Neu: Vereinfachte E-Mail-Verschlüsselung mit Autocrypt- und OpenPGP-Header

Erstellt am 18.Dezember 2017, 17:50 Uhr | Kategorie: Info

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir unterstützen seit heute das neue Verschlüsselungs-Verfahren Autocrypt, das echte Ende-zu-Ende-Verschlüsselung mit E-Mailprogrammen bald erheblich vereinfachen wird. Sobald Autocrypt-fähige Programme verfügbar sind, können Posteo-Kunden die Technologie nutzen.

Das zukunftsweisende Verfahren wird derzeit in verbreitete E-Mail-Programme wie Thunderbird mit Enigmail und K-9 Mail für Android integriert. Neue Versionen dieser Programme (Enigmail 2.0 und K-9 Mail 5.3) werden Autocrypt unterstützen.

Verwenden Absender und Empfänger Autocrypt-fähige E-Mail-Programme, müssen sie für eine Ende-zu-Ende-verschlüsselte Kommunikation nichts mehr tun: Die E-Mail-Programme verschlüsseln E-Mails vor dem Versand automatisch mit PGP und tauschen öffentliche Schlüssel automatisch im Hintergrund aus. Das oft als kompliziert empfundene manuelle Austauschen und Verwalten von Ende-zu-Ende-Schlüsseln entfällt.

Vor der ersten verschlüsselten Kommunikation wird stattdessen einmalig eine reguläre E-Mail (ohne Inhalt) zugesendet. Bei diesem Versand wird erstmals der Schlüssel im Hintergrund übertragen. Ab diesem Zeitpunkt können alle Nachrichten automatisch verschlüsselt werden.

Autocrypt ist Open Source, funktioniert anbieterübergreifend und setzt auf echte Ende-zu-Ende-Verschlüsselung, bei der ein privater Schlüssel stets beim jeweiligen Nutzer verbleibt. Auch deshalb begrüßen wir das Verfahren.

Warum wir Autocrypt schon jetzt unterstützen und Schlüssel zusätzlich absichern

Autocrypt wird derzeit in einer ersten Version in gängige E-Mail-Programme integriert. Dass E-Mail-Anbieter sich an der Schlüsselverteilung mit Autocrypt beteiligen, ist bisher nicht vorgesehen. Doch für Endnutzer bringt die providerseitige Unterstützung Vorteile, die wir mit unserer frühen Implementierung aufzeigen möchten.

Es ist uns sehr wichtig, dass Posteo-Kundinnen und -Kunden von Anfang an die Möglichkeit haben, Autocrypt zu nutzen. Und zwar so komfortabel und sicher wie möglich.

Unser Beitrag zum Komfort:

Mit Autocrypt können E-Mail-Programme öffentliche Schlüssel bald automatisiert über die E-Mail-Header austauschen.

Unsere providerseitige Unterstützung sorgt dafür, dass ein Autocrypt-fähiges Programm den Schlüssel auch dann erhält, wenn der Posteo-Absender ein Programm ohne Autocrypt verwendet. Liegt uns der öffentliche Schlüssel des Absenders vor, übernehmen wir diese Aufgabe: Posteo fügt vor jedem E-Mail-Versand den für die Verschlüsselung benötigten Autocrypt-Header selbst hinzu. Ihr Kommunikationspartner kann Ihnen verschlüsselt antworten – ohne manuellen Schlüsselaustausch.

Bei jedem Versand wird Ihr aktueller Schlüssel im Autocrypt-Header übermittelt. In den Programmen Ihrer Kommunikationspartner sind so stets die aktuellen Schlüssel hinterlegt – ohne manuelle Schlüsselpflege.

Unser Beitrag zur Sicherheit:

Wir sichern den Schlüsselaustausch mit Autocrypt zusätzlich mit digitalen Signaturen ab (DKIM). Dies ist bei Autocrypt bisher nicht standardmäßig vorgesehen. Unsere providerseitige DKIM-Signierung sorgt dafür, dass öffentliche Schlüssel auf dem Transport nicht unbemerkt manipuliert werden können. Auch Autocrypt-Header, die Ihr lokales E-Mailprogramm ggf. hinzufügt, werden von uns mit DKIM signiert. Die Signatur wird vorgenommen, wenn der Absender zum Postfach passt.

So ist Autocrypt in Posteo integriert

Viele Posteo-Kunden haben ihren öffentlichen PGP-Schlüssel im Posteo-Schlüsselverzeichnis veröffentlicht. Versenden diese Kunden eine E-Mail, ergänzen wir ab heute bei jedem Versand automatisch einen Autocrypt-Header im E-Mail-Header. Dieser enthält ihren öffentlichen Schlüssel. Senden Sie selbst bereits einen Autocrypt-Header in Ihren E-Mails mit, verändern wir ihn nicht und fügen keinen weiteren hinzu.

- Posteo-Kunden, die zusätzlich unsere Eingangsverschlüsselung mit einem PGP-Schlüssel aktiviert haben, wollen immer verschlüsselte Nachrichten erhalten. Diese Information schreiben wir in den Autocrypt-Header hinein. Autocrypt-fähige E-Mail-Programme erkennen so künftig, dass diese Posteo-Kunden immer verschlüsselte Antworten erhalten wollen.

- Neben Autocrypt-Headern ergänzen wir seit heute auch den so genannten OpenPGP-Header, der einem empfangenden E-Mail-Programm anzeigt, wo es einen öffentlichen Schlüssel finden kann. Hier werden die URLs für den Download aus dem Posteo-Schlüsselverzeichnis übermittelt. Auch den Open-PGP-Header signieren wir mit DKIM.

Was können Sie tun?

Das verschlüsselte Kommunizieren mit Autocrypt wird im Alltag in der Regel ohne Ihr Zutun funktionieren. Und auch das manuelle Austauschen und Verwalten von Ende-zu-Ende-Schlüsseln entfällt. Sie benötigen lediglich ein PGP-Schlüsselpaar.

- Installieren Sie ggf. die kommenden neuen Versionen von Enigmail oder K-9 Mail, sobald sie verfügbar sind.

- Haben Sie bereits ein PGP-Schlüsselpaar für Ihre Posteo-Adresse, empfehlen wir, den Schlüssel im Posteo-Schlüsselverzeichnis zu veröffentlichen. Ihr öffentlicher Schlüssel wird dann bei jedem Versand an ein Autocrypt-fähiges Programm in den Header der E-Mail eingefügt. Wie Sie Ihren öffentlichen PGP-Schlüssel bei Posteo veröffentlichen, erklären wir Ihnen in diesem Hilfeartikel.

Sicherheits-Empfehlungen für das Implementieren von Autocrypt:

Das automatisierte Austauschen von öffentlichen Schlüsseln im Hintergrund sollte aus Sicht von Posteo stets durch verschiedene Sicherheitsmaßnahmen begleitet werden. Wir empfehlen Providern, Autocrypt-Header mit DKIM zu signieren. Programm-Entwickler sollten weitere Möglichkeiten der Schlüssel-Absicherung berücksichtigen und vorhandene DKIM-Signaturen prüfen. Anwendern sollte in den Programmen außerdem signalisiert werden, wenn ein öffentlicher Schlüssel oder die Anweisung, ob die E-Mail-Kommunikation zu verschlüsseln ist, geändert wird. So können mögliche Manipulationen durch Dritte unmittelbar erkannt werden.

Viele Grüße

Ihr Posteo-Team