Zwei Welten

Die beiden gängigsten Verfahren für die Ende-zu-Ende-Verschlüsselung von E-Mails entsprechen gegensätzlichen Philosophien, was das Key-Management anbelangt. Anwender stehen vor der Frage: hierarchische Struktur oder Web-of-Trust?

Nur selten wandern elektronische Briefe über die Leitungen eines Virtuellen Privaten Netzes (VPN), wo alle Daten von Haus aus chiffriert sind. In der Regel legt ein Absender seine Post auf einem Mailserver ab, der die Nachrichten unverändert über das Internet an den Mailverteiler des Empfängers weiterreicht. Damit die Korrespondenz dennoch geheim bleibt, muß sie kodiert werden. Man spricht in diesem Fall von einer Objekt- oder Ende-zu-Ende-Verschlüsselung, weil der Absender und der Empfänger für die Sicherheit verantwortlich sind und jedes einzelne der ausgetauschten Dokumente kodieren beziehungsweise dekodieren.

Der Empfänger einer verschlüsselten Nachricht kann nur dann Klartext lesen, wenn er den passenden Schlüssel besitzt. Zum Entziffern braucht er die Zahlenkombination, mit der der Absender chiffriert hat. Nun müssen die Korrespondenzpartner aber diese Geheimnummern nicht persönlich austauschen. Dazu dienen sogenannte "Public-Key-Verfahren", welche die Daten mit einem öffentlichen Schlüssel des Empfängers chiffrieren und nur mit einer privaten Zahlenkombination des Adressaten wieder lesbar machen. Beide Schlüssel, der öffentliche und der private, gehören zusammen und bilden ein Paar. Damit dem Absender die öffentliche Nummer bekannt ist, legt sie der Adressat auf einem Key-Server ab.

Doch Key-Server ist nicht gleich Key-Server. Es gibt unterschiedliche Arten, die Schlüssel in einer verteilten Datenbank der Öffentlichkeit zugänglich zu machen. Zudem erfüllen diese zentralen Stellen noch eine weitere Aufgabe. Sie verwalten elektronische Zertifikate, welche für die Zusammengehörigkeit eines Schlüssels und einer Mailadresse bürgen. Auch die Form solcher Zertifikate ist nicht bei allen Schlüsselbanken dieselbe. Die Unterschiede führen dazu, daß nicht alle E-Mail-Benutzer einander kodierte Nachrichten zu verschicken können. Die Welt der Anwender ist zweigeteilt.

Eine der beiden Hemisphären regiert das Verfahren "Secure Multipurpose Internet Mail Extensions" (S/MIME), die andere "Pretty Good Privacy" (PGP). Bei beiden handelt es sich um mehr oder weniger standardisierte Methoden für alles, was mit E-Mail-Verschlüsselung zusammenhängt. Zu beiden existiert Software, die Nachrichten mit schnellen, symmetrischen Schlüsseltechniken wie "Data Encryption Standard" (DES), TripleDES, "International Data Encryption Algorithm" (IDEA) oder Blowfish kodiert, diese mit Public-Keys austauscht und zudem öffentliche Schlüssel managt und die dazugehörenden Zertifikate verwaltet.