Verbrieft und gesiegelt
E-Mails verschlüsseln mit KMail, Mozilla Thunderbird und Evolution
Evolution: Simpel und sicher
Um in Evolution 2.0.2 [6] GnuPG zu nutzen, öffnen Sie den Einstellungsdialog unter Werkzeuge und wählen dort unter E-Mail-Konten den Account aus, für den Sie einen GnuPG-Schlüssel erzeugt haben. Über den Button Bearbeiten gelangen Sie in einen neuen Dialog, in dem Sie im Reiter Sicherheit Ihre Schlüsselnummer eingeben (Abbildung 9). Diese ID finden Sie über den Befehl gpg --list-keys ihre@mailadresse im Terminal heraus. GnuPG zeigt dort den Schlüsseltyp (z. B. pub für Public key), die Schlüssellänge und Typ (z. B. 1024D für einen 1024 Bit langen DSA-Schlüssel), die gesuchte ID und das Erzeugungs- und Verfallsdatum an. Evolution akzeptiert jedoch auch die zum Schlüssel gehörende E-Mail-Adresse statt der ID.
Im selben Dialog stellen Sie ein, ausgehende Nachrichten immer zu signieren, Besprechungsanfragen nie zu signieren und verschlüsselte E-Mails immer vor sich selber zu verschlüsseln. Letzteres ist sehr sinnvoll, denn so wird die Nachricht zusätzlich mit dem eigenen Schlüssel verschlüsselt. Dies bedeutet, dass Sie selbst die Nachricht später entschlüsseln und bei Bedarf noch einmal lesen können. Aktivieren Sie diese Option nicht, so können Sie die von Ihnen geschriebenen verschlüsselten Nachrichten nicht mehr selber öffnen. Schlüssel am Schlüsselbund beim Verschlüsseln immer vertrauen sollten Sie ebenfalls aktivieren, da Evolution sonst unsignierte Schlüssel gnadenlos ablehnt.
Abbildung 9: Im PGP-Einrichtungsdialog bestimmen Sie, welchen Schlüssel Evolution verwenden soll. Statt mit der geforderten Schlüsselkennung gibt es sich auch mit der Mail-Adresse Ihres Schlüssels zufrieden.
Beim Verfassen einer neuen Nachricht (Abbildung 10) stellen Sie nun über das Menü Sicherheit ein, ob Sie die Nachricht signieren oder verschlüsseln möchten. Vor dem Signieren fragt Evolution nach Ihrer Passphrase, um sicherzustellen, dass Sie wirklich der Besitzer des Schlüssels sind. So kann der Empfänger definitiv davon ausgehen, dass tatsächlich der Besitzer die E-Mail verschickt hat.
Verschlüsseln Sie eine E-Mail, sucht Evolution automatisch auf dem System nach dem öffentlichen Schlüssel des Empfängers. Das schlägt jedoch fehl, wenn im Schlüssel eine andere E-Mail-Adresse eingetragen ist als die, an die Sie die Mail schicken wollten. Evolution bricht an dieser Stelle mit einer Fehlermeldung ab.
Am Ende einer verschlüsselten E-Mail erscheint ein Button mit einem Schloss darauf. Dieser verbirgt einen Dialog, der Informationen darüber enthält, ob die E-Mail verschlüsselt oder signiert wurde. Allerdings verrät Evolution nichts weiter über den Schlüssel, mit dem eine Nachricht signiert wurde. Es ist also schwer nachzuvollziehen, ob diese Nachricht von einer vertrauenswürdigen Person stammt, oder nicht. Evolution unterstützt keine Inline-Verschlüsselung und kann entsprechende E-Mails nicht öffnen. Um an die Daten zu kommen, müssen Sie diese per Hand über die Kommandozeile entschlüsseln.
Abbildung 10: Ob Sie eine Nachricht verschlüsseln oder signieren wollen, wählen Sie über das Menü "Sicherheit" im E-Mail-Verfassendialog aus.
Welches Programm eignet sich am besten?
Die drei Programme unterstützen GnuPG unterschiedlich gut. Evolution 2.0.2 lässt sich sehr einfach für Verschlüsselung konfigurieren und richtet sich an Anwender, die schnell und ohne großen Aufwand ihre E-Mails sicher versenden möchten. Den modernen OpenPGP/MIME-Standard unterstützt das Programm, entschlüsselt jedoch andererseits kein Inline-PGP. Solche Nachrichten müssen Sie erst speichern und dann auf der Kommandozeile mit gpg per Hand entschlüsseln – ein mühseliges Geschäft.
Mozilla Thunderbird 0.9 beherrscht von Haus aus kein GnuPG, lässt sich jedoch mit dem Plugin Enigmail problemlos aufrüsten. Allerdings ortet Enigmail nach der Installation das Programm gpg nicht selbst, Sie müssen den entsprechenden Pfad selbst angeben. Die restlichen Einstellungen sind schnell gemacht. Erfreulicherweise beherrscht Thunderbird sowohl Inline- als auch OpenPGP/MIME-Verschlüsselung. Einen zusätzlichen Pluspunkt verdient es sich mit der eingebauten Schlüsselverwaltung. Wie erwähnt, fehlt hier allerdings noch die Keyserver-Verwaltung.
