bewertung der Sicherheit und Quelloffenheit
Auszug aus dem Buch
4.2.1 PGP und das Web-of-Trust
Bei PGP wird das sogenannte Web-of-Trust, ein „Netzwerk gegenseitigen Vertrauens“ angewendet. Dieses dient dazu, die Gültigkeit eines Schlüssels einer Person auch dann anzuerkennen, wenn der ihr zugehörige Schlüssel nicht selber überprüft wurde (s.u.). Bei dem Web-of-Trust unterschreiben die Benutzer ihre Schlüssel, nach Überprüfung der Echtheit, gegenseitig. Jeder Nutzer von PGP hat die volle Kontrolle darüber, wem er wie weit vertraut. Hierzu kann man verschiede Stufen des Vertrauens einstellen.
Unbekannt: Es ist nichts über die Fähigkeit des Eigentümers bekannt. Alle Schlüssel, die einem nicht gehören, fallen zunächst unter diese Vertrauensstufe.
Kein Vertrauen: Der Eigentümer ist dafür bekannt andere Schlüssel nicht korrekt zu unterschreiben.
Teilweises Vertrauen: Der Eigentümer versteht die Implikationen des Unterschreibens von Schlüsseln und authentisiert Schlüssel richtig, bevor er sie unterschreibt.
Volles Vertrauen: Der Eigentümer hat ein ausgezeichnetes Verständnis hinsichtlich des Unterschreibens von Schlüsseln, seine Unterschrift auf einem Schlüssel zählt so viel wie die eigene.
Zu erkennen ist, dass nicht das Vertrauen in die andere Person, sondern das Vertrauen in deren Fähigkeit, Schlüssel sorgfältig zu authentifizieren und richtig zu signieren, entscheidend ist.
Zusammenfassung der Kapitel
1 Einleitung: Die Einleitung beleuchtet die Notwendigkeit von Kryptographie zur Gewährleistung der Vertraulichkeit und Integrität in der heutigen E-Mail-Kommunikation.
2 Konzepte: Dieses Kapitel erläutert die technischen Grundlagen wie symmetrische, asymmetrische und hybride Verschlüsselungsverfahren sowie digitale Signaturen.
3 Vorstellung der de-facto Standards: Hier werden die beiden Standards PGP (inkl. GnuPG) und S/MIME sowie deren historische Entwicklung und Standardisierung vorgestellt.
4 Unterschiede zwischen PGP (GnuPG) und S/MIME: Dieses Kapitel vergleicht die Sicherheitsaspekte, die verschiedenen Vertrauensmodelle (Web-of-Trust vs. PKI) und die Mechanismen für den Schlüsselwiderruf.
5 Gebrauch in der Praxis: Die praktische Implementierung wird anhand der Installation von S/MIME-Zertifikaten sowie durch Erfahrungen eines technischen Supports verdeutlicht.
6 Alternativen: Hier werden frühere Standards wie PEM und MOSS diskutiert sowie die Rolle alternativer Absicherungen wie VPN oder Proxy-Lösungen betrachtet.
7 Kritische Würdigung: Das Fazit stellt die Vor- und Nachteile gegenüber und hebt insbesondere die Bedeutung von quelloffener Software für die Sicherheit hervor.
8 Literaturverzeichnis: Ein Verzeichnis aller verwendeten Quellen und Referenzen.
Schlüsselwörter
Kryptographie, PGP, GnuPG, S/MIME, E-Mail-Sicherheit, Verschlüsselung, Digitale Signatur, Web-of-Trust, Public Key Infrastructure, X.509 Zertifikate, OpenPGP, Quelloffenheit, Datensicherheit, IT-Sicherheit, Certificate Chain.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit behandelt die Sicherheit der E-Mail-Kommunikation im Internet und den Schutz vor unbefugtem Mitlesen oder Manipulieren von Nachrichten.
Was sind die zentralen Themenfelder?
Die zentralen Themen sind der Vergleich zwischen dem PGP-Standard und dem S/MIME-Standard sowie die zugrunde liegenden kryptographischen Vertrauensmodelle.
Was ist das primäre Ziel der Arbeit?
Ziel ist es, die Eignung und Funktionsweise von PGP und S/MIME kritisch zu vergleichen, um Anwendern eine fundierte Entscheidungsgrundlage zu bieten.
Welche wissenschaftliche Methode wird verwendet?
Es handelt sich um eine vergleichende Analyse technischer Spezifikationen und Sicherheitskonzepte, ergänzt durch Praxisbeispiele und Experteninterviews.
Was wird im Hauptteil behandelt?
Im Hauptteil werden die technischen Konzepte (Verschlüsselung, Signaturen), die Standards selbst, deren Vertrauensarchitekturen und die praktische Handhabung untersucht.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die wichtigsten Schlagworte sind Kryptographie, PGP, S/MIME, Web-of-Trust, Public Key Infrastructure und Datensicherheit.
Wie unterscheidet sich das Vertrauenskonzept bei PGP von S/MIME?
PGP nutzt das dezentrale „Web-of-Trust“, während S/MIME auf einer hierarchischen „Public Key Infrastructure“ (PKI) mit zentralen Zertifizierungsstellen (Root CAs) basiert.
Warum betont der Autor die Bedeutung von Quelloffenheit?
Quelloffenheit wird als essenziell angesehen, da nur durch die öffentliche Überprüfbarkeit des Codes das Vertrauen in die Abwesenheit von Hintertüren und Sicherheitslücken gewährleistet werden kann.
- Quote paper
- Patric Majcherek (Author), 2002, Sicherer E-Mail Verkehr: Vergleich von PGP und S/MIME, Munich, GRIN Verlag, https://www.grin.com/document/11640
