Chiffriertools: Hochsicher und userfreundlich
Noch in diesem Jahr will der Schweizer Bundesrat ein Gesetz zur Gleichstellung von handschriftlicher und digitaler Unterschrift verabschieden. Ein solches Gesetz ist die Voraussetzung für vieles, was unter dem Begriff "E-Government" subsummiert wird - das Ausfüllen von Stimm- und Wahlzetteln oder der Steuererklärung per Internet sind nur zwei von vielen denkbaren Anwendungen. Andererseits kann sich die Anerkennung der Gültigkeit von digitalen Unterschriften auch zu einem wichtigen Motor für den E-Commerce entwickeln.
Grundsätzlich hat eine digitale Unterschrift keine andere Aufgabe als eine normale Unterschrift, die unter ein wichtiges Schriftstück gesetzt wird. Sie soll die Echtheit und die Herkunft eines elektronischen Dokuments garantieren. Angesichts der Tatsache, dass das Abfangen von Mails und deren Veränderung für Hacker zu den leichteren Übungen gehört, sind die Anforderungen an eine digitale Unterschrift allerdings höher: Anders als im normalen Schriftverkehr, wo Couvert und Siegel die Vertraulichkeit eines Dokuments und dessen Integrität belegen, müssen diese Ansprüche in der digitalen Welt mit zusätzlichen Massnahmen wie der Verschlüsselung oder virtuellen Briefumschlägen garantiert werden.
Voraussetzung für digitale Unterschriften sind deshalb - unter anderem - entsprechende Verschlüsselungsalgorithmen und Programme, die dem Endanwender den Gebrauch dieser Technologien möglichst einfach und transparent machen. Solche Applikationen gibt es in grosser Zahl: Viele davon werden als Freeware vertrieben, dürfen aber von kommerziellen Anwendern nicht genutzt werden. Andere, etwa das bekannte und weit verbreitete Safeguard Sign&Crypt von Utimaco, sind vor allem für den Einsatz in grösseren Unternehmen mit eigener Public-Key-Infrastruktur tauglich und können kaum als Stand-alone-Produkt eingesetzt werden.
Zwischen diesen beiden Kategorien gibt es einige Mail-Verschlüsselungs-Tools, die sich sowohl für den Einsatz in Unternehmen als auch beim Heimanwender gleichermassen eignen. Wir haben drei davon genauer unter die Lupe genommen.
Einfache Installation und Bedienung
Grundsätzlich unterscheiden sich unsere drei Test-Programme kaum wesentlich voneinander. Sie sind alle äusserst einfach zu installieren und zu bedienen. Sie klinken sich automatisch als Plug-in in Microsofts weit verbreiteten Mail-Client Outlook ein, bieten aber kaum Unterstützung für andere Mail-Clients. Die Generierung von Schlüsseln wird von Wizards unterstützt und verliert dadurch einiges an Schrecken. Jedes Produkt verfügt darüber hinaus über eine integrierte Schlüsselverwaltung, ist also nicht auf einen Key-Server angewiesen, der von der Firma selber oder einem Drittunternehmen verwaltet wird.
Die Hauptunterschiede zwischen den Produkten finden sich beim Funktionsumfang und insbesondere in den Verschlüsselungsstandards. So bietet etwa PGP Desktop Security als einziges der hier getesteten Programme neben der Mail-Verschlüsselung auch die Möglichkeit, Dateien oder Ordner zu verschlüsseln oder zu signieren.
Ein echtes Problem (und der wichtigste Grund, weshalb sich die routinemässig Verschlüsselung von Mails bei einer breiten Anwenderschaft bisher nicht hat durchsetzen können) sind dagegen die beiden verschiedenen Verschlüsselungsstandards Open PGP und S/MIME, die zwar beide von der Internet Engineering Task Force (IETF) anerkannt wurden, aber untereinander nicht kompatibel sind. Die Verschlüsselungsverfahren und Algorithmen werden zwar bei beiden Standards gleichermassen genutzt, dafür unterscheiden sie sich hinsichtlich der Nachrichten- und Zertifikatsformate sowie beim Trust-Management.
Von unseren Testkandidaten unterstützt derzeit bloss CryptoEx 2.1 sowohl Open PGP als auch S/MIME. PGP Desktop Security 7.0 arbeitet - bei den sprechenden Namen kaum überraschend - mit Open PGP, während TrustedMIME 2.2 bloss S/MIME unterstützt. Immerhin ist die Implementierung von S/MIME in PGP Desktop Security für eine künftige Version geplant.