BSI-Projekt “EasyGPG”: E-Mail Verschlüsselung vereinfachen

18.02.2020 | Blog

Der Austausch von E-Mails ist eines der wichtigsten Mittel zur Übermittlung von Informationen im wirtschaftlichen, behördlichen und privaten Bereich. Dabei kommt es trotz der Gesetzeslage immer wieder zu Verletzungen der Datensicherheit. Zwar erhöhen Maßnahmen wie eine Transportverschlüsselung das Schutzniveau, doch können Daten auch von Servern, auf denen sie schlecht geschützt und unverschlüsselt gespeichert werden, unkontrolliert abfließen. Blindes Vertrauen in die Betreiber von E-Mail-Servern ist ebenfalls nicht immer gerechtfertigt.

Quelle Titel Image: by ⇑Gerd Altmann from Pixabay
Quelle Beitrag: by ⇑Bundesamt für Sicherheit in der Informationstechnik

Beim Mailverkehr lässt sich diesem Missstand wirksam mit Ende-zu-Ende-Verschlüsselung (E-2-E) begegnen. Die heute existierenden technischen Möglichkeiten für eine solche Verschlüsselung werden in der Praxis jedoch kaum eingesetzt. Der Grund dafür ist überwiegend eine mangelnde Nutzerfreundlichkeit bei Installation, Konfiguration und dem Gebrauch der aktuellen Lösungen. Ein akzeptabler Schutz beim Datenaustausch steht aus den genannten Gründen somit nur Experten zur Verfügung. Dieser Umstand ist durch die immer häufiger auftretenden Daten- und Identitätsmissbrauchsfälle als kritisch anzusehen. Daher ist es dringend erforderlich, eine Lösung zur Ende-Zu-Ende-Verschlüsselung bereitzustellen, die so einfach und nutzerfreundlich ist, dass sie allgemein eingesetzt werden kann.

Das Ziel des BSI-Projektes “EasyGPG” ist die einfache, nutzerfreundliche und effektive E-Mail-Verschlüsselung, bei der entscheidende Vorgänge automatisiert werden und der Nutzer mit der zugrunde liegenden Technik nicht konfrontiert wird. Dabei sollen trotz der ausgeprägten Nutzerfreundlichkeit keine Einbußen bei der Informationssicherheit gemacht werden. Die Hauptpunkte sind:

  1. Private und öffentliche Schlüssel werden automatisch erzeugt.
  2. Öffentliche Schlüssel werden automatisch verteilt.
  3. Nachrichten werden per Voreinstellung verschlüsselt und signiert.
  4. Veröffentlichung und Bereitstellung der Software.

Um diese Ziele zu erreichen müssen die Mail User Agents (MUAs) entsprechend angepasst und die verwendeten Protokolle erweitert werden. Auf Seiten der MUAs ist dabei eine ausgeprägte Nutzerfreundlichkeit und eine möglichst “transparente” Anbindung des Kryptografie-Backends wesentlich.

Web Key Directory (WKD) und WKD-Protokoll

Innerhalb des Projektes “EasyGPG” wurden entsprechende Erweiterungen für E-Mail Provider entwickelt, um deren Nutzern eine vereinfachte Implementierung und Anwendung von Ende-zu-Ende-Verschlüsselung anbieten zu können:

  • Ein HTTPS-Verzeichnis mit dem Namen Web Key Directory (WKD), aus dem öffentliche Schlüssel zur E-Mail Verschlüsselung geladen werden können.
  • Ein zugehöriges Werkzeug mit dem Namen WKD-Protokoll, um automatisch öffentliche Schlüssel im Web Key Directory zu veröffentlichen und zu aktualisieren. Damit kann optional der administrative Aufwand für das Web Key Directory reduziert werden. Eine Anleitung, wie ein WKD-Protokoll aufgesetzt werden kann, befindet sich auf der ⇑Web Key Seite.

Was ist ein Web Key Directory (WKD)?

Mit “Web Key Directory” können öffentliche Schlüssel auf einfache Weise über eine HTTPS-Abfrage aus einem URL-Verzeichnis des Dienstanbieters bezogen werden. Damit wird ein wichtiger Teil der Prozesse zur Anwendung von E-Mail-Verschlüsselung, nämlich der Schlüsseltausch, sehr stark vereinfacht. Der sichere Austausch von E-Mails und Dateien kann so von den Nutzerinnen und Nutzern leichter aktiviert und – auch in der täglichen E-Mail-Kommunikation – eingesetzt werden.

Im Unterschied zu den bisher genutzten öffentlichen Key Servern werden beim integrierten Web Key Directory nur authentifizierte E-Mail Adressen inklusive des öffentlichen Schlüssels veröffentlicht. Über das integrierte WKD-Protokoll wird der E-Mail-Server des jeweiligen Anbieters zum maßgeblichen und zuverlässigen Bezugspunkt für den richtigen öffentlichen Schlüssel der jeweiligen E-Mail-Adresse. Denn durch ein Verifizierungsverfahren, idealerweise über die explizite Bestätigung des E-Mail-Nutzers selbst, werden öffentlicher Schlüssel und E-Mail-Adresse fest verknüpft. Eine Verwechselung kann somit weitestgehend ausgeschlossen werden.

