Volksverschlüsselung

Die Volksverschlüsselung nahm ihren Betrieb 2016 als gemeinsame Initiative des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt und der Deutschen Telekom auf.^[1][2] Technisch ist die Volksverschlüsselung eine Public-Key-Infrastruktur, mit der sich jeder Mensch mit einem deutschen Personalausweis oder öffentliche Einrichtungen (bspw. Schulen) oder gemeinnützige Organisationen (bspw. Vereine) ein kostenfreies X.509-Zertifikat erstellen kann^[3]. Zusätzlich ist die Registrierung vor Ort und bei Messen und Veranstaltungen möglich, was aber „bis auf Weiteres ausgesetzt“ ist.

Volksverschlüsselung
Basisdaten
Entwickler	Deutsche Telekom Fraunhofer SIT
Erscheinungsjahr	2016
Aktuelle Version	V1.24-0 (9.11.2023)
Betriebssystem	Windows
Kategorie	Verschlüsselung
www.volksverschluesselung.de

Allgemeines

Mit diesen X.509-Zertifikaten kann in einem E-Mail-Programm wie Mozilla Thunderbird oder Microsoft Outlook eine ausgehende E-Mail entweder nur elektronisch signiert oder zusätzlich verschlüsselt werden. Das dabei verwandte Verfahren basiert auf dem sogenannten S/MIME-Standard. Die X.509-Zertifikate der Volksverschlüsselung sind kostenlos und auf den privaten Gebrauch beschränkt. Neben dem abgesicherten Mailverkehr mit S/MIME können die X.509-Zertifikate auch für weitere Zwecke eingesetzt werden: so, wenn Zertifikate der Volksverschlüsselung bei der Authentifizierung für geschlossene Bereiche auf Webseiten verwandt oder mit ihnen PDF-Dokumente signiert werden.

Mit der gleichnamigen Software zur Volksverschlüsselung, werden die X.509-Zertifikate beantragt, erstellt und am Ende automatisch in die direkt unterstützen Mailprogramme Thunderbird und Outlook sowie in verschiedene Webbrowser importiert. Wenn erforderlich, können Zertifikate auch zurückgezogen werden, was über eine CRL und per OCSP-Responder öffentlich gemacht wird.

Dabei wird die Software Volksverschlüsselung nur dazu benötigt, ein oder mehrere Zertifikate zu beantragen und sich dazu mit dem elektronischen Personalausweis (ePA) auszuweisen. Zertifikate können auch in verschiedenen Formaten exportiert werden. Auslaufende Zertifikate können durch neue ersetzt werden, wenn die zweijährige Gültigkeit dem Ende zugeht. Zusätzlich können die erstellten Zertifikate in einem zentralen Verzeichnisdienst bereitgestellt werden, wenn das gewünscht wird.

Sie ist damit eine wichtige, aber selten aktiv genutzte Verwaltungssoftware für X.509-Zertifikate. Die eigentliche Signierung und Verschlüsselung von Mails sowie andere Nutzungen geschehen durch die jeweiligen Programme, bei denen die Zertifikate eingesetzt werden.

Die dazugehörige Infrastruktur wird von der Deutschen Telekom in einem Hochsicherheitsrechenzentrum betrieben.^[4] Die Software wurde am 29. Juni 2016 erstmals zum Herunterladen bereitgestellt und wird fortlaufend gepflegt. Die aktuelle Version 23 wurde am 9. Oktober 2023 veröffentlicht.^[5] Die Software kann kostenlos heruntergeladen und eingesetzt werden. Die Quelltexte sind offen einsehbar, sie wird aber nicht unter einen Open-Source-Lizenz veröffentlicht.^[6]

Die erstellten X.509-Zertifikaten können mit jedem Mailprogramm eingesetzt werden, das S/MIME mit X.509 unterstützt. Die erstellten X.509-Zertifikate können unter verschiedenen Betriebssystemen eingesetzt werden. Sie sind im Gegensatz zur Verwaltungssoftware der Volksverschlüsselung nicht an Windows gebunden. Die Zertifikate der Volksverschlüsselung können also auch unter MacOS, iOS, Android und Linux eingesetzt werden. Stand 2024 wird die Software nur für Windows angeboten. Unter den genannten Windows-Versionen werden die Zertifikate gleich mit der Erstellung in den Programmen Mozilla Thunderbird und Microsoft Outlook importiert. Wer die Zertifikate in anderen Mailprogrammen und Betriebssystemen verwenden möchte, muss dazu nur wissen, wie das zu bewerkstelligen ist. Wo der S/MIME-Standard und der Einsatz von Zertifikaten unterstützt werden, sind diese Zertifikate für private Mails einsetzbar. Mit dem Acrobat Reader DC können PDF-Dokumente ohne Abschluss eines kostenpflichtigen Abonnements mit diesen Zertifikaten signiert werden.

