Verbrieft und gesiegelt

E-Mails verschlüsseln mit KMail, Mozilla Thunderbird und Evolution

01.01.2005
Wer das Postgeheimnis auch bei elektronischer Post wahren will, verschlüsselt seine E-Mails. So wird aus einer öffentlich lesbaren Postkarte ein Brief mit versiegeltem Umschlag. Dieser Artikel zeigt, wie Sie mit den Mail-Clients Thunderbird, KMail und Evolution verschlüsseln und signieren.

Nirgendwo haben Fälscher es so leicht wie im Internet. Um Post unter fremdem Namen zu verschicken, ist es nicht nötig, vorher die Unterschrift des Betreffenden zu üben – ein falscher Eintrag im From-Header genügt. Das Mail-Protokoll bietet keinen Schutz gegen solche Manipulationen. Wer seinen Korrespondenzpartnern die Gewähr bieten will, dass man E-Mails unter dem eigenen Namen auch tatsächlich selbst verschickt hat, sollte sich deshalb angewöhnen, seine E-Mails zu signieren. Das Gleiche gilt für Verschlüsselung: Wer sähe es schon gerne, wenn ein neugieriger Mailserver-Admin die private Post durchwühlt? Jedermann mit Zugriff auf einen der Rechner, die die Post auf dem Weg vom Absender zum Empfänger passiert, kann prinzipiell Ihre Mails mitlesen.

Vor Manipulationen und Mitlesern schützen Sie sich mit der Software GNU Privacy Guard, zu Deutsch Wächter der Privatsphäre. Bei GnuPG handelt es sich um ein Kryptographiesystem, das mit einem asymmetrischen Verschlüsselungsverfahren arbeitet. Für den Benutzer heißt das, dass er zwei Schlüssel besitzt: einen privaten und einen öffentlichen Key, die er zusammen als Schlüsselpaar erzeugt. Auf Ihren mit einem Passwort geschützten privaten Key haben nur Sie selbst Zugriff. Er dient dazu, E-Mails zu entschlüsseln und zu signieren.

Den öffentlichen Schlüssel dagegen verteilen Sie an alle Leute, mit denen Sie sicher kommunizieren möchten. Mit diesem Schlüssel können Ihre Kommunikationspartner anschließend an Sie gerichtete E-Mails verschlüsseln und Ihre digitale Signatur überprüfen. Beim Signieren berechnet GnuPG mit Ihrem geheimen Schlüssel aus dem Text der E-Mail eine Prüfsumme und hängt diese an die E-Mail an. Mit Ihrem öffentlichen Schlüssel kann der Empfänger der E-Mail zweifelsfrei feststellen, dass die Nachricht, die er gerade erhalten hat, wirklich von Ihnen stammt.

Wer auf diese Art sicher kommunizieren will, braucht zweierlei: die Software GnuPG selbst und ein Mail-Programm, das GnuPG unterstützt – dieser Artikel erklärt die Handhabung in KMail, Thunderbird und Evolution. Mit gpg --version finden Sie heraus, ob und in welcher Version GnuPG auf Ihrem System installiert ist (Abbildung 1). Erscheint eine Fehlermeldung, müssen Sie GnuPG von den Distributionsdatenträgern nachinstallieren. Das Paket finden Sie in der Regel unter dem Namen gpg oder gnupg, Suse 9.1 beispielsweise bringt die Version 1.2.4 mit.

Da leider noch nicht alle Mail-Clients Schlüssel generieren können, bleibt nur der Griff zur Konsole als Lösung, die auf jedem System funktioniert. Mit dem Befehl gpg --gen-key starten Sie den Dialog zur Schlüsselerzeugung. Zuerst bittet GnuPG Sie, eine Schlüsselart auszuwählen. Von den drei Optionen eignet sich die voreingestellte – ElGamal und DSA – am besten, die Sie mit [Enter] bestätigen. Danach bestimmen Sie die Schlüssellänge. Dabei gilt es zwischen Sicherheit und Rechenzeitaufwand abzuwägen. Ein kurzer Schlüssel lässt sich prinzipiell leichter knacken, wird dafür aber schneller verarbeitet. Die Standardeinstellung von 1024 Bit reicht für den normalen E-Mail-Versand in der Regel aus. Übernehmen Sie diese also mit [Enter].

