11Aug
Angesichts der großen Besorgnis über staatliche Überwachung, Unternehmensspionage und alltäglichen Identitätsdiebstahl mag es überraschend erscheinen, dass so wenige Menschen verschlüsselte E-Mail-Nachrichten verwenden. Versuchen Sie, verschlüsselte E-Mails zu verwenden, und Sie werden feststellen, dass die Verwendung schwierig und kompliziert ist.
Verschlüsselte E-Mails bereiten Kopfschmerzen. Sie können mit der Komplexität umgehen, aber auch die Leute, mit denen Sie kommunizieren wollen, müssen damit umgehen.
Verschlüsseln eigener E-Mails im Vergleich zu verschlüsselten E-Mail-Diensten
Hier unterscheiden wir zwei Arten der E-Mail-Verschlüsselung. Es gibt einige Dienste, die eine leicht verschlüsselte E-Mail anbieten. Sie werden die Verschlüsselung für Sie an ihrem Ende behandeln und den Ärger über die Verwaltung der Verschlüsselungsschlüssel aus Ihren Händen nehmen. Wenn Sie mit demselben Dienst verschlüsselte E-Mails zwischen zwei Konten senden, bleiben die verschlüsselten E-Mail-Nachrichten im Dienst selbst sicher.
Dies scheint verlockend, aber es öffnet sich eine große Schwäche. Sie vertrauen darauf, dass der Dienst Ihre Verschlüsselung verarbeitet, und Dienste wie Lavabit wurden von Regierungen gezwungen, den Zugriff auf verschlüsselte E-Mail-Nachrichten ihrer Kunden zuzulassen. Die US-Regierung forderte sogar private Schlüssel von Lavabit, die ihnen Zugriff auf die verschlüsselten E-Mails aller Kunden gewähren.
Wenn Sie wirklich privat und sicher kommunizieren möchten, sollten Sie die E-Mail-Verschlüsselung selbst behandeln. Dies bedeutet, dass Sie Ihre eigenen Verschlüsselungsschlüssel generieren und schützen müssen, anstatt sie mit einem verschlüsselten E-Mail-Dienst zu speichern.
Funktionsweise der E-Mail-Verschlüsselung
Wenn wir über verschlüsselte E-Mails nachdenken, denken wir normalerweise an die PGP-Verschlüsselung, aber es gibt andere Standards wie die in Microsoft Outlook integrierte S / MIME-Verschlüsselungsfunktion. Wenn Sie PGP verwenden, haben Sie einen öffentlichen Schlüssel und einen privaten Schlüssel. Sie geben Personen den öffentlichen Schlüssel, die Ihnen eine E-Mail senden möchten. Sie verwenden den öffentlichen Schlüssel, um ihre E-Mails zu verschlüsseln, und Sie können ihre E-Mails nur mit Ihrem privaten Schlüssel entschlüsseln. Um PGP zu verwenden, müssen Sie also ein öffentliches / privates Schlüsselpaar generieren, Ihren privaten Schlüssel sichern und Ihren öffentlichen Schlüssel an jeden weitergeben, der Ihnen eine E-Mail senden möchte. Die Person, mit der Sie kommunizieren, muss auch verstehen, wie verschlüsselte E-Mail-Nachrichten verschlüsselt, gesendet, empfangen und entschlüsselt werden und ihr eigenes Schlüsselpaar benötigt.
Der Inhalt der E-Mail erscheint als zufälliges Kauderwelsch, genau wie der Inhalt einer verschlüsselten Datei als unsinnige, bedeutungslose Daten erscheint, bis die Datei entschlüsselt wird.
Beachten Sie, dass ein Großteil einer E-Mail unsicher ist, selbst wenn Sie eine verschlüsselte E-Mail verwenden. Die Betreffzeile, die Felder "An" und "Von" werden im Allgemeinen unverschlüsselt gesendet, sodass Überwachungsagenturen, die den Internetverkehr überwachen, überwachen können, wer mit wem kommuniziert und sogar den Betreff jeder E-Mail sehen. Die E-Mail-Verschlüsselung ist ein Patch auf einem unverschlüsselten System und verschlüsselt nur den Nachrichtentext.
Wie Sie tatsächlich verschlüsselte E-Mail
verwenden Würde die Theorie nicht beachten. Hier erfahren Sie, wie Sie verschlüsselte E-Mails verwenden.
Die meisten Menschen neigen dazu, webbasierte E-Mail-Dienste wie Gmail, Outlook.com und Yahoo! E-Mail. Bei diesen Diensten ist diese Funktion nicht integriert( obwohl Google Gerüchten zufolge an der Integration der PGP-Verschlüsselung in Gmail arbeitet).Sie müssen dazu eine Browser-Erweiterung verwenden. Mailvelope scheint zu funktionieren und bietet PGP-Unterstützung, die auf Webmail-Sites wie Gmail funktioniert. Sie müssen es in Ihrem Webbrowser installiert haben, um die E-Mail-Verschlüsselung zu verwenden.
