VERSCHLÜSSELUNG

Tuta ist der beste Dienst, um deine Daten sicher in der Cloud zu speichern. Die integrierte Verschlüsselung sorgt dafür, dass deine Daten sicher bleiben, egal was passiert. Dein Schlüssel zur Verschlüsselung gehört dir, und nur dir allein. Er wird niemals an Dritte weitergegeben, auch nicht an Tuta.

Höchste Sicherheit

Tuta ist der sicherste E-Mail-Dienst der Welt, denn wir schützen deine Daten, immer und überall. Ob auf unseren Servern, oder auf deinen Geräten: Bei Tuta sind alle Daten immer Ende-zu-Ende verschlüsselt.

Die gesamte Mailbox - E-Mails, Kalender und Adressbuch - wird in Tuta Ende-zu-Ende-verschlüsselt gespeichert. Die einzigen unverschlüsselten Daten sind die Mailadressen der Nutzer sowie die Absender und Empfänger von E-Mails. Nach der Eingabe deiner Zugangsdaten wird dein Postfach automatisch lokal auf deinem Gerät entschlüsselt.

Daten, die Tuta Ende-zu-Ende verschlüsselt:

• E-Mails, einschließlich der Betreffzeilen und aller Anhänge,
• Gesamte Kalender, sogar Metadaten wie Benachrichtigungen zu Terminen,
• Das gesamte Adressbuch, nicht nur Teile der Kontakte,
• Posteingangsregeln / Filter,
• und der gesamte Suchindex.

Tuta verschlüsselt automatisch alle E-Mails zwischen Tuta-Benutzern Ende-zu-Ende, was einen großen Unterschied für die Online-Sicherheit als Ganzes macht. Mit Tuta kannst du sogar Ende-zu-Ende-verschlüsselte E-Mails an jeden senden, unabhängig davon, welcher E-Mail-Anbieter benutzt wird.

Tuta verwendet symmetrische (AES 256) und asymmetrische Verschlüsselung (RSA 2048 oder ECC (x25519) und Kyber-1024 als quantensichere Algorithmen), um E-Mails Ende-zu-Ende zu verschlüsseln. Wenn beide Seiten Tuta nutzen, werden alle E-Mails automatisch Ende-zu-Ende verschlüsselt (asymmetrische Verschlüsselung). Für eine verschlüsselte E-Mail an einen externen Empfänger muss einmalig ein Passwort zum Ver- und Entschlüsseln der E-Mail (symmetrische Verschlüsselung) ausgetauscht werden. Es kann dann dasselbe Passwort für jede Konversation mit diesem Kontakt verwendet werden: Mit Tuta muss nicht für jede E-Mail, die an denselben Kontakt gesendet wird, ein neues Passwort festgelegt werden.

Die automatische Verschlüsselung von Tuta funktioniert problemlos auf allen mobilen und Desktop-Geräten. Der Verschlüsselungsschlüssel wird niemals an Dritte weitergegeben, auch nicht an Tuta. Selbst wenn ein böswilliger Angreifer die E-Mail-Nachricht abfängt, kann er weder den Inhalt noch die Anhänge lesen.

Tuta ist der erste Ende-zu-Ende-verschlüsselte Kalender, der jemals entwickelt wurde. Der Tuta-Kalender verschlüsselt alle Daten, selbst die Teilnehmer*innen einer Veranstaltung werden verschlüsselt gespeichert.

Der Tuta Kalendar ist der einzige Zero-Knowledge-Kalender auf dem Markt, denn selbst wenn eine Push-Benachrichtigung für ein bevorstehendes Ereignis gesendet wird, haben wir diesen Erinnerungsdienst so aufgebaut, dass unsere Server die Benachrichtigung niemals sehen. Dadurch wissen unsere Server absolut nichts über deine Termine, nicht einmal wann diese Termine stattfinden.

Jeder Kalender, der Benachrichtigungen per E-Mail versendet, kann nicht als zero-knowledge angesehen werden, selbst wenn die E-Mail-Benachrichtigungen verschlüsselt sind, da das Senden der Benachrichtigung selbst bereits bedeutet, dass Informationen an den Server preisgegeben werden. Aus diesem Grund haben wir uns bemüht, verschlüsselte Benachrichtigungen direkt an die Tuta-Clients zu senden, z.B. an unsere Apps, und diese Benachrichtigungen lokal auf den Geräten der Nutzer*innen zu verarbeiten - nicht auf unseren Servern. Der große Vorteil der mobilen Apps ist, dass du diese Benachrichtigungen auch dann erhältst, wenn du die App nicht aktiv nutzt.

