Schlüsselerlebnis
Mails verschlüsseln mit GnuPG
KMail und GnuPG
In halbwegs aktuellen KMail-Versionen ist die für eine Arbeit mit GnuPG notwendige Funktion bereits aktiviert. Überprüfen Sie das unter Einstellungen | KMail einrichten. Wählen Sie unter Sicherheit den Reiter Krypto-Module aus. Hier sollte OpenPGP aktiviert sein.
Nun ordnen Sie Ihrer E-Mail-Adresse einen GnuPG-Schlüssel zu: Wechseln Sie nach Identitäten, markieren Sie Ihren Namen und klicken Sie auf Ändern. Der Reiter Kryptographie führt Sie in den richtigen Einstellungsdialog. In der Zeile OpenPGP-Schlüssel zum Verschlüsseln wählen Sie den gewünschten Schlüssel. Der Dialog führt auch die deaktivierten Schlüssel auf. KMail überprüft jedoch die Gültigkeit und bietet nur die verwendbaren Schlüssel zur Auswahl an (Abbildung 5).
Abbildung 5: Klicken Sie mit der Maus auf die vorhandenen Schlüssel. KMail überprüft diese: Ein grünes Häkchen zeigt an, das ein Schlüssel noch gilt, ein rotes Kreuz markiert ungültige Schlüssel.
Um nun eine neue Nachricht zu verschlüsseln genügt ein Klick auf das Schlosssymbol in der Symbolleiste. Versenden Sie die Nachricht, bietet KMail den passenden Schlüssel für den Empfänger an. Wählen Sie den richtigen Schlüssel aus und bestätigen Sie die Einstellungen. Bei widersprüchlichen Angaben – etwa wenn eine E-Mail-Adresse nicht zu einem Schlüssel passt – erscheint eine entsprechende Warnung.
Beim Empfang einer verschlüsselten Nachricht müssen Sie ihr Passwort eingeben, woraufhin KMail sie entschlüsselt und damit auch lesbar macht. KMail rahmt die Nachricht farbig ein. Trägt die Mitteilung darüber hinaus noch eine Signatur (siehe Kasten "Signaturen verwenden"), hebt das Programm sie mit weiteren farbigen Balken hervorgehoben. Das mag verspielt wirken – sie sehen jedoch auf einen Blick, welche Nachrichten verschlüsselt und signiert wurden.
In den Einstellungsdialogen können Sie KMail dazu veranlassen, Nachrichten automatisch zu verschlüsseln (Abbildung 6) und zu signieren. Im Register Warnungen sorgen Sie dafür, das das Programm eine Info ausgibt, sobald Sie unverschlüsselte oder unsignierte Nachrichten versenden. Haben Sie einen Schlüssel mit einem Verfallsdatum versehen, erinnert Sie KMail rechtzeitig vor Ablauf daran. Ihnen bleibt so genug Zeit, ein neues Schlüsselpaar zu erstellen oder auch die Gültigkeit des aktuellen Schlüssel zu verlängern.
Abbildung 6: KMail kann Nachrichten automatisch verschlüsseln. Sie müssen dazu lediglich eine Option anschalten.
Signaturen verwenden
Eine Signatur ist wie eine Unterschrift: Mit ihr gehen Sie sicher, das der Schlüssel eines Kommunikationspartners auch wirklich von diesem stammt. Dazu müssen Sie jedoch auch sicherstellen, dass die Signatur stimmt. Das geschieht anhand des Fingerabdruckes eines Schlüssels. Den finden Sie über Ihr Schlüsselverwaltungsprogramm heraus. Auf der Kommandozeile geben dazu folgendes ein:
$ gpg – fingerprint <I>Schlüssel-ID<I>
Der Fingerprint ist nichts anders als eine aus Buchstaben und Zahlen zusammengesetzte Zeichenkette. Sie gewährleistet die Echtheit des Schlüssels. Natürlich sollte der Fingerabdruck nicht per E-Mail bei Ihnen ankommen: Erhalten Sie einen neuen Schlüssel von einem Bekannten, rufen Sie ihn an oder treffen ihn. Lassen Sie sich den Fingerabdruck zeigen oder am Telefon vorlesen. Das mag etwas umständlich sein, dient jedoch nur zu Ihrer Sicherheit. Außerdem handelt es sich um ein einmaliges Prozedere – es sei denn, Ihr Kommunikationspartner erstellt nach einiger Zeit einen neuen Schlüssel.