Diese Funktion ist auch nicht in die zugehörigen mobilen Apps integriert. Sicher, Sie können auf diese verschlüsselte E-Mail-Nachricht in Ihrem Webbrowser mit einer Erweiterung zugreifen, aber wie lesen Sie es auf Ihrem Smartphone? Dazu benötigen Sie eine spezielle App. Sie können nicht einfach die Google Mail-App oder die standardmäßige Mail-App verwenden, die in Ihrem Telefon enthalten ist. K-9 Mail bietet PGP-Unterstützung für Android, wenn Sie beispielsweise auch APG installiert haben.
Die Dinge sind kompliziert, auch wenn es Desktop-E-Mail-Clients gibt, die dies besser integrieren können. Beispielsweise verfügt Microsoft Outlook über eine integrierte Funktion zum digitalen Signieren und Verschlüsseln von E-Mails, verwendet jedoch S / MIME und ist nicht mit PGP kompatibel.
Das beliebteste Dienstprogramm zum Verschlüsseln von E-Mails ist die Enigmail-Erweiterung für Mozilla Thunderbird. Mozilla hat die Entwicklung von Thunderbird eingestellt und wird es eines Tages einstellen, daher ist dies kaum eine ideale Lösung. Die Enigmail-Erweiterung integriert OpenPGP in den Thunderbird-Desktop-E-Mail-Client und bietet Ihnen die erforderlichen Schlüsselgenerierungs-, Verschlüsselungs- und Entschlüsselungsoptionen. Sie müssen die GNU Privacy Guard( GnuPG) -Software separat installieren.
Sie können nur verschlüsselte E-Mails in einem Client verwenden, der PGP unterstützt. Auch wenn Sie Thunderbird verwenden, müssen Sie überlegen, was Sie tun müssen, wenn Sie in einem Webbrowser, auf Ihrem Smartphone, auf Ihrem Tablet oder auf einem System ohne Ihren privaten Schlüssel auf diese E-Mails zugreifen müssen.
Die Probleme mit verschlüsselten E-Mails
Hier ist eine kurze Zusammenfassung dessen, was Sie bei der Verwendung verschlüsselter E-Mails erleben werden:
- Sie müssen verstehen, wie die Public-Private-Key-Verschlüsselung funktioniert, ein Schlüsselpaar generieren und der Person Ihren öffentlichen Schlüssel bereitstellenmöchte mit kommunizieren.
- Andere Leute, mit denen Sie kommunizieren möchten, müssen auch all diese Dinge verstehen und tun.
- Beide Personen müssen ihre privaten Schlüssel sicher aufbewahren, damit sie nicht kompromittiert werden oder verloren gehen. In diesem Fall verlieren Sie den Zugriff auf die E-Mails. Sie müssen außerdem Ihr Widerrufszertifikat aufbewahren, da es Ihren öffentlichen Schlüssel ungültig machen kann, wenn Sie Ihren privaten Schlüssel verlieren.
- Ihre privaten Schlüssel müssen mit einer sicheren Passphrase verschlüsselt sein, die Sie sich merken müssen, die sich von Ihrem Passwort für das E-Mail-Konto unterscheidet.
- Sie müssen sicherstellen, dass Sie den gleichen E-Mail-Verschlüsselungsstandard verwenden, unabhängig davon, ob es sich um PGP, S / MIME oder einen anderen Standard handelt.
- Sie müssen eine Drittanbieterlösung verwenden - entweder eine Browsererweiterung, eine Smartphone-App oder ein E-Mail-Client-Plug-in. Wenn Sie sich für die am besten unterstützte Option entscheiden, müssen Sie einen E-Mail-Client, eine Erweiterung und ein Verschlüsselungssoftwarepaket separat installieren.
- Sie benötigen eine Mischung aus verschiedenen Smartphone-Apps und Desktop-Lösungen, wenn Sie auf allen Ihren Geräten auf Ihre E-Mails zugreifen möchten.
- Auch wenn Sie all diese Dinge tun, werden die Leute immer noch in der Lage zu sehen, mit wem Sie kommunizieren und was die Themen Ihrer Nachrichten sind.
Mit all dieser Komplexität - und selbst wenn Sie PGP richtig benutzen - gibt es so viele Informationen, dass verschlüsselte E-Mails so wenig genutzt werden. Es ist auch nicht verwunderlich, dass sich Menschen dafür entscheiden, Dienste wie Lavabit zu nutzen, die eine bequeme Möglichkeit darstellen, die Verschlüsselung benutzerfreundlich zu gestalten, aber tatsächlich viel weniger zuverlässig sind als das Verschlüsseln eigener E-Mails.