Lies unseren Beitrag über den Launch unseres Kalenders, um zu erfahren, warum verschlüsselte Benachrichtigungen so wichtig für den Schutz der Privatsphäre sind.

Die innovative Verschlüsselungsmethode von Tuta sichert deinen privaten Schlüssel, damit du - und nur du - von jedem Gerät aus auf deine Daten zugreifen kannst.

Tuta nutzt eine innovative Verschlüsselungsmethode, um deine Daten einfach zu sichern. Tuta ist der einzige E-Mail-Dienst, der automatisch alle E-Mails, alle Kalender und alle Kontakte standardmäßig verschlüsselt. Schlüsselgenerierung, Schlüsselhandling, Schlüsselaustausch - all dies geschieht automatisch im Hintergrund, der private Schlüssel ist jedoch nur für dich zugänglich.

Wenn du ein sicheres Tuta-E-Mail-Konto registrierst, generiert der Browser, die Tuta-App oder der Desktop-Client automatisch einen privaten und einen öffentlichen Schlüssel lokal auf deinem Gerät. Der private Schlüssel wird mit Hilfe deines Passworts verschlüsselt, bevor er an die Server von Tuta in hochsicheren Rechenzentren in Deutschland übertragen wird.

Während viele scheinbar sichere Cloud-Dienste private Schlüssel offen auf einem zentralen Server speichern, war dies für uns nie eine Option.

Dein Passwort wird zum privaten Schlüssel

In Tuta wird der private Schlüssel mit dem Passwort der Benutzer*innen verschlüsselt, so dass nur diese darauf zugreifen können. Niemand sonst, nicht einmal wir von Tuta, können auf die verschlüsselt auf unseren Servern gespeicherten privaten Schlüssel zugreifen.

Lies hier warum ein privater Schlüssel nicht unverschlüsselt auf einem zentralen Server gespeichert werden darf.

Da das Passwort für die Sicherheit der in der Tuta-Mailbox gespeicherten verschlüsselten Daten von zentraler Bedeutung ist, müssen wir dafür sorgen, dass das Passwort jederzeit geschützt ist. Tuta sendet das Passwort niemals im Klartext an den Server, um dich beim Login zu authentifizieren.

Um das Login-Passwort zu sichern, verwendet Tuta Argon2 und SHA256. Das Login-Passwort wird also nur indirekt zur Authentifizierung gegenüber dem Server und zur Ver-/Entschlüsselung des privaten Schlüssels verwendet.

Dies wird im folgenden Bild dargestellt und im Text unten erklärt:

Argon2 modifiziert das Passwort, so dass es zum "AES password key" wird. Dieser AES-Passwortschlüssel wird zur Verschlüsselung des privaten RSA-Schlüssels verwendet (allerdings über einen Umweg mit dem privaten symmetrischen "AES user group key").

Der AES-Kennwortschlüssel selbst wird jedoch nicht zur Authentifizierung gegenüber dem Server verwendet, sondern er wird zum "password verifier" gehasht.

Diese Kennwortüberprüfung wird dann an den Server übermittelt, um die Benutzer*innen zu authentifizieren. Der Server selbst speichert die Kennwortüberprüfung nur als einen weiteren Hash ("hashed verifier"), so dass es nicht möglich ist, die persistenten Daten auf dem Server zur Anmeldung zu verwenden.

Die Kennwortüberprüfung ist kryptografisch unabhängig vom Kennwortschlüssel, so dass die Kennwortüberprüfung nicht zur Entschlüsselung von Daten verwendet werden kann. Der Passwort-Prüfer wird mit TLS-Verschlüsselung gesichert an den Tuta-Server übertragen.

Sollte eine dritte Person über eine TLS-Schwachstelle Zugriff auf den Passwort-Prüfer erhalten, kann sie weder auf den privaten Schlüssel noch auf die Ende-zu-Ende-verschlüsselten Daten in der verschlüsselten Tuta-Mailbox zugreifen.

Der Entschlüsselungsprozess findet lokal auf dem Gerät der Benutzer*innen statt, sobald diese sich gegenüber dem Server authentifiziert haben.

Durch die Verschlüsselung des privaten Schlüssels mit dem Passwort kann Tuta den gesamten Verschlüsselungsprozess automatisieren, ohne dass wir jemals Zugriff auf deinen privaten Schlüssel haben.

