Praxis: E-Mails unter Outlook 2010 richtig verschlüsseln

Das sichere Verschlüsseln von E-Mails unter Outlook 2010 ist komplex. Es reicht nicht aus, nur den richtigen Signatur- und Verschlüsselungsalgorithmus festzulegen.

» Von Ronald de Temmerman, PKI Services Director bei GlobalSign, 25.08.2014 05:59.

weitere Artikel

Ronald de Temmerman ist PKI Services Director bei GlobalSign. Dieser Praxisbericht erschien zuvor in unserer deutschen Schwesterpublikation Tecchannel.de.

Trotz einiger Hürden, die sich dem Nutzer in den Weg stellen, hat sich das S/MIME-Protokoll im Laufe der Zeit als robust genug erwiesen, verschiedenen Anforderungsprofilen und Präferenzen innerhalb der Infrastruktur gerecht zu werden. Browser-basierte Webclients, Desktop- und Servervarianten sollten an dieser Stelle zusammenarbeiten, auch wenn es ein paar Fallen, insbesondere bei den jeweiligen Einstellungen zu vermeiden gilt.

Produktentwicklungen und Release-Zyklen sind selten optimal aufeinander abgestimmt, das kann zu Lasten der Kompatibilität gehen. Die für digitale Signaturen verwendeten Algorithmen, zum Beispiel Hashing, haben sich in den letzten Jahren weiterentwickelt (von MD5 zu SHA1 und nun weiter in Richtung SHA2). Das gilt analog für die asymmetrische RSA-Schlüssellänge für Signaturen, die sich von 1024 auf 2048 Bit entwickelt hat. Verschlüsselung hat sich von Triple-DES (3DES) hin zu den verschiedenen AES-Stärken (Advanced Encryption Standard) verändert.

Leider kann es bei nicht modifizierten E-Mail Clients unterschiedlichen Alters zu Frustrationen kommen, wenn Verfasser und Empfänger ihre Nachrichten nicht entschlüsseln können.

Verschlüsselungsstärke versus Kompatibilität

Fast alle Nutzer von E-Mails-Clients können sowohl den Signaturalgorithmus als auch den Verschlüsselungsalgorithmus festlegen. Bei der Auswahl der Signaturalgorithmen gerät man leicht in Versuchung automatisch den aktuell stärksten verfügbaren Algorithmus zu nutzen. Im Fall von Outlook 2010 wären das SHA-256 bis SHA-512. Das ist einerseits beruhigend, was die Stärke der Verschlüsselung anbelangt, unter Umständen aber mit Kompatibilitäts-problemen teuer erkauft. Auch wenn die Auswahl an zur Verfügung stehenden Algorithmen in älteren Versionen beschränkt ist heisst das nicht automatisch, dass sie per se unsicher sind. Der Signaturalgorithmus SHA-1 balanciert am besten zwischen universeller Kompatibilität und Stärke des Hash-Algorithmus.

Die zweite Option ist der Verschlüsselungsalgorithmus selbst. Hier sollte möglichst die stärkste mögliche Verschlüsselung verwendet werden. Das war 3DES im Falle älterer Clients und ist AES-256 bei den moderneren Mail-Clients. Das soll nicht bedeuten, dass die für ältere Mail-Clients zur Verfügung stehenden Verschlüsselungsalgorithmen minderwertig sind. Benutzer sollten nicht an der falschen Stelle paranoid reagieren, wenn sie den 3DES-Algorithmus nutzen. Er ist durchaus praktikabel, wenn eine bestimmte Kompatibilität gefragt ist.
Heisst das Bedürfnis "maximale Sicherheit über einen langen Zeitraum" sollte man sich für den stärksten der verfügbaren Algorithmen entscheiden. Ist es das Hauptanliegen sich kurzfristig eindeutig zu authentifizieren, sind bewährte Algorithmen sogar besser geeignet.

Nächste Seite: Praktische E-Mial-Sicherheitseinstellungen

Werbung

KOMMENTARE

Sandro Fasola: 26-08-14 19:28

Danke für den Artikel. Wie sieht es aus mit diesen ?
Windows : https://www.gpg4win.org
MAC : https://gpgtools.org/

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.