Wie kann man erkennen, dass die verwendeten Schlüssel keine schwachen Schlüssel sind?

Hier muss man zunächst unterscheiden von welchen Schlüssel wir sprechen. Wenn wir von dem Schlüsselpaar aus öffentlichem und privaten Schlüssel sprechen (d.h. der grüne und gelbe aus der Präsentation), so ist dies möglich, indem man diesen exportiert und dann anschließend analysiert (z.B. mit openssl). Ein weiterer Schlüssel ist der symmetrische Schlüssel, der in der Präsentation gar nicht angesprochen wurde, mit welchem der tatsächliche Inhalt der Nachricht verschlüsselt wird. Dieser wird für jede Nachricht zufällig durch das E-Mail-Programm generiert. Für beide Fälle gibt es in den E-Mail-Programmen oder auch in den Browser keine automatische Überprüfung. Allerdings, wenn man Open-Source-Software (z.B. Thunderbird und Firefox) einsetzt, so ist die Wahrscheinlichkeit groß, dass recht bald irgendjemand sich das genauer ansieht und merkt, dass die Schlüsselgeneratoren nicht korrekt arbeiten.

Wenn ich mir einen neuen E-Mail-Provider aus Deutschland aussuche, worauf sollte ich achten?

Insofern Sie Ende-zu-Ende-Verschlüsselung einsetzen, kann kein Provider oder Behörde die Inhalte ihrer verschlüsselten E-Mails lesen - diese liegen auch verschlüsselt auf deren Server. Das bedeutet, man sollte sich einen Provider aussuchen, welcher eine gute Unterstützung für E-Mail-Clients bietet und nicht versucht, die Kunden ausschließlich über das Webinterface zu bedienen. Konkret bedeutet dies, dass bestimmte Protokolle unterstützt werden müssen. Es ist heute ja nicht unüblich, dass man von mehreren Geräten (z.B. Notebook/PC und Smartphone) auf seine E-Mail zugreift. Damit dies problemlos funktioniert, sollte der Provider unbedingt das IMAP-Protokoll unterstützen - einige Provider bieten dies nur gegen Zusatzzahlung an, es gibt aber auch welche, bei den es im kostenlosen Paket dabei ist. Darüber hinaus sollten Sie auch darauf achten, dass der Provider über sichere Verbindungen (Transportverschlüsselung) angesprochen wird. Dies macht selbst dann Sinn, wenn man Ende-zu-Ende-Sicherung verwendet, da dadurch von Dritten (d.h. z.B. Ihr Internetanbieter, der nicht gleichzeitig Ihr E-Mail-Provider ist) nicht mitgelesen werden kann, an wenn Sie E-Mails schreiben oder von wem Sie diese erhalten - dies sind sogenannte Metadaten, die bei der Ende-zu-Ende-Verschlüsselung nicht verschlüsselt werden. Ob der Provider dies unterstützt, kann man erkennen, indem man die Informationen der Provider bezüglich deren Anbindung von E-Mail-Clients ließt. Bei 'Posteingansserver' sollte z.B. stehen, dass IMAPS verwendet wird oder dass man als Einstellung SSL/TLS wählen muss. Beim Postausgangsserver sollte SMTPS oder ebenfalls SSL/TLS als Einstellungsmöglichkeit verfügbar sein.

Gibt es auch für Privatpersonen Zertifizierungsstellen in Deutschland? Ich vertraue den ausländischen Zertifizierungsstellen nicht.