Beschreibung

Die Software Volksverschlüsselung kann (Stand Januar 2024) nur auf Windows-PCs installiert werden, Ausgaben für Android, iOS, Linux und macOS sind geplant.^[7] Genutzt wird der S/MIME-Standard mit X.509-Zertifikaten. Eine Unterstützung von OpenPGP war geplant, wird aber nicht weiter verfolgt. Die Software nutzt die freie Krypto-Bibliothek Bouncy Castle. Der Quellcode des Programms Volksverschlüsselung ist offen zugänglich, aber keine Open Source im engeren Sinne.^[8] In den Lizenzbestimmungen der Software war der Text der GNU General Public License enthalten. Seit August 2019 gilt die Endbenutzer-Lizenzvereinbarung.^[9]

Mit dem installierten Programm können erzeugte Zertifikate direkt in gängigen Browsern sowie in den Mailprogrammen Microsoft Outlook und Mozilla Thunderbird importiert werden.^[7] In der Liste der angebotenen Programmen kann aber auch festgelegt werden, dass ein automatischer Import nicht erfolgt.

Die X.509-Zertifikate werden nur durch Nachweis der eigenen Identität gegenüber der Software Volksverschlüsselung oder direkt beim Fraunhofer SIT vergeben. Dies kann, neben anderen Möglichkeiten wie beispielsweise einem direkten, persönlichen Kontakt auf Messen und Veranstaltungen, in der Hauptsache über die Online-Ausweisfunktion (eID) des neuen Personalausweises (ePA / nPA) geschehen. Die Identifizierung über ein Kundenkonto der Telekom ist nicht mehr möglich. Diese wurde nur zu Beginn des Projektes angeboten. Weitere Möglichkeiten zum Identitätsnachweis, etwa über Postident, waren geplant.^[10] Aktuell ist zusätzlich die Authentifizierung an sogenannten Bürgerterminals möglich.^[11]

Die von der Software erzeugten privaten Schlüssel befinden sich ausschließlich auf den Endgeräten der Benutzer und nicht in der Hand des Fraunhofer-Instituts oder der Deutschen Telekom.^[12]

Seit März 2017 bietet das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) auch eine Lösung für Unternehmen an. Unternehmen können diese Zertifikate dann auch im kommerziellen Umfeld einsetzen.^[13]

Kritik

Die Zertifikate der Volksverschlüsselung können auch zuverlässig eingesetzt werden, wenn die Empfänger einer Mail selbst noch keine X.509-Zertifikate verwenden. Es ist lediglich ein S/MIME-kompatibles Mailprogramm erforderlich, und die Vertrauenskette (trustchain) der Volksverschlüsselung muss installiert sein.^[14] Damit kann auf der empfangenden Seite sicher überprüft werden, ob die eingehende Mail wirklich vom ausgewiesenen Absender stammt und dass die Mail unverändert übermittelt wurde. Das Gleiche gilt für die Signierung von PDF-Dokumenten.

Auch wenn die absendende Seite nicht sicher sein kann, dass bei der Zieladresse ein S/MIME-fähiges Mailprogramm genutzt wird, so ist der Sicherheitsgewinn allein durch eine Signatur schon erheblich. Auch die vielfach eingesetzten Webmaildienste, über die beispielsweise t-online.de, web.de und gmx.de verfügen, können aktuell noch keine Integration von S/MIME anbieten [noch zu verifizieren]. Auf der anderen Seite gibt es zahlreiche Programme, die S/MIME out-of-the-box unterstützen. Wurde beispielsweise auf einem iPhone die Trustchain der Volksverschlüsselung unter iOS importiert, dann kann die Echtheit einer eingehenden Mail mit einer S/MIME-Signatur der Volksverschlüsselung sofort geprüft werden.

Bisher steht die Verwaltungssoftware nur unter Windows 7 bis 11 zur Verfügung. Andere Betriebssysteme wie Linux oder macOS werden aktuell nicht bedient (Stand Januar 2024). Jedoch enthält die Volksverschlüsselungssoftware eine Exportfunktion der Schlüssel für iOS.^[15] Der Export im P12-Format erlaubt den Import bei allen bedeutenden Betriebssystemen. Die Kritik am „bevorzugten“ Zugang für Menschen mit einem Telekom-Kundenkonto ist gegenstandslos geworden, da er nicht mehr angeboten wird. In der Zeit bemängelte der Autor Dirk Aspendorf 2016, dass im Ausland lebende Menschen ohne elektronischen Personalausweis (ePA) nicht teilnehmen könnten.^[16] Bei der zehnjährigen Gültigkeit des Personalausweises ist anzunehmen, dass diese Gruppe sich aber inzwischen erheblich verkleinert hat. Im Gegenteil: Wer heute mit einer deutschen Staatsangehörigkeit auswärts lebt, kann sich mithilfe eines elektronischen Personalausweises, eines Windows-Notebooks oder Desktop-Rechners, eines geeigneten Kartenlesers oder Smartphones und der notwendigen Software weltweit kostenfrei ein S/MIME-Zertifikat erstellen, vorausgesetzt, der Aufenthaltsort bietet Zugänge zum Internet. Der direkte Kontakt mit dem Fraunhofer-Institut für Sichere Informationstechnologie, um sich unter Vorlage eines Personalausweises oder Reisepasses zu registrieren, ist derzeit (Stand 2021) ausgesetzt. Termine hierfür werden bis auf Weiteres nicht mehr auf der Webseite der Volksverschlüsselung veröffentlicht.^[17]

