burn a church
Zucht und Ordnung from hell

Es ist ja durchaus ein leidiges Thema, wenn man Leuten, die schon mit dem Empfang und Versand von E-Mails übefordert sind, von Kryptographie überzeugen möchte. Dabei ist das Prinzip weder besonders kompliziert, noch schwer verständlich.

Die Schwächen von E-Mail

Als im August 1982 der erste Entwurf für SMTP, das dem E-Mail-Prinzip zurgunde liegenden Protokoll, vorgestellt wurde, gab es noch kein Internet wie wir es heute kennen, schon gar keinen Spam und unter Vernetzung verstand man eine handvoll Rechner zwischen einigen Universitäten in den Vereinigten Staaten von Amerika.

Im Laufe der Jahre und der explosionsartigen Ausdehnung des Internets wurde SMTP zwar immer mal wieder angepasst, um etwa offene Relais zu verhindern, was Spammern Tür und Tor öffnete, aber im Grunde verschicken wir unsere E-Mails heute genauso wie vor 25 Jahren.

E-Mails verschickt heute allerdings so gut wie jeder, über die Sicherheit des Protokolls macht sich niemand Gedanken. Wenn wir heute eine E-Mail empfangen, haben wir nur geringe Zweifel daran, dass die E-Mail auch tatsächlich vom Absender stammt, den unser Mailclient (Thunderbird, Outlook …) anzeigt. In Wahrheit, kann aber jeder (wirklich jeder) mit einem gültigen Postfach E-Mails mit falschem Absender versenden, versiertere Serveradministratoren kriegen das auch ohne hin und sprechen direkt mit dem Mailserver des Empfängers.

Kennt man diese Voraussetzungen, ist es kein Problem E-Mails von jedem beliebigen Absender zu erstellen, die der Empfänger entsprechend auch wirklich als tatsächlichen Absender identifizieren kann. Das ist kein theoretisches Problem, wer möchte schon E-Mails von seiner Bank, von Freunden und Bekannten, vom Arbeitgeber oder wem auch immer erhalten, die in Wirklichkeit eine ganz andere Person geschrieben hat? Das ist nämlich das Hauptproblem von E-Mails heutzutage - niemand kann garantieren, dass E-Mails tatsächlich vom Absender stammen, den das Mailprogramm meiner Wahl anzeigt.

Die Probe aufs Exempel

Nun kann man ja viel behaupten, aber dieses Problem ist real. Selbst als einfacher Heimbenutzer, kann man im E-Mail Client der Wahl als Absender eine beliebige Adresse eingeben, die als Absender beim Empfänger erscheinen wird. Folgender Dialog zeigt einen E-Mail Versand mit falschem Absender auf reiner SMTP-Protokollbasis. Die E-Mail wird schließlich an eine gültige Web.de-E-Mail-Adresse versendet werden und dort anstandslos akzeptiert werden. Der Übersichtlichkeit wegen, wird jeder Zeile “s:” für Sender und “a:” für die Antwort des Web.de-Servers vorangestellt. Zeilen ohne Prefix sind Ausgaben des Programmes “telnet”, welches ich hier für die Kommunikation verwendet habe (Windows Benutzer können ja ebenfalls mal telnet in der Eingabeaufforderung probieren …). Um weiteren Spam zu vermeiden, habe ich die eigentliche Web.de-Empfängeradresse verschleiert und durch “Postfach postfach@web.de” ersetzt.

# telnet mx-ha01.web.de smtp
Trying 217.72.192.149…
Connected to mx-ha01.web.de.
Escape character is ‘^]’.
s: HELO nohost.com
e: 220 mx39.web.de ESMTP WEB.DE V4.107#114 Mon, 19 Feb 2007 15:59:36 +0100
e: 250 mx39.web.de Hello nohost.com [80.x.x.156]
s: MAIL FROM: Linus Torvalds <torvalds@osdl.org>
e: 250 <torvalds@osdl.org> is syntactically correct
s: RCPT TO: postfach@web.de
e: 250 <postfach@web.de> verified
s: DATA
e: 354 Enter message, ending with “.” on a line by itself
s: From: Linus Torvalds <torvalds@osdl.org>
s: To: Postfach <postfach@web.de>
s: Subject: Hallo!
s:
s: Wie, sowas geht?
s: .
e: 250 OK id=1HJA04-0000qS-00
s: QUIT
e: 221 mx39.web.de closing connection
Connection closed by foreign host.

Nebenstehendes Bild zeigt die E-Mail, wie sie Web.de im Webmailfrontend anzeigt. Selbst erfahrene Benutzer werden diese E-Mail nicht auf den ersten Blick als Fälschung identifizieren. Im Gegenteil, es gibt praktisch keine Hinweise darauf, dass diese E-Mail eine Fälschung ist. Es gibt eigentlich nur einen einzigen, wenn man auf “erweiterten Header” klickt, zeigt sich eine verräterische Absender-IP-Adresse. Das ist jedoch nur Benutzern ersichtlich, die TCP/IP sprechen - und diese brauchen nicht erst Hinweise auf die Lücken von SMTP/E-Mail.

