E-Mails verschlüsseln

Blickdichte E-Mails

Thunderbird beherrscht von Haus aus nur die S/MIME-Verschlüsselung, für die Sie ein Zertifikat benötigen. Einfacher geht's mit PGP: Dafür spielen Sie unter Thunderbird das populäre Plug-in Enigmail ein. Damit bleibt Vertrauliches in Zukunft vertraulich.

Sie möchten eine Nachricht verschicken, die Fremden verborgen bleibt, und gleichzeitig dem Empfänger versichern, dass Sie der Absender sind? Dann scheiden einfache E-Mails, Faxe oder Postbriefe aus – die bieten weder Abhörschutz noch den Nachweis der Absender-Echtheit. Trotzdem müssen Sie keine Reise antreten, um die Botschaft persönlich zu überbringen (was beide Probleme lösen würde), denn Sie können E-Mails dank der so genannten Public-Key-Kryptographie verschlüsseln und signieren und auch damit alle Ziele erreichen.

Vor dem sicheren Austausch der E-Mails ist ein wenig Einrichtungsarbeit notwendig. Vielleicht haben Sie schon von dem generellen Konflikt "Sicherheit gegen Benutzerfreundlichkeit" (englisch: security vs. usability) gehört: Erhöhte Sicherheit hat immer einen Preis, und beim Mailversand ist der Preis der Konfigurationsaufwand. Wenn Sie sich die Mühe machen, gewinnen Sie damit Vertraulichkeit für Ihre Mails.

Es gibt mit OpenPGP und S/MIME zwei sehr unterschiedliche Vorgehensweisen für die Einrichtung von Verschlüsselung und Signierung, die wir hier beide kurz vorstellen.

GnuPG

In der Linux-Welt ist OpenPGP (Pretty Good Privacy, implementiert durch das Programm GnuPG, gpg) der meist genutzte Standard. PGP basiert darauf, dass jeder Benutzer, der es verwenden möchte, ein Schlüsselpaar erstellt:

  • Den öffentlichen Schlüssel (engl. public key) können Sie an Ihre Kontakte weitergeben oder auf einer Webseite veröffentlichen,
  • den privaten Schlüssel (engl. private key) behalten Sie auf Ihrem Rechner und schützen ihn, z. B. durch eine "Passphrase" (das ist der bei PGP übliche Begriff für ein Passwort).

Nachrichten werden dann mit dem öffentlichen Schlüssel verschüsselt und mit dem privaten Schlüssel entschlüsselt. Es kann dadurch jeder beliebige Anwender eine Botschaft verschlüsseln und die so erzeugte Version per Mail verschicken; nur der Empfänger ist in der Lage, sie wieder zu entschlüsseln und im Klartext zu lesen.

Das Signieren von Nachrichten läuft genau umgekehrt ab: Der Absender signiert mit seinem privaten Schlüssel die Botschaft und schickt die Signatur als Anhang mit der Mail an den Empfänger – der kann (aber auch jeder andere Benutzer) kann dann mit dem öffentlichen Schlüssel des Absenders überprüfen, dass die Nachricht nicht verändert wurde. Falls sichergestellt ist, dass der öffentliche Schlüssel wirklich zu einer bestimmten Person gehört, ist dann sogar der Absender identifiziert, weil er der Einzige ist, der korrekte Signaturen erstellen kann: Nur er besitzt seinen eigenen privaten Schlüssel. Dieses Sicherstellen unterstützt OpenPGP durch die Möglichkeit, öffentliche Schlüssel von mehreren Personen signieren zu lassen, wodurch sie an Glaubwürdigkeit gewinnen. Es entsteht ein "Web of trust" (dt. Netz des Vertrauens).

Beim Verschlüsseln und Signieren gibt es nun zwei praktische Probleme:

  • Erstens müssen Absender und Empfänger beide mit OpenPGP arbeiten, damit eine verschlüsselte Kommunikation möglich ist,
  • und zweitens muss der Absender den öffentlichen Schlüssel des Empfängers besorgen, falls er ihn nicht bereits hat.

Das erste Problem lösen Sie in Thunderbird durch die Installation des Enigmail-Plug-ins (siehe weiter unten), und für das zweite Problem gibt es auch eine einfache Lösung: Öffentliche Schlüsselserver (PGP Key Server) bieten als Service eine Schlüsselverwaltung. Anwender können ihre öffentlichen Schlüssel dort hochladen, und andere Benutzer können dann nach diesen Schlüsseln suchen.

