 "Aufmacher Artikel")
Verbrieft und gesiegelt
E-Mails verschlüsseln mit KMail, Mozilla Thunderbird und Evolution
Nirgendwo haben Fälscher es so leicht wie im Internet. Um Post unter fremdem Namen zu verschicken, ist es nicht nötig, vorher die Unterschrift des Betreffenden zu üben – ein falscher Eintrag im From-Header genügt. Das Mail-Protokoll bietet keinen Schutz gegen solche Manipulationen. Wer seinen Korrespondenzpartnern die Gewähr bieten will, dass man E-Mails unter dem eigenen Namen auch tatsächlich selbst verschickt hat, sollte sich deshalb angewöhnen, seine E-Mails zu signieren. Das Gleiche gilt für Verschlüsselung: Wer sähe es schon gerne, wenn ein neugieriger Mailserver-Admin die private Post durchwühlt? Jedermann mit Zugriff auf einen der Rechner, die die Post auf dem Weg vom Absender zum Empfänger passiert, kann prinzipiell Ihre Mails mitlesen.
Vor Manipulationen und Mitlesern schützen Sie sich mit der Software GNU Privacy Guard, zu Deutsch Wächter der Privatsphäre. Bei GnuPG handelt es sich um ein Kryptographiesystem, das mit einem asymmetrischen Verschlüsselungsverfahren arbeitet. Für den Benutzer heißt das, dass er zwei Schlüssel besitzt: einen privaten und einen öffentlichen Key, die er zusammen als Schlüsselpaar erzeugt. Auf Ihren mit einem Passwort geschützten privaten Key haben nur Sie selbst Zugriff. Er dient dazu, E-Mails zu entschlüsseln und zu signieren.
Den öffentlichen Schlüssel dagegen verteilen Sie an alle Leute, mit denen Sie sicher kommunizieren möchten. Mit diesem Schlüssel können Ihre Kommunikationspartner anschließend an Sie gerichtete E-Mails verschlüsseln und Ihre digitale Signatur überprüfen. Beim Signieren berechnet GnuPG mit Ihrem geheimen Schlüssel aus dem Text der E-Mail eine Prüfsumme und hängt diese an die E-Mail an. Mit Ihrem öffentlichen Schlüssel kann der Empfänger der E-Mail zweifelsfrei feststellen, dass die Nachricht, die er gerade erhalten hat, wirklich von Ihnen stammt.
Wer auf diese Art sicher kommunizieren will, braucht zweierlei: die Software GnuPG selbst und ein Mail-Programm, das GnuPG unterstützt – dieser Artikel erklärt die Handhabung in KMail, Thunderbird und Evolution. Mit gpg --version finden Sie heraus, ob und in welcher Version GnuPG auf Ihrem System installiert ist (Abbildung 1). Erscheint eine Fehlermeldung, müssen Sie GnuPG von den Distributionsdatenträgern nachinstallieren. Das Paket finden Sie in der Regel unter dem Namen gpg oder gnupg, Suse 9.1 beispielsweise bringt die Version 1.2.4 mit.
Da leider noch nicht alle Mail-Clients Schlüssel generieren können, bleibt nur der Griff zur Konsole als Lösung, die auf jedem System funktioniert. Mit dem Befehl gpg --gen-key starten Sie den Dialog zur Schlüsselerzeugung. Zuerst bittet GnuPG Sie, eine Schlüsselart auszuwählen. Von den drei Optionen eignet sich die voreingestellte – ElGamal und DSA – am besten, die Sie mit [Enter] bestätigen. Danach bestimmen Sie die Schlüssellänge. Dabei gilt es zwischen Sicherheit und Rechenzeitaufwand abzuwägen. Ein kurzer Schlüssel lässt sich prinzipiell leichter knacken, wird dafür aber schneller verarbeitet. Die Standardeinstellung von 1024 Bit reicht für den normalen E-Mail-Versand in der Regel aus. Übernehmen Sie diese also mit [Enter].