Den gravierenden Nachteil von KMail stellt in Version 1.6.2 der fehlende OpenPGP/MIME-Support dar, der sich nur durch die Kompilation des Ägypten-Projektes nachrüsten lässt. Wem dies zu umständlich ist, bleibt nur das Update auf Version 1.7. Die Einstellungsmöglichkeiten fallen andererseits vielfältig aus und wurden in KMail 1.7 noch weiter verbessert. Besonders gelungen erscheint die farbliche Hervorhebung von signierten und verschlüsselten E-Mails: Sie hilft bei der alltäglichen Nutzung sofort zu erkennen, ob Nachrichten vertrauenswürdig sind oder nicht.
Kasten 2: Schlüssel verteilen und signieren
Um GnuPG zu nutzen, müssen stets zwei Partner kommunizieren: Wollen Sie jemand eine verschlüsselte Mail schicken, dann muss Ihr Gegenüber einen Schlüssel besitzen und Ihnen diesen vorab zukommen lassen. Signierte Mails zu verschicken machen nur dann Sinn, wenn der Empfänger mit Ihrem Schlüssel überprüfen kannen, ob die Signatur stimmt und die E-Mail wirklich von Ihnen stammt. In beiden Fällen stellt sich das Problem der Schlüsselübergabe: Schließlich könnte jeder Ihnen mit gefälschter Absenderadresse einen Schlüssel per Mail zuschicken, der jedoch gar nicht dem vorgeblichen Absender gehört.
Um das zu überprüfen, dient der Fingerabdruck eines Schlüssels. Dabai handelt es sich um eine Zeichenkette, die aus Zahlen und Großbuchstaben besteht und die Identität des Schlüssels bescheinigt. Sie generieren den Fingerabdruck mit dem Befehl gpg --fingerprint Schluessel-ID. Statt der ID können Sie in eindeutigen Fällen auch die E-Mail-Adresse angeben.
Erhalten Sie auf beliebigem Wege – sei es per E-Mail oder aus dem Web – einen Schlüssel, sollten Sie deshalb mit dessen Eigentümer anhand der Fingerprints überprüfen, ob Sie tatsächlich den Richtigen erwischt haben. Dass kann per Telefon geschehen oder auch bei einem persönlichen Treffen erfolgen, in dem man gegenseitig die Fingerprints abgleicht. Stimmt der Fingerabdruck, dann nehmen Sie den Schlüssel mit gpg --import schluesseldatei in Ihren Schlüsselbund auf.
Mit Freunden funktioniert das wunderbar. Was aber, wenn Sie einmal mit jemand sicher kommunizieren wollen oder müssen, den Sie noch nie zuvor gesehen haben? Hier kommt das Prinzip der Schlüsselsignaturen und das so genannte Web of Trust (Vertrauensnetz) ins Spiel.
Haben Sie einen Schlüssel überprüft, können Sie ihn signieren. Damit versichern Sie mit Ihrem Namen (und Ihrem Schlüssel), dass der Schlüssel wirklich dem angegebenen Eigentümer gehört und dass Sie dessen Identität festgestellt haben. Dem Eigentümer schicken Sie den Schlüssel signiert zurück. Jemand, der den Eigentümer nicht persönlich kennt, Sie aber als vertrauenswürdigen und sorgfältigen Menschen schätzt, kann sich nun aufgrund Ihrer Signatur am Schlüssel entscheiden, diesen als echt zu akzeptieren.
Zum Signieren eines Schlüssels dient der Befehl
gpg --sign-key Schlüsselnummer
Damit Sie nun Schlüssel nicht ständig hin und her mailen müssen, gibt es im Internet so genannte Keyserver, von denen Sie Schlüssel beziehen können. Die verschiedenen Keyserver synchronisieren sich gegenseitig und verteilen die öffentlichen Schlüssel untereinander. So finden Sie auf jedem Keyserver den Schlüssel, den Sie gerade suchen.
Der Befehl
gpg --recv-keys Schlüsselnummer
lädt den Schlüssel mit der angegebenen ID vom eingestellten Keyserver herunter. Mit
gpg --send-keys
laden Sie Schlüssel auf einen Keyserver hoch. Diesen Befehl müssen Sie bestätigen, da dieser Befehl alle öffentlichen Schlüssel auf dem System auf den Keyserver hochlädt. Damit aktualisieren Sie also auch die öffentlichen Schlüssel von anderen, die Sie signiert haben. Wollen Sie alle Schlüssel auf Ihrem System aktualisieren, um auch die neu hinzugekommenen Signaturen anderer zu erhalten, verwenden Sie den Befehl
gpg --refresh-keys
Infos
[1] GnuPG: http://www.gnupg.org
[2] KMail: http://kmail.kde.org
[3] Ägypten-Projekt: http://www.gnupg.org/aegypten
[4] Mozilla-Thunderbird: http://www.mozilla.org/products/thunderbird
[5] Enigmail: http://enigmail.mozdev.org/, http://www.thunderbird- mail.de/extensions/enigmail/enigmail.php
[6] Evolution: http://www.gnome.org/projects/evolution
Einem Freund empfehlen
