Home / EasyLinux / 2011 / 04 / S/MIME und PGP mit Thunderbird

Newsletter abonnieren

Lies uns auf...

Folge LinuxCommunity auf Twitter

Top-Beiträge

Eingedost
(161 Punkte bei 4 Stimmen)
Aufteiler
(161 Punkte bei 4 Stimmen)

Heftarchiv

LinuxUser Heftarchiv

EasyLinux Heftarchiv

Ubuntu User Heftarchiv

Ubuntu User Heftarchiv

Partner-Links:

Das B2B Portal www.Linx.de informiert über Produkte und Dienstleistungen.

AA_sicher.jpg

© Kheng Guan Toh, 123RF

Sichere Sache

S/MIME und PGP mit Thunderbird

04.10.2011 Entgegen der allgemeinen Auffassung ist E-Mail alles andere als ein Medium mit Privatsphäre. Die Nachrichten sind so geheim wie jede beliebige Postkarte. Mit den richtigen Hilfsmitteln sorgen Sie dennoch für Vertraulichkeit.

Viele Nutzer unterliegen der irrigen Annahme, ihre elektronische Post sei von Hause aus sicher – doch das stimmt so nicht. In der Regel wandern die verschickten Nachrichten selbst im Klartext durch die Netzwerke. Zwar legt das Netzwerkprotokoll von sich aus mit Hilfe von SSL/TLS und STARTTLS meist eine verschlüsselte Hülle um die Klarnachricht – aber diese Verschlüsselung funktioniert nur auf dem Weg zwischen zwei Servern. Klinkt sich ein Angreifer beim Verhandeln der SSL-Schlüssel zwischen die Server, kann er auf den Inhalt der Nachricht zugreifen. Auch eine Umleitung über mehrere Server birgt Sicherheitsrisiken. Nicht zuletzt – und das ist wohl das größte Risiko – landen Ihre Nachrichten im Klartext beim Provider, bevor Sie diese abholen. Verschafft sich jemand die Zugangsdaten, kann er die E-Mails direkt beim Provider lesen. Immer wieder berichten die Medien von einzeln oder massenhaft gehackten Accounts, aus denen Angreifer E-Mails kopieren.

Das wird dadurch begünstigt, dass viele Nutzer ihre E-Mails dank IMAP oder auf expliziten Wunsch hin dauerhaft beim Provider lagern. Der Vorteil: So greifen Sie von beliebigen Rechnern mit Internetanschluss auf diese E-Mails zu. Oft funktioniert dieser Zugriff dann auch schneller. Um sich vor Risiken zu schützen, können Sie Ihre E-Mails verschlüsseln, um sie allein auf Ihrem Client im Klartext zu lesen. Die Frage ist nur, welche Technik ist die richtige?

Grundlagen

Zum besseren Verständnis machen Sie sich zunächst mit einigen Grundbegriffen vertraut. Nachrichten lassen sich entweder signieren, verschlüsseln oder auch beides gleichzeitig. Die Signatur funktioniert dabei ähnlich wie eine Unterschrift: Das Dokument bleibt für jedermann lesbar, erhält aber einen Herkunftsnachweis. Im Gegensatz zur normalen Unterschrift beweist die E-Mail-Signatur zugleich, dass die Nachricht nach dem Abschicken und Signieren nicht verändert wurde. Die Verschlüsselung hingegen schützt die E-Mail mit Hilfe von Kryptographie vor neugierigen Blicken Dritter. Die sicherste Variante ist die Kombination beider Verfahren – eine Signatur bestätigt die Echtheit der Nachricht, deren Inhalt wiederum eine Verschlüsselung schützt.

Für beide Varianten kommt ein Schlüsselpaar zum Einsatz, das aus einem privaten und einem öffentlichen Schlüssel besteht. Jeder der Schlüssel hat eine feste Funktion:

  • Der private Schlüssel dient Ihnen einerseits zum Dechiffrieren von verschlüsselten E-Mails, die Sie erreichen. Andererseits "unterschreiben" Sie damit E-Mails, die Sie signiert an andere schicken wollen.
  • Mit Ihrem öffentlichen Schlüssel verschlüsselt Ihr Gegenüber hingegen Nachrichten an Sie und überprüft die Korrektheit der Signaturen bei E-Mails, die von Ihnen stammen.

Den privaten Schlüssel speichern Sie auf Wunsch auf verschiedenen Medien, meist aber auf der Festplatte. Zunehmend finden aber auch Smartcards und USB-Tokens Verbreitung. Ein änderbares Kennwort – auch Passphrase genannt – schützt den Schlüssel vor Zugriffen durch Unbefugte.

Etwas komplizierter wird das Ganze dadurch, dass es zwei verschiedene Standards zur E-Mail-Verschlüsselung gibt. Die meisten Programme – so auch Thunderbird – unterstützen von Hause aus das so genannte S/MIME-Verfahren. Dabei stellt eine dem E-Mail-Client bekannte Zertifizierungsstelle ein Zertifikat für Sie aus, das Sie als Person eindeutig identifiziert. Das funktioniert ähnlich wie eine notarielle Beglaubigung; kostenfreie Zertifikate stellen verschiedene Anbieter aus, die wir weiter unten vorstellen.