Abbildung 1: Zum Verschlüsseln und Signieren setzen die meisten Mail-Programme auf das Kommandozeilen-Tool gpg. "gpg --version" verrät, welche Version auf Ihrem System installiert ist.
Als nächstes fragt GnuPG nach dem Verfallsdatum des Schlüsselpaares. Wer ein großes Vertrauensnetzwerk (siehe Kasten 2) aufbauen möchte, sollte seinen Schlüssel nicht allzu schnell verfallen lassen, damit nicht das ganze Netzwerk den Schlüssel neu erhalten und signieren muss. Im Zweifelsfall kann man dem Schlüssel kein Verfallsdatum geben. In diesem Fall, oder um einen Schlüssel vor Ablauf des Verfallsdatums für ungültig zu erklären und von den Keyservern zu löschen, brauchen Sie jedoch ein so genanntes Revocation-Zertifikat (Rückrufszertifikat). Das legen Sie mit dem Befehl gpg --output revoke.asc --gen-revoke Key-ID direkt nach dem Generieren des Schlüssels an und bewahren es für den späteren Gebrauch gut auf. Als Key-ID geben Sie die E-Mail-Adresse an. Nach der Auswahl bestätigen Sie mit [j] die Angabe des Verfallsdatum.
Im nächsten Schritt geben Sie Ihren Namen, einen optionalen Kommentar sowie eine gültige E-Mail-Adresse an, für die Sie den Schlüssel erzeugen möchten. Mit F für Fertig bestätigen Sie die Angaben. Zum Schluss fordert GnuPG Sie auf, die Passphrase für den Schlüssel einzugeben und sie anschließend zu wiederholen. Wie die Bezeichnung "Passphrase" schon andeutet, sollten Sie hier kein einfaches Wort, sondern eine längere Folge von Buchstaben, Zahlen und Sonderzeichen wählen. Mit der Güte der Passphrase steht und fällt die Sicherheit von GnuPG: Falls jemand an Ihren privaten Schlüssel gelangt, hält nur die Qualität der Passphrase ihn davon ab, Ihre Post zu entschlüsseln oder in Ihrem Namen zu signieren.
KMail für GnuPG fit machen
Die nötigen Einstellungen, um GnuPG in KMail 1.6.2 [2] zu nutzen, treffen Sie über EinstellungenKMail einrichten. Im Reiter OpenPGP wählen Sie unter Sicherheit als Verschlüsselungsprogramm GnuPG -- GNU Privacy Guard aus (Abbildung 2). Unter Identities weisen Sie Ihren E-Mail-Adressen einen GnuPG-Schlüssel zu.
Abbildung 2: Im KMail-Einstellungsdialog wählen Sie aus, dass Sie GnuPG als Verschlüsselungsprogramm einsetzen wollen.
Im Fenster zur Erstellung einer neuen E-Mail erscheinen nun zwei Buttons. Das Feder-Symbol dient zum Signieren, mit dem Schloss verschlüsseln Sie eine E-Mail. Über das Menü Anhängen, hängen Sie Ihren oder einen anderen öffentlichen Key an eine E-Mail an.
Trifft eine signierte E-Mail ein, rahmt KMail sie farbig ein (Abbildung 3). Eine ungültige Signatur stellt es rot dar; eine gültige, aber nicht vertraute Signatur erscheint gelb; eine gültige und vertraute Signatur rahmt es in grün. So sehen Sie sofort, ob Sie einer E-Mail vertrauen können oder nicht. E-Mails, die KMail entschlüsselt hat, markiert es blau.
Abbildung 3: Signierte und verschlüsselte Nachrichten rahmt KMail farbig ein.
