Mailfence Ende-zu-Ende-Verschlüsselung und digitale Signaturen

Ende-zu-Ende-Verschlüsselung und digitale Signaturen

Ende-zu-Ende-Verschlüsselung
Ist eine Methode für das Absichern verschlüsselter Daten während ihrer Übertragung von einer Datenquelle an ein Ziel. Bei der Ende-zu-Ende-Verschlüsselung werden die Daten bereits auf dem System des Absenders verschlüsselt. Nur der beabsichtigte Empfänger ist in der Lage, die Daten zu entschlüsseln. Niemand dazwischen (sei es ein Internet/Application Service Provider, Überwachungsprogramme oder ein Hacker, …) kann die Daten auslesen und sie manipulieren – dies bedeutet ein Höchstmaß an Vertraulichkeit und Schutz für die gesamte E-Mail-Kommunikation.

Digitale Signatur
Ist ein Äquivalent zu einer handschriftlichen Unterschrift oder einem Dienstsiegel, bietet aber bei weitem eine höhere inhärente Sicherheit. Ziel einer digitalen Signatur ist es, das Problem der Manipulation und des Identitätsdiebstahls bei digitaler Kommunikation zu lösen. Sie ermöglicht eine absolute Authentizität und Integrität für alle Nachrichten.

Wie setzen wir dies um

Die sichere und vertrauliche E-Mail-Suite Mailfence enthält OpenPGP, ein bereits länger bekanntes Protokoll, das von Phillip Zimmermann entwickelt wurde und in RFC-4880 gemeinsam mit dem S/MIME Protokoll weiterentwickelt wurde.

Wir setzen bei unserer Lösung auf OpenPGP.js – einer Javascript-Implementierung des OpenPGP-Standards auf, die auf Open Source basiert und umfassend auditiert wurde. Dies ermöglicht es uns, all die komplexen Krypto-Operationen der Ver-/Entschlüsselung ausschließlich auf der Client-Seite durchzuführen, ohne die Ressourcen des Endgeräts völlig zu erschöpfen.

Ein schrittweiser kurzer Blick auf die Operationen
Jeder Krypto-Prozess umfasst eine Reihe verschiedener Arbeitsschritte, die zwischen dem Client und dem Server über TLS/SSL ausgeführt werden – um eine bestimmte Operation erfolgreich durchzuführen. Nachfolgend finden Sie ein lineares Schritt-für-Schritt-Diagramm, das illustriert, wie die Ende-zu-Ende-Verschlüsselung und digitale Signatur von Mailfence funktioniert, sowie weitere relevante Details.

Mailfence zu Mailfence

Mailfence zu anderen E-Mail-Providern

• 

  Generieren eines Schlüssels

  1. Der Client-Browser fordert einen bestimmten Code zum Erstellen eines Schlüssels vom Server an, nachdem er vom Anwender eine entsprechende Aufforderung erhalten hat – und der Server sendet diesen bestimmten Code an den Client-Browser.
  2. Der Schlüssel wird dann (im Browser) auf dem Endgerät des Anwenders generiert und mit der zur Verfügung gestellten Passphrase via AES-256 verschlüsselt. Der öffentliche Schlüssel wird an diesem Punkt ebenfalls auf Public Key-Servern veröffentlicht (wenn der Anwender diese Option ebenfalls gewählt hat).
  3. Der verschlüsselte Schlüssel wird dann vom Browser des Anwenders an den Server geschickt – so dass ein Anwender darauf jederzeit von jedem beliebigen Endgerät sicher und geschützt zugreifen kann.

* Für den Import eines privaten Schlüssels (bereits mit der Anwender-Passphrase verschlüsselt) werden die Schritt 1 bis 3 übersprungen.

• Ändern der Passphrase
  1. Der Client-Browser fordert einen bestimmten Code zum Ändern der Passphrase zusammen mit dem entsprechenden verschlüsselten Schlüssel vom Server an, nachdem er eine Aufforderung vom Anwender erhalten hat – und der Server sendet diesen bestimmten Code mit dem entsprechenden verschlüsselten Schlüssel an die Client-Browser.
  2. Der Anwender entschlüsselt den Schlüssel, indem er die entsprechende Passphrase eingibt und verschlüsselt ihn wieder mit der neuen
  3. Der verschlüsselte Schlüssel wird dann vom Browser des Anwenders wieder an den Server zurückgeschickt.

