1040623

Mails mit Zertifikat signieren und verschlüsseln

13.01.2011 | 13:08 Uhr |

Kommt eine Nachricht wirklich von der Person, die man kennt? Mit einem Zertifikat kann man eine E-Mail fälschungssicher signieren und den kompletten Inhalt verschlüsseln - ohne zusätzliche Software.

Fingerabdruck
Vergrößern Fingerabdruck

Wer im Web Geldgeschäfte tätigt oder auf entsprechend ausgerüsteten Servern von Behörden sensible Informationen eingibt, hat Zertifikate (wenn auch unbewusst) genutzt. Ausgestellt von einer Certification Authority (CA) (Zertifizierungsstelle), stellen sie für den Benutzer des Webservices sicher, dass die besuchte Website tatsächlich die ist, die der Benutzer aufrufen wollte.

Bei der ersten Kommunikation überträgt der Server sein Zertifikat mit dem öffentlichen Schlüssel an den Besucher beziehungsweise dessen Webbrowser. Dieser prüft, ob er dem empfangenen Zertifikat trauen kann. Dazu schaut er in die Liste seiner Zertifikate, die bereits installiert sind, und versucht, die Signatur des Server-Zertifikats mit einem der vorhandenen Zertifikate zu verifizieren. Besteht das Zertifikat die Prüfung, startet der Server eine verschlüsselte Datenübertragung. Ansonsten wird der Benutzer gefragt, ob er das Zertifikat prüfen und akzeptieren will.

Nicht einfach akzeptieren

Diese Rückfrage ist eine echte Schwachstelle: Viele Menschen reagieren darauf ohne großes Kopfzerbrechen mit einem Klick auf "Akzeptieren". Wenn man das Zertifikat aber nicht überprüft, sondern es einfach akzeptiert, kommuniziert man unter Umständen mit einem betrügerischen Server. Schlimmer noch, der Mac "merkt" sich die Tatsache, dass der Benutzer ein Zertifikat akzeptiert hat, und fragt bei der nächsten Kommunikation nicht mehr nach. Man sollte ein Zertifikat also immer aufrufen und prüfen, ob es vom System als gültig markiert ist und ob der im Zertifikat genannte Kommunikationspartner der ist, mit dem man eine Kommunikation aufbauen wollte.

Außerdem erlauben Zertifikate die Verschlüsselung der Informationsübertragung zwischen Webbrowser und Server - erkennbar am Beginn der Internetadresse "https" und am kleinen Schlosssymbol im Browser.

Zertifikate für E-Mails

Derselbe Mechanismus lässt sich bei E-Mails für die Übermittlung vertraulicher Daten nutzen. Das Zertifikat des Absenders enthält dessen öffentlichen Schlüssel, so dass der Empfänger sicher sein kann, dass die Mail auch vom genannten Absender kommt. Wenn der Empfänger über ein eigenes Zertifikat verfügt (das von einer anderen CA ausgestellt sein kann), kann er damit abhörsicher antworten.

Kostenloses Zertifikat für Macs

Sind beiden Personen die öffentlichen Schlüssel des jeweils anderen bekannt, kann man nicht nur unterschreiben, sondern den Inhalt der Nachricht verschlüsseln. Auch hier kommt der private Schlüssel des Empfängers im Zusammenspiel mit dem öffentlichen des Versenders beim Entschlüsseln zum Einsatz. Der komplette Vorgang erfordert keine Benutzeraktion. Der Nutzer muss lediglich einmalig ein solches Zertifikat beantragen und installieren, kann dann Mails bei Bedarf signieren und verschlüsseln. Das deutsche Unternehmen Trustcenter bietet solche Zertifikate kostenlos an.

0 Kommentare zu diesem Artikel
1040623