Email - signieren, verifizieren und verschlüsseln

[EJC]

Hallo zusammen.

Ich habe zwei Fragen bzgl. Email Verschlüsselung.

1.
Der Anbieter, über den wir unser Exchange Zertifikat haben, bietet auch die Möglichkeit für Email Zertifikate.
Verifizierung und Signierung (also die rote Schleife in Outlook) ist mir dabei durchaus geläufig. Das haben einige unserer Kunden im Einsatz und das funktioniert ja auch ohne Probleme und ohne Zutun vom Empfänger.
Was den Bereich Verschlüsselung angeht, so wurde mir durch den Anbieter versichert, dass es da auch keine Probleme gibt und der Empfänger auch nichts machen muss - öffentliches Zertifikat. Finden tu ich im Netz aber immer nur Artikel und Anleitungen, die davon sprechen, das der Empfänger auch ein Zertifikat bekommen muss, damit er die Mail wieder entschlüsseln kann. Bekommt er da nun von dem öffentlichen Zertifikatsanbieter ein entsprechendes Zertifikat automatisch dazu oder muss ich da irgendwas manuell machen, bzw. der Empfänger?

2.
Ich nehme an, dass das mit Office 365 (mit Exchange Plan) genauso funktioniert, wie mit einem lokalen Exchange? Zertifikate in Outlook einbinden und nutzen?


Vielen Dank schonmal vorab!

 

[nkler]

Ohne den Anwendungsfall in Outlook im Detail zu kennen, kenne ich die Grundprinzipien der Asymmetrischen Verschlüsselung.
Die E-Mail wird vor dem Versenden mit dem Public Key des Empfängers verschlüsselt.
Der Empfänger kann diese dann mit seinem Private Key entschlüsseln.

 

[Ponderosa]

Bei GPG4Win steht dass jeder, also Absender und Empfänger der Emails das Zertifikat haben muß.
8 Verbreitung des öffentlichen Zertifikats

 

[EJC]

Also wenn ich es richtig verstanden habe, dann habe ich ja mein privates Zertifikat, das bekomme ich ja auch entsprechend dann. Und das öffentliche Zertifikat kommt ja dann vom Anbieter. Also sollte es ja dann doch funktionieren?

 

[Masamune2]

Willst du eine verschlüsselte Mail versenden musst du sie mit dem öffentlichen SChlüssel des Empfängers verschlüsseln. Er kann sie dann wieder mit seinem privaten Schlüssel entschlüsseln.
Hier liegt eben die Krux bei verschlüsselten Mails, nicht du als Versender entscheidest das du eine Mail verschlüsselt versendest, sondern der Empfänger entscheidet mit dem Kauf eines Zertifikats das er verschlüsselte Mails empfangen will.
Es müssen beide Parteien über Schlüsselpaare verfügen damit es komplett Sinn ergibt.

 

[EJC]

Hm, also das ist aber genau der Punkt, den ich ja auch nachgefragt hatte. Das hier bekam ich als Antwort:

"Der Empfänger braucht nichts zu tun, da er den öffentlichen Schlüssel des Zertifikats zur Entschlüsselung der Informationen verwendet. Die Person, die die E-Mail öffnet, liest sie einfach als normalen Text, obwohl die E-Mail über das Internet verschlüsselt wurde."

Eben weil ich ja das auch schon gelesen hatte, dass man auf beiden Seiten etwas tun muss dafür.

@Masamune2 Das würde ja dann bedeuten, dass eigentlich keiner Emails verschlüsseln wird, weil dass nur gehen würde, wenn alle Kommunikationspartner mitziehen. Das wäre eher utopisch.

Letztenendes könnte ich das dann ja nur auf die Signierung runterbrechen. Die Empfänger können sich an der roten Schleife im Client erfreuen und Ende. Das wäre schade, weil eine Verschlüsselung doch sehr schön wäre.

 

[Masamune2]

Theoretisch kann man es so machen und deine Mails mit dem privaten Schlüssel verschlüsseln, dann kann aber JEDER mit dem öffentliche Teil die Mail lesen. Das widerspricht dem Sinn einer Verschlüsselung.
Was man in dem Fall macht ist die Mail zu signieren. Dabei wird dein privater Schlüssel verwendet und jeder kann die Echtheit mit dem öffentlichen Schlüssel gegenprüfen.

Wenn es wirklich verschlüsselt sein soll müssen beide Kommunikationsteilnehmer mitziehen. Das ist auch der Grund warum bis heute nicht einfach jeder Mail grundsätzlich verschlüsselt ist.