• Sperren eines Schlüssels

1. Der Client-Browser fordert den spezifischen Code zum Sperren eines Schlüssels mit dem entsprechenden verschlüsselten Schlüssel vom Server an, nachdem er die Aufforderung vom Anwender erhalten hat. Der Server sendet dann diesen spezifischen Code mit dem entsprechenden verschlüsselten Schlüssel an den Client-Browser.
2. Der Anwender entschlüsselt den Schlüssel, indem er die entsprechende Passphrase eingibt.
3. Der Schlüssel wird dann gesperrt und sein Sperrstatus wird ebenfalls auf den Public Key Servern veröffentlicht (falls der Anwender diese Option gewählt hat). Der Schlüssel wird dann wieder mit der Passphrase des Anwenders verschlüsselt.
4. Der Client-Browser sendet den verschlüsselten Schlüssel dann zurück an den Server.

* Zum Erstellen eines Sperrzertifikats – in Schritt 4 wird die Anwendung anstatt den Schlüssel zu sperren, ein Sperrzertifikat erstellen – das der Anwender zu einem späteren Zeitpunkt verwenden kann, um das Sperren des Schlüssels geltend zu machen.

• Schlüsselexport
  1. Der Client-Browser fordert den spezifischen Code zum Schlüsselexport mit dem entsprechenden Schlüssel vom Server an, nachdem er eine Aufforderung vom Anwender erhalten hat. Der Server sendet dann diesen spezifischen Code mit dem entsprechenden verschlüsselten Schlüssel an den Client-Browser.
  2. Der Anwender exportiert dann diesen verschlüsselten Schlüssel (bzw. lädt ihn herunter) auf sein Endgerät.

• Löschen eines Schlüssels
  1. Der Client-Browser fordert den spezifischen Code zum Löschen des Schlüssels mit dem entsprechenden Schlüssel vom Server an, nachdem er die Aufforderung vom Anwender erhalten hat. Der Server sendet dann diesen spezifischen Code mit dem entsprechenden verschlüsselten Schlüssel an den Client-Browser.
  2. Der Anwender löscht dann den verschlüsselten Schlüssel auf seinem Endgerät.

• Ändern des Schlüsselablaufdatums
  1. Der Client-Browser fordert den entsprechenden Code zum Ändern des Schlüsselablaufdatums mit dem entsprechenden Schlüssel vom Server an, nachdem er die Aufforderung vom Anwender erhalten hat. Der Server sendet dann diesen spezifischen Code mit dem entsprechenden verschlüsselten Schlüssel an den Client-Browser.
  2. Der Anwender entschlüsselt den Schlüssel, indem er die entsprechende Passphrase eingibt, und verändert das Ablaufdatum. Dann wird der Schlüssel wieder mit der Passphrase des Anwenders verschlüsselt.
  3. Der Client-Browser sendet den verschlüsselten Schlüssel dann zurück an den Server

• Senden einer digital signierten E-Mail
  1. Der Client-Browser fordert den spezifischen Clod für das digitale Signieren mit dem entsprechenden Schlüssel vom Server an, nachdem er die Aufforderung vom Anwender erhalten hat. Der Server sendet dann diesen spezifischen Code mit dem entsprechenden verschlüsselten Schlüssel an den Client-Browser.
  2. Der Anwender entschlüsselt den Schlüssel mit der erforderlichen Passphrase.
  3. Die erstellte E-Mail-Nachricht wird digital signiert (PGP/MIME) und dann an den Empfänger geschickt.
  4. Der Schlüssel wird dann wieder mit der Passphrase des Anwenders verschlüsselt und an den Server zurückgeschickt.

• Senden einer verschlüsselten und digital signierten E-Mail
  1. Der Client-Browser fordert den spezifischen Code für das Verschlüsseln und digitale Signieren mit dem entsprechenden Schlüssel vom Server an, nachdem er eine Aufforderung vom Anwender erhalten hat. Der Server sendet dann diesen spezifischen Code mit dem entsprechenden verschlüsselten Schlüssel an den Client-Browser.
  2. Der Anwender entschlüsselt den Schlüssel mit der entsprechenden Passphrase.
  3. Die erstellte E-Mail-Nachricht wird digital signiert (PGP/MIME), mit dem öffentlichen Schlüssel des Empfängers verschlüsselt (OpenPGP) und dann verschickt.
  4. Der Schlüssel wird dann wieder mit der Passphrase des Anwenders verschlüsselt und zurück an den Server geschickt.

Für weitere Benutzerhinweise über Ende-zu-Ende-Verschlüsselung und digitale Signaturen, informieren Sie sich bitte auch unter diesem Link.

[maxbutton id=”25″ url=”https://mailfence.com/#register” ]

Mailfence ist ein sicherer und vertraulicher E-Mail-Service.