Zum Hauptinhalt springen
p-square GmbH - Logop-square GmbH - Logo

Encrypted Communication

E-Mail-Verschlüsselung und Signatur

Eine E-Mail ist erst einmal wie eine Postkarte: jeder, der sie in den Händen hält (oder über deren Server sie geleitet wird), kann den Inhalt lesen oder verarbeiten. Und auch in einem anderen Aspekt ist eine E-Mail wie eine Postkarte: man weiß nicht, ob der Absender wirklich derjenige ist, der er vorgibt zu sein.

Dafür gibt es Lösungen:

  • Content Verschlüsselung (z.B. S/MIME oder OpenPGP): Die E-Mail wird mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und mit dem nur dem Empfänger bekannten privaten Schlüssel wieder entschlüsselt.
  • Transport Verschlüsselung (z.B: STARTTLS): Die E-Mail selbst bleibt zwar unverschlüsselt, aber der Transportkanal zwischen zwei Mailservern wird verschlüsselt. Dabei können noch weitere Optionen dazu kommen: soll die Verschlüsselung erzwungen oder nur angeboten werden? Soll auch die Identität geprüft werden oder nur eine Verschlüsselung aufgebaut?
  • Signatur durch den Anwender (z.B. S/MIME oder OpenPGP): Die E-Mail wird mit dem privaten Schlüssel des Absenders signiert und die Signatur wird mit dem öffentlichen Schlüssel des Absenders geprüft.
  • Signatur durch Server (z.B. DKIM): Der versendende E-Mail-Server signiert die E-Mail mit seinem privaten Schlüssel, der Empfänger ruft den öffentlichen Schlüssel aus dem Domain Name Service (DNS) ab und prüft die Signatur

Die verschiedenen Methoden aber unterschiedliche Vor- und Nachteile und Möglichkeiten der Implementierung: Ende zu Ende, Server zu Server oder Kombinationen daraus - mit unterschiedlichem Aufwand was den Austausch von Schlüsselmaterial und die Anwenderfreundlichkeit und Transparenz für den Endanwender angeht.

Wir beraten Sie gern bei der Auswahl der zu Ihren Sicherheitsanforderungen passenden Verschlüsselungslösungen!

Trust Store Management

Damit Daten wirklich sicher übertragen werden, reicht es nicht, diese nur nach Stand der Technik zu verschlüsseln. Ebenso gehört eine Prüfung der Authentizität des Kommunikationspartners dazu. Denn es hilft ja nicht, wenn eine E-Mail durch einen verschlüsselten sicheren Kanal übertragen wird, der aber gar nicht zum Empfänger sondern zu einem Angreifer führt. Oder wenn man den Inhalt nach bestem Stand der Technik verschlüsselt, aber einen Schlüssel benutzt, der einem von einem Angreifer untergeschoben wurde.

Man kann theoretisch jeden einzelnen öffentlichen Schlüssel / jedes einzelne Zertifikat manuell verifizieren und hinterlegen - oder man prüft über einen "Trust Anchor": Man vertraut den Ausstellern eines Zertifikats (der sog. root CA) oder einem bestimmten Zwischenzertifikat (intermediate) und prüft über kryptografische Methoden, ob das übermittelte Zertifikat von diesem ausgestellt wurde und gültig ist. Und da kann es je nach Sicherheitsanforderungen und Schutzklassen / -zielen unterschiedlichste Anforderungen geben, die sich auch danach richten, wer der Aussteller des Zertifikats ist und wie intensiv die Identität des Zertifikatsinhabers geprüft wurde. Möglicherweise hat der gleiche Aussteller auch unterschiedliche Zertifikatsketten für strenge und weniger strenge Prüfungen (z.B. domainvalidiert, organisationsvalidiert, erweitere Validierung).

In einem Trust Store oder Key Store werden alle Trust Anchor hinterlegt, aus denen Vertrauen auf einzelne Zertifikate abgeleitet werden kann.

Wir unterstützen hier bei der Auswahl und Pflege der Trust Stores für Ihre konkreten Anforderungen oder der Verifizierung von Schlüsseln / Zertifikaten von Geschäftspartnern.