 

[EJC]

Ich hab die Dame vom Vertrieb mal gebeten, mir eine verschlüsselte Mail zu schicken, damit ich sehen kann, wie das funktioniert oder eben auch nicht.

Ergänzung (2. Februar 2022)

Theoretisch kann man es so machen und deine Mails mit dem privaten Schlüssel verschlüsseln, dann kann aber JEDER mit dem öffentliche Teil die Mail lesen. Das widerspricht dem Sinn einer Verschlüsselung.

Wer wäre denn "JEDER" ? Sollte das nicht durch den Zertifikatsanbieter geschützt/kontrolliert/geregelt sein?

 

[Masamune2]

Nein der öffentliche Schlüssel heißt halt so weil er öffentlich ist und von jedem verwendet werden kann. Mit jeder Mail die du signierst schickst du den mit und in der Regel veröffentlicht man den auch noch irgendwo auf seiner Seite oder in einem Verzeichnis (eher bei PGP der Fall, weniger bei SMIME).
Was der Zertifikatsanbieter regelt ist, dass die Angaben in dem Zertifikat stimmen, also E-Mail Adresse, Name, Firmendaten und so weiter. Das wiederum signiert er mit seinem eigenen Schlüssel und macht es so für alle überprüfbar.

 

[EJC]

Ok, das habe ich verstanden.

Da die Möglichkeit der Verschlüsselung ja so oder so mit kommt, unabhängig von der Signierung, kann ich das ja losgelöst testen. Ich kann ja in Outlook Signierung und Verschlüsselung getrennt an- oder abwählen, wenn ich das richtig gesehen habe.

Vielen Dank für die Aufklärung und Hilfestellung.

 

[Ranayna]

Ein verschluesseln mit deinem privaten Schluessel, was dann mit deinem oeffentlichen Schluessel entschluesselt werden kann, ist "Signieren"
Denn deinen privaten Schluessel hast (hoffentlich) nur nur, also kann der Empfaenger der deinen oeffentlichen Schluessel hat sie entschluesseln, und weiss dann, das du die verschickt hast.

"Verschluesseln" ist dann genau umgekehrt. Du verschluesselst die Mail mit dem oeffentlichen Schluessel des Empfaengers. Nur der Empfaenger hat seinen privaten Schluessel, also kann nur er sie entschluesseln.

Man kann das eine ohne das andere Machen, aber im Allgemeinen macht das keinen Sinn...

Dein Mailclient, zumindest Outlook macht es bei S/MIME meines wissens so, verschluesselt die Mail uebrigends nochmal separat fuer dich selber mit deinem oeffentlichen Schluessel, damit du auch die verschickte Mail selber noch oeffnen kannst.

 

[EJC]

@Ranayna Auch dir danke für die Erklärung. Hilft alles zum Verständnis bei mir

 

[Ponderosa]

Da die Möglichkeit der Verschlüsselung

Da würde ich dann eher BCTextEncoder von Jetico empfehlen.
Damit verschlüsselst du deine Email`s oder sonstiges, und gibst dem Empfänger den Schlüssel.
Nur der kann dann deine Nachricht mit dem Schlüssel lesen.
Das sieht dann so aus.

Passwort in dem Fall ist. TestNachricht

 

[DPXone]

Es gibt auch Ansätze wie DANE ("DNS-based Authentication of Named Entities") in Verbindung mit OpenPGP.
Dabei findet die Vers-/Entchlüsselung auf der Serverebene beim Sender und Empfänger statt, .d. h. nicht der Client entscheidet oder muss sich darum kümmern ob und wie ver-/entschlüsselt wird, sondern deren direktes SMTP-Gateway.

Im Beispiel mit DANE:
Wenn das SMTP-Gateway des Senders und beim Empfänger ebenfalls das SMTP-Gateway und die DNS-Records der Zieldomain dazu eingericht sind (inkl. DNSSEC), dann lässt sich DANE mit OpenPGP mit bestehenden Standards umstezen.

Kann aber leider keinen aktuellen Stand dazu geben, finde die Lösung via DNS und DNSSEC aber nach wie vor die beste Lösung.

PS:
Referenzen:

• https://tools.ietf.org/id/draft-ietf-dane-openpgpkey-09.html
• https://datatracker.ietf.org/doc/html/rfc7929
• https://www.heise.de/newsticker/mel...zierte-OpenPGP-Schluessel-im-DNS-2268917.html
• https://www.ciphermail.com/blog/will-dane-for-smtp-solve-your-gdpr-problems.html