1. Natürlich gibt es auch in Deutschland Zertifizierungsstellen für Privatpersonen. Z.B. bieten viele Banken Zertifikate der Klasse 3 (d.h. mit persönlicher Identifizierung). Leider sind diese Angebote aber alle nicht kostenlos. Kostenlose Zertifikate der Klasse 3 gibt es aktuell von Fraunhofer SIT und dessen Partner, wobei hierbei zusätzliche Schritte notwendig sind, da die eingesetzte CA in den meisten E-Mail-Clients nicht eingetragen ist (d.h. nicht als 'wohlbekannt' gilt). Die erwähnten zusätzlichen Schritte kann jedoch die bereitgestellte Software Volksverschlüsselung übernehmen und automatisiert ausführen.
   Allerdings muss man einer CA gar nicht vollständig vertrauen, um von ihr ein Zertifikat zu nutzen. Zunächst muss man sich klar machen, dass die CAs auf den privaten Schlüssel (den gelben) zu keinem Zeitpunkt Zugriff hat. Und was sie nicht kennen, können sie auch keiner Behörde rausgeben. Damit bleibt als letzter Angriffsvektor ein Angriff, der ganz allgemein auf das PKI-System mit Zertifikate zutrifft: Eine beliebige CA kann ein falsches Zertifikat, z.B. für einen Geheimdienst, ausstellen, welches so aussieht als würde es zu Bob (d.h. dem Kommunikationspartner) gehören. Der eigene E-Mail-Client wird es akzeptieren, da es korrekt von einer CA unterschrieben ist. Dadurch, dass der E-Mail-Client nun aber ein falsches ('böses') Zertifikat gespeichert hat, kann derjenige mit dem zugehörigen privaten Schlüssel (z.B. der Geheimdienst) alle Nachrichten entschlüsseln. Damit auch der Kommunikationspartner nichts merkt, wird der Inhalt anschließend neu verschlüsselt mit dem richtigen öffentlichen Schlüssel des eigentlichen Empfängers. Dies ist ein sogenannter "Man-in-the-Middle"-Angriff. Um diesen Angriff zu verhindern, reicht es, wenn man auf einem anderen Weg den sogenannten Fingerprint des empfangenen Zertifikats mit dem vom Empfänger direkt vergleicht (wie es z.B. bei OpenPGP auch standard ist). Das kann z.B. bei einem kurzen Telefonat oder auch einem persönlichen Treffen passieren. Wenn dieser Fingerprint übereinstimmt, dann kann kein "Man-in-the-Middle" stattfinden.
   An dieser Stelle wäre es wünschenswert, wenn die E-Mail-Clients eine Warnung aussprechen würden, sobald sich das Zertifikat eines Teilnehmers ändert. Bei Thunderbird passiert dies leider stillschweigen im Hintergrund, auf iOS hingegen muss man das neue Zertifikat hingegen manuell ersetzen. Das sind die beiden Extremen, die beide nicht optimal sind. Optimal wäre eine automatische Ersetzung mit einem kurzen Nachfragen/Hinweis, dass das Zertifikat sich geändert hat und man eine Möglichkeit hat, sich das neue Zertifikat anzusehen, bevor man es akzeptiert. Wohlgemerkt, dies ist aber kein Angriff einer ganz spezifischen CA, die Ihr Zertifikat ausstellt, sonder ein ganz allgemeiner auf die PKI. Im Umkehrschluss bedeutet es aber, dass es keinen Grund gibt, einer CA trauen zu müssen, um von ihr ein Zertifikat zu beantragen.
2. Alternativ zu oben erwähnten kostenfreien Zertifikaten der Klassse 3 von Fraunhofer SIT gibt es die Möglichkeit, Zertifikate der Klassse 1 von der Firma Actalis zu bekommen. Es handelt sich hierbei um eine italienische Firma, deren eingesezte CA allerdings in den meisten E-Mail-Clients bereits eingetragen ist. Hierbei ist zu beachten, dass das kryptographische Schlüsselpaar auf dem Server von der CA (nicht auf Ihrem Rechner) erzeugt und anschließend per E-Mail in PKCS#12-Format [PFX] an Sie gesendet wird. Laut Actalis-Policy, behält die CA den privaten Schlüssel des Benutzers, nachdem sie ihn ihm versendet hat, nicht.
3. Eine weitere Möglichkeit, kostenfreie Zertifikate der Klasse 1 zu bekommen, ist die gemeinschaftsbetriebene Zertifizierungsstelle CAcert. Sie agiert weltweit und hat ihren Sitz in Australien. Beim Einrichten eines S/MIME-Zertifikates von CAcert sind zusätzliche Schritte notwendig, da diese CA in den meisten E-Mail-Clients nicht eingetragen ist. Zwar wird von CAcert keine Software für das automatisierte Einrichten wie bei Volksverschlüsselung angeboten, es steht jedoch eine genaue Anleitung zur Verfügung (abrufbar unter https://wiki.cacert.org/EmailCertificates).

Wieso kann man eine Nachricht, die mit dem grünen Schlüssel (d.h. dem öffentlichen), nur mit zugehörigen gelben (d.h. dem privaten) wieder entschlüsseln?

Das basiert auf der verwendeten Mathematik. Stark vereinfacht, stelle man sich vor, dass das Verschlüsseln einer Nachricht m einer Multiplikation mit einer Zahl x entspricht, wobei x der Schlüssel ist - das ergibt dann m*x. Um wieder die Nachricht selbst zu erhalten (d.h. m) müssen wir auf die verschlüsselte Nachricht (m*x) die umgekehrte Operation anwenden, nämlich durch x teilen, da (m*x)/x = m. Damit wäre der öffentliche Schlüssel das x, und der zugehörige private genau dessen sogenanntes Inverses bzgl. der Multiplikation, also 1/x. Darüber hinaus gibt es keine andere Zahl außer 1/x, die man mit der verschlüsselten Nachricht (m*x) multiplizieren kann, sodass wieder m heraus kommt. Bei dieser Vereinfachung wäre es allerdings ein Leichtes aus dem öffentlichen Schlüssel (grün, x) den geheimen Schlüssel zu berechnen (gelb). Dafür müsste man schlicht nur dividieren. Daher funktioniert asymmetrische Kryptographie auch nicht mit 'ganz normalen' Zahlen, d.h. den rationalen Zahlen. Damit es funktioniert, müssen wir obiges Problem in den diskreten Zahlenraum versetzen und dort die entsprechenden Operation verwenden. Dies würde dann nach drei Textseiten Erklärung schließlich zu dem RSA-Verfahren führen. Hier sei auf Teil 3 der Schülerkrypto-Videos verwiesen: dort wird das RSA-Verfahren mathematisch erklärt.