Abbildung 1: Zum Verschlüsseln und Signieren setzen die meisten Mail-Programme auf das Kommandozeilen-Tool gpg. "gpg --version" verrät, welche Version auf Ihrem System installiert ist.

Als nächstes fragt GnuPG nach dem Verfallsdatum des Schlüsselpaares. Wer ein großes Vertrauensnetzwerk (siehe Kasten 2) aufbauen möchte, sollte seinen Schlüssel nicht allzu schnell verfallen lassen, damit nicht das ganze Netzwerk den Schlüssel neu erhalten und signieren muss. Im Zweifelsfall kann man dem Schlüssel kein Verfallsdatum geben. In diesem Fall, oder um einen Schlüssel vor Ablauf des Verfallsdatums für ungültig zu erklären und von den Keyservern zu löschen, brauchen Sie jedoch ein so genanntes Revocation-Zertifikat (Rückrufszertifikat). Das legen Sie mit dem Befehl gpg --output revoke.asc --gen-revoke Key-ID direkt nach dem Generieren des Schlüssels an und bewahren es für den späteren Gebrauch gut auf. Als Key-ID geben Sie die E-Mail-Adresse an. Nach der Auswahl bestätigen Sie mit [j] die Angabe des Verfallsdatum.

Im nächsten Schritt geben Sie Ihren Namen, einen optionalen Kommentar sowie eine gültige E-Mail-Adresse an, für die Sie den Schlüssel erzeugen möchten. Mit F für Fertig bestätigen Sie die Angaben. Zum Schluss fordert GnuPG Sie auf, die Passphrase für den Schlüssel einzugeben und sie anschließend zu wiederholen. Wie die Bezeichnung "Passphrase" schon andeutet, sollten Sie hier kein einfaches Wort, sondern eine längere Folge von Buchstaben, Zahlen und Sonderzeichen wählen. Mit der Güte der Passphrase steht und fällt die Sicherheit von GnuPG: Falls jemand an Ihren privaten Schlüssel gelangt, hält nur die Qualität der Passphrase ihn davon ab, Ihre Post zu entschlüsseln oder in Ihrem Namen zu signieren.

KMail für GnuPG fit machen

Die nötigen Einstellungen, um GnuPG in KMail 1.6.2 [2] zu nutzen, treffen Sie über EinstellungenKMail einrichten. Im Reiter OpenPGP wählen Sie unter Sicherheit als Verschlüsselungsprogramm GnuPG -- GNU Privacy Guard aus (Abbildung 2). Unter Identities weisen Sie Ihren E-Mail-Adressen einen GnuPG-Schlüssel zu.

Abbildung 2: Im KMail-Einstellungsdialog wählen Sie aus, dass Sie GnuPG als Verschlüsselungsprogramm einsetzen wollen.

Im Fenster zur Erstellung einer neuen E-Mail erscheinen nun zwei Buttons. Das Feder-Symbol dient zum Signieren, mit dem Schloss verschlüsseln Sie eine E-Mail. Über das Menü Anhängen, hängen Sie Ihren oder einen anderen öffentlichen Key an eine E-Mail an.

Trifft eine signierte E-Mail ein, rahmt KMail sie farbig ein (Abbildung 3). Eine ungültige Signatur stellt es rot dar; eine gültige, aber nicht vertraute Signatur erscheint gelb; eine gültige und vertraute Signatur rahmt es in grün. So sehen Sie sofort, ob Sie einer E-Mail vertrauen können oder nicht. E-Mails, die KMail entschlüsselt hat, markiert es blau.

Abbildung 3: Signierte und verschlüsselte Nachrichten rahmt KMail farbig ein.

KMail 1.6.2 hat jedoch einen entscheidenden Nachteil: Es benutzt noch Inline-Encryption – dabei verschlüsselt es nur den Inhalt der E-Mail, jedoch nicht die Anhänge. Ab Version 1.7 hält sich auch KMail an den OpenPGP/MIME-Standard, den die meisten anderen Mail-Clients verwenden. OpenPGP/MIME verschlüsselt alle Teile einer Mail, auch die Anhänge, und verschickt sie als einzelne Abschnitte, so genannte MIME-Parts.

Mit OpenPGP/MIME-Nachrichten, wie sie die meisten Mailer erzeugen, kann das alte KMail nichts anfangen – und umgekehrt kann zum Beispiel Evolution im Inline-Verfahren verschlüsselte Mails nicht entschlüsseln. Thunderbird und das neue KMail beherrschen beide Methoden. Deshalb empfiehlt es sich, auf KMail 1.7 zu aktualisieren. Was sich darin geändert hat, beschreibt Kasten 1.

