Wem vertrauen Sie? S/MIME-Zertifikate in der Praxis

Erfreulicherweise nimmt der Einsatz von E-Mail-Verschlüsselung und E-Mail-Signierung zu. Es gibt keinen anderen Weg, die Vertraulichkeit von E-Mails zu gewährleisten. An dieser Stelle möchte ich nicht auf die prinzipiellen Möglichkeiten oder die unterschiedlichen Verfahren eingehen, sondern ausschließlich auf Risiken beim S/MIME-Verfahren hinweisen. S/MIME ist nicht prinzipiell schlecht; man darf diese Technik jedoch, wie jede Technik, nicht blind einsetzten, sondern muss sich auch als Benutzer und somit evtl. Laie der Schwächen des Prinzips bewußt sein.

Das Prinzip von S/MIME

Das S/MIME-Verfahren zur Verschlüsselung und Signierung von E-Mails ist in allen aktuellen Mailprogrammen vorhanden. Das Verfahren beruht auf einer Vertrauenshierarchie: Einige zentrale Instanzen, normale Firmen, gelten „per Definition“ als vertrauenswürdig. Dies sind die sogenannten CAs (Certificate Authorities). Diese vertrauen nun anderen Firmen, den Unter-CAs und diese ggf. wiederum Unter-Unter-CAs. Und irgendeine dieser Unter-Unter-CAs bestätigt in einem Zertifikat, dass Sie „Sie“ sind oder Ihr E-Mail-Partner derjenige ist, der er vorgibt, zu sein. Sie vertrauen nun der CA und damit automatisch allen Unter-CAs, Unter-Unter-CAs, etc. sowie allen Zertifikaten, die diese ausgestellt haben. Sie wissen genau, wie die Unter-Unter-CAs Ihre E-Mail-Partner geprüft haben? Sie kennen die internen Maßnahmen aller  (Unter-)CAs genau und sind sich sicher, dass keine „falschen“ Zertifikate ausgestellt werden? OK, damit haben Sie schon die große Schwäche dieses Verfahrens entdeckt. Sie können einem solchen Zertifikat nicht blind vertrauen. Hinzu kommt noch, dass es in den letzten Monate mehrfach „elektronische“ Einbrüche bei CAs und Unter-CAs gegeben hat und es so einen unbefugten Zugriff auf die Zertifizierungsinfrastrukturen gab.

In dem meisten E-Mail-Programmen sind die Zertifikate der CAs jedoch als „vertrauenswürdig“ eingetragen, es wird also eine trügerische Vertrauenswürdigkeit vorgetäuscht: Von E-Mails mit von diesen CAs „unterschriebenen“ Zertifikaten werden mit  einem „Siegel“-Symbol versehen. Sie wissen nun, dass Sie diesem Symbol nicht unüberprüft trauen können.

Es gibt noch einen weiteren Grund für das Misstrauen. Nahezu jede (Unter-)CA bietet verschiedene Qualitäten an: Das eine Zertifikat bestätigt nur, dass die angebliche  Absender-E-Mail-Adresse richtig ist, das andere Zertifikat, dass die E-Mail von der Person verschickt wurde, die im Namen des Zertifikates steht. An den Symbolen im E-Mailprogramm können Sie das nicht unterscheiden. Vielmehr müssen Sie sich die Details der Zertifikate ansehen und überprüfen, wass die CA dort reingeschrieben hat. Ein Text wie „Persona Not Validated“ sagt relativ eindeutig aus, dass die Person eben nicht überprüft wurde. Ein Text wie „Digital ID Class 1“ hat die selbe Bedeutung, ist aber erheblich weniger eindeutig. Und der Aufwand, an ein solches, faktisch nicht viel aussagendes Zertifikat zu kommen, entspricht 5 Minuten: Man braucht nur temporären Zugang zum E-Mail-Server und bekommt das Zertifikat zugeschickt.

Ihre Folgerungen

Die Folgerungen sind einfach:

  1. Vertrauen Sie keinen CAs und von diesen unterschriebenen Zertifikaten, die Sie nicht kennen. Am besten entfernen Sie die CAs aus der Liste vertrauenswürdiger CAs in Ihrem E-Mailprogramm. Dann können Sie gezielt die CAs aufnehmen, denen Sie vertrauen (z. B. Ihrem Arbeitgeber, wenn  dieser eine eigene PKI (Public-Key-Infrastruktur) betreibt und die Personen korrekt überprüft).
  2. Überprüfen Sie die Zertifikate, die an den E-Mails dranhängen. Bei jedem Zertifikat gibt es einen „elektronischen Fingerabdruck“, eine große Zahl. Gleichen Sie diese (einmalig) telefonisch mit Ihrem Partner ab, dann wissen Sie, dass E-Mails, die mit diesem Zertifikat signiert sind, „echt“ sind.
  3. Haben Sie die nicht-vertrauenswürdigen Zertifikate aus Ihrem E-Mailprogramm entfernt (siehe 1.), dann können Sie die telefonisch überprüften Zertifikate aus 2. Ihrem E-Mail-Programm hinzufügen: In Zukunft wird Ihr E-Mailprogramm nur bei genau diesen Absendern das „Siegel“ anzeigen – und Sie müssen den Fingerabruck in Zukunft nicht mehr manuell prüfen.
  4. Das gleiche gillt für die Verschlüssellung in umgekehrter Richtung: Schließlich sollen Ihre Mails ja für den Empfänger passend verschlüsselt sein und nicht für einen dubiosen E-Mail-Partner.

Wenn Sie Fragen haben oder Verschlüsselung bei sich oder Ihrem Unternehmen einführen wollen: Sprechen Sie mich an.

 

Markierungen: , , ,

Antwort schreiben

Sie müssen angemeldet sein um einen Kommentar zu verfassen.