Transparente Verschlüsselung von E-Mail-Kommunikation

Bachelor Studiengang IT Security

Andreas Kripel, BSc
19.09.2014

Ausgangslage

E-Mails sind im Internet im Klartext unterwegs und können leicht durch Dritte abgegriffen werden. Zum Schutz der Privatsphäre gibt es bereits seit über 20 Jahren Methoden zur Verschlüsselung von E-Mail-Kommunikation, jedoch ist die Verbreitung dieser Verfahren sehr gering. Zu umständlich gestaltet sich die Zertifikats- und Schlüsselverwaltung. AnwenderInnen ohne Security-Hintergrund und ohne kryptographisches Basiswissen sind schlichtweg überfordert von der Komplexität, die diese Verfahren aufweisen. Schon der Einrichtungsaufwand für verschlüsselte E-Mail-Kommunikation gestaltet sich sehr hoch und wird von EntwicklerInnen von E-Mail-Clients nur wenig vereinfacht, obwohl EndanwenderInnen eigentlich nicht gezwungen werden sollten sich mit technischen Details beschäftigen zu müssen.
Dass völlige Transparenz bei Ende-zu-Ende verschlüsselter Kommunikation zwischen TeilnehmerInnen möglich ist, zeigen bekannte Instant Messaging Dienste. Inwieweit Mechanismen von diesen Diensten für die Verschlüsselung von E-Mails adaptierbar sind, zeigt das Konzept dieser Arbeit.

Ziel

Ziel dieser Arbeit ist die Problemerhebung bei der Einrichtung der gängigen Verschlüsselungsmethoden aus Sicht eines Anwenders / einer Anwenderin ohne IT-Hintergrund. Die Ergebnisse der Problemerhebung sollen Verbesserungspotenziale aufzeigen und in ein mögliches Konzept zur transparenten Verschlüsselung von E-Mail-Kommunikation einfließen.

Ergebnis

Aus den gewonnenen Erkenntnissen der Problemerhebung wurden Maßnahmen identifiziert und abgeleitet. Als Ergebnis konnte ein Konzept zur transparenten Verschlüsselung von E-Mail-Kommunikation erstellt werden. Dieses Konzept bietet Personen ohne Security-Hintergrund einfachen Zugang zur E-Mail Verschlüsselung unter Verwendung der derzeit gängigen Lösungen PGP und S/MIME. Ähnlich einem Cloud-Anbieter lassen sich Schlüssel speichern, verwalten und löschen. Die Verteilung der öffentlichen Schlüssel erfolgt vollautomatisch.

Ausblick

E-Mails bleiben auch bei Ende-zu-Ende-Verschlüsselung nicht gänzlich vertraulich, denn Metadaten verraten AbsenderIn, EmpfängerIn und Betreff einer Nachricht. Völlige Vertraulichkeit erfordert die Entwicklung neuer Protokolle, beziehungsweise das System E-Mail neu zu erfinden.

FH-Betreuer: Dipl.-Ing. Dr. Sebastian Schrittwieser