Vertrauenswürdige Verteilung von Verschlüsselungsschlüsseln

Herausforderung

Eine unberechtigte Einsichtnahme in den Inhalt von E-Mails lässt sich zuverlässig verhindern, wenn die Nachrichten durch Ende-zu-Ende-Verschlüsselung geschützt sind. Viele Nutzer sind allerdings mit der Frage überfordert, ob der gewünschte Empfänger ein Verschlüsselungszertifikat besitzt und ggf. von welchem Verzeichnisserver dieses Zertifikat heruntergeladen werden kann. Zudem ist die Überprüfung, ob ein vorliegendes Zertifikat wirklich zum gewünschten Kommunikationspartner gehört, in der Regel weder benutzungsfreundlich noch vertrauenswürdig. Diesen Mängeln widmet sich das Projekt VVV.

Ziele und Vorgehen

Das Ziel des Projekts ist die Entwicklung eines Verfahrens, mit dem jeder E-Mail-Nutzer einen vertrauenswürdigen und benutzungsfreundlichen Zugang zu den Zertifikaten seiner Kommunikationspartner erhält. Die Lösung wird auf Grundlage der DNS-Sicherheitserweiterungen (DNSSEC) und des DANE-Netzwerkprotokolls entwickelt, um den Speicherort der Zertifikate mit den Adressen der Mail-Anbieter im Internetverzeichnisdienst (DNS) sicher und eindeutig zu verknüpfen. Teil der Entwicklung ist die Erweiterung einer client-seitigen und einer server-seitigen E-Mail-Anwendung, mit der die Zertifikate des Nutzers authentisch veröffentlicht und die Zertifikate der Kommunikationspartner automatisch ermittelt werden können.

Förderung und Laufzeit

Das Projekt VVV basiert auf einer Ausschreibung des Bundesministeriums für Bildung und Forschung (BMBF) zur Förderung von Forschungsinitiativen auf dem Gebiet des Selbstdatenschutzes vom 13. Oktober 2014. VVV ist am 1. Januar 2016 mit einer Laufzeit von zwei Jahren gestartet.

Projektpartner an dem vom BMBF geförderten Projekt VVV sind:

Universität der Künste Berlin, DRLab

Das Design Research Lab (DRLab) der Universität der Künste Berlin unter der Leitung von Prof. Dr. Gesche Joost verfügt über eine umfangreiche Expertise im Bereich der Designforschung und des User Experience Designs. Das DRLab bringt in das Projekt vor allem Untersuchungen und Lösungen zur Benutzungsfreundlichkeit von Email-Verschlüsselungssystemen ein.

mailbox.org

mailbox.org ist ein E-Mail-Provider, der 2014 anlässlich des NSA-Skandals gegründet wurde und großen Wert auf Datensparsamkeit und Privatsphäre legt. Mailbox.org hat seinen Sitz in Berlin und wird betrieben von der Heinlein Support GmbH, die bereits seit 1989 den E-Mail-Provider JPBerlin betreibt. mailbox.org trägt insbesondere die technischen Ressourcen (serverseitige Infrastruktur) zum Projekt bei und sorgt für die Wirtschaftlichkeit und Verbreitung der Lösung.

Universität Kassel, provet

Die Projektgruppe verfassungsverträgliche Technikgestaltung (provet) im Zentrum für Informationstechnik-Gestaltung der Universität Kassel führt seit 1998 unter der Leitung von Prof. Alexander Roßnagel interdisziplinäre Forschungsprojekte zur rechtsverträglichen Gestaltung von Informations- und Kommunikationstechnik durch. Im Projekt sorgt sich provet insbesondere um die Fragen der Datenschutzforschung, Rechtsentwicklung, Nutzungsfragen, Haftung, Compliance der VVV-Lösung.

Fraunhofer-Institut für Sichere Informationstechnologie SIT

Das Fraunhofer-Institut für Sichere Informationstechnologie SIT mit Hauptsitz in Darmstadt hat langjährige Erfahrung in der Entwicklung und Sicherheitsbewertung komplexer IT-basierter Systeme und in der Einbettung von Sicherheitstechnologien in unterschiedliche Anwendungskontexte. Das SIT leitet das VVV-Konsortium, bringt in die VVV-Konzepte, Entwicklung und Tests die Aspekte der IT-Sicherheit ein und entwickelt eine VVV-kompatible Client-Software. 

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Das Unabhängige Landeszentrum für Datenschutz (ULD) ist die Aufsichtsbehörde für Datenschutz des Landes Schleswig-Holstein. Das ULD steht für die Implementierung von Datenschutz und Datensicherheit über eine proaktive Gestaltung der Systeme (Privacy by Design), umfassende Beratung der Betroffenen und Unternehmen. Im Projekt VVV bringt das ULD seine Erfahrung aus der aufsichtsbehördlichen Praxis des Datenschutzes ein und überführt die im Projekt entwickelten Lösungen in den Diskurs mit Datenschutzpraktikern.