BSI-Projekt “EasyGPG”: E-Mail Verschlüsselung vereinfachen
Der Austausch von E-Mails ist eines der wichtigsten Mittel zur Übermittlung von Informationen im wirtschaftlichen, behördlichen und privaten Bereich. Dabei kommt es trotz der Gesetzeslage immer wieder zu Verletzungen der Datensicherheit. Zwar erhöhen Maßnahmen wie eine Transportverschlüsselung das Schutzniveau, doch können Daten auch von Servern, auf denen sie schlecht geschützt und unverschlüsselt gespeichert werden, unkontrolliert abfließen. Blindes Vertrauen in die Betreiber von E-Mail-Servern ist ebenfalls nicht immer gerechtfertigt.
Quelle Titel Image: by ⇑Gerd Altmann from Pixabay Quelle Beitrag: by ⇑Bundesamt für Sicherheit in der Informationstechnik
Beim Mailverkehr lässt sich diesem Missstand wirksam mit Ende-zu-Ende-Verschlüsselung (E-2-E) begegnen. Die heute existierenden technischen Möglichkeiten für eine solche Verschlüsselung werden in der Praxis jedoch kaum eingesetzt. Der Grund dafür ist überwiegend eine mangelnde Nutzerfreundlichkeit bei Installation, Konfiguration und dem Gebrauch der aktuellen Lösungen. Ein akzeptabler Schutz beim Datenaustausch steht aus den genannten Gründen somit nur Experten zur Verfügung. Dieser Umstand ist durch die immer häufiger auftretenden Daten- und Identitätsmissbrauchsfälle als kritisch anzusehen. Daher ist es dringend erforderlich, eine Lösung zur Ende-Zu-Ende-Verschlüsselung bereitzustellen, die so einfach und nutzerfreundlich ist, dass sie allgemein eingesetzt werden kann.
Das Ziel des BSI-Projektes “EasyGPG” ist die einfache, nutzerfreundliche und effektive E-Mail-Verschlüsselung, bei der entscheidende Vorgänge automatisiert werden und der Nutzer mit der zugrunde liegenden Technik nicht konfrontiert wird. Dabei sollen trotz der ausgeprägten Nutzerfreundlichkeit keine Einbußen bei der Informationssicherheit gemacht werden. Die Hauptpunkte sind:
- Private und öffentliche Schlüssel werden automatisch erzeugt.
- Öffentliche Schlüssel werden automatisch verteilt.
- Nachrichten werden per Voreinstellung verschlüsselt und signiert.
- Veröffentlichung und Bereitstellung der Software.
Um diese Ziele zu erreichen müssen die Mail User Agents (MUAs) entsprechend angepasst und die verwendeten Protokolle erweitert werden. Auf Seiten der MUAs ist dabei eine ausgeprägte Nutzerfreundlichkeit und eine möglichst “transparente” Anbindung des Kryptografie-Backends wesentlich.
Web Key Directory (WKD) und WKD-Protokoll
- Ein HTTPS-Verzeichnis mit dem Namen Web Key Directory (WKD), aus dem öffentliche Schlüssel zur E-Mail Verschlüsselung geladen werden können.
- Ein zugehöriges Werkzeug mit dem Namen WKD-Protokoll, um automatisch öffentliche Schlüssel im Web Key Directory zu veröffentlichen und zu aktualisieren. Damit kann optional der administrative Aufwand für das Web Key Directory reduziert werden. Eine Anleitung, wie ein WKD-Protokoll aufgesetzt werden kann, befindet sich auf der ⇑Web Key Seite.
Was ist ein Web Key Directory (WKD)?
Im Unterschied zu den bisher genutzten öffentlichen Key Servern werden beim integrierten Web Key Directory nur authentifizierte E-Mail Adressen inklusive des öffentlichen Schlüssels veröffentlicht. Über das integrierte WKD-Protokoll wird der E-Mail-Server des jeweiligen Anbieters zum maßgeblichen und zuverlässigen Bezugspunkt für den richtigen öffentlichen Schlüssel der jeweiligen E-Mail-Adresse. Denn durch ein Verifizierungsverfahren, idealerweise über die explizite Bestätigung des E-Mail-Nutzers selbst, werden öffentlicher Schlüssel und E-Mail-Adresse fest verknüpft. Eine Verwechselung kann somit weitestgehend ausgeschlossen werden.
