Neulich erzählte mir ein Bekannter der im Außendienst arbeitet, dass er jetzt seine Reisekostenabrechnungen „digital unterschrieben“ einreichen muss. „Wie fortschrittlich“ dachte ich, bis er dann weiter erzählte, dass in seiner Arbeitsanweisung steht, er möge doch seine Unterschrift von einem Blatt Papier einscannen und dann die Graphik mit Copy&Paste in die entsprechenden Dokumente einfügen bevor er diese per Mail verschickt.

Wir schreiben tatsächlich das Jahr 2017 und bereits 2001 hat ein gewisser Phil Zimmermann ein Buch namens „Pretty Good Privacy“ veröffentlicht in dem er beschreibt, wie man Mails digital verschlüsseln und signieren kann. Also diesmal tatsächlich mit Kryptographie und nicht mit Copy&Paste.

Aber während ich noch über die Erzählung des Bekannten grinse stelle ich mir die Frage, was wäre denn, wenn ich selbst eine „digital unterschriebene“ Mail verschicken will. Schaffe ich das?

Also mal flott den Thunderbird gestartet. Mein Arbeitgeber setzt in Sachen „Kryptographie für Mails“ auf S/MIME und da mein Arbeitsplatz aber kein Standard-Windows ist sondern Linux muss ich mich um alles
selbst kümmern. Thunderbird kann S/MIME, allein mir fehlt es am Zertifikat.

Aber ok, wir haben ja auch Alternativen. Zum einen ein Webmail-Frontend für Outlook, zum anderen einen Terminal-Server für Windows den ich jedesmal nutzen kann wenn ich tatsächlich Anwendungen aus der Microsoft-Welt nutzen muss. Aber weder Webmail noch Outlook im Terminalserver sind so konfiguriert, dass ich hier Mails digital signieren kann.

Also doch mit Thunderbird, doch woher bekomme ich das Zertifikat. Ein Kollege weist mich auf eine Webseite hin auf der man ein neues Zertifikat generieren kann. Das mache ich mal und habe dann mein Zertifikat tatsächlich so in Thunderbird drin, dass ich eine digital unterschriebene Mail schicken kann. Also schicke ich mir eine Test-Mail nach Hause und exportiere mein Zertifikat, damit ich daheim die Unterschrift verifizieren kann.

Soweit zur Theorie. Die Mail kommt an und der empfangende Thunderbird zeigt an, dass die digitale Unterschrift nicht verifiziert werden kann, da kein passendes Zertifikat vorhanden ist. Na, dem kann man abhelfen, ich habs ja exportiert. Also mal importieren. Leider weigert sich Thunderbird hartnäcking den Import zu machen, denn er kennt den Aussteller dieses Zertifikates nicht (unsere interene CA kennt er natürlich nicht) und darum habe ich keine Chance Zertifikat zu importieren. Also am nächsten Arbeitstag dann auch noch das CA-Zertifikat exportiert. Das dann daheim wieder als CA-Certifikat in den Thunderbird importiert, Vertrauen angegeben und schon klappt es mit dem Importieren meines eigenen X509-Zertifikates. Und jetzt zeigt mir Thunderbird die digitale Signatur auch als verifiziert und gültig an.

Thunderbird mit Zertifkatsüberprüfung

So weit so schlecht. Eine Menge Aufwand um das zu bewerkstelligen und eine öffentliche Infrastruktur in der man sich die öffnetlichen Schlüssel oder gar CA-Zertifikate der firmeninternen Zertifizierungstellen runterladen kann gibt es praktisch nicht.

Da war der PGP-Ansatz von damals deutlich günstiger. Hier hat man ein Schlüsselpaar und kann den Public-Key auf einen Keyserver hochladen und dieser wird dann auch auf andere Keyserver repliziert.

Da fällt mir ein, damals nach den Snowden Enthüllungen habe ich doch auch einen PGP-Key erzeugt und hochgeladen. Gleich mal schauen wie es daheim mit PGP-Verschlüsselung aussieht.

Ja, der Key existiert noch. Expired im Oktober 2014, ein Jahr nachdem ich ihn erzeugt hatte und dann eigentlich nie benutzt habe. Still und heimlich ist das Ablaufdatum verstrichen, Thunderbird hat mich auch
nicht darauf hingewiesen, dass es Zeit wäre seinen Schlüssel zu pflegen.

Oh, ein abgelaufener PGP-Key

Wenn man die „Best practices“ für OpenPGP anschaut, dann steht da auch „Tragen sie das Ablaufdatum ihres Keys in ihren Kalender ein“, denn sonst erinnert einen keiner mehr an das Ablaufen des Schlüssels.

Also wird bei mir nun eine Aktion „Schlüsselpflege“ anstehen, denn der Key ist auch noch meiner längst nicht mehr vorhandenen GMX-Mailadresse zugeordnet. Mal sehen, ob ich das alles wieder in einen funtionsfähigen Zustand versezten kann.

Allerdings stellt sich die Frage, wofür das Ganze. In dem Jahr in dem der Schlüssel gültig war habe ich keine einzige verschlüsselte Mail an mich empfangen. Ok, die meisten Mails die hier aufschlagen sind eh nicht persönlich sondern irgendwelche Benachrichtigungen von Internet-Shops wo wir was gekauft habe, Mails wenn jemand meine Geocaches gefunden und geloggt hat oder eben auch viel „Spam“. Gefühlt 99% der hier noch im Postfach ankommenden Mails, also das was der Spamfilter nicht aussortiert hat, sind vollautomatisch erzeugt, aber die Automatismen versenden eben keine verschlüsselten Mails.

Und ich selbst? Wenn ich Mails an jemanden schicke. Mache ich mir die Mühe um zu sehen, ob der Empfänger evtl. einen Public-Key auf einem Keyserver hinterlegt hat? Ein schneller Versuch auf dem Keyserver nach der Mail-Adresse von Freunden mit denen ich Mails austausche zu suchen scheitert an
„503 Service unavailable“.

Damit muss ich knapp 4 Jahre nach den Snowden-Enthüllungen von 2013 das ernüchternde Fazit ziehen, dass Verschlüsselung in meinem privaten Umfeld so gut wie keine Rolle spielt und auch im Bereich von Firmen offensichtlich kaum genutzt wird.

Kryptographie existiert und auch die Werkzeuge zum Verschlüsseln und signieren existieren, aber irgendwie drängt sich mir der Gedanke auf, dass das alles absichtlich sehr wenig benutzerfreundlich gehalten wird um eine weite Verbreitung und Nutzung zu vermeiden, denn natürlich nutze ich lieber etwas, das mir keine Arbeit macht als etwas, das mit relativ viel Aufwand verbunden ist.

Was kann ich selbst tun? Reaktivierung meine abgelaufenen Keys wäre das eine, vielleicht bewusst ausgehende Mails mit diesem Key unterschreiben damit beim Mail-Empfänger ein Denkprozess ausgelöst wird, was ich denn damit bezwecken will. Und er es vielleicht selbst dann auch macht.

[ratings]