Verschlüsselung mit OpenPGP
Postkarte oder doch lieber ein Brief?
E-Mails sind mit Postkarten zu vergleichen. Ohne Schutzmaßnahmen zur Wahrung der Vertraulichkeit sind sie für jeden lesbar, der "sie in die Finger bekommt". Das ist bei Inhalten, die nicht vertraulich sind, nicht weiter tragisch. Wer aber vertrauliche Informationen per E-Mail versendet, sollte statt einer "Postkarte" doch lieber einen "versiegelten Brief" als Medium wählen.
Wer liest mit?
Wird eine E-Mail ohne jede Sicherheitsvorkehrung versendet, so ist sie an vielen Stellen von Außenstehenden einsehbar:
- [a/g] jeder Mitbenutzer des Rechners, der Zugriff auf das Dateisystem hat oder sich verschafft
- [b/f] jeder Mitbenutzer des lokalen WLANs
- [c] alle Betreiber der weltweiten Internet-Infrastruktur, deren Technik die E-Mail durch das Internet transportiert oder Angreifer, die Zugriff auf diese Technik erlangen
- [d/e] die E-Mail-Provider von Sender und Empfänger
Die Motive können dabei von Identitätsdiebstahl, Werbeanalysen, Strafverfolgung und Rache bis hin zu Massenüberwachung und Spionage reichen. Und auch Privat-Personen sind lohnende Ziele solcher Aktivitäten.
Die Verschlüsselung wird folgend anhand des Open-Source Programmes Thunderbird gezeigt. Die Transportverschlüsselung wird von allen gängigen Email-Programmen unterstützt und ist ähnlich durchzuführen. Die Ende-zu-Ende-Verschlüsselung via GPG wird nicht von allen Email-Programmen unterstützt. Informieren Sie sich beim Anbieter der Software oder nutzen Sie die leistungsfähige und kostenlos erhältliche Thunderbird-Software.
Transportverschlüsselung:
Für den Posteingangs- und Postausgangsserver ist jeweils der verschlüsselte Transport zu aktivieren. Die benötigten Einstellungen findet man leicht per Suchmaschine mit den Suchbegriffen "E-Mail-Provider smtp imap". Thunderbird kann diese sehr häufig nach Eingabe der E-Mail-Adresse selbst bestimmen und für die Konfiguration vorschlagen.
Port: Ist eine Adresse über den der Server angesprochen wird. Auf den Websites der Provider können diese nachgeschlagen werden.
Verbindungssicherheit: Beide Optionen STARTTLS und SSL/TLS sorgen dafür, dass die E-Mail über eine verschlüsselte Verbindung vom Server geholt wird. Welche der Optionen unterstützt wird ist beim Provider nachzuschlagen.
Authentifizierungsmethode: "Passwort, normal" stellt die eine Authentifizierung per Benutzername und Passwort ein, dies ist die Standardmethode für Heimanwender.
Ende-zu-Ende-Verschlüsselung:
Bei der Ende-Zu-Ende-Verschlüsselung von Emails wird immer mit einem Schlüsselpaar gearbeitet. Der öffentliche Schlüssel wird zum verschlüsseln benötigt. Entschlüsseln kann die Nachricht dann nur die Person, die den dazu passenden privaten Schlüssel besitzt. Für die Verschlüsselung und Signierung unter Windows muss die Software Gpg4win heruntergeladen und installiert werden.
Hier geht es zur Downloadseite von <link http: www.gpg4win.de download-de.html _blank external-link-new-window external link in new>Gpg4win.
Die Auswahl bei der Installation kann soweit belassen werden, nur GpgOL ist ein spezielles Modul für Microsoft Outlook und kann deshalb bei Nutzung von Thunderbird abgewählt werden. Um Ihre Schlüssel anlegen zu können, brauchen Sie Kleopatra oder die GNU-Schlüsselverwaltung (GPA). Wählen Sie daher mindestens eines von beides aus. Unten wird die Schlüsselerzeugung mit GPA gezeigt. Die Vorgehensweise ist jeweils sehr ähnlich.
In den nächsten Schritten der Installation wird das Zielverzeichnis und die anzulegenden Verknüpfungen abgefragt.