Alternativ lässt sich in KMail 1.6.2 die OpenPGP/MIME-Unterstützung mit dem Ägypten-Projekt[3] nachrüsten. Suse Linux bietet das OpenPGP/MIME-Plugin als Paket an, Benutzer andere Distributionen müssen es jedoch aus den Sourcen erstellen. Da Sie dazu jedoch sechs zusätzliche Pakete kompilieren und installieren müssen, stellt ein Update die bei weitem einfachere Lösung dar.

Kasten 1: Neues in KMail 1.7

Mit der Integration von OpenPGP/MIME hat sich der Einstellungsdialog von KMail in Version 1.7 (mit KDE 3.3 ausgeliefert) erweitert. Unter EinstellungenKMail einrichtenSicherheit erscheinen nun fünf Reiter. Der Tab Nachrichten erstellen enthält mehr Optionen zum Signieren und Verschlüsseln von Nachrichten. Dazu zählt unter anderem die Möglichkeit, Nachrichten automatisch zu signieren und wenn möglich auch automatisch zu verschlüsseln. Verschlüsselt abgeschickte Nachrichten speichert KMail auf Wunsch jetzt auch verschlüsselt, so dass kein Unbefugter auf dem eigenen Rechner die Nachricht lesen kann. Das gleiche gilt auch, wenn Sie verschlüsselte Nachrichten als Entwurf speichern. Wer die Kontrolle über KMails Aktionen behalten will, lässt sich die Schlüssel, die KMail auswählt, immer zur Bestätigung anzeigen.

Im Reiter Warnungen (Abbildung 4) weisen Sie KMail an, Sie daran zu erinnern, E-Mails zu signieren oder zu verschlüsseln. Entsprechende Hinweise erscheinen immer dann, wenn Sie E-Mails ohne Signatur oder ohne Verschlüsselung zu verschicken versuchen. Standardmäßig benachrichtigt KMail Sie, wenn ein Schlüssel demnächst verfällt.

Die Möglichkeit, wie in KMail 1.6.2 ein Verschlüsselungsprogramm auszuwählen, gibt es nicht mehr. Dafür wurde die Unterstützung von GnuPG in den Reiter Krypto-Module mit eingearbeitet. Im Reiter Lesen weisen Sie KMail an, an eine Mail angehängte öffentliche Schlüssel automatisch zu importieren. Das erspart Arbeit, wenn Sie viele Schlüssel per E-Mail statt über einen Keyserver beziehen.

Den eigenen Schlüssel legen Sie weiterhin im Dialog Identität unter Sicherheit fest. Unter Kryptografie können Sie nun neu die Art der Verschlüsselung auswählen und explizit einstellen, ob Sie OpenPGP/MIME oder Inline-Verschlüsselung benutzen möchten. Auch beim Erstellen einer Nachricht bietet ein Pull-Down-Menü nun beide Methoden an. Das ist nützlich, falls Sie jemandem eine Nachricht schicken möchten, der noch mit einem nur Inline-fähigen Mail-Client wie KMail 1.6 unterwegs ist.

Abbildung 4: KMail 1.7 warnt Sie auf Wunsch, wenn Sie Nachrichten ohne Signatur oder unverschlüsselt versenden.

Thunderbird mit Enigmail

Mozilla Thunderbird [4] braucht für GnuPG das Plugin Enigmail [5], das Sie aus dem Internet herunterladen und über ExtrasErweiterungen installieren. Wer eine deutschsprachige Version von Thunderbird verwendet, sollte zusätzlich das auf der Enigmail-Website angebotene deutsche Language-Pack einspielen.

Unter EnigmailEinstellungen (Abbildung 5) geben Sie den Pfad zum GnuPG-Programm an. Dieses befindet sich in den meisten Distributionen unter /usr/bin/gpg. Für die restlichen Felder übernehmen Sie die Voreinstellung.

Abbildung 5: Vor dem ersten Einsatz müssen Sie Thunderbirds Krypto-Plugin Enigmail den Pfad zu GnuPG verraten.