KMail 1.6.2 hat jedoch einen entscheidenden Nachteil: Es benutzt noch Inline-Encryption – dabei verschlüsselt es nur den Inhalt der E-Mail, jedoch nicht die Anhänge. Ab Version 1.7 hält sich auch KMail an den OpenPGP/MIME-Standard, den die meisten anderen Mail-Clients verwenden. OpenPGP/MIME verschlüsselt alle Teile einer Mail, auch die Anhänge, und verschickt sie als einzelne Abschnitte, so genannte MIME-Parts.
Mit OpenPGP/MIME-Nachrichten, wie sie die meisten Mailer erzeugen, kann das alte KMail nichts anfangen – und umgekehrt kann zum Beispiel Evolution im Inline-Verfahren verschlüsselte Mails nicht entschlüsseln. Thunderbird und das neue KMail beherrschen beide Methoden. Deshalb empfiehlt es sich, auf KMail 1.7 zu aktualisieren. Was sich darin geändert hat, beschreibt Kasten 1.
Alternativ lässt sich in KMail 1.6.2 die OpenPGP/MIME-Unterstützung mit dem Ägypten-Projekt[3] nachrüsten. Suse Linux bietet das OpenPGP/MIME-Plugin als Paket an, Benutzer andere Distributionen müssen es jedoch aus den Sourcen erstellen. Da Sie dazu jedoch sechs zusätzliche Pakete kompilieren und installieren müssen, stellt ein Update die bei weitem einfachere Lösung dar.
Kasten 1: Neues in KMail 1.7
Mit der Integration von OpenPGP/MIME hat sich der Einstellungsdialog von KMail in Version 1.7 (mit KDE 3.3 ausgeliefert) erweitert. Unter EinstellungenKMail einrichtenSicherheit erscheinen nun fünf Reiter. Der Tab Nachrichten erstellen enthält mehr Optionen zum Signieren und Verschlüsseln von Nachrichten. Dazu zählt unter anderem die Möglichkeit, Nachrichten automatisch zu signieren und wenn möglich auch automatisch zu verschlüsseln. Verschlüsselt abgeschickte Nachrichten speichert KMail auf Wunsch jetzt auch verschlüsselt, so dass kein Unbefugter auf dem eigenen Rechner die Nachricht lesen kann. Das gleiche gilt auch, wenn Sie verschlüsselte Nachrichten als Entwurf speichern. Wer die Kontrolle über KMails Aktionen behalten will, lässt sich die Schlüssel, die KMail auswählt, immer zur Bestätigung anzeigen.
Im Reiter Warnungen (Abbildung 4) weisen Sie KMail an, Sie daran zu erinnern, E-Mails zu signieren oder zu verschlüsseln. Entsprechende Hinweise erscheinen immer dann, wenn Sie E-Mails ohne Signatur oder ohne Verschlüsselung zu verschicken versuchen. Standardmäßig benachrichtigt KMail Sie, wenn ein Schlüssel demnächst verfällt.
Die Möglichkeit, wie in KMail 1.6.2 ein Verschlüsselungsprogramm auszuwählen, gibt es nicht mehr. Dafür wurde die Unterstützung von GnuPG in den Reiter Krypto-Module mit eingearbeitet. Im Reiter Lesen weisen Sie KMail an, an eine Mail angehängte öffentliche Schlüssel automatisch zu importieren. Das erspart Arbeit, wenn Sie viele Schlüssel per E-Mail statt über einen Keyserver beziehen.
Den eigenen Schlüssel legen Sie weiterhin im Dialog Identität unter Sicherheit fest. Unter Kryptografie können Sie nun neu die Art der Verschlüsselung auswählen und explizit einstellen, ob Sie OpenPGP/MIME oder Inline-Verschlüsselung benutzen möchten. Auch beim Erstellen einer Nachricht bietet ein Pull-Down-Menü nun beide Methoden an. Das ist nützlich, falls Sie jemandem eine Nachricht schicken möchten, der noch mit einem nur Inline-fähigen Mail-Client wie KMail 1.6 unterwegs ist.
Abbildung 4: KMail 1.7 warnt Sie auf Wunsch, wenn Sie Nachrichten ohne Signatur oder unverschlüsselt versenden.
