E-Mail-Verschlüsselung

Perfect Forward Secrecy - was ist das?

PFS nutzen

Damit PFS genutzt werden kann, müssen sowohl Server als auch Client diese Art der SSL-Verschlüsselung unterstützen. Client-seitig ist diese Unterstützung bei den aktuellen Versionen der gängigen Browser und Mail-Programme gegeben. Serverseitig bieten ebenfalls alle gängigen SSL-Libraries wie Microsofts SChannel, OpenSSL oder GnuTLS Unterstützung für PFS an. Allerdings ist hierfür ein aktuelles Betriebssystem Voraussetzung. Die populäre Library OpenSSL unterstützt beispielsweise PFS erst ab Version 1.0, die nicht auf älteren Betriebssystemen verfügbar ist.

Sofern der Server über eine passende SSL-Library verfügt, kann PFS in der Konfiguration des entsprechenden Dienstes aktiviert werden. Durch den flexiblen Verbindungsaufbau von SSL ist es außerdem möglich, den Dienst auch weiterhin für ältere Clients, die PFS nicht nutzen können, anzubieten. Bei korrekter Konfiguration handeln Server und Client dann die stärksten Verschlüsselungsalgorithmen zu Beginn der Verbindung selbstständig aus.

Typischerweise verfügt ein SSL-gesicherter Dienst daher über mehrere Profile, die er dem Client anbieten kann. Auf diesem Screenshot sind die Profile des 1&1-SMTP-Servers zu sehen:

Profile, die ECDHE für den Schlüsselaustausch enthalten, bieten dem 1&1-Kunden PFS. In den bevorzugten Profilen (Prefered Server Ciphers) ist PFS ebenfalls enthalten.
Profile, die ECDHE für den Schlüsselaustausch enthalten, bieten dem 1&1-Kunden PFS. In den bevorzugten Profilen (Prefered Server Ciphers) ist PFS ebenfalls enthalten.
Foto: 1&1 Internet AG

Dass ECDHE (Elliptic Curve Diffie-Hellman Exchange) als möglicher Algorithmus zum Schlüsselaustausch angeboten wird, zeigt, dass Kunden PFS mit diesem Server nutzen können - bei 1&1 und anderen E-Mail-Anbietern der Initiative "E-Mail made in Germany" ist ein SSL-Profil mit PFS mittlerweile standardmäßig voreingestellt. Besonderes Know-how oder tieferes Technikverständnis sind somit nicht erforderlich, um die eigene Kommunikation besser zu schützen.

Natürlich ist auch PFS kein Allheilmittel, das absolute Sicherheit garantieren kann. Die Software schützt nicht vor fehlerhaften Implementierungen, sorglosem Umgang mit einem geheimen Schlüssel oder gebrochenen Verschlüsselungsalgorithmen. Immer wenn Kryptografie zum Einsatz kommt, müssen Security-Experten deshalb ständig am Ball bleiben: Patches einspielen, Schlüssellängen prüfen, gebrochene Algorithmen tauschen und auf aktuelle Bedrohungslagen reagieren. Ansonsten hält man nur die kleine Schwester vom Mitlesen ab. (sh)