"Bei der Verschlüsselung setzen Sie heute in der Regel eine sogenannte asymmetrische Verschlüsselung ein. Das heißt, Sie haben ein Schlüsselpaar, das zusammengehört und was sich aufteilt in einen privaten und einen öffentlichen Schlüssel", sagt Malte Pollmann von der IT-Sicherheitsfirma Utimaco. So ein Schlüsselpaar wird generiert, indem mit großen Primzahlen gerechnet, das Ergebnis weggeworfen und mit dem mathematischen Rest weitergerechnet wird. Die Mühe lohnt sich. Die beiden zusammengehörigen Schlüssel haben es in sich. Was mit dem einem verschlüsselt worden ist, kann mit ihm selbst nicht mehr entschlüsselt werden, sondern nur mit dem anderen. Und umgekehrt. Ein asymmetrisches Kryptosystem wird daraus, indem einer der beiden Schlüssel konsequent geheim gehalten wird. Damit kann dann nur dessen Besitzer Nachrichten entschlüsseln, solche, die speziell für ihn verschlüsselt worden sind. Der andere, der zum Verschlüsseln, wird freizügig verteilt. Und es wird zertifiziert, von wem er stammt. Damit man sicher sein kann, Bankdaten für seine Bank und nicht etwa für einen Phisher zu verschlüsseln.
"Ein Zertifikat verifiziert ihnen, dass das, was sie sehen, tatsächlich von dem Anbieter kommt - also zum Beispiel eine Webweite, eine Banken-Webseite - den sie glauben dort zu erreichen."
PGP und S/Mime sind nicht kompatibel
Nach diesem Prinzip funktionieren auch die beiden wichtigsten Standards für die durchgängige Verschlüsselung von E-Mails: S/Mime und PGP – Pretty Good Privacy. Es lässt sich sogar theoretisch dasselbe Schlüsselpaar verwenden, sowohl zum Ver- und Entschlüsseln von PGP-Mails, als auch von S/Mime-Mails, erläutert der Entwickler freier Software Werner Koch:
"Das kann man machen. Das ist auch nicht sicherheitstechnisch irgendwie ein Problem. Normaler Weise aber macht man es nicht, weil es einfach zu umständlich ist."
Allerdings verwenden PGP und S/Mime verschiede Protokolle. Unterschiedliche Teile der Mail werden verschlüsselt, signiert und verschieden übertragen, sodass zwei inkompatible Standards für die Ende-zu-Ende-Verschlüsselung entstanden sind.
"Das grundlegende mathematische Problem, oder wie Sie verschlüsseln, ist identisch. Aber halt, wie das verpackt wird, alles, damit das auch transportiert werden kann, das ist halt unterschiedlich. Und deshalb kann man sie praktisch auch nicht kompatibel zu einander machen."
Die Software, die Werner Koch entwickelt hat, entschärft dieses Problem, schafft es aber nicht aus der Welt. Er war maßgeblich an der Entwicklung von GnuPG beteiligt, einer Open-Source-Implementierung des OpenPGP-Standards. Seit der Version 2.0 beherrscht diese Software auch S/Mime. Aber S/Mime-Mails werden mit für S/Mime generierten Schlüsseln verschlüsselt und an S/Mime-Clients geschickt. Und entsprechend wird mit PGP-Mails verfahren. GnuPG kann beides. Aber ein echter Mischbetrieb ist nicht möglich. Das gleiche gilt für GPG4Win, der Portierung von GnuPG auf Windows, die seinerzeit vom Wirtschaftsministerium unterstützt worden war, um die durchgängige Verschlüsselung von Mails zu fördern.
"Da ist es halt so gemacht, dass wenn man etwas verschlüsseln will, eine Liste bekommt von allen Schlüsseln, die dazu passen würden. Und da sind sowohl S/Mime-Schlüssel drin, als auch OpenPGP-Schlüssel. Und dann wählt man halt den Schlüssel aus, den man da gerade hat, wenn das halt ein S/Mime-Schlüssel ist, wird S/Mime benutzt. Und ansonsten wird PGP benutzt."
Die Transportverschlüsselung
Neben den beiden durchgängigen Verschlüsselungsmethoden gibt es noch die sogenannte Transport-Verschlüsselung. Dabei wird eine Mail nur für eine Teilstrecke verschlüsselt, beispielsweise bis zum Postausgangs-Server beim Provider oder zwischen den Servern bei den Providern von Absender und Empfänger. Dazwischen wird die Mail immer wieder ent- und dann neu verschlüsselt. Das geschieht aktuell bei der rechtsverbindlichen DE-Mail. Und so verfahren auch die Anbieter gewöhnlicher Mail-Dienste – vor allem seit der NSA-Affäre. Mit zweifelhaftem Erfolg. Denn Geheindienste und Sicherheitsbehörden greifen Mails am liebsten auf den Servern der Provider ab, wo sie als Klartext gespeichert werden. Hinzukommt, dass die Nutzer bei dieser Methode darauf vertrauen müssen, dass Internet-Firmen ihre Server ordentlich administrieren, was diese aber oft nicht tun, wie die Poodle- und die Freak-Lücke zeigen. Bei der Ende-zu-Ende-Verschlüsselung hingegen liegt die Sicherheit ausschließlich in der Verantwortung von Absender und Empfänger.