Thunderbird mit Enigmail
Mozilla Thunderbird [4] braucht für GnuPG das Plugin Enigmail [5], das Sie aus dem Internet herunterladen und über ExtrasErweiterungen installieren. Wer eine deutschsprachige Version von Thunderbird verwendet, sollte zusätzlich das auf der Enigmail-Website angebotene deutsche Language-Pack einspielen.
Unter EnigmailEinstellungen (Abbildung 5) geben Sie den Pfad zum GnuPG-Programm an. Dieses befindet sich in den meisten Distributionen unter /usr/bin/gpg. Für die restlichen Felder übernehmen Sie die Voreinstellung.
Abbildung 5: Vor dem ersten Einsatz müssen Sie Thunderbirds Krypto-Plugin Enigmail den Pfad zu GnuPG verraten.
Über den neuen Reiter OpenPGP Sicherheit in den Konteneinstellungen (Extras / Konten) bestimmen Sie noch, welchen Schlüssel Enigmail verwenden soll. Zunächst schalten Sie die Unterstützung für GnuPG frei, indem Sie einen Haken vor Enable OpenPGP support (Enigmail) for this identity setzen (Abbildung 6). Wenn Sie diesselbe E-Mail-Adresse für Konto und Schlüssel verwenden, sucht Thunderbird automatisch den passenden Schlüssel. Andernfalls markieren Sie die zweite Option und wählen selbst aus einer Liste vorhandener Schlüssel den richtigen aus. Im Folgenden stellen Sie noch ein, ob Thunderbird Nachrichten automatisch signieren und verschlüsseln soll.
Abbildung 6: In Thunderbird Konteneinstellungen schalten Sie die Enigmail-Unterstützung für Ihren Mail-Account frei und bestimmen, welchen Schlüssel Enigmail verwenden soll.
Beim Erstellen einer neuen E-Mail erscheint nun ein Button OpenPGP mit einem Pull-Down-Menü (Abbildung 7), über das Sie die Nachricht signieren oder verschlüsseln. Via Enigmail-Menü können Sie außerdem Ihren öffentlichen Schlüssel in eine E-Mail einfügen, um ihn an Ihre Korrespondenzpartner zu verteilen.
Erhalten Sie eine verschlüsselte oder signierte E-Mail, zeigt Enigmail das oberhalb des Absenders an. Zusätzlich erscheint ein Stift bei signierten E-Mails und ein Schlüssel für verschlüsselte Nachrichten. Klicken Sie diese an, erhalten Sie ausführliche Informationen zur Signatur und Verschlüsselung. So lässt sich die Herkunft der Nachricht genau verfolgen. Thunderbird kann sowohl nach der Inline-Methode als auch per OpenPGP/MIME E-Mails verfassen und öffnen.
Abbildung 7: Haben Sie Enigmail installiert, erscheint ein neuer Button "OpenPGP" im Dialog zum Verfassen von Nachrichten..
Im Hauptfenster unter EnigmailOpenPGP Key Management Window finden Sie eine kleine Schlüsselverwaltung, die bereits einiges kann. Sie listet die auf dem System vorhandenen öffentlichen Schlüssel. Diese können Sie signieren, neue Schlüssel erzeugen und weitere Benutzer zu einem Schlüssel hinzufügen. Über das Menü Key erstellen Sie ein Rückrufzertifikat (Abbildung 8). Leider bringt Enigmail noch keine Keyserver-Verwaltung mit, diese soll aber in zukünftigen Versionen folgen. Dann lässt sich die gesamte Schlüsselverwaltung mit Thunderbird handhaben.
Abbildung 8: Als einziger der drei Mailer bringt Thunderbird mit Enigmail auch eine Schlüsselverwaltung mit, so dass der Nutzer dazu nicht mehr auf die Kommandozeile ausweichen muss.
Einem Freund empfehlen
