AA_sicher.jpg

© Kheng Guan Toh, 123RF

Sichere Sache

S/MIME und PGP mit Thunderbird

04.10.2011
Entgegen der allgemeinen Auffassung ist E-Mail alles andere als ein Medium mit Privatsphäre. Die Nachrichten sind so geheim wie jede beliebige Postkarte. Mit den richtigen Hilfsmitteln sorgen Sie dennoch für Vertraulichkeit.

Viele Nutzer unterliegen der irrigen Annahme, ihre elektronische Post sei von Hause aus sicher – doch das stimmt so nicht. In der Regel wandern die verschickten Nachrichten selbst im Klartext durch die Netzwerke. Zwar legt das Netzwerkprotokoll von sich aus mit Hilfe von SSL/TLS und STARTTLS meist eine verschlüsselte Hülle um die Klarnachricht – aber diese Verschlüsselung funktioniert nur auf dem Weg zwischen zwei Servern. Klinkt sich ein Angreifer beim Verhandeln der SSL-Schlüssel zwischen die Server, kann er auf den Inhalt der Nachricht zugreifen. Auch eine Umleitung über mehrere Server birgt Sicherheitsrisiken. Nicht zuletzt – und das ist wohl das größte Risiko – landen Ihre Nachrichten im Klartext beim Provider, bevor Sie diese abholen. Verschafft sich jemand die Zugangsdaten, kann er die E-Mails direkt beim Provider lesen. Immer wieder berichten die Medien von einzeln oder massenhaft gehackten Accounts, aus denen Angreifer E-Mails kopieren.

Das wird dadurch begünstigt, dass viele Nutzer ihre E-Mails dank IMAP oder auf expliziten Wunsch hin dauerhaft beim Provider lagern. Der Vorteil: So greifen Sie von beliebigen Rechnern mit Internetanschluss auf diese E-Mails zu. Oft funktioniert dieser Zugriff dann auch schneller. Um sich vor Risiken zu schützen, können Sie Ihre E-Mails verschlüsseln, um sie allein auf Ihrem Client im Klartext zu lesen. Die Frage ist nur, welche Technik ist die richtige?

Grundlagen

Zum besseren Verständnis machen Sie sich zunächst mit einigen Grundbegriffen vertraut. Nachrichten lassen sich entweder signieren, verschlüsseln oder auch beides gleichzeitig. Die Signatur funktioniert dabei ähnlich wie eine Unterschrift: Das Dokument bleibt für jedermann lesbar, erhält aber einen Herkunftsnachweis. Im Gegensatz zur normalen Unterschrift beweist die E-Mail-Signatur zugleich, dass die Nachricht nach dem Abschicken und Signieren nicht verändert wurde. Die Verschlüsselung hingegen schützt die E-Mail mit Hilfe von Kryptographie vor neugierigen Blicken Dritter. Die sicherste Variante ist die Kombination beider Verfahren – eine Signatur bestätigt die Echtheit der Nachricht, deren Inhalt wiederum eine Verschlüsselung schützt.

Für beide Varianten kommt ein Schlüsselpaar zum Einsatz, das aus einem privaten und einem öffentlichen Schlüssel besteht. Jeder der Schlüssel hat eine feste Funktion:

  • Der private Schlüssel dient Ihnen einerseits zum Dechiffrieren von verschlüsselten E-Mails, die Sie erreichen. Andererseits "unterschreiben" Sie damit E-Mails, die Sie signiert an andere schicken wollen.
  • Mit Ihrem öffentlichen Schlüssel verschlüsselt Ihr Gegenüber hingegen Nachrichten an Sie und überprüft die Korrektheit der Signaturen bei E-Mails, die von Ihnen stammen.

Den privaten Schlüssel speichern Sie auf Wunsch auf verschiedenen Medien, meist aber auf der Festplatte. Zunehmend finden aber auch Smartcards und USB-Tokens Verbreitung. Ein änderbares Kennwort – auch Passphrase genannt – schützt den Schlüssel vor Zugriffen durch Unbefugte.

Etwas komplizierter wird das Ganze dadurch, dass es zwei verschiedene Standards zur E-Mail-Verschlüsselung gibt. Die meisten Programme – so auch Thunderbird – unterstützen von Hause aus das so genannte S/MIME-Verfahren. Dabei stellt eine dem E-Mail-Client bekannte Zertifizierungsstelle ein Zertifikat für Sie aus, das Sie als Person eindeutig identifiziert. Das funktioniert ähnlich wie eine notarielle Beglaubigung; kostenfreie Zertifikate stellen verschiedene Anbieter aus, die wir weiter unten vorstellen.