Abhilfe schaffen

Es gibt also keine praktikable Methode ausgehend vom E-Mail-Standard anhand einer empfangenen E-Mail auf den tatsächlichen Absender zu schließen. Es gibt aber schon seit Jahren einen etablierten Standard, mit dem man bequem und einfach den Absender verifizieren kann: PGP bzw. dessen freie Abwandlung GnuPG/GPG. Idee des Prinzips ist, dass man E-Mails um eine digitale Unterschrift erweitert. Über diese Unterschrift kann der Empfänger einwandfrei nachvollziehen, ob eine empfangene E-Mail tatsächlich vom Absender stammt.

Im Zeitalter von E-Mails ist eine derartige Unterschrift natürlich nicht mehr von Hand, sondern digital. Es ist eine Ziffernsumme, die mit entsprechender Software überprüft und einem Absender zugeordnet werden kann. Der Empfänger pflegt wie gewohnt eine Kontaktliste von bekannten Kontakten in seinem Adressbuch, die allerdings um einen Schlüssel erweitert wird (der Fachmann spricht von Public Keys) - anhand dieses Schlüssels, kann der Empfänger überprüfen ob er den Absender kennt und ob er auch jener ist, als der er sich ausgibt.
Realisiert wird das ganze über eine digitale Signatur, eine Integritätsprüfung, die mit einem persönlichen Schlüssel erzeugt wird. Eine E-Mail sieht - signiert - wie folgt aus:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Dies ist eine ganz gewöhnliche E-Mail. Automatisch an diese E-Mail wird
allerdings eine (scheinbar) wirre Ziffernsumme angehängt, über die die
Identität des Absenders nachvollzogen werden kann.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.3 (GNU/Linux)

iD8DBQFF2ctF/mk2QsOm6lkRAj63AJ0bvnOm2yKYPcHBtsPTtpyXu3K4eACfdCU9
WBqU0YhSlSoqBIFgE+MdIRQ=
=l7er
-----END PGP SIGNATURE-----

Die E-Mail bleibt (von der seltsam anmutenden Signatur abgesehen) also unangetastet und weiterhin lesbar. Benutzt der Empfänger ebenfalls dieses System, kann er nun nachvollziehen, ob diese Nachricht

tatsächlich vom Absender kommt. Mozilla Thunderbird Benutzern möchte ich hier nachdrücklich Enigmail an das Herz legen. In Thunderbird mit Enigmail sieht dies dann wie nebenstehend gezeigt aus. Auf den ersten Blick zeigt Thunderbird, ob der Absender verifiziert werden konnte.

Mit dem richtigen Plugin, gibt es keine größeren Umstände, sowohl für Sender als auch den Empfänger, E-Mails zu signieren. Ein sehr geringer Aufwand im Vergleich zum Nutzen - eigentlich unverständlich, dass Sicherheit bei E-Mails nicht ernster genommen wird, angesichts der Menge und der Abhängigkeit wie viele von uns E-Mails verwenden.

Verschlüsselung gibts gratis

Unerwähnt, aber ebenfalls möglich bietet das selbe Verfahren auch die Möglichkeit E-Mails (und angehängte Daten) zu verschlüsseln. Dem durchschnittlichen Anwender ist wohl nicht klar, dass E-Mails an vielen verschiedenen Stellen von vielen Personen gelesen werden können. Ohne weitere Behinderung oder der Möglichkeit, dass dies Sender oder Empfänger bemerken würde. Eine E-Mail ist nicht sicherer als eine Postkarte, die vom Postboten zum neurgierigen Nachbarn von vielen verschiedenen Personen gelesen werden können. Aus diesem Grund sollte jeder seine E-Mails nach Möglichkeit verschlüsseln, selbst völlig belanglose E-Mails. Wieso? Habe ich etwa etwas was zu ververbergen? Ja! Natürlich habe ich das! Niemand hat sich dafür zu interessieren, was ich wem schreibe, selbst wenn der Inhalt völlig belanglos ist. Ich habe ein Recht auf Privatsphäre und das nehme ich auch an. Jeder sollte das.

Kategorien

Eingeordnet unter: Überwachung, Free as in free speech und Technik

Verwandte Artikel

• Windows Vista ist Unfug - aber Linux auch (5)
• Von (Un-)Sicherheit im WLAN (3)
• Privatsphäre im Internet: ein rares Gut (3)
• Mit FiSH verschlüsselt ins IRC (8)
• Lighttpd - Web 2.0 und Unmut (3)