Digitale Unterschrift

Behörden und Unternehmen verwenden in der Regel S/MIME. Das hat den großen Vorteil, dass die nötigen Ausstellerzertifikate in vielen Mailprogrammen bereits vorinstalliert sind. Da merkt der Benutzer dann gar nicht, dass er einen Schlüssel "importiert".

Außerdem kann man bei persönlichem Erscheinen und Vorlage eines Ausweises qualifizierte S/MIME Zertifikate erwerben, die dann auch eine gewisse Rechtssicherheit geben*.

Das ist natürlich bei selbst erstellten Schlüsseln (PGP) und Zertifikaten (S/MIME) nicht der Fall. Solche S/MIME-Zertifikate gibt es aber nicht umsonst. Die Aussteller verlangen selbstverständlich etwas dafür. Insbesondere bei qualifizierten Zertifikaten kann es teuer werden.

Dennoch, im privaten Umfeld genügen GPG-Schlüssel vollkommen. Sollte jemand z.B. deine E-Mailadresse als Absender benutzen, um Spam oder gar Schädlinge zu versenden, dann fiele das sofort auf, weil eben die Signatur fehlt. Solche Fälle gibt es öfter als du vielleicht meinst. Das Fälschen einer E-Mailadresse ist leicht. Der unschuldige Besitzer der E-Mailadresse bekommt dann die Vorwürfe ab.

Anders ausgedrückt, wenn du deine E-Mails stets signierst, und einer deiner Bekannten fällt auf einen solchen Phisher herein, dann darf er sich an die eigene Nase fassen.

* : Man kann auch PGP-Schlüssel "amtlich" beglaubigen lassen. In der Praxis kommt das nach meiner Erfahrung allerdings kaum vor.

Nein, die Schlüssel müssen in jedem Fall einmalig getauscht werden. Wie sollte die andere Seite dich sonst erkennen?

Die Signatur schützt dich und andere auch nicht vor Phishing. Sie ist nur ein Baustein. Sie zeigt jeweils an, ob eine E-Mail wirklich von dem Absender stammt, den sie vorgibt, und außerdem, dass sie nach dem Senden nicht verändert wurde.

Beispiel:

Du hast eine Adresse Naturfreund@xy.de

Ich könnte ohne weiteres E-Mails mit diesem Absender verschicken und darin böse Links einbauen. Die Empfänger denken dann, die E-Mail kommt von dir. Und weil sie dir vertrauen, klicken sie ohne lange nachzudenken.

Das machen sich Phisher zunutze und verwenden vermeintlich paypal oder ebay als Absender.

Würdest du deine E-Mails signieren und hätte der Empfänger deinen öffentlichen Schlüssel, könnte er leicht bemerken, dass meine E-Mail in deinem Namen eine Fälschung ist. Entweder daran, dass die Unterschrift fehlt oder daran, dass sie ungültig ist.

Das alles gilt umgekehrt für dich. Wenn deine Mailpartner signieren und du deren öffentlichen Schlüssel hast, kannst du Fälschungen leichter erkennen.

Sehr lobenswert, dass du nachgefragt hast. Und ja, Namen und Adressen in Grafiken lassen sich nicht so leicht von Bots auslesen. Sie stellen somit keine große Gefahr bzgl. Spam dar.

Aber Menschen können sie natürlich lesen, und so manch ein neugieriger Typus wirft gleich mal Google an. In diesem Fall mag es dem "Opfer" ganz recht sein.

Allgemein sollte man vermeiden, Screenshots mit persönlichen Informationen irgendwo hochzuladen.