GMX und Web.de sichern E-Mails ab sofort mit DANE
Die United-Internet-Mailprovider GMX und Web.de haben angekündigt ab sofort das DANE-Protokoll (DNS-based Authentication of Named Entities) unterstützen zu wollen. Dabei handelt es sich um eine Technologie zur erweiterten Abhärtung von SSL/TLS-Verbindungen.
Schon jetzt versenden zahlreiche E-Mail-Provider Nachrichten untereinander nur noch über SSL-verschlüsselte Verbindungen. Schwachstelle in diesem System ist üblicherweise die Bereitstellung der entsprechenden kryptographischen Schlüssel. Da die Verteilung dieser Informationen üblicherweise über eine Vielzahl von Vermittlungsstellen erfolgt, besteht hier ein erhöhtes Angriffspotenzial. Gerade für ressourcenstarke Angreifer, wie etwa Geheimdienste.
Das DANE-Protokoll sieht vor, Informationen über diese Schlüssel direkt im DNS (Domain Name System) abzulegen. Hauptfunktion des DNS ist es normalerweise, Domain-Namen auf IP-Adressen weiterzuleiten. Auf diese Weise werden die Verschlüsselungsinformationen nicht mehr über unzuverlässige Dritte vermittelt, sondern liegen in einer hinreichend sicheren, verteilten Datenbank vor. Einen Angriff auf die Server des DNS halten Experten für nahezu ausgeschlossen.
Ein weiterer Ansatz, die Krypto-Schlüssel von E-Mail-Servern hinreichend sicher zu übertragen besteht zum Beispiel im, ebenfalls von GMX und Web.de vorangetriebenen, Dienst "E-Mail made in Germany". Im Unterschied zum DANE-Protokoll ist dieser Dienst allerdings nicht offen und erfordert eine teure Zertifizierung.
Nutzer von GMX und Web.de sollten allerdings auch weiterhin beachten, dass weder "E-Mail made in Germany" noch die Verwendung des DANE-Protokolls eine tatsächliche Ende-zu-Ende-Verschlüsselung bedeuten. Es gibt also auch weiterhin Schwachstellen, an denen die E-Mails möglicherweise von unbefugten Dritten abgefangen werden können.