E-Mail

Gegen den Lauschangriff: E-Mail Verschlüsselung mit Ciphire

11. Oktober 2005
von

Die Verschlüsselung der E-Mail und die digitale Signatur werden immer wichtiger. Ciphire übernimmt diese Aufgabe. Das System ist einfach zu bedienen und obendrein kostenlos. Das sollte uns einen Blick wert sein.

Sichere Kommunikation und einfache Bedienung kommen selten zusammen. Leiden doch die zwar anständigen Open Source Verschlüsselungsprogramme wie PGP unter der für den Unbedarften schwierigen Handhabung. Ciphire automatisiert die Mail-Verschlüsselung weitgehend und unterstützt dabei alle gängigen Mail-Clients unter Windows, Linux und Mac OS X . Für den Privatanwender ist das Programm schon erhältlich und bietet eine einfache Installation.

ciphire1 foto
Der Weg der Mail über Ciphire

So geht`s
Man besucht die Firmen-Website und wählt die für das genutzte Betriebssystem richtige Version von Ciphire Mail aus. Als erstes fragt das Programm nach dem Starten der Installation, ob eine neue Mail-Adresse geschützt oder ob die Daten einer bereits geschützten Adresse importiert werden sollen. Wir möchten eine neue E-Mail-Adresse sichern und geben im Anschluß deren Namen und eine Passphrase ein, die den Account vor unliebsamen Mitlesern schützt. Daraufhin wird der Schlüssel generiert, was einige Minuten dauern kann. Die verwirrende Auswahl der Chiffrier-Algorithmen entfällt hier ganz.

ciphire2 foto
Der erste Schritt: Neue Adresse angeben

Geprüfte Sicherheit
Der nächste Schritt ist denkbar einfach: Man öffnet sein Mail-Programm. Eine E-Mail von Ciphire ist dort bereits zu finden. Die genutzte Mail-Software wird automatisch erkannt, Ciphire klinkt sich automatisch in den Mail-Clienten ein, wo die Software von nun an für den Anwender unsichtbar im Hintergrund arbeitet. Zum Ende der Installation können die Daten noch für andere Rechner mit gleicher Mail-Adresse zugänglich gemacht werden. Zu diesem Zweck wird das Zertifikat per Knopfdruck exportiert und verschlüsselt, um auf einen anderen Rechner in Ciphire importiert zu werden. Nutzt man einen weiteren, noch ungeschützten E-Mail-Account aus dem gleichen Mailprogramm, fragt Ciphire freundlicherweise, ob nicht auch diese Adresse in Zukunft geschützt werden soll.

ciphire3 foto
Vollautomatisiert

Und weiter?
Ciphire möchte den Empfänger über den Schutz informieren. So erhält die Betreffzeile mit [ciphired] einen unschönen Zusatz, der für alle sichtbar ist. Vom Client aus fängt Ciphire die E-Mail ab und prüft online, ob der Empfänger gleichfalls Ciphire-Nutzer ist. Trifft das zu, wird die Email verschlüsselt, andernfalls nur signiert. Unterstützt wird POP3, SMTP und IMAP.

Wie PGP auch, nutzt Ciphire eine Verbindung aus öffentlichen und privaten Schlüsseln. Doch anders als bei PGP sind hier die öffentlichen Schlüssel eben nicht öffentlich, sondern im “Ciphire Certificate Directory” abgelegt. Dort schöpft das Programm den Schlüssel des Empfängers ab und chiffriert damit die Nachricht. Erst dann wird sie an den SMTP-Server weitergeleitet. Zur Verschlüsselung muss also die Technik von Ciphire in Betrieb sein, denn ohne den zentralen Certificate-Server funktioniert nichts. Unterstützt werden gängige Verschlüsselungs-Algorithmen wie RSA, El Gamal und DSA-2k.

Ein weiterer Nachteil: Für die sichere Übertragung benötigt auch der Empfänger das Programm Ciphire und muss seinen Private-Key in die Datenbank eingetragen haben. Leider ausschließlich Ciphire, denn andere Verschlüsselungsprogramme, wie etwa PGP, werden ignoriert. Der lange genutzte PGP-Schlüssel wird also nicht übernommen. Da die Software recht neu ist, hat sie eine geringe Verbreitung.

Doch die Bedienung im Alltag ist einfacher als bei vergleichbaren Programmen: Wenn der Empfänger einen Ciphire-Schlüssel hat, wird mit dem Senden der Mail diese automatisch verschlüsselt. Schlüssellänge und Algorithmen muss der Anwender hier nicht extra einstellen. Anders als bei Lösungen wie PGP, bei denen die Verschlüsselung immer getrennt vorgenommen werden muss, merkt der Nutzer bei Ciphire nichts von dem Betrieb des Programms. Übrigens: Das “Ciphire Message Log” protokolliert jede Aktion der Software.

ciphire4 foto
Funktionsübersicht

Die Frage, ob die genutzten öffentlichen Schlüssel auch sicher auf dem Ciphire-Server liegen, bleibt unbeantwortet. Man muss dem Unternehmen schlicht vertrauen.

Erstveröffentlichung 11.10.2005

foto

Dirk Metzmacher

Dirk Metzmacher ist der Herausgegeber des Photoshop-Weblogs, sowie Fachjournalist und Photoshop-Profi, dessen Tutorials in den letzten 7 Jahren Leser von Fachpublikationen wie Galileo Press, dem Franzis Verlag oder DigitalPhoto sowie Online-Magazinen wie etwa Dr.Web, photokina oder das Smashing Magazine von den Grundlagen zum Thema Photoshop bis hin zu professionellen Arbeitsweisen begleitet haben. Sein Twitter-Account und seine

Ein Kommentar? Schön!

Wir freuen uns immer über Leser, die durch nützliche und konstruktive Beiträge zum Thema eine Diskussion anstoßen oder den Artikel mit weiteren Informationen anreichern. Alle Kommentare werden in diesem Sinne moderiert. Zum Kommentar-Fairplay gehört für uns auch der Einsatz von rel="nofollow". Bitte verwenden Sie zudem als Namen weder eine Domain noch ein spamverdächtiges Wort. Vielen Dank!

*