Erweist sich der Schlüssel als korrekt, importieren Sie ihn mit Ihrem Schlüsselverwaltungsprogramm über den Befehl:
$ gpg --import <I>Schlüsseldatei<I>
Um auch anderen eine Chance zu geben, mit Ihnen verschlüsselte Nachrichten zu tauschen, müssen Sie ein gewisses Vertrauen aufbauen. Signieren Sie Ihren eigenen Schlüssel mit:
$ gpg --sign-key <I>Schlüsselnummer<I>
Mit KGpg wählen Sie Schlüssel | Signiere Schlüssel. Senden Sie den signierten Schlüssel an Ihren Nachrichtenpartner. Der sollte umgekehrt das selbe tun.
Thunderbird
Um mit Mozilla Thunderbird GnuPG zu nutzen, müssen Sie zunächst das Plugin Enigmail laden [6]. Achten Sie darauf, dass Sie auf der Webseite die richtige Version wählen. Die Installation erfolgt über Extras | Erweiterungen | Installieren. Fügen Sie hier auch das deutsche Sprachpaket ein. Nach einem Neustart von Thunderbird steht die Erweiterung zur Verfügung. Im Allgemeinen findet das Programm selbstständig den Pfad zu GnuPG. Unter OpenPGP | Einstellungen überprüfen Sie das (Abbildung 7).
Abbildung 7: Das Thunderbird-Plugin Enigmail findet selbst den richtigen Pfad zu GnuPG.
Bevor Sie Nachrichten ver- und entschlüsseln, müssen Sie dem Programm noch mitteilen, welchen Schlüssel Sie verwenden wollen. Dazu öffnen Sie den Dialog Konten und wählen OpenPGP-Sicherheit. Nutzen Sie die selbe E-Mail-Adresse für Ihren Schlüssel und die Identität in Thunderbird, müssen Sie nur die Option OpenPGP- Unterstützung für diese Identität aktivieren. Die Option E-Mail-Adresse dieses Kontos verwenden, um OpenPGP-Schlüssel zu verwenden ist per Vorgabe bereits aktiv (Abbildung 8). Unterscheiden sich die E-Mail-Adresse des Schlüssels und die in Thunderbird, dann schalten Sie die Option Spezielle OpenPGP-Schlüssel-ID verwenden an und wählen den Schlüssel aus. Optional veranlassen Sie Thunderbird dazu, Ihre Nachrichten grundsätzlich zu verschlüsseln respektive zu signieren.
Abbildung 8: In den Kontoeinstellungen von Thunderbird schalten Sie die Unterstützung für OpenPGP an und bestimmen den Schlüssel, den Sie verwenden wollen.
Beim Schreiben einer neuen Nachricht bestimmen Sie über das Pulldownmenü OpenPGP, ob die Nachricht verschlüsselt beziehungsweise signiert werden soll (Abbildung 9). Über die Menüzeile hängen Sie Ihren öffentlichen Schlüssel an die Nachricht an.
Abbildung 9: Thunderbird erlaubt auch das gezielte Verschlüsseln einzelner Nachrichten.
Erhalten Sie eine verschlüsselte Nachricht, zeigt Thunderbird eine Information über den Absender an. Neben dem Hinweis blendet der Client auch ein kleines Schloss-Symbol ein. Klicken Sie darauf, um zusätzliche Infos zu sehen. Thunderbird zeigt dann Details zur verwendeten Verschlüsselung und der Signatur der Nachricht.
Thunderbird-Anwender brauchen kein Extra-Tool für die Verwaltung von GnuPG-Schlüsseln: Das Programm besitzt bereits eine solche Funktion (Abbildung 10). Wählen Sie im Hauptfenster OpenPGP | Schlüssel verwalten, so zeigt Thunderbird die auf Ihrem System vorhandenen öffentlichen Schlüssel. Sie können diese signieren, neue Schlüssel erstellen und Benutzer zu einem Schlüssel hinzufügen. Auch das einlesen und exportieren von Schlüsseln beherrscht das Programm. Aus der Schlüsselverwaltung heraus versenden Sie bei Bedarf einen öffentlichen Schlüssel per E-Mail, selbst der Zugriff auf einen Schlüsselserver ist möglich (Abbildung 11).
Abbildung 10: Thunderbird besitzt eine integrierte Schlüsselverwaltung.
Abbildung 11: Mit Thunderbird können Sie Ihren öffentlichen Schlüssel auf einen Schlüsselserver bereitstellen. Das erspart Ihnen das Verteilen per E-Mail.
Einem Freund empfehlen
