Wie der private Schluessel geschuetzt wird
Anmerkung: Dieser Artikel beantwortet eine spezifische Frage, die Sie nur betrifft, falls Sie den mailbox Guard aktiviert haben.
Wie wird verhindert, dass Dritte oder selbst die Administratoren von mailbox Zugriff auf Ihren privaten Schlüssel erhalten?
Die Absicherung des Schlüssels
Wenn Sie einen PGP-Schlüssel hochladen oder über den Guard erzeugen, dann wird dieser Schlüssel mit einem nur Ihnen bekannten Passwort verschlüsselt. Dieses Passwort ist nirgendwo auf unseren Systemen gespeichert und muss von Ihnen separat eingegeben werden, wenn eine Entschlüsselung notwendig wird (z. B. zum Lesen einer verschlüsselten Mail oder zum Bearbeiten einer verschlüsselten Datei).
Solange Sie das Guard-Passwort nicht eingeben, liegen die Schlüsseldateien auf dem Server verschlüsselt und sind somit unzugänglich – auch für uns.
Die sichere Verwendung Ihres Schlüssels
Wenn Sie sich einloggen, wird Ihr Schlüssel für genau eine Aktion entschlüsselt: um mit einem jedes Mal neu erzeugten, zufälligen Schlüssel für diesen Login verschlüsselt und vorübergehend bei mailbox gespeichert zu werden. Das temporäre Passwort wird in Ihrem Browser zwischengespeichert, der temporär verschlüsselte PGP-Schlüssel auf unserem mailbox-Server.
Weder Ihre jeweiligen Passwörter noch Ihr PGP-Schlüssel werden dauerhaft auf Festplatte oder im Programmspeicher unserer Server unverschlüsselt abgelegt.
Jede Seite hat nur „halbes Wissen“ über die Informationen, die notwendig sind, um auf den PGP-Schlüssel – und damit Ihre verschlüsselten Daten – zuzugreifen. Selbst wenn ein Dritter Zugriff auf eine der beiden Informationen erlangen würde, könnte er Ihre sensiblen Daten nicht kompromittieren.
Sobald Sie sich ausloggen, wird die temporäre, verschlüsselte Kopie des Schlüssels gelöscht. Selbst wenn jemand nachträglich das temporäre Passwort aus Ihrer Login-Sitzung ausliest, ist dieses mit Ihrem Ausloggen bereits unbrauchbar geworden.
Angriffsszenarien
Wenn ein Angreifer während der Übertragung an den Browser des Nutzers den temporären Schlüssel abfangen würde, hätte er keine Möglichkeit, an den weiterhin nur auf dem Server gespeicherten echten PGP-Schlüssel zu gelangen. Ein Login des Angreifers würde eine neue, unabhängige Sitzung starten, in der das erbeutete, temporäre Passwort wertlos wäre.
Ein Angreifer hingegen, der (direkten oder entfernten) Zugriff auf Ihr Gerät hat und somit bereits lokale Kontrolle über Ihren Webbrowser besitzt, könnte vom Browser die aktuelle Sitzung Ihres mailbox-Logins übernehmen und damit auch den temporären Schlüssel erlangen – wobei dieser nur kurzzeitig während Ihrer aktuellen Login-Sitzung gültig ist und daher nicht dauerhaft verwendet werden kann.
Allerdings hätte der Angreifer zu diesem Zeitpunkt bereits lokalen Zugriff auf Ihr Gerät und Ihren Browser und damit auch Zugriff auf Ihre Mails und alle dort aktuell verarbeiteten Daten – unabhängig davon, ob diese durch eine lokale PGP-Installation auf Ihrem PC oder durch unseren Guard serverseitig ver- bzw. entschlüsselt werden.
Es stellt sich also die grundsätzliche Frage nach der Sicherheit des Geräts jedes einzelnen Anwenders. Die Verwendung des mailbox Guard eröffnet keine zusätzlichen Sicherheitslücken oder Angriffsmöglichkeiten, die nicht ohnehin schon durch Hardware, Betriebssystem oder Drittanbieter-Software bestehen.
Im Gegenteil: Man könnte sogar sagen, dass bei der Verwendung des Guards ein Angreifer immerhin nicht sofort an die PGP-Schlüssel des Anwenders gelangen kann, da diese auf den mailbox-Servern gespeichert sind.