Demgegenüber steht das so genannte PGP-Verfahren, auch als GnuPG oder OpenPGP bekannt. Der große Unterschied besteht darin, dass Sie die nötigen Schlüssel selbst erstellen. Die Funktion der Zertifizierungsstelle nehmen andere PGP-Nutzer wahr: Sie bestätigen Ihre Identität. Je mehr Bestätigungen Sie vorweisen, desto vertrauenswürdiger sind Sie. Das Vertrauen liegt hier also nicht bei einem einzelnen Anbieter, sondern bei einer Gemeinschaft von Nutzern. Öffentliche Schlüsselserver speichern die einzelnen Schlüssel und deren Beglaubigungen. Ein großer Nachteil von PGP besteht allerdings darin, dass viele E-Mail-Programme eine separate Erweiterung benötigen.

PGP nachrüsten

Unser Testsystem besteht aus Mozilla Thunderbird 3.1 und der PGP-Erweiterung Enigmail. Benutzen Sie Thunderbird bereits, müssen Sie unter Kubuntu und OpenSuse 11.3/11.4 lediglich die Enigmail-Komponente installieren. Unter OpenSuse ergaben sich dabei eine Reihe von Problemen: Hier lief nur das Add-on von der Enigmail-Webseite, andernfalls warf der Assistent beim Einrichten der Verschlüsselung jedes Mal Fehlermeldungen aus. Mit einem Trick ließen sich die Probleme (teilweise) umgehen. Allerdings ließen sich verschlüsselt eintrudelnde E-Mails im Anschluss nicht entschlüsseln, also auch nicht lesen. Das macht keinen Spaß und den PGP-Support im Prinzip wertlos – verwenden Sie als OpenSuse-Nutzer also besser S/MIME.

Um Thunderbird neu einzuspielen, klicken Sie in Kubuntu im KDE-Menü auf Anwendungen / System / Softwareverwaltung. Tippen Sie dann in die Zeile unter Beziehen und Entfernen von Software in das Suchfeld thunderbird und wählen Sie drei Pakete zur Installation aus: Mozilla Thunderbird Mail/News, thunderbird-locale-de sowie die Enigmail-Erweiterung für Thunderbird, indem Sie rechts neben den Einträgen auf Installieren klicken. Nach einem Klick auf Anwenden und der Eingabe des Passworts spielt KPackageKit die Programme auf den Rechner.

Tip a friend    Druckansicht Bookmark and Share
Kommentare

2279 Hits
Wertung: 0 Punkte (0 Stimmen)

Schlecht Gut

Infos zur Publikation

Infos zur Publikation

title_2014_02

Aktuelle Ausgabe kaufen:

Heft als PDF kaufen

EasyLinux erscheint vierteljährlich und kostet EUR 9,80. Weitere Informationen zum Heft finden Sie auf der EasyLinux-Homepage.

Das EasyLinux-Jahresabo mit Prämie kostet ab EUR 33,30. Details zum EasyLinux-Jahresabo finden Sie im Medialinx-Shop.

Tipp der Woche

Bilder vergleichen mit diffimg
Bilder vergleichen mit diffimg
Tim Schürmann, 01.04.2014 12:40, 1 Kommentare

Das kleine Werkzeug diffimg kann zwei (scheinbar) identische Bilder miteinander vergleichen und die Unterschiede optisch hervorheben. Damit lassen sich nicht nur Rätsel a la „Orignial und Fäls...

Aktuelle Fragen

programm suche
Hans-Joachim Köpke, 13.04.2014 10:43, 8 Antworten
suche noch programme die zu windows gibt, die auch unter linux laufen bzw sich ähneln sozusagen a...
Funknetz (Web-Stick)
Hans-Joachim Köpke, 04.04.2014 07:31, 2 Antworten
Bei Windows7 brauche ich den Stick nur ins USB-Fach schieben dann erkennt Windows7 Automatisch, a...
Ubuntu 13.10 überschreibt immer Windows 8 Bootmanager
Thomas Weiss, 15.03.2014 19:20, 8 Antworten
Hallo Leute, ich hoffe das ich richtig bin. Ich habe einen Dell Insipron 660 Ich möchte gerne Ub...
USB-PTP-Class Kamera wird nicht erkannt (Windows-only)
Wimpy *, 14.03.2014 13:04, 15 Antworten
ich habe meiner Frau eine Digitalkamera, AGFA Optima 103, gekauft und wir sind sehr zufrieden dam...
Treiber
Michael Kristahn, 12.03.2014 08:28, 5 Antworten
Habe mir ein Scanner gebraucht gekauft von Canon CanoScan LiDE 70 kein Treiber wie bekomme ich de...