Email-Verschlüsselung

Allg. Ablauf der Email-Verschlüsselung

1) PGP installieren
2) Schlüsselpaar erzeugen
3) Öffentlichen Schlüssel verteilen
3a) durch Versenden an Freunde 
3b) durch Publikation auf einem Keyserver
4) Versenden einer verschlüsselten Mail (Empfängerregeln)
5) Empfangen einer verschlüsselten Mail
6) Sicherheitskopie des Schlüsselpaars
7) Verwenden an mehreren Rechnern

Funktionsweise von PGP

Da etwa in WLAN-Netzwerken alle E-Mails im Klartext versendet werden und diese eventuell durch spezielle Sniffer abgefangen und abgehört werden können, ist es ratsam sein E-Mails zu verschlüsseln. Daher werden Emails oft als „Postkarten des Internets“ bezeichnet, in die – wenn unverschlüsselt versandt -keine vertraulichen Informationen gehören. Die geschriebenen Inhalte können nämlich u.U. leicht ausgelesen und in nicht nachprüfbarer Weise manipuliert werden. Mit PGP kann man beide Problem ausschließen..Auch unabhängig davon spricht nichts gegen eine Verschlüsselung elektronischer Kommunikationsformen im Netz. Die PGP-Verschlüsselung, die bei korrekter Passphrasenwahl momentan als unknackbar gilt, ist eine gute und mittlerweile recht nutzerfreundliche Methode hierfür.

GPG steht für „Gnu Privacy Guard“ und ist ein quelloffenes Programm, das als freie Software Verfügung steht, zur Verschlüsselung von Emails. Es funktioniert mit einem asymmetrischen Verschlüsselungsverfahren. Das heißt, es gibt jeweils ein Schlüsselpaar, das aus einem öffentlichen und einem privaten Schlüssel besteht. Der öffentliche Schlüssel des Empfängers, den jeder kennen darf, wird benötigt, um die Emails zu verschlüsseln, während der private geheim ist und zur Entschlüsselung gebraucht wird. Somit entfällt das lästige bis unmögliche Austauschen eines Schlüssels, der die Nachricht sowohl ver- als auch entschlüsseln soll.

Noch mal bildhaft: Ich will dir einen Brief schicken, gehe an deinen Briefkasten. Dort baumelt dein öffentlicher Schlüssel, mit dem ich die Klappe am Briefkasten öffne und den Brief hineinwerfe. Herausholen kann ich ihn allerdings nicht mehr. Das kannst nur du mit deinem privaten Schlüssel, mit dem du den Briefkasten öffnest. Außerdem gibt es noch die Signatur einer Email. Sie soll sicherstellen, dass der Absender auch tatsächlich derjenige ist, für welchen er sich ausgibt. Du unterschreibst deine Email also mit deinem privaten Schlüssel (denn diesen besitzt ja nur du) und gibst der Email also eine Art „Echtheitszertifikat“.

OpenPGP-Integration in Mozilla Thunderbird

Wenn Du bisher Deine Emails im Webbrowser abgerufen hast, um von jedem Rechner auf Dein Postfach zugreifen zu können, hast Du auch mit einem Email-Client die Möglichkeit, dieses auch weiterhin zu tun. Dazu später mehr.

In unserem Fall ist dieser Client Thunderbird von Mozilla, der unter der Adresse http://www.thunderbird-mail.de/wiki/Herunterladen heruntergeladen werden kann. Im Anschluss daran musst du den Email-Client selbst, der zur Verwaltung und komfortablen Verschlüsselung aller Emails dient, einrichten. Hinweise dazu finden sich im Netz (http://www.thunderbird-mail.de/wiki/Dokumentation oder http://uckanleitungen.de/thunderbird/installation/).

Du solltest darauf achten, dass die Verbindung vom Client zu Email-Anbieter möglichst mit SSL oder TLS für den Posteingangs- (Email-Abholung) und Postausgangsserver (Email-Versand) verschlüsselt ist. (Dies hat bis jetzt jedoch noch nichts mit der eigentlichen Emailverschlüsselung zu tun!) Gehe dafür auf „Konteneinstellungen bearbeiten“ und wähle "SSL" oder "TLS", falls eine der Optionen vom Mailserver unterstützt wird. Die Adresse des Servers und andere Daten holst du dir bitte von deinem Emailprovider.

Damit ist sichergestellt, dass auch tatsächlich der Provider direkt angesprochen wird. Da bei manchen Email-Anbietern vom Standard abweichende Ports gewählt werden müssen, sei hiermit auf eine Sammlung verschiedener Servernamen und Portlisten diverser Anbieter verwiesen: http://www.patshaping.de/hilfen_ta/pop3_smtp.htm

Als nächstes sollte der HTML-Text in Emails deaktiviert werden, da sich in derart formatierten Texten versteckte Schadsoftware (zum Beispiel in Bildern) befinden kann.

Da viele Provider in ihren kostenlosen Accounts lediglich pop3-Abholung zulassen und diese in der Standardeinstellung die Emails vom Server löschen und auf der Festplatte speichern, kannst Du Thunderbird auch so konfigurieren, dass Du die bereits abgerufenen Emails noch zusätzlich über den Web-Browser (etwa vom Internetcafé) lesen kannst. Gehe dafür wieder auf „Konteneinstellungen bearbeiten“ und wähle „Nachrichten auf dem Server belassen“.