Tuta verwendet Standardalgorithmen, die auch von PGP verwendet werden (AES und RSA oder ECC) , um die gesamte Mailbox zu verschlüsseln. Außerdem nutzt Tuta Mail bereits postquantensichere Verschlüsselung (Kyber) für postquantensichere Accounts, was bei PGP noch in Arbeit ist. Tuta verwendet keine Implementierung von PGP selbst, da PGP wichtige Anforderungen nicht erfüllt, die wir mit Tuta beheben werden:

• PGP verschlüsselt nicht die Betreffzeile (in Tuta bereits realisiert),

• PGP-Algorithmen können nicht einfach aktualisiert werden (z.B. der Wechsel zu quantensicheren Algorithmen wie in Tuta Mail),

• PGP hat keine Option für Perfect Forward Secrecy (bereits als Prototyp in Tuta realisiert).

In Tuta können wir die Algorithmen leicht aktualisieren, und wir planen, die aktuellen Algorithmen in naher Zukunft durch ein hybrides, quantensicheres Protokoll zu ersetzen. Die Flexibilität von Tuta ermöglicht es uns, einen verschlüsselten Kalender, verschlüsselten Cloud-Speicher und viele weitere Funktionen viel einfacher und schneller zu integrieren, als es mit einer Implementierung von PGP möglich wäre.

Ein weiteres E-Mail-Verschlüsselungsprotokoll, das als Lösung von Unternehmen verwendet wird, ist S/Mime.

Für S/MIME muss ein Zertifikat auf den E-Mail-Clients des Empfängers und des Absenders installiert werden. Beim Versenden einer E-Mail verschlüsselt der Absender die E-Mail mit dem öffentlichen Schlüssel des Empfängers und der Empfänger entschlüsselt die E-Mail mit dem privaten Schlüssel.

Im Mai 2018 gab die Electronic Frontier Foundation, jedoch kritische Schwachstellen in S/MIME und einer veralteten Form von OpenPGP bekannt, die noch in vielen E-Mail-Clients verwendet wird. Der als EFAIL bezeichnete Fehler erforderte erhebliche koordinierte Anstrengungen vieler Anbieter von E-Mail-Programmen, um diese Schwachstelle zu beheben. Bis heute ist jedoch nicht klar, ob alle E-Mail-Dienste das Problem tatsächlich behoben haben.

Tuta ist nicht nur der derzeit sicherste E-Mail-Dienst, sondern wir werden auch in Zukunft der sicherste bleiben.

Deshalb haben wir bereits an einer sicheren Post-Quantum-Verschlüsselung gearbeitet. Wir haben das Projekt PQ Mail im Jahr 2020 gestartet und verfügen über einen funktionierenden Prototyp, mit dem wir E-Mails mit einem hybriden Protokoll verschlüsseln können, das unsere bewährten Verschlüsselungsalgorithmen mit sicheren Post-Quanten-Algorithmen kombiniert.

Wir werden der Quantenrevolution einen Schritt voraus sein, indem wir auf Post-Quanten-Kryptographie wechseln und dafür sorgen, dass deine Daten sicher bleiben, selbst wenn Quantencomputer in der Lage sein werden, die derzeit verwendeten Verschlüsselungsalgorithmen zu knacken.

Tuta verschlüsselt so viele Daten wie möglich direkt auf deinem Gerät. Du kannst dies selbst überprüfen: Wenn du in einem Webbrowser angemeldet bist, drücke einfach F12, um die Entwicklerkonsole zu öffnen. Klicke dann auf "Netzwerk" und "Vorschau", um zu sehen, welche Daten an den Server gesendet werden. Diese Ansicht wird jedes Mal aktualisiert, wenn du eine E-Mail, einen Kontakt oder einen Kalendereintrag öffnest. Alle Texte, die für den Menschen nicht lesbar sind, werden Ende-zu-Ende-verschlüsselt und Base64-kodiert an den Server gesendet.

Der Screenshot zeigt den verschlüsselten Inhalt der E-Mail. Ähnlich wie PGP verschlüsselt Tuta die Daten einer E-Mail Ende-zu-Ende mit einem hybriden Verschlüsselungsprotokoll basierend auf symmertrischer und asymmetrischer Kryptographie.

