Welches Verfahren ist für die Verschlüsselung zu empfehlen?

  • Inhaltsverzeichnis

    Dies ist ein kurzer Vergleich der beiden etablierten Verschlüsselungs-Methoden S/MIME und OpenPGP im Bereich der Kommunikation per E-Mail.

    Neben einigen proprietären Verfahren haben sich für die [lexicon='Verschlüsselung',''][/lexicon] von E-Mails hauptsächlich zwei Verfahren etabliert:

    • [lexicon='GnuPG',''][/lexicon] bzw. [lexicon='Open-PGP',''][/lexicon] als Quasi-Standard, vor allem im privaten Umfeld, und
    • [lexicon='S/MIME',''][/lexicon] mit X.509-Zertifikaten, vor allem im behördlichen und kommerziellen Umfeld, zunehmend aber auch bei Privatnutzern.

    1 Gemeinsamkeiten beider Verfahren

    • Beides sind "Publik-Key-Verfahren", arbeiten also mit Schlüsselpaaren aus privaten (geheimen) und öffentlichen Schlüsseln.
    • Beides sind hybride Verfahren, nutzen also sowohl asymmetrische Kryptografie zum Schlüsselaustausch als auch symmetrische Kryptografie zum Verschlüsseln des Kontents, also der Daten.
    • Beide Verfahren gelten als sehr gut dokumentiert und als sehr sicher. Zu beachten ist jedoch, dass der Quellcode neuerer [lexicon='PGP',''][/lexicon]-Versionen nicht mehr offen gelegt ist. Deshalb wird die Benutzung von [lexicon='GnuPG',''][/lexicon] empfohlen. In den weiteren Ausführungen wird darum nur [lexicon='GnuPG',''][/lexicon] erwähnt. [lexicon='PGP',''][/lexicon] und [lexicon='GnuPG',''][/lexicon] sind weitestgehend kompatibel.

    2 Unterschiede, Vor- und Nachteile (keine Wertung!)

    • Der "Hauptnachteil" beider Verfahren ist, dass sie nicht untereinander kompatibel sind. Sie werden sich also bei der Auswahl des Verfahrens auch danach richten müssen, welches Verfahren ihre Adressaten nutzen.
    • [lexicon='PGP',''][/lexicon] hat den Vorteil und genießt den Ruhm, dass es als "Kryptografie für die Massen" schon lange vorher verfügbar war, bevor sich jeder kostenlose oder preisgünstige X.509-[lexicon='Zertifikate',''][/lexicon] beschaffen konnte. Daraus resultiert hauptsächlich die Beliebtheit unter privaten Anwendern.
    • [lexicon='GnuPG',''][/lexicon] wird von einigen wenigen Mailclients direkt unterstützt (kmail, The Bat! usw.), für andere Programme (Thunderbird, OE usw.) können problemlos Zusatzmodule installiert werden. Die Nutzung der Zwischenablage für die Ver- und Entschlüsselung ist bei allen Mailclients möglich.
    • [lexicon='S/MIME',''][/lexicon] ist integrierter Bestandteil fast aller gängigen Mailclients (selbstverständlich auch bei Thunderbird). Daraus resultierend ist die Nutzung von [lexicon='S/MIME',''][/lexicon] nach Meinung des Verfassers etwas einfacher bzw. systemkonformer.
    • Beide Verfahren ermöglichen es, dass die öffentlichen Schlüssel der Adressaten von Schlüsselservern bezogen werden können. Zusätzlich zu dieser Möglichkeit kommt noch bei [lexicon='S/MIME',''][/lexicon] die Möglichkeit der automatischen Gültigkeitsprüfung der [lexicon='Zertifikate',''][/lexicon] über OCSP-Server, Sperrlisten usw. hinzu.
    • Mit [lexicon='GnuPG',''][/lexicon] werden der sichtbare Mailinhalt und nach Wunsch auch die Mailanhänge verschlüsselt.
    • [lexicon='S/MIME',''][/lexicon] verschlüsselt grundsätzlich den gesamten Kontent (also den sichtbaren Mailinhalt und die Anhänge). Es wird lediglich der Header (die Kopfzeilen - einschließlich Betreffzeile!) unverschlüsselt übertragen. [lexicon='PGP',''][/lexicon]/MIME stellt eine ähnliche Funktionalität bereit.
    • Während mit [lexicon='GnuPG',''][/lexicon] auch sonstige Dateien auf der Festplatte verschlüsselt werden können, ist [lexicon='S/MIME',''][/lexicon] ausschließlich für die [lexicon='Verschlüsselung',''][/lexicon] von E-Mails geeignet. Selbstverständlich wird das X.509-[lexicon='Zertifikat',''][/lexicon] als Schlüssel für eine Vielzahl weiterer hochsicherer Verschlüsselungsverfahren (u. a. das EFS unter Windows) genutzt.
    • Der Hauptunterschied besteht in der Beschaffung der Schlüssel:
      • [lexicon='GnuPG',''][/lexicon]-Nutzer produzieren und signieren ihre Schlüssel selbst. Durch gegenseitige [lexicon='Signatur',''][/lexicon] (auf "Key-Partys" oder durch die [lexicon='Signatur',''][/lexicon] von anerkannten Autoritäten (z. B. Heise-Verlag) entsteht ein "Web of Trust".
      • X.509-[lexicon='Zertifikate',''][/lexicon] werden durch so genannte Trustcenter produziert.
    • [lexicon='GnuPG',''][/lexicon] nutzt fast ausschließlich Softwareschlüssel, [lexicon='S/MIME',''][/lexicon] hauptsächlich [lexicon='Zertifikate',''][/lexicon] auf Chipkarten, aber auch Softwareschlüssel (-Token). Es gibt auch Anbieter, welche [lexicon='GnuPG',''][/lexicon]-Lösungen auf Chipkarten anbieten; dies ist aber nicht Bestandteil dieser Dokumentation.
    • Während die Sicherheit der digitalen [lexicon='Signatur',''][/lexicon] von [lexicon='GnuPG',''][/lexicon] "unter Freunden", also im privaten Bereich, völlig ausreichend ist, ist eine gesetzeskonforme digitale [lexicon='Signatur',''][/lexicon] (also auch gegenüber Behörden und Firmen) nur mit einem X.509-[lexicon='Zertifikat',''][/lexicon] zu erreichen.


    Vorschlag: Beide Verfahren einfach mal ausprobieren und je nach Bedarf (je nach Empfänger) anwenden.

    Beteiligte Autoren

    Graba, Peter_Lehmann, Thunder