Zur Haupt­na­vi­ga­ti­on sprin­gen [Alt]+[0] Zum Sei­ten­in­halt sprin­gen [Alt]+[1]

Gnu- bzw. Open­PGP oder S/MIME?

Für die Ver­schlüs­se­lung von Mails und deren An­hän­gen ste­hen grund­sätz­lich zwei ver­schien­de Ver­schlüs­se­lungs-Va­ri­an­ten zur Aus­wahl:

  • GnuPG nach Open­PGP-Stan­dard
  • S/MIME

Ob­wohl beide Ver­fah­ren grund­sätz­lich auf Basis der glei­chen Ver­schlüs­se­lungs­ver­fah­ren ar­bei­ten, sind die Ver­fah­ren in der Um­set­zung un­ter­ein­an­der in­kom­pa­ti­bel. Eine S/MIME-ver­schlüs­sel­te Mail kann also nicht mit GnuPG ent­schlüs­selt wer­den und um­ge­kehrt. Glei­ches gilt für die di­gi­ta­len Un­ter­schrif­ten die mit bei­den Ver­fah­ren er­stellt wer­den. Damit ste­hen An­wen­der vor der Qual der Wahl:

  1. Ver­wen­dung von Open­PGP-kom­pa­ti­bler Soft­ware - meist GnuPG
  2. Ver­wen­dung von S/MIME
  3. Par­al­le­le Ver­wen­dung bei­der Va­ri­an­ten - je nach Ab­sen­der oder Emp­fän­ger wird das eine oder das an­de­re Ver­fah­ren ver­wen­det

Nach­fol­gend ei­ni­ge Ar­gu­men­te zu den bei­den Ver­fah­ren.

GnuPGP

  • Kein Stan­dard in Mail­pro­gram­men – muss des­halb fast immer über Add-Ons / Plug­ins nach­ge­rüs­tet wer­den. Diese Add-Ons / Plug­ins sind nur für eine eng über­schau­ba­re An­zahl an Platt­for­men bzw. Pro­gram­men ver­füg­bar. Ge­ra­de für Smart­pho­nes oder Ta­blets somit nicht oder nur sehr schwer ver­wend­bar
  • Z.B. mit Mail­ve­l­o­pe ist auch für Brow­ser, und damit für di­ver­se Web­mail-Ober­flä­chen, die An­wen­dung von Open­PGP kom­pa­ti­bler Ver­schlüs­se­lung mög­lich
  • Be­nö­tigt im all­ge­mei­nen zu­sätz­lich GnuPG-Soft­ware für die ei­gent­li­che Ver­schlüs­se­lung
  • Ins­be­son­de­re bei der Ver­schlüs­se­lung von Da­tei­an­hän­gen eher an­fäl­lig für Kon­fi­gu­ra­ti­ons- und Be­die­nungs­feh­ler
  • Ver­trau­ens­ba­sis der ver­wen­de­ten Schlüs­sel:
    • Ge­gen­sei­ti­ge Ab­spra­chen / Be­glau­bi­gun­gen der An­wen­der un­ter­ein­an­der, das so­ge­nann­te "Web of Trust"
    • Über­prü­fung von Be­glau­bi­gun­gen im Ver­gleich zu S/MIME auf­wän­dig
    • Aus­nah­me sind Be­glau­bi­gun­gen durch das de facto GnuPG-Trust­cen­ter CA­cert

S/MIME

  • Stan­dard in fast allen Mail­pro­gram­men. Somit meist schon "out-of-the-box" vor­han­den - ge­ra­de auch bei den meis­ten Mai­lapps für Smart­pho­nes und Ta­blets. Somit ist keine In­stal­la­ti­on wei­te­rer Ver­schlüs­se­lungs-Soft­ware nötig
  • S/MIME-Un­ter­stüt­zung eben­falls in di­ver­se Web­mail-Ober­flä­chen in­te­griert
  • Ver­trau­ens­ba­sis der ver­wen­de­ten Schlüs­sel:
    • Be­glau­bi­gung / Zer­ti­fi­kat durch „di­gi­ta­les No­ta­ri­at“ (Fach­spra­che: Cer­ti­fi­ca­ti­on Aut­ho­ri­ty – CA bzw. Trust-Cen­ter)
    • Be­glau­bigt / zer­ti­fi­ziert wird im all­ge­mei­nen der Be­sitz der Mail­adres­se
    • Nur we­ni­ge CAs stel­len die Be­glau­bi­gung kos­ten­los aus
    • Zer­ti­fi­ka­te ma­xi­mal 3 Jahre gül­tig - kos­ten­freie Zer­ti­fi­ka­te im all­ge­mei­nen nur 1 Jahr gül­tig.
  • Über­prü­fung der Be­glau­bi­gung voll­au­to­ma­tisch mit im Mail­pro­gramm hin­ter­leg­ten No­ta­ri­ats-Schlüs­sel
  • Schlüs­sel­aus­tausch zwi­schen Kom­mu­ni­ka­ti­ons­part­nern im Ver­gleich zu GnuPG er­heb­lich ein­fa­cher

Fazit GnuPG vs. S/MIME

S/MIME wird auf mehr Platt­for­men und durch mehr Mail­pro­gram­me di­rekt, ohne wei­te­re Zu­satz­soft­ware, un­ter­stützt. Auf mo­bi­len Ge­rä­ten wie Smart­pho­nes und Ta­blets ist damit eine Mail­ver­schlüs­se­lung leich­ter rea­li­sier­bar.

Fehl­kon­fi­gu­ra­tio­nen und/oder Be­die­nungs­feh­ler füh­ren bei GnuPG auch bei Pro­fis leich­ter zu un­ver­schlüs­sel­ten Mail­an­hän­gen - mit ggf. fa­ta­len Fol­gen!

Der Schlüs­sel­aus­tausch ist bei S/MIME er­heb­lich ein­fa­cher.

Die kurze Gül­tig­keits­dau­er von kos­ten­lo­sen S/MIME-Zer­ti­fi­ka­ten (1 Jahr) be­dingt al­ler­dings die zy­kli­sche Neu­er­stel­lung die­ser Zer­ti­fi­ka­te. Län­ge­re Gül­tig­keits­in­ter­val­le der Zer­ti­fi­ka­te - z.B. drei Jahre - sind nur über Be­zah­lung ver­füg­bar. Auch beim Open­PGP-Stan­dard soll­ten, ob­wohl mög­lich, keine Schlüs­sel­paa­re ohne Ab­lauf­da­tum er­stellt wer­den.

In der prak­ti­schen An­wen­dung mit ver­schie­de­nen Be­nut­zer­grup­pen hat sich S/MIME als ein­fa­cher er­wie­sen.

Wei­ter mit dem Ver­schlüs­se­lungs­pro­gramm GnuPG