Demgegenüber steht das so genannte PGP-Verfahren, auch als GnuPG oder OpenPGP bekannt. Der große Unterschied besteht darin, dass Sie die nötigen Schlüssel selbst erstellen. Die Funktion der Zertifizierungsstelle nehmen andere PGP-Nutzer wahr: Sie bestätigen Ihre Identität. Je mehr Bestätigungen Sie vorweisen, desto vertrauenswürdiger sind Sie. Das Vertrauen liegt hier also nicht bei einem einzelnen Anbieter, sondern bei einer Gemeinschaft von Nutzern. Öffentliche Schlüsselserver speichern die einzelnen Schlüssel und deren Beglaubigungen. Ein großer Nachteil von PGP besteht allerdings darin, dass viele E-Mail-Programme eine separate Erweiterung benötigen.

PGP nachrüsten

Unser Testsystem besteht aus Mozilla Thunderbird 3.1 und der PGP-Erweiterung Enigmail. Benutzen Sie Thunderbird bereits, müssen Sie unter Kubuntu und OpenSuse 11.3/11.4 lediglich die Enigmail-Komponente installieren. Unter OpenSuse ergaben sich dabei eine Reihe von Problemen: Hier lief nur das Add-on von der Enigmail-Webseite, andernfalls warf der Assistent beim Einrichten der Verschlüsselung jedes Mal Fehlermeldungen aus. Mit einem Trick ließen sich die Probleme (teilweise) umgehen. Allerdings ließen sich verschlüsselt eintrudelnde E-Mails im Anschluss nicht entschlüsseln, also auch nicht lesen. Das macht keinen Spaß und den PGP-Support im Prinzip wertlos – verwenden Sie als OpenSuse-Nutzer also besser S/MIME.

Um Thunderbird neu einzuspielen, klicken Sie in Kubuntu im KDE-Menü auf Anwendungen / System / Softwareverwaltung. Tippen Sie dann in die Zeile unter Beziehen und Entfernen von Software in das Suchfeld thunderbird und wählen Sie drei Pakete zur Installation aus: Mozilla Thunderbird Mail/News, thunderbird-locale-de sowie die Enigmail-Erweiterung für Thunderbird, indem Sie rechts neben den Einträgen auf Installieren klicken. Nach einem Klick auf Anwenden und der Eingabe des Passworts spielt KPackageKit die Programme auf den Rechner.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • S/MIME und PGP mit Thunderbird
    Entgegen der allgemeinen Auffassung ist E-Mail alles andere als ein Medium mit Privatsphäre. Die Nachrichten sind so geheim wie jede beliebige Postkarte. Mit den richtigen Hilfsmitteln sorgen Sie dennoch für Vertraulichkeit.
  • Vertrauensfragen
    Mit den richtigen Tools und Einstellungen wird E-Mail-Verschlüsselung zum Kinderspiel: S/MIME bildet den Rahmen für die sichere Kommunikation, Thunderbird betätigt sich als Mailclient.
  • E-Mail-Sicherheit für KMail, Evolution und Thunderbird
    Verschlüsseln ist sinnvoll, heißt es überall. Doch fast niemand nutzt PGP oder S/MIME. Wir untersuchen, wie benutzerfreundlich die Krypto-Unterstützung der drei großen Mailer KMail, Thunderbird und Evolution ist.
  • Brief und Siegel
    Das SSL-Protokoll ist aus dem Internet nicht mehr wegzudenken – sei es, um Daten zu verschlüsseln oder um mittels Zertifikaten auch deren Herkunft sicherzustellen. Wir zeigen, wie Sie schnell und günstig an ein eigenes Zertifikat kommen.
  • E-Mails verschlüsseln in Thunderbird mit GnuPG und Enigmail
    Eine E-Mail gleicht sicherheitstechnisch einer Postkarte: Jeder Interessierte kann den Inhalt lesen. Dabei lassen sich die elektronischen Nachrichten relativ problemlos mit frei zugänglichen Verfahren verschlüsseln.
Kommentare

Infos zur Publikation

title_2014_03

Digitale Ausgabe: Preis € 9,80
(inkl. 19% MwSt.)

EasyLinux erscheint vierteljährlich und kostet EUR 9,80. Weitere Informationen zum Heft finden Sie auf der EasyLinux-Homepage.

Das EasyLinux-Jahresabo mit Prämie kostet ab EUR 33,30. Details zum EasyLinux-Jahresabo finden Sie im Medialinx-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!      

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 4 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...