S/MIME

S/MIME (Secure/Multipurpose Internet Mail Extensions) nutzt ebenfalls Schlüsselpaare (privat, öffentlich) für Ver- und Entschlüsselung bzw. für Signatur und Überprüfung, setzt aber zusätzlich auf ein Zertifikatsystem, das garantieren soll, dass der Empfänger einer Mail zuverlässig prüfen kann, ob der Absender echt ist. Gerade in Zeiten einer Phishing-Mail-Flut ist das nützlich. Was bei OpenPGP über das Web of trust (oder die persönliche Überprüfung der Schlüsselechtheit) läuft, setzt bei S/MIME die Zusammenarbeit mit Zertifizierungsstellen (engl. CAs, Certification Authorities) voraus, die Zertifikate ausstellen. Der Ablauf ist dabei prinzipiell

  • Der Benutzer besucht die Webseite einer CA und beantragt ein S/MIME-Zertifikat.
  • Die CA überträgt ein Generierungsprogramm (z. B. als im Browser laufender JavaScript-Code) auf den Rechner des Anwenders.
  • Auf dem Rechner erzeugt das Generierungsprogramm ein Schlüsselpaar (privat, öffentlich) und lädt den öffentlichen Schlüssel zur CA hoch.
  • Die CA erstellt auf Basis des Schlüssels und der Anmeldedaten ein Zertifikat und überträgt es zum Rechner des Anwenders.
  • Der Benutzer speichert das Schlüsselpaar und das Zertifikat.

Das Zertifikat der CA sagt aus: "Wir garantieren, dass dieser öffentliche Schlüssel zu dieser konkreten Person gehört." Damit diese Vorgehensweise überhaupt einen Wert hat, muss bereits eine Kundenbeziehung zwischen CA und Benutzer bestehen oder der Benutzer sich auf eine sichere Weise gegenüber der CA ausweisen (etwa über PostIdent).

Mailprogramme erkennen die Zertifikate einer CA nur dann an, wenn sie diese CA kennen und als vertrauenswürdig betrachten. Da es je nach Mailprogramm und dessen Version vorkommt, dass bestimmte CAs unbekannt sind oder ihnen nicht vertraut wird, klappt die Überprüfung nicht immer.

Die meisten CAs verlangen für die Zertifikatsausstellung Geld. Es gibt auch kostenlose Angebote, bei denen aber die Wahrscheinlichkeit höher ist, dass nicht alle Mailprogramme diese Zertifikate akzeptieren. Schließlich besteht noch die Möglichkeit, sich selbst ein Zertifikat auszustellen (das dann nirgends als vertrauenswürdig angesehen wird).

Wegen der vergleichsweise umständlichen Einrichtung von S/MIME und auch wegen der starken Verbreitung von OpenPGP im Linux-Umfeld geht es im Rest der Artikels um die Einrichtung und Nutzung von OpenPGP.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Schlüsselfrage
    Nicht nur Firmen, sondern auch immer mehr Privatanwender verschlüsseln Ihre E-Mails – Schäuble lässt grüßen. Dank Enigmail geht der Umgang mit den Schlüsseln bequem von der Hand.
  • E-Mails verschlüsseln in Thunderbird mit GnuPG und Enigmail
    Eine E-Mail gleicht sicherheitstechnisch einer Postkarte: Jeder Interessierte kann den Inhalt lesen. Dabei lassen sich die elektronischen Nachrichten relativ problemlos mit frei zugänglichen Verfahren verschlüsseln.
  • E-Mails verschlüsseln mit KMail, Mozilla Thunderbird und Evolution
    Wer das Postgeheimnis auch bei elektronischer Post wahren will, verschlüsselt seine E-Mails. So wird aus einer öffentlich lesbaren Postkarte ein Brief mit versiegeltem Umschlag. Dieser Artikel zeigt, wie Sie mit den Mail-Clients Thunderbird, KMail und Evolution verschlüsseln und signieren.
  • E-Mail-Sicherheit für KMail, Evolution und Thunderbird
    Verschlüsseln ist sinnvoll, heißt es überall. Doch fast niemand nutzt PGP oder S/MIME. Wir untersuchen, wie benutzerfreundlich die Krypto-Unterstützung der drei großen Mailer KMail, Thunderbird und Evolution ist.
  • Schlüsselerlebnis
    E-Mails kryptografisch zu sichern, ist längst keine Hexerei mehr: GnuPG und moderne Mailclients sorgen für Komfort.
Kommentare

Infos zur Publikation

EL 11/2017-01/2018: Einstieg in Linux

Digitale Ausgabe: Preis € 9,80
(inkl. 19% MwSt.)

EasyLinux erscheint vierteljährlich und kostet 9,80 Euro. Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 33,30 Euro. Details dazu finden Sie im Computec-Shop.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!      

Stellenmarkt

Aktuelle Fragen

Broadcom Adapter 802.11n nachinstallieren
Thomas Mengel, 31.10.2017 20:06, 2 Antworten
Hallo, kann man nachträglich auf einer Liveversion, MX Linux auf einem USB-Stick, nachträglich...
RUN fsck Manually / Stromausfall
Arno Krug, 29.10.2017 12:51, 1 Antworten
Hallo, nach Absturz des Rechners aufgrund fehlendem Stroms startet Linux nicht mehr wie gewohn...
source.list öffnet sich nicht
sebastian reimann, 27.10.2017 09:32, 2 Antworten
hallo Zusammen Ich habe das problem Das ich meine source.list nicht öffnen kann weiß vlt jemman...
Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 6 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...