Der Autor Hauke Gierow kritisierte 2016 auf golem.de, dass „sich mit dem neuen Projekt keine rechtsverbindlichen Unterschriften für offizielle Dokumente erstellen [lassen]“.^[10] Die Volksverschlüsselung bietet keine qualifizierte elektronische Zertifikate-Signatur.^[18] Sie fußen aber in ihrer überwiegenden Mehrheit auf einem vorgewiesenen elektronischen Personalausweis. Von daher ist anzunehmen, dass diesen Zertifikaten sowie den mit ihnen elektronisch signierten Mails und PDF-Dokumenten ein erhebliches Vertrauen entgegengebracht wird.

Alternativen

Software nach dem OpenPGP-Standard wie GnuPG oder Pretty Good Privacy bieten ebenfalls Ende-zu-Ende-verschlüsselten E-Mail-Verkehr, aber in einem anderen technischen Verfahren und einem community-orientierten Vertrauensmodell. Für E-Mail verwendbare X.509-Zertifikate werden auch kostenlos vom Projekt CAcert angeboten und erfordern eine über ein Netzwerk freiwilliger Assurer sichergestellte Authentifizierung. Die Trustchain zum letztgenannten Projekt wurde 2014 aus dem ca-certificates-Package von Debian entfernt.^[19]

Literatur

• Michael Herfert, Annika Selzer, Ulrich Waldmann: Laientaugliche Schlüsselgenerierung für die Ende-zu-Ende-Verschlüsselung. Schlüssel für alle durch die Volksverschlüsselung. In: Datenschutz und Datensicherheit. Band 40, Nr. 5, 16. Mai 2016, S. 290–294, doi:10.1007/s11623-016-0598-6. 

Einzelnachweise

1. Deutsche Telekom AG: Volksverschlüsselung: Deutschland mailt sicher (Medieninformation vom 29. Juni 2016). Abgerufen am 27. März 2021. 
2. Volksverschlüsselung. Deutschland mailt sicher. Fraunhofer-Gesellschaft, 29. Juni 2016, abgerufen am 21. April 2017. 
3. Volksverschlüsselung. Abgerufen am 24. Januar 2024. 
4. Christian Stöcker: Volksverschlüsselung. Gute Idee mit vielen Haken. In: Spiegel Online. 29. Juni 2016, abgerufen am 21. April 2017. 
5. Änderungshistorie der Volksverschlüsselung. Abgerufen am 12. Januar 2024. 
6. Ist die Volksverschlüsselungs-Software Open Source? Abgerufen am 27. März 2021. 
7. Dennis Schirrmacher: E-Mail-Verschlüsselung für jedermann: Volksverschlüsselung steht bereit. In: Heise online. 29. Juni 2016, abgerufen am 1. Juli 2016. 
8. Volksverschlüsselung – Ist die Volksverschlüsselungs-Software Open Source? In: www.volksverschluesselung.de. Abgerufen am 20. September 2016. 
9. Endbenutzer-Lizenzvereinbarung August 2019. Fraunhofer-Institut für Sichere Informationstechnologie SIT, 2019, abgerufen am 27. März 2021. 
10. Hauke Gierow: Fraunhofer SIT: Volksverschlüsselung startet ohne Quellcode. In: Golem.de. Abgerufen am 22. Dezember 2019. 
11. Volksverschlüsselung – Welche Authentifizierungsverfahren werden unterstützt? Abgerufen am 27. März 2021. 
12. Volksverschlüsselung gestartet: Jetzt kann jeder sichere E-Mails verschicken. n-tv, abgerufen am 29. Juni 2016. 
13. Registrierung für Firmen. Fraunhofer-Gesellschaft, ehemals im Original (nicht mehr online verfügbar); abgerufen am 21. April 2017.@1@2Vorlage:Toter Link/www.volksverschluesselung.de (Seite nicht mehr abrufbar. Suche in Webarchiven)   Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis. 
14. Volksverschlüsselung – Trustchain: Zertifikate der Root CA und der ausstellenden Private CA G02. Abgerufen am 27. März 2021. 
15. Können die von der Volksverschlüsselung erzeugten Schlüssel auf dem iPad oder dem iPhone genutzt werden? Fraunhofer-Gesellschaft, abgerufen am 21. April 2017. 
16. Dirk Asendorpf: „Volksverschlüsselung“: Sichere E-Mails für alle. Die Zeit, abgerufen am 29. Juni 2016. 
17. Volksverschlüsselung – Termine zur Vor-Ort-Registrierung. Abgerufen am 27. März 2021. 
18. Volksverschlüsselung-PKI Generation 2 – Zertifizierungsrichtlinie (CP) und Erklärung zum Zertifizierungsbetrieb (CPS). Fraunhofer-Institut für Sichere Informationstechnologie SIT, 26. Mai 2020, abgerufen am 27. März 2021. 
19. Paket: ca-certificates (20200601~deb10u2) Debian-Changelog. Abgerufen am 27. März 2021.