Die Ankündigung, dass im April De-Mail um eine Ende-zu-Ende Verschlüsselung auf Basis von Mailvelope angereichert werden soll, ist sehr zurückhaltend aufgenommen worden. Bisher war eine wesentliche Kritik an De-Mail die fehlende Ende-Zu-Ende Verschlüsselung.
Was ist eigentlich der Unterschied zwischen einer TLS-Transport-Verschlüsselung und einer Ende-zu-Ende Verschlüsselung wie OpenPGP oder S/Mime?
Bei einer TLS-Transport-Verschlüsselung wird der Mail-Verkehr zwischen zwei Mail-Servern oder zwischen dem Mail-Klienten komplett verschlüsselt. Die einzelnen unverschlüsselten E-Mails werden – wie in einem Tunnel – geschützt übertragen. Ein Lauscher sieht nur noch, dass Mail-Server A mit Mail-Server B Daten austauscht. Er sieht nicht mehr, wer wem eine E-Mail schickt.
Auf den beteiligten Mailservern liegen die E-Mails unverschlüsselt und damit ist der Provider technisch in der Lage die E-Mails zu lesen (auch wenn er es rechtlich nicht darf). Deshalb propagierten Experten immer, dass „nur“ eine TLS-Transport-Verschlüsselung Blödsinn sei.
Die Abbildung zeigt eine unverschlüsselte und eine mit S/Mime
verschlüsselte E-Mail (Die Header der E-Mail wurden stark verkürzt). In
der verschlüsselten E-Mail sind Absender, Empfänger, Zeitpunkt und
Betreff immer noch im Klartext zu lesen: nur der Mail-Body und
eventuelle Anhänge werden verschlüsselt. Die berühmte Speicherung und
Analyse der Meta-Daten durch die NSA ist auch bei der verschlüsselten
E-Mail immer noch möglich ohne eine Verschlüsselung zu knacken.
Dies macht deutlich das wird beides dringend brauchen: die TLS-Transport-Verschlüsselung, damit die Header der Mail beim Transport zwischen den Mail-Servern verschlüsselt sind und die Ende-zu-Ende-Verschlüsslung, damit der Provider die Mail-Inhalte nicht lesen kann.
In diesem Zusammenhang ist es auch wichtig, dass wir in unserem Mail-Klienten (Outlook, Thunderbird oder wie immer er heißt) die Verschlüsslung für SMTP und POP3 oder IMAP aktivieren.
Die Einführung der TLS-Transport-Verschlüsslung durch Projekte wie De-Mail und „E-Mail made in Germany“ ist zu begrüßen. Aber OpenPGP und S/Mime sind auch unverzichtbar. Erst im Zusammenspiel beider Mechanismen wird ein vernünftiges Gesamtpaket daraus.
RSS