Sicheres E-Mail

E-Mail ist so sicher wie eine Postkarte – so oder ähnlich wird argumentiert, wenn es um die “sichere” Ãœbermittlung von E-Mails geht. In der folgenden Serie von Artikeln möchte ich praktisch zeigen, wie E-Mail sicherer gemacht werden kann. Zuvor aber eine kleine Auslegeordnung darüber, was “sicher” im Zusammenhang mit E-Mail heisst.

Gegen oder für wen oder was will man sich “sicher” machen?

Die Analogie zur Postkarte bezieht sich vor allem auf die Vertraulichkeit von E-Mail. Die Vertraulichkeit ist aber nur ein Aspekt der “heiligen Dreifaltigkeit” der Informationssicherheit. Die anderen beiden sind Integrität und Verfügbarkeit (oder auf englisch: Confidentiality, Integrity, Availability). Jeder der drei Aspekte besteht aus verschiedenen Anforderungen und Aufgaben:

• Vertraulichkeit: In erster Linie geht es darum, dass die Inhalte nur bestimmten Personen(gruppen) zugänglich gemacht wird. Eine Erweiterung besteht darin, dass neben dem Inhalt auch die Kommunikationsbeziehung an sich (dh Absender und Empfänger) für unautorisierte Dritte nicht zugänglich sind.
  Die unautorisierten Dritten, gegen die man sich schützen will, lassen sich nicht pauschal definieren. Der eine möchte sich gegen die “interessierten Dienste” schützen, andere gegen Mitglieder des gleichen Haushaltes, wiederum andere gegen Mitbewerber.

• Integrität: Unter diesem Aspekt wird vor allem darauf zu achten sein, dass man sicher sein kann, dass die Information auch tatsächlich vom angeblichen Absender stammt und nicht von unautorisierten Dritten stammt oder verändert wurde. Zudem kann man die “non-repudiation” zu diesem Aspekt zählen, d.h. dass der Absender nicht bestreiten kann, dass eine Nachricht von ihm stammt.
  Das Angreiferprofil, gegen das man sich hier schützen möchte ist ähnlich wie oben.

• Verfügbarkeit: Der Schaden durch den Ausfall eines Systems kann beträchtlich sein (beispielsweise wenn ein Online-Versandhaus keine Bestellungen entgegen nehmen kann). Neben einem Totalausfall kann es aber auch sein, dass Ãœberlastung zu einer unaktzeptablen Einschränkung führt. Im weiteren werden wir die Verfügbarkeit aber als extern zugesichert annehmen und nicht weiter darauf eingehen.

Was lässt sich schützen?

Der typische Lebenslauf einer E-Mail lässt sich wie folgt skizzieren: Ein User schreibt eine Nachricht (1), sendet sie an seinen Mailserver (2), dieser sucht den Ziel-Mailserver (3), sendet die Nachricht an den Ziel-Mailserver (4), und dieser wiederum legt die Nachricht in der Mailbox des Empfängers ab (5). Jede dieser Stationen muss im Prinzip “sicher” gemacht werden, um Vertraulichkeit und Integrität zu schützen:

(1) Der User schreibt seine Nachricht in einem MUA – Message User Agent. Das kann ein auf dem lokalen Rechner laufendes Programm sein (zum Beispiel Thunderbird oder Apple Mail) oder eine Web-Applikation (zum Beispiel Google Mail). Beim Schreiben könnte ein Keylogger “mitschreiben” und die Nachricht an einen Dritten weiterleiten. Gesendete Nachrichten werden häufig in einem “Sent” Ordner gespeichert – dieses gespeicherte Objekt kann wiederum von einem Dritten gelesen werden (zum Beispiel über einen Trojaner auf dem lokalen Rechner oder, falls die Speicherung auf einem Server erfolgt, von einem Administrator). Gegenmittel: Schutz des eigenen Rechners, gespeicherte Ablage im “Sent” Ordner; Verbindung zum eigenen Mailserver verschlüsseln; Zugriff auf Webmail mit Verschlüsselung und Signierung.

(2) Alle gängigen Mailserver speichern eine temporäre Kopie von zu versendenden Mails in einer Warteschlange auf der Festplatte ab. Diese Kopie kann der eigene Administrator oder – zum Beispiel bei einem gecrackten Server – von einem Dritten gelesen werden. Gegenmittel: Verschlüsselung des Inhalts, Signierung.

(3) Der Ziel-Server einer Nachricht wird über eine DNS-Abfrage (“MX” Datensätze) bestimmt. Wenn ein Angreifer die DNS-Abfragen eines absendenden Mailservers manipulieren kann, kann er die Mailzustellung auf einen Mailserver unter seiner Kontrolle umleiten. Gegenmittel: Sicheres Betreiben der eigenen DNS-Infrastruktur, DNSSEC.