Verschlüsselungs-Add-on Enigmail installieren:
Damit Thunderbird auf die Funktionen der Software Gpg4win zugreifen kann, ist ein Add-on nötig. Die Installation wird über die Add-on-Verwaltung innerhalb Thunderbird vorgenommen.
Nach dem nächsten Neustart von Thunderbird öffnet sich automatisch der OpenPGP-Assistent mit dessen Hilfe Thunderbird konfiguriert wird. Legen Sie aber zuvor Ihr Schlüsselpaar an.
Das Schlüsselpaar, also Ihren neuen öffentlichen und privaten Schlüssel, können Sie mit Kleopatra oder der GNU-Schlüsselverwaltung (GPA) erzeugen. Folgend wird die Schlüsselerzeugung mit der GNU-Schlüsselverwaltung gezeigt. Das erstmalige Starten der Anwendung fragt Sie, ob Sie ein Schlüsselpaar anlegen wollen.
Sie werden nun nach Ihrem Namen und nach Ihrer Email-Adresse gefragt.
Für digitale Schlüssel gibt es keinen Schlüsseldienst. Sie sollten daher auf Ihre(n) private(n) Schlüssel sehr gut aufpassen und auch eine Sicherungs-Kopie anlegen. Ob Sie dies jetzt oder später machen, ist zweitrangig, Hauptsache Sie tun es bevor Sie die Sicherung benötigen. Wenn Sie den privaten Schlüssel z.B. durch einen Festplatten-Crash oder ähnliches verlieren, können Sie ihre bisherigen verschlüsselten Emails nicht mehr lesen, wenn Sie nicht auf eine Sicherungs-Kopie des privaten Schlüssels zurückgreifen können.
Die Passphrase ist ein Kennwortschutz zu ihrem Schlüssel. Wenn jemand Ihren privaten Schlüssel ergattert, kann er Ihre Emails dennoch nicht lesen. Dies ist ein weiteres Sicherheits-Feature und nicht die Lizenz zum unachtsamen Umgang.
Achten Sie bei der Passphrase auf eine gute Qualität. Hier gibt es mehr Informationen zu guten Passwörtern.
Sie sind nun fast am Ziel. Die haben ein Schlüsselpaar angelegt.
Nachdem Sie nun erfolgreich Ihr Schlüsselpaar erzeugt haben, steht Ihnen frei, eine Widerrufsurkunde erzeugen. Mit einer Widerrufsurkunde kann man seinen Schlüssel im Bedarfsfall als ungültig markieren. Kommunikationspartner können dann mit diesem als ungültig markierten Schlüssel keine Emails mehr an Sie verschlüsseln, ebenso wenig können Sie mit diesem Schlüssel weiterhin Dateien oder Emails signieren. Schon bestehende Nachrichten können natürlich weiterhin entschlüsselt oder ihre Signatur geprüft werden. Dazu müssen Sie aber den passenden Befehl auf der Kommandozeile absetzen:
gpg --output revocation_cert.asc --gen-revoke ihreEmail-Adresse@IhrProvider.de
Da Sie zur Erzeugung dieser Widerrufsurkunde Ihren privaten Schlüssel und die Passphrase benötigen, sichern Sie bitte auch diese Widerrufsurkunde sorgfältig.
Damit man Ihnen auch verschlüsselte Emails senden kann, muss der öffentliche Schlüssel auch tatsächlich öffentlich sein. Sie können den Schlüssel ganz gezielt bestimmten Teilnehmern mitteilen oder ihn auf einen "Schlüsselserver" stellen, auf den das Email-Programm der Teilnehmer zugreifen kann. Dazu markieren Sie Ihr Schlüsselpaar und senden den öffentlichen Teil zum "Schlüsselserver". Der private Schlüssel verbleibt bei Ihnen.
Der Einrichtungs-Assistent hilft Ihnen dabei, Thunderbird und Ihr Schlüsselpaar für Ihre Email zusammen zu bringen.
In den Konten-Einstellungen sehen Sie einen Eintrag "OpenPGP-Sicherheit". Hier sind die relevanten Einstellungen und der passende Schlüssel ist hier eingetragen.
Sie haben es geschafft. Ihr Rechner und Ihr Mail-Progamm sind bereit, verschlüsselte Emails zu versenden. Im folgenden Abschnitt sehen Sie, wie Sie beim Senden und Empfangen von verschlüsselten Emails vorgehen.