Gnu- bzw. OpenPGP oder S/MIME?
Für die Verschlüsselung von Mails und deren Anhängen stehen grundsätzlich zwei verschiende Verschlüsselungs-Varianten zur Auswahl:
- GnuPG nach OpenPGP-Standard
- S/MIME
Obwohl beide Verfahren grundsätzlich auf Basis der gleichen Verschlüsselungsverfahren arbeiten, sind die Verfahren in der Umsetzung untereinander inkompatibel. Eine S/MIME-verschlüsselte Mail kann also nicht mit GnuPG entschlüsselt werden und umgekehrt. Gleiches gilt für die digitalen Unterschriften die mit beiden Verfahren erstellt werden. Damit stehen Anwender vor der Qual der Wahl:
- Verwendung von OpenPGP-kompatibler Software - meist GnuPG
- Verwendung von S/MIME
- Parallele Verwendung beider Varianten - je nach Absender oder Empfänger wird das eine oder das andere Verfahren verwendet
Nachfolgend einige Argumente zu den beiden Verfahren.
GnuPGP
- Kein Standard in Mailprogrammen – muss deshalb fast immer über Add-Ons / Plugins nachgerüstet werden. Diese Add-Ons / Plugins sind nur für eine eng überschaubare Anzahl an Plattformen bzw. Programmen verfügbar. Gerade für Smartphones oder Tablets somit nicht oder nur sehr schwer verwendbar
- Z.B. mit Mailvelope ist auch für Browser, und damit für diverse Webmail-Oberflächen, die Anwendung von OpenPGP kompatibler Verschlüsselung möglich
- Benötigt im allgemeinen zusätzlich GnuPG-Software für die eigentliche Verschlüsselung
- Insbesondere bei der Verschlüsselung von Dateianhängen eher anfällig für Konfigurations- und Bedienungsfehler
- Vertrauensbasis der verwendeten Schlüssel:
- Gegenseitige Absprachen / Beglaubigungen der Anwender untereinander, das sogenannte "Web of Trust"
- Überprüfung von Beglaubigungen im Vergleich zu S/MIME aufwändig
- Ausnahme sind Beglaubigungen durch das de facto GnuPG-Trustcenter CAcert
S/MIME
- Standard in fast allen Mailprogrammen. Somit meist schon "out-of-the-box" vorhanden - gerade auch bei den meisten Mailapps für Smartphones und Tablets. Somit ist keine Installation weiterer Verschlüsselungs-Software nötig
- S/MIME-Unterstützung ebenfalls in diverse Webmail-Oberflächen integriert
- Vertrauensbasis der verwendeten Schlüssel:
- Beglaubigung / Zertifikat durch „digitales Notariat“ (Fachsprache: Certification Authority – CA bzw. Trust-Center)
- Beglaubigt / zertifiziert wird im allgemeinen der Besitz der Mailadresse
- Nur wenige CAs stellen die Beglaubigung kostenlos aus
- Zertifikate maximal 3 Jahre gültig - kostenfreie Zertifikate im allgemeinen nur 1 Jahr gültig.
- Überprüfung der Beglaubigung vollautomatisch mit im Mailprogramm hinterlegten Notariats-Schlüssel
- Schlüsselaustausch zwischen Kommunikationspartnern im Vergleich zu GnuPG erheblich einfacher
Fazit GnuPG vs. S/MIME
S/MIME wird auf mehr Plattformen und durch mehr Mailprogramme direkt, ohne weitere Zusatzsoftware, unterstützt. Auf mobilen Geräten wie Smartphones und Tablets ist damit eine Mailverschlüsselung leichter realisierbar.
Fehlkonfigurationen und/oder Bedienungsfehler führen bei GnuPG auch bei Profis leichter zu unverschlüsselten Mailanhängen - mit ggf. fatalen Folgen!
Der Schlüsselaustausch ist bei S/MIME erheblich einfacher.
Die kurze Gültigkeitsdauer von kostenlosen S/MIME-Zertifikaten (1 Jahr) bedingt allerdings die zyklische Neuerstellung dieser Zertifikate. Längere Gültigkeitsintervalle der Zertifikate - z.B. drei Jahre - sind nur über Bezahlung verfügbar. Auch beim OpenPGP-Standard sollten, obwohl möglich, keine Schlüsselpaare ohne Ablaufdatum erstellt werden.
In der praktischen Anwendung mit verschiedenen Benutzergruppen hat sich S/MIME als einfacher erwiesen.