Wie funktioniert das Web Key Directory (WKD)?
- Das E-Mail-Programm des Senders fragt eine bestimmte URL in der Domäne des E-Mail Service Providers des Empfängers ab.Für die E-Mail Adresse “max.muster@easy-gpg.de”könnte die dazugehörige URL so aussehen:
https://easy-gpg.de/.well-known/openpgpkey/hu/g8td9rsyatrazsoiho37j8n3g5ypp34h
- Ist dort der öffentliche Schlüssel für die Mailadresse des Empfängers verfügbar, wird dieser über HTTPS heruntergeladen und lokal gespeichert.
- Der heruntergeladene öffentliche Schlüssel kann jetzt ohne weitere Aktionen des Anwenders genutzt werden, um E-Mails an den Empfangenden zu verschlüsseln.
- Wird erneut eine Mail verschlüsselt an diesen Empfänger versendet, kann der öffentliche Schlüssel direkt aus dem lokalen Speicher genutzt werden und muss nicht nochmal heruntergeladen werden.
Ist dort der öffentliche Schlüssel für die Mailadresse des Empfängers verfügbar, wird dieser über HTTPS heruntergeladen und lokal gespeichert.Der heruntergeladene öffentliche Schlüssel kann jetzt ohne weitere Aktionen des Anwenders genutzt werden, um E-Mails an den Empfangenden zu verschlüsseln.Wird erneut eine Mail verschlüsselt an diesen Empfänger versendet, kann der öffentliche Schlüssel direkt aus dem lokalen Speicher genutzt werden und muss nicht nochmal heruntergeladen werden.
Was bedeutet WKD für die E-Mail-Nutzer?
Für ein grundlegendes Niveau an Sicherheit muss der Nutzer oder die Nutzerin den öffentlichen Schlüssel nicht mehr prüfen und muss den öffentlichen Schlüssel auch nicht mehr selbst manuell verwalten.
Unter folgendem Link finden Sie eine ⇑Demo mit Gpg4win / GpgOL dieser Anwendung.
Wie wird WKD von Organisationen installiert?
Voraussetzung ist nur der Zugang zum Webserver der eigenen Domäne.
Für größere Organisationen wird empfohlen, ein komplettes WKD-Protokoll aufzusetzen, welches das automatisierte Veröffentlichen des Web Key Directorys erleichtert.
Technische Details von WKD
Vertrauens- und Sicherheitsbetrachtungen sind als Teil des Konzeptes AutomatedEncryption dargestellt.
Wo ist WKD bereits implementiert worden?
GNU Privacy Guard (GnuPG):
- Das Aufsuchen von Schlüsseln mittels WKD ist in GnuPG seit v2.1.12 implementiert. Seit Version 2.1.23 ist es als Voreinstellung aktiviert.
- WKD-Protokoll und Client-Tools sind Teil von GnuPG seit v2.1.14.
E-Mail-Clients:
Alle Mail-Clients, die die Option – – locate-keys von GnuPG nutzen, führen automatisch WKD-Abfragen durch.
Bekannte Mail Clients, die WKD unterstützen, sind:
- ⇑Thunderbird/Enigmail 2.0
- ⇑KMail seit Version 5.6
- Outlook mit ⇑GpgOL seit Version 2.2.0
Bekannte Mail Clients, die WKD-Protokoll unterstützen sind:
- ⇑Thunderbird/Enigmail 2.0
- ⇑KMail seit Version 5.6
- Outlook mit ⇑GpgOL (basic, pre-release) seit Version 2.2.1
E-Mail-Service-Provider:
Beispiele von E-Mail-Provider, die WKD anbieten:
- ⇑Posteo.de bietet WKD und WKD-Protokoll seit Dezember 2016 für alle @posteo.de-Adressen.
- ⇑Netzguerilla.net bietet WKD seit Oktober 2017 an.
- ⇑Mailbox.org bietet WKD an.
- Selbstgehostete E-Mail-Server, die caesonia – ein ⇑OpenBSD E-Mail Service betreiben.
Quelle Beitrag: by ⇑Bundesamt für Sicherheit in der Informationstechnik