Unfoobar


Weil foobar nun mal jeder kann.

Mit Signaturen gegen verseuchte E-Mails

Tutorial vom 20.09.2018

Zur Zeit sind wieder einmal massenhaft E-Mails in Umlauf, die Links zu gefährlichen Office-Dokumenten von ominösen Seiten enthalten. Besonders gefährlich sind dabei die verwendeten Absender, da der Ersteller solch einer E-Mail eine Absenderadresse einträgt, die dem Empfänger meist bekannt ist. So werden an Arbeitsgruppen vermeintliche E-Mails der Sekretärin geschickt mit dem Link zu einer Rechnung und ihrer korrekten E-Mail-Adresse als Absender. Viele Nutzer sind ja bereits durch die jüngsten Ransomware-Wellen etwas sensibilisiert und allgemein vorsichtiger beim Herunterladen und Öffnen von Dateien aus E-Mails und von fremden Seiten. Dennoch macht besonders das sehr authentische Erscheinungsbild sowie der augenscheinlich vertrauenerweckende Urheber diese E-Mails wieder sehr gefährlich. Und immer wieder kommt die Frage: Wie kann ich mich schützen?

Signaturen werden schon seit langer Zeit verwendet. Die klassische Signatur ist die Unterschrift, wodurch ein Dokument mit einer Identität verknüpft und dessen Information dadurch bestätigt wird. Digitale Signaturen haben prinzipiell die gleiche Aufgabe, aber dabei sehr strikte Anforderungen. Eine digitale Signatur soll nicht gefälscht werden können, darf nur von der zugehörigen Person ausgestellt und nicht nach der Ausstellung anderweitig verwendet werden. Dazu muss sie authentisch sein und verlässlich überprüft werden können. Bei einer signierten E-Mail kann der Empfänger also sicher sein, dass der angegebene Absender auch korrekt ist und die E-Mail von ihm verfasst wurde.

Nun läuft der Großteil des alltäglichen E-Mail-Verkehrs allerdings nach wie vor unverschlüsselt und unsigniert ab. Während sich die "Ende-zu-Ende-Verschlüsselung" im Web immer weiter verbreitet und Sicherheitsstandards an vielen Ecken weiter erhöht werden, bleibt die klassische E-Mail da noch etwas auf der Strecke. Das ist sicherlich nicht zuletzt der Vielzahl an Anbietern geschuldet und der mangelnden Verbreitung von einheitlichen Lösungen, da die native Integration solcher Kryptofunktionen in die verbreiteten E-Mail-Clients nur sehr schleppend voranschreitet. Dennoch ist es mit überschaubarem Aufwand möglich, seine E-Mail-Kommunikation mittels PGP (Pretty Good Privacy) signiert und auch verschlüsselt zu vollziehen. Heise schrieb dafür letztes Jahr eine sehr gute Anleitung und bringt die Verbreitung von PGP mittels ihrer Krypto-Kampagne immer weiter voran.

Ein PGP-Schlüsselpaar kann sich jeder auf seinem Heimrechner selber erzeugen. Es besteht immer aus einem privaten und einem öffentlichen Schlüssel (Asymmetrische Verschlüsselung). Der öffentliche Schlüssel wird auf einem Keyserver (z.B. pgp.mit.edu) veröffentlicht und ist so für jedermann zugänglich, wohingegen der private Schlüssel bei dessen Besitzer sicher verwahrt wird. Ein PGP-Schlüssel ist immer mit einer E-Mail-Adresse verknüpft, wodurch damit dann eine Signatur nur für diese Adresse erstellt werden kann. Das Problem dabei: Wie kann ich als Empfänger überprüfen, ob die E-Mail-Adresse und dieser Schlüssel auch wirklich zu der einen Person gehören und nicht von einem Dritten einfach frei erstellt wurden? Genau dafür können Schlüssel von anderen Personen signiert werden. So bestätigt eine weitere Person, dass dieser eine PGP-Schlüssel auch wirklich zu der angegebenen Identität und dessen E-Mail-Adresse gehört. Dadurch entsteht ein großes "Web of Trust" und man kann auf einem Keyserver zu jedem öffentlichen Schlüssel einsehen, wer alles dessen Identität und Korrektheit überprüft und bestätigt hat. Heise bietet genau dafür mit der Krypto-Kampagne eine Anlaufstelle, welche den PGP-Schlüssel eines jeden Nutzers durch Vorlage des Personalausweises und Angabe der E-Mail-Adresse signiert und damit seine Herkunft bestätigt. Das Vertrauen wird dann weiter erhöht, wenn der öffentliche Schlüssel von vielen unabhängigen Stellen signiert wurde. Meinen persönlichen öffentlichen PGP-Schlüssel mit allen Signierungen könnt ihr auf pgp.mit.edu einsehen.

Und wie hilft uns der ganze Spaß nun bei dem anfänglich geschilderten Problem? Das Hauptproblem ist das einfache Fälschen eines Absenders und die Undurchsichtigkeit, wer jetzt tatsächlich der Urheber ist. Genau dort kommen die PGP-Signaturen zum Einsatz: Würden alle Kommunikationspartner alle E-Mails signiert verschicken, könnte ich zu jeder empfangenen Nachricht überprüfen, ob der Absender auch wirklich der Verfasser ist. So können Fälschungen leichter entlarvt und die Verbreitung von Schadsoftware eingedämmt werden. Und würde dann auch noch flächendeckend verschlüsselt werden, kämen wir in ein ganz neues Stadium der Abhörsicherheit...


Gib deinen Senf dazu