GNU-Privacy-Guard

Als nächstes solltest du nun das Programmpaket „gpg4win“, in dem die Verschlüsselungssoftware enthalten ist, herunterladen und installieren.

Lade dir also unter http://www.gpg4win.de/download-de.html die aktuelle stabile Version herunter:

Öffne die heruntergeladene Datei gpg4win-1.1.3.exe und wähle ein Verzeichnis für die Installation aus. Die Standardeinstellung für die Komponenten mit einem Klick auf „Weiter“ so belassen, danach erscheint dieses Fenster:

Hier ebenfalls mit „Weiter“ bestätigen.

Beende die Installation mit „Fertig stellen“

Um den GNU-Privacy-Guard (GPG) in Thunderbird zu integrieren, installierst du das Add-On „Enigmail“, das du auf der offiziellen Mozilla-Seite findest:

Nun „Herunterladen“ und „Datei speichern“ wählen.

Jetzt klickst du im Menü „Extras“ auf „Add-Ons“. Es sollte eine Übersicht über die bereits installierten Erweiterungen erscheinen: Mit einem Klick auf „Installieren...“ öffnet sich ein weiteres Fenster, in dem du die eben heruntergeladene Datei auswählen und so installieren kannst.

Nach einem Neustart von Thunderbird erscheint nun in der Menüleiste ein neues Feld: „OpenPGP“. In diesem Menü kannst du unter „Einstellungen“ kontrollieren, ob Thunderbird GnuPG erkannt hat:

Falls Thunderbird gpg.exe nicht findet, kannst du den Pfad manuell eingeben, indem du ein Häkchen bei „Anderer Pfad“ setzt.

Nun ist es an der Zeit, dein Schlüsselpaar zu erstellen: öffne im Menü: OpenPGP > Schlüssel verwalten... > Erzeugen > Neues Schlüsselpaar...

Hier kannst du nun dein Schlüsselpaar erschaffen. Gib eine möglichst komplexe Passphrase ein (siehe TrueCrypt-Kapitel) und klicke anschließend auf „Schlüsselpaar erzeugen“

Das Widerrufszertifikat und die Übermittlung des Schlüssels auf Key-Server werden hier vorerst nicht behandelt – so ist es einfacher und genauso komfortabel, zudem bleibt das Spam-Risiko geringer.

Um anderen nun deinen öffentlichen Schlüssel mitzuteilen, damit sie dir verschlüsselte Nachrichten schicken können, fügst du deinen öffentlichen Schlüssel als Anhang an eine Email. Dies kannst du, wenn du sofort anonym kommunizieren willst, lediglich mit dem Hinweis tun, dass dein Schlüssel angehängt ist und du um den öffentlichen Schlüssel des Empfängers bittest. (Im Optimalfall schickt dir der Adressat seine - bereits mit deinem öffentlichen Schlüssel verschlüsselte - Nachricht mit dessen Schlüssel im Anhang.)

Wenn dir dein Gegenüber seinen öffentlichen Schlüssel geschickt hat, musst du diesen nun in deine Schlüsselverwaltung aufnehmen, damit du verschlüsselte Emails an den- oder diejenige verschicken kannst:

Es sollte nun folgende Meldung erscheinen:

Wenn du soweit bist und nun eine verschlüsselte Email verschicken willst, fragt dich Thunderbird nach deiner Passphrase. In der rechten unteren Ecke kannst du nun zwei Symbole sehen: Einen Schlüssel und einen Stift. Der Stift steht für die Signatur – du unterschreibst also deine Email mit deinem geheimen, privaten Schlüssel. Damit weist du dich für den Empfänger als „echten“ Absender aus (dies stellt sicher, dass niemand sonst in deinem Namen Emails verschickt). Deswegen fragt dich das Programm auch beim Versand nach der Passphrase. Wenn du nur verschlüsselst und nicht signierst, bleibt die Frage aus. Jetzt ist dir vielleicht auch schon klar, was der Schlüssel in der rechten unteren Ecke bedeutet: er steht für die Verschlüsselung der Nachricht. Leuchtet ein Symbol grün, ist die jeweilige Funktion aktiviert.

Jetzt bist du schon so weit, dass du verschlüsselt per Email kommunizieren kannst!

Um (noch) mehr Komfort zu genießen, kannst du Empfängerregeln verwenden, damit du nicht jedes Mal, wenn du eine Email verschickst, auswählen musst, ob du sie verschlüsseln und/oder signieren willst. Klicke hierzu ins Menü OpenPGP > Empfängerregeln...

Für den jeweiligen Email-Kontakt (neben dem links der öffentliche Schlüssel des Kontakts steht) wird idealerweise die Regel erstellt, dass Email immer unterschrieben, verschlüsselt und mit PGP verschlüsselt werden (für den Anhang). In Zukunft wird für diesen Kontakt jede Email komplett verschlüsselt und signiert, was besonders für die Verschlüsselung von Email-Verteilerlisten nützlich sein kann.