Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Kommentar: S/MIME vs. OpenPGP - Sonderwege der Open Source-Gemeinschaft

Foto: © pico / Fotolia.com

Foto: © pico / Fotolia.com

E-Mail Verschlüsselung ist nach wie vor ein sehr problematischer Bereich. Gegenwärtig sind fast alle mobilen Messenger sicherer als die herkömmliche E-Mail - selbst wenn der Besitzer des Messengers Facebook, Apple oder Microsoft heißt. Die technischen Grundlagen zur Mailverschlüsselung sind über 20 Jahre alt, nur durchsetzen konnte sie sich nie. Hinzu kommt die Konkurrenz von S/MIME und PGP, wodurch Interessenten zwei unterschiedliche Systeme parallel betreiben müssen.

S/MIME und PGP sind älter als die Konkurrenz zwischen Linux und Windows und beide sind standardisiert. OpenPGP nutzt das in PGP 5 standardisierte Format, festgelegt in RFC 4880. S/MIME ist in RFC 2633 spezifiziert. Neben technischen Unterschieden ist das größte Unterscheidungsmerkmal das Schlüsselsystem. PGP basiert auf einem "Web of Trust" genannten Verfahren, bei dem vertrauenswürdige Dritte Schlüssel zertifizieren können. S/MIME basiert hingegen auf einem hierarchischen Zertifikatssystem, wie man es - etwas simplifiziert ausgedrückt - auch von den TLS-Zertifikaten (HTTPS) kennt.

Interessanterweise wird dieser Dualismus primär durch die Open Source Gemeinschaft am Leben erhalten. Normalerweise ist es eben jene Gemeinschaft, die Sonderwege proprietärer Hersteller ablehnt und auf freien Formaten beharrt (siehe z.B. die Kontroverse um OASIS und OOXML). Bei S/MIME vs. PGP muss man aber eigentlich konstatieren, dass ersteres sich längst flächendeckend durchgesetzt hat. Alle verbreiteten Betriebssysteme (Windows, macOS, Linux, iOS, Android) und alle großen Mailclients (Outlook, Apple Mail, Thunderbird, Evolution, KMail) haben S/MIME implementiert. PGP ist hingegen nur bei Linux vorinstalliert und noch nicht einmal Thunderbird unterstützt dies ohne Addon.

Maßgeblich liegt dies an der Ablehnung der Zertifikatshierarchie durch die Open Source-Gemeinschaft. Das "Web of Trust"-Verfahren passt hier halt deutlich mehr zum Gemeinschaftsgedanken. Technisch gesehen sind beide Verfahren sicher und die verbreitete Implementierung von S/MIME zeigt, dass es hier auch keine proprietären Hürden gibt oder das Protokoll zu schwer umzusetzen ist.

Dieser Sonderweg der Open Source Gemeinschaft könnte man als bedeutungslos abtun. Durch die starke Vernetzung von Datenschutz-Aktivisten und Open Source-Gemeinschaft basieren Empfehlungen zur E-Mail Verschlüsselung jedoch fast immer auf PGP - ein System, das nirgendwo vorinstalliert ist. Dies erhöht massiv die Einstiegsschwelle in das Thema Mailverschlüsselung. Ein Bereich, der durch komplexe Verfahren mit öffentlichen und privaten Zertifikaten, sowie viel manueller Tätigkeit beim Austausch, sowieso nicht leicht zu durchdringen ist.

Die große Hürde beim S/MIME Zertifikatssystem sind die, für Außenstehende, undurchsichtigen Zertifizierungsstellen und vielfältigen, teils kostenpflichtigen, Angeboten. Let'S Encrypt hat im TLS-Bereich jedoch gezeigt, dass man eine zuverlässige, transparente und kostenlose Zertifizierungsstelle erschaffen kann, die sich sehr schnell durchsetzt. Was es braucht ist ein ähnliches System für S/MIME - und die Unterstützung durch die Open Source-Gemeinschaft, die ihr gescheitertes GnuPG endlich aufgeben muss.

Tags: Sicherheit, E-Mail, Verschlüsselung, OpenPGP, PGP, GnuPG, S/MIME

Die Kommentarfunktion auf [Mer]Curius soll allen interessierten Leserinnen und Lesern einen Austausch ermöglichen. Kritische Meinungen zum Artikel selbst oder anderen Kommentaren sind ausdrücklich erwünscht. Gleichwohl werden Kommentare vor ihrer Veröffentlichung geprüft. Sie erscheinen daher nicht im unmittelbaren Anschluss nach dem Verfassen.


Die Angabe einer E-Mail Adresse ist optional und lediglich notwendig, wenn ein Abonnement zukünftiger Kommentare gewünscht ist.


Informationen zu verarbeiteten personenbezogenen Daten entnehmen Sie bitte der Datenschutzerklärung. Mit dem Verfassen eines Kommentars akzeptieren Sie diese Datenschutzbedingungen.

Lade Kommentar... Das Kommentar wird neu geladen in 00:00.

Verfasse das erste Kommentar.

Schreibe etwas...
Sie sind Gast
oder als Gast schreiben
  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Betriebssystemen Weiterlesen
  • 1