(4) Auf dem Weg zum Ziel-Mailserver wird eine E-Mail in Datenpakete aufgeteilt; diese Datenpakete werden über “das Internet” geroutet, und können auf diesem Weg zum Beispiel von Providern mitgelesen werden. Zumindest ein Fall ist öffentlich bekannt, in dem ein Provider mit einem Geheimdienst zusammen gearbeitet hat, um Pakete mitzulesen (was natürlich nicht nur E-Mail betrifft). Gegenmittel: Verschlüsselung und Signierung zwischen absendendem und Ziel-Mailserver; Verschlüsselung des Inhalts.

Der Ziel-Mailserver macht in der Regel eine Reihe von Prüfungen über den Inhalt, den Absender usw. – Spamfilter, Virenschutz und andere Programme “fassen” eine Nachricht an, bevor sie endgültig für den Empfänger akzeptiert wird. In jedem dieser Filter kann prinzipiell ein Angreifer mitlesen oder eine Nachricht verändern. Gegenmittel: Verschlüsselung des Inhalts.

(5) Die Ablage in die Mailbox des Empfängers erfolgt u.U. nicht direkt auf dem Ziel-Mailserver, sondern über eine oder mehrere Zwischenstationen. An jeder Zwischenstation haben wiederum Administratoren und/oder sonstige Angreifer die Möglichkeit, Nachrichten zu lesen und/oder zu verändern. Gegenmittel: Verschlüsselung des Inhalts.

Was tun wir?

Wie wir oben gesehen haben, gibt es prinzipiell zwei Wege, die Vertraulichkeit und Integrität unserer E-Mails sicherzustellen: Verschlüsselung und Signierung der Verbindungen und des Inhalts. Je nach Situation wird man zumindest auf eine der beiden Ebenen (Verbindung, Inhalt) schützen wollen.

In der folgenden Serie von Artikeln geht es darum, beides zu schützen. Voraussetzung dazu sind digitale Zertifikate, welche man entweder erwerben kann (zum Beispiel von Entrust, Verisign oder wie sie alle heissen) oder selbst erstellt. Da wir viele Zertifikate erstellen werden, gehen wir den “harten” Weg und bauen unsere eigene Certificate Authority (so nennt man eine “Stelle” [ein Programm, einen Menschen, ...] welche Zertifikate ausstellt).

Mit dieser Certificate Authority werden wir Zertifikate für zwei Postfix Mailserver (http://www.postfix.org/) ausstellen, die danach gesichert miteinander kommunizieren können. Zudem werden wir ein Zertifikat für den Cyrus IMAP Server (http://cyrusimap.web.cmu.edu/) ausstellen, damit ein lokaler MUA verschlüsselt auf die gespeicherten Mails zugreifen kann. Im dritten Schritt werden wir auch noch ein Zertifikat für den Apache Webserver (http://httpd.apache.org/) ausstellen, um den verschlüsselten Zugriff via Webmail (http://www.squirrelmail.org/) sicherzustellen.

Zum Schluss werden wir noch User-Zertifikate ausstellen, damit Absender und Empfänger unabhängig von einer allenfalls vorhandenen Verschlüsselung auf Verbindungsebene sicher miteinander kommunizieren können. Die User-Zertifikate werden wir nicht mit unserer eigenen Certificate Authority verbinden sondern mit Hilfe von CAcert (http://www.cacert.org/).

In allen Teilen verwenden wir das frei verfügbare openssl-Paket (http://www.openssl.org/). Basis der Artikelserie ist SuSE Linux 10.1 (http://de.opensuse.org/), kann jedoch mit allfälligen kleinen Unterschieden für andere Plattformen analog gelten.

Hinweis

Diese Artikelserie ist keine Garantie dafür, dass E-Mail “sicher” im Sinne von Vertraulichkeit und Integrität ist. Internet E-Mail ist ein komplexes Gebilde, das an vielen Stellen Angriffspunkte aufweisen kann. Das müssen nicht technische Schwachstellen sein; organisatorische und administrative Mängel können einem potentiellen Angreifer weiterhin Türen öffnen. Gegen gewisse Arten von Angreifern bietet Kryptographie, wie wir sie kennen, denn auch gar keinen Schutz — etwa gegen Guantanamo- und Mafia-Methoden (“Ich brech’ dir den Finger wenn du das nicht rausrückst!”).

Für den “normalen” Anwender steht dieser Typ von Angriff aber nicht im Zentrum, und man kann mit frei verfügbarer Technik und vertetbarem Aufwand ein vernünftiges Mass an Vertraulichkeit erreichen.