Deine Signatur wird automatisch an neue Mails angehängt. Mit Tuta wird deine Signatur Ende-zu-Ende-verschlüsselt auf unserem Server gespeichert und auf allen deinen Geräten synchronisiert.

Da Tuta kein PGP verwendet, kann es viel mehr Daten einer E-Mail verschlüsseln als nur den Inhalt. Dies wird durch den nächsten Screenshot veranschaulicht.

Wie du sehen kannst, verschlüsselt Tuta den "Betreff" sowie die Namen des "Absenders" und des Empfängers ("toRecipients").

Die einzigen Daten, die in einer Tuta-E-Mail nicht verschlüsselt werden, sind die E-Mail-Adressen und das Datum einer gesendeten oder empfangenen E-Mail. Aufgrund der Art und Weise, wie das E-Mail-Protokoll aufgebaut ist, ist es nicht möglich, diese Informationen zu verschlüsseln, da andere E-Mail-Server sehen müssen, wo genau die E-Mail zugestellt werden soll.

Hinsichtlich der E-Mail-Sicherheit gibt es zwei verschiedene Fälle:

• Ende-zu-Ende verschlüsselte E-Mails, die zwischen Tuta-Benutzern oder an Benutzer anderer E-Mail-Systeme gesendet werden.

• E-Mails, die in unverschlüsselter Form an Benutzer anderer Mailsysteme gesendet oder von ihnen empfangen werden.

In beiden Fällen werden alle E-Mails vollständig verschlüsselt auf unseren Servern gespeichert. Wir speichern niemals unverschlüsselte E-Mails auf unseren Servern. Allerdings sind die unverschlüsselten E-Mails nicht mit einer Ende-zu-Ende-Verschlüsselung geschützt, sondern werden erst verschlüsselt, wenn sie unsere Server erreichen.

Der Tuta-Kalender ist der einzige echte Zero-Knowledge-Kalender, da unsere Server nichts über deine verschlüsselten Termine wissen. Alle Daten, die du im Kalender speicherst, sind verschlüsselt: Die "description" (Beschreibung), die "endTime" (Endzeit), die "location" (Ort), die "startTime" (Startzeit), die "summary" (Zusammenfassung), die "uid" (die ID des Ereignisses), die "alarmInfos" (das sind die Erinnerungen, die du definieren kannst, um über bevorstehende Ereignisse benachrichtigt zu werden) und die "repeatRule" (das ist die Regel, die definiert, in welchem Intervall und bis zu welchem Datum das Ereignis wiederholt werden soll).

Der Tuta-Kalender verschlüsselt auch die Benachrichtigungen, was ein sehr innovativer Ansatz ist. Die verschlüsselten Tuta-Benachrichtigungen werden lokal auf deinen Geräten gespeichert, um sie vollständig vor unseren Servern zu verbergen. Das bedeutet, dass wir nichts über deine Termine wissen, nicht einmal, wann ein Termin stattfindet.

Im Gegensatz dazu verschlüsseln die gängigen Standards wie iCal keine Daten. Wenn du deine Termine bei einem Online-Dienst speicherst, um den Zugriff und die Synchronisierung zu erleichtern, kannst du sicher sein, dass jemand anderes alle deine Kalenderereinträge sieht.

Im zero-knowledge Tuta-Kalender sind alle deine Daten immer verschlüsselt, so dass niemand, nicht einmal wir, deine privaten Termine sehen kann.

Das Tuta Adressbuch ist vollständig verschlüsselt, genau wie der Tuta Kalender. Du kannst alle deine Kontaktdaten in Tuta speichern und dir sicher sein, dass niemand außer dir Zugang zu diesen sehr persönlichen Informationen deiner Familienmitglieder, deiner Freunde und geschäftlichen Kontakte hat.

Tuta verschlüsselt automatisch die "birthdayISO", den "comment", die "company", den "firstName", den "lastName", den "nickname", die "role", den "title", die "addresses", die "mailAddresses", die "phoneNumbers", und die "socialIDs".

Tuta bietet mehr als nur einfache E-Mail-Verschlüsselung. Tuta sorgt dafür, dass alle deine Daten immer verschlüsselt sind und nur von einer einzigen Person eingesehen werden können: Dir selbst.

Tuta verschlüsselt automatisch alle E-Mails, Kalender und Kontakte.

Tuta bringt automatische Verschlüsselung auf alle deine Geräte. Ob zu Hause, im Büro oder unterwegs, die Verschlüsselung deiner Daten war noch nie so einfach.