Über den neuen Reiter OpenPGP Sicherheit in den Konteneinstellungen (Extras / Konten) bestimmen Sie noch, welchen Schlüssel Enigmail verwenden soll. Zunächst schalten Sie die Unterstützung für GnuPG frei, indem Sie einen Haken vor Enable OpenPGP support (Enigmail) for this identity setzen (Abbildung 6). Wenn Sie diesselbe E-Mail-Adresse für Konto und Schlüssel verwenden, sucht Thunderbird automatisch den passenden Schlüssel. Andernfalls markieren Sie die zweite Option und wählen selbst aus einer Liste vorhandener Schlüssel den richtigen aus. Im Folgenden stellen Sie noch ein, ob Thunderbird Nachrichten automatisch signieren und verschlüsseln soll.

Abbildung 6: In Thunderbird Konteneinstellungen schalten Sie die Enigmail-Unterstützung für Ihren Mail-Account frei und bestimmen, welchen Schlüssel Enigmail verwenden soll.

Beim Erstellen einer neuen E-Mail erscheint nun ein Button OpenPGP mit einem Pull-Down-Menü (Abbildung 7), über das Sie die Nachricht signieren oder verschlüsseln. Via Enigmail-Menü können Sie außerdem Ihren öffentlichen Schlüssel in eine E-Mail einfügen, um ihn an Ihre Korrespondenzpartner zu verteilen.

Erhalten Sie eine verschlüsselte oder signierte E-Mail, zeigt Enigmail das oberhalb des Absenders an. Zusätzlich erscheint ein Stift bei signierten E-Mails und ein Schlüssel für verschlüsselte Nachrichten. Klicken Sie diese an, erhalten Sie ausführliche Informationen zur Signatur und Verschlüsselung. So lässt sich die Herkunft der Nachricht genau verfolgen. Thunderbird kann sowohl nach der Inline-Methode als auch per OpenPGP/MIME E-Mails verfassen und öffnen.

Abbildung 7: Haben Sie Enigmail installiert, erscheint ein neuer Button "OpenPGP" im Dialog zum Verfassen von Nachrichten..

Im Hauptfenster unter EnigmailOpenPGP Key Management Window finden Sie eine kleine Schlüsselverwaltung, die bereits einiges kann. Sie listet die auf dem System vorhandenen öffentlichen Schlüssel. Diese können Sie signieren, neue Schlüssel erzeugen und weitere Benutzer zu einem Schlüssel hinzufügen. Über das Menü Key erstellen Sie ein Rückrufzertifikat (Abbildung 8). Leider bringt Enigmail noch keine Keyserver-Verwaltung mit, diese soll aber in zukünftigen Versionen folgen. Dann lässt sich die gesamte Schlüsselverwaltung mit Thunderbird handhaben.

Abbildung 8: Als einziger der drei Mailer bringt Thunderbird mit Enigmail auch eine Schlüsselverwaltung mit, so dass der Nutzer dazu nicht mehr auf die Kommandozeile ausweichen muss.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • E-Mail-Sicherheit für KMail, Evolution und Thunderbird
    Verschlüsseln ist sinnvoll, heißt es überall. Doch fast niemand nutzt PGP oder S/MIME. Wir untersuchen, wie benutzerfreundlich die Krypto-Unterstützung der drei großen Mailer KMail, Thunderbird und Evolution ist.
  • Schlüsselerlebnis
    E-Mails kryptografisch zu sichern, ist längst keine Hexerei mehr: GnuPG und moderne Mailclients sorgen für Komfort.
  • Schlüsselfrage
    Nicht nur Firmen, sondern auch immer mehr Privatanwender verschlüsseln Ihre E-Mails – Schäuble lässt grüßen. Dank Enigmail geht der Umgang mit den Schlüsseln bequem von der Hand.
  • Grundlagen zur sicheren Kommunikation mit GnuPG
    E-Mails sind wie Postkarten – jeder kann sie lesen. Zumindest dann, wenn sie unverschlüsselt durch die Leitung wandern. Mit GnuPG sperren Sie unerwünschte Mitleser aus.
  • E-Mails mit GnuPG verschlüsseln
    Monatlich greift der US-Geheimdienst etwa eine halbe Milliarde Verbindungsdaten und E-Mails alleine an deutschen Backbones ab. Ein guter Grund, sich über einen sicheren E-Mail-Verkehr Gedanken zu machen.
Kommentare

Infos zur Publikation

LU 11/2014: VIDEOS BEARBEITEN

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 4 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...