Erläuterungen zur E-Mail-Sicherheit
Warum Verschlüsselung und Signierung von E-Mails?
Eine normale E-Mail über das Internet ist in etwa so offen wie eine Postkarte: Jeder, der am Transport beteiligt ist, kann mitlesen. Ein weiteres Problem ist, dass sich E-Mails ohne viel Aufwand fälschen lassen, indem jemand eine E-Mail unter anderem Namen verschickt oder den Inhalt manipuliert. Durch Verschlüsseln der Daten und E-Mails gewährleistet man, dass wirklich nur Absender und Empfänger die elektronische Post lesen können. Außerdem kann durch die digitale Signatur der Empfänger kontrollieren, ob die Mail wirklich von dem Absender stammt (Authentizität) und nicht gefälscht oder nachträglich verändert wurde (Integrität).
Schlüssel?
Ein Schlüssel ist ein Wert, der z. B. zur Erstellung eines verschlüsselten Textes mit einem Verschlüsselungsalgorithmus arbeitet. Schlüssel sind im Prinzip sehr lange Zeichenketten. Die Schlüsselgröße wird in Bit angegeben. Bei der Verschlüsselung mit Schlüsseln gilt: Je größer der Schlüssel, desto sicherer ist der verschlüsselte Text.
Öffentliche und private Schlüssel stehen zwar mathematisch gesehen in Beziehung, es ist jedoch zur Zeit nicht möglich, den privaten Schlüssel allein aus dem öffentlichen Schlüssel herzuleiten.
Zertifikat?
In einer Umgebung mit öffentlichen Schlüsseln ist es äußerst wichtig, dass der verwendete öffentliche Schlüssel tatsächlich dem gewünschten Besitzer gehört und keine Fälschung ist. Durch Zertifikate wird die Überprüfung, ob ein Schlüssel wirklich dem angegebenen Eigentümer gehört, vereinfacht. Ein Zertifikat ist also im Grunde ein Ausweis, in dem die Zuordnung eines öffentlichen Schlüssels zu einer Person oder Institution idealerweise von einer vertrauenswürdigen Institution oder Person bestätigt wird.
Widerrufsverfahren?
Ein Widerruf muss u.a. dann beantragt werden, wenn der private Schlüssel verloren gegangen ist (zum Beispiel durch Zerstörung des Tokens oder Löschen der Software-PSE), wenn der Verdacht besteht, dass Unbefugte Zugang zu einem privaten Schlüssel hatten (zum Beispiel weil das Passwort nicht mehr geheim ist) oder wenn der Besitzer des Schlüssels diesen nicht mehr verwenden darf (zum Beispiel bei Ausscheiden eines Mitarbeiters oder Wechsel einer Funktion bei funktionalen Adressen).
Der Widerruf kann durch den Benutzer oder dessen Vorgesetzten
- telefonisch
- per E-Mail oder
- schriftlich
beim PKI-Betreiber veranlasst werden.
Dabei sollten folgende Fragen beantwortet werden:
- Wie lautet der Benutzername?
- Wie lautet die Benutzer-E-Mail-Adresse?
- Wie lautet die Zertifikats-Seriennummer (falls verfügbar)?
- Warum soll das Zertifikat widerrufen werden?
Über den Widerruf des Zertifikates wird der Zertifikatsnehmer per E-Mail informiert.