Wie funktioniert das Web Key Directory (WKD)?

Der große Vorteil des WKD-Verzeichnisses ist die Automatisierung der Prozesse zur Zuordnung von E-Mail-Adresse und öffentlichem Schlüssel sowie die Verteilung des öffentlichen Schlüssels. Damit das System funktioniert, muss WKD sowohl vom eingesetzten E-Mail-Programm des Nutzers, als auch vom E-Mail Service Provider unterstützt werden. Dann können der Server und das E-Mail-Programm automatisiert die öffentlichen Schlüssel austauschen und anwenden, um die E-Mails zu verschlüsseln. Hierfür laufen dann folgende Schritte im Hintergrund der jeweiligen E-Mail-Programme ab:

  • Das E-Mail-Programm des Senders fragt eine bestimmte URL in der Domäne des E-Mail Service Providers des Empfängers ab.
    Für die E-Mail Adresse “max.muster@easy-gpg.de”könnte die dazugehörige URL so aussehen:

    https://easy-gpg.de/.well-known/openpgpkey/hu/g8td9rsyatrazsoiho37j8n3g5ypp34h

  • Ist dort der öffentliche Schlüssel für die Mailadresse des Empfängers verfügbar, wird dieser über HTTPS heruntergeladen und lokal gespeichert.
  • Der heruntergeladene öffentliche Schlüssel kann jetzt ohne weitere Aktionen des Anwenders genutzt werden, um E-Mails an den Empfangenden zu verschlüsseln.
  • Wird erneut eine Mail verschlüsselt an diesen Empfänger versendet, kann der öffentliche Schlüssel direkt aus dem lokalen Speicher genutzt werden und muss nicht nochmal heruntergeladen werden.

Ist dort der öffentliche Schlüssel für die Mailadresse des Empfängers verfügbar, wird dieser über HTTPS heruntergeladen und lokal gespeichert.Der heruntergeladene öffentliche Schlüssel kann jetzt ohne weitere Aktionen des Anwenders genutzt werden, um E-Mails an den Empfangenden zu verschlüsseln.Wird erneut eine Mail verschlüsselt an diesen Empfänger versendet, kann der öffentliche Schlüssel direkt aus dem lokalen Speicher genutzt werden und muss nicht nochmal heruntergeladen werden.

Was bedeutet WKD für die E-Mail-Nutzer?

Ist das WKD-Protokoll in beiden E-Mail-Programmen der Kommunikationspartner integriert und haben beide einmal die E-Mail-Verschlüsselung aktiviert, ist die Anwendung danach einfach. Der Nutzer oder die Nutzerin wählt den Empfänger oder die Empfängerin der E-Mail aus. In der Folge werden die Nachrichten standardmäßig automatisch verschlüsselt, sobald das E-Mail-Backend (GPG) die öffentlichen Schlüssel der Kommunikationspartner im lokalen Schlüsselspeicher oder im Web Key Directory findet.

Für ein grundlegendes Niveau an Sicherheit muss der Nutzer oder die Nutzerin den öffentlichen Schlüssel nicht mehr prüfen und muss den öffentlichen Schlüssel auch nicht mehr selbst manuell verwalten.

Unter folgendem Link finden Sie eine ⇑Demo mit Gpg4win / GpgOL dieser Anwendung.

Wie wird WKD von Organisationen installiert?

Um Web Key Directory in die eigene Organisation zu implementieren, können weiterführende Informationen auf den Wiki-Seiten von gnupg.org gefunden werden: ⇑WKDHosting

Voraussetzung ist nur der Zugang zum Webserver der eigenen Domäne.

Für größere Organisationen wird empfohlen, ein komplettes WKD-Protokoll aufzusetzen, welches das automatisierte Veröffentlichen des Web Key Directorys erleichtert.

Technische Details von WKD

Konzepte und technische Details können unter ⇑WKD-Details gefunden werden.

Vertrauens- und Sicherheitsbetrachtungen sind als Teil des Konzeptes AutomatedEncryption dargestellt.

Wo ist WKD bereits implementiert worden?

Folgende Online-Dienste sowie Plattformen haben WKD bisher ganz oder teilweise in ihre Angebote integriert:

GNU Privacy Guard (GnuPG):
  • Das Aufsuchen von Schlüsseln mittels WKD ist in GnuPG seit v2.1.12 implementiert. Seit Version 2.1.23 ist es als Voreinstellung aktiviert.
  • WKD-Protokoll und Client-Tools sind Teil von GnuPG seit v2.1.14.
E-Mail-Clients:

Alle Mail-Clients, die die Option – – locate-keys von GnuPG nutzen, führen automatisch WKD-Abfragen durch.

Bekannte Mail Clients, die WKD unterstützen, sind:

Bekannte Mail Clients, die WKD-Protokoll unterstützen sind:

E-Mail-Service-Provider:

Beispiele von E-Mail-Provider, die WKD anbieten:

Quelle Beitrag: by ⇑Bundesamt für Sicherheit in der Informationstechnik