Um die sichere Verteilung des öffentlichen Schlüssels nutzerfreundlich zu vereinfachen, wurde im BSI-Projekt EasyGPG eine Lösung entwickelt: Die automatische Verteilung der öffentlichen Schlüssel mittels der beiden Protokolle Web Key Directory (WKD) und Web Key Service (WKS). Durch dieses Verfahren wird die Erstellung, Anwendung und verifizierte Verteilung des öffentlichen Schlüssels weitgehend automatisiert über den bereits bestehenden E-Mail-Anbieter abgewickelt. Im Folgenden möchte das BSI Ihnen vorstellen, wie dieses Verschlüsselungsverfahren funktioniert und warum es die Anwendung effektiver E-Mail-Verschlüsselung vereinfacht.

Vereinfachtes Verschlüsselungsverfahren: WKD/WKS

Die für WKD/WKS nötigen Mechanismen werden von GnuPG (GPG) bereitgestellt, das von vielen E-Mail-Programmen als Kryptographie-Backend benutzt wird. Allerdings reichen nicht alle E-Mail-Programme, die GPG nutzen, diese Funktionalität an die Nutzeroberfläche durch. Mit Linux als Betriebssystem können z.B. KMail oder Thunderbird benutzt werden. Unter Windows kann ebenfalls Thunderbird eingesetzt werden oder auch Outlook mit dem freien Plugin Gpg4win.

Nach der Installation der Software werden Nutzerinnen und Nutzer beim Start mit einem Assistenten durch die Konfiguration geführt. Durch einfache Bestätigung wird ein asymmetrisches Schlüsselpaar aus privatem und öffentlichem Schlüssel erzeugt.

Der öffentliche Schlüssel wird dabei automatisiert per E-Mail an den jeweiligen E-Mail-Dienst geschickt, sofern dieser die entsprechenden Protokolle unterstützt. Der Anbieter verifiziert die Anfrage durch eine verschlüsselte und signierte Antwort an die Nutzerin oder den Nutzer. Die Empfängerin bzw. der Empfänger bestätigt wiederum durch einen einfachen Klick in der E-Mail, dass dies die richtige E-Mail-Adresse für den öffentlichen Schlüssel ist. Dadurch wird der öffentliche Schlüssel der richtigen E-Mail-Adresse eindeutig zugeordnet und authentifiziert. Zudem werden Informationen über den Schlüssel, wie die Gültigkeit oder der Ersatz durch einen neuen öffentlichen Schlüssel, aktuell gehalten.

Der große Vorteil zu den bisherigen Verfahren ist, dass der nun verifizierte öffentliche Schlüssel von dem E-Mail-Anbieter über dessen Server automatisch an alle Kommunikationspartner verteilt wird. Die Kommunikationspartner, die eine E-Mail verschlüsselt an die Eigentümerin oder den Eigentümer des Schlüssels senden möchten, müssen den Schlüssel nun nicht mehr einfordern, sondern erhalten diesen automatisch mit der Eingabe der E-Mail-Adresse im Adressfeld. Ohne weiteres Zutun wird dann im Hintergrund des E-Mail-Programms der verfügbare Schlüssel zur jeweiligen E-Mail-Adresse abgefragt und automatisch genutzt, um die E-Mail an diese Adresse zu verschlüsseln. Der Schlüssel wird lokal im "Schlüsselbund" des Absenders gespeichert und kann zukünftig ohne Abfrage beim E-Mail-Anbieter benutzt werden.

Von dem Provider posteo.de wird der Dienst bereits angeboten und auch von dem Key-Server keys.opengpg.org unterstützt (https://keys.openpgp.org/about/usage).

Der Stand zu weiteren Anbietern, die WKD unterstützen oder es vorhaben, kann hier nachgelesen werden: https://wiki.gnupg.org/WKD#Implementations.

Falls der eigene E-Mail-Anbieter nicht mit dabei ist, kann sich ein Wechsel des Providers lohnen.