AA_briefsiegel_sxc581989_OliverGruener.jpg

© Oliver Gruener, sxc.hu

Sicher versiegelt

E-Mails verschlüsseln in Thunderbird mit GnuPG und Enigmail

20.10.2011
Eine E-Mail gleicht sicherheitstechnisch einer Postkarte: Jeder Interessierte kann den Inhalt lesen. Dabei lassen sich die elektronischen Nachrichten relativ problemlos mit frei zugänglichen Verfahren verschlüsseln.

Bildlich gesprochen macht E-Mail-Verschlüsselung aus einer für jedermann lesbaren Ansichtskarte einen versiegelten Brief mit Umschlag, wobei der Umschlag den Inhalt verbirgt und das Siegel die Authentizität des Absenders garantiert. Seltsamerweise verschlüsseln bislang nur wenige PC-Nutzer ihre E-Mails – obwohl es nirgends Fälscher, Schnüffler und Datendiebe leichter haben als im Internet.

Das Gewährleisten der Authentizität steht in der Bedeutung dem Verschlüsseln um nichts nach: Möchte ein bösartiger Zeitgenosse elektronische Post unter falschen Namen verschicken, genügt dazu schon ein manipulierter Eintrag im From-Header der Mail völlig. Daher sollte jeder E-Mail-Nutzer seine Nachrichten signieren – der Folgeschritt zur Verschlüsselung ist dann nur konsequent. Wer möchte schon, dass neugierige Zeitgenossen die private Post mitlesen? Das Signieren und Verschlüsseln gehören also untrennbar zusammen und stehen durch die im folgenden vorgestellten Verfahren in jedem Mailclient zur Verfügung.

Warum also macht kaum ein E-Mail-Nutzer von diesen Verfahren Gebrauch? Dass beispielsweise die populäre Software GnuPG kommandozeilenorientiert arbeitet, sollte gerade Linux-Nutzer nicht abschrecken. Zudem bieten populäre E-Mails-Clients und Browser grafische Schnittstellen zu GnuPG (GPG) und S/MIME. Vielleicht liegt es daran, dass sich der unbedarften Nutzer rund um das Thema E-Mail-Verschlüsselung mit einer Vielzahl an Fachbegriffen, Programmnamen und Standards konfrontiert sieht.

PGP versus S/MIME

Tatsächlich stellt das Signieren und Verschlüsseln von E-Mails mit den aktuell verfügbaren Mailclients arbeitstechnisch kein Problem dar, sofern sich der Nutzer im Dickicht der Verfahren, Programme und Bezeichnungen zu orientieren weiß. Derzeit gibt es drei Standards zum Signieren und Verschlüsseln von E-Mails: PGP, OpenPGP und S/MIME. Da die ersten beiden kompatibel sind, erscheinen sie im Folgenden bei allen prinzipiellen Erläuterungen synonym.

PGP und S/MIME jedoch verhalten sich zwar hinsichtlich Funktion und Arbeitsweise ähnlich und nutzen auch zum Teil identische Verschlüsselungsalgorithmen (IDEA und RSA). Die beiden gleichermaßen zu den hybriden Verschlüsselungsverfahren zählende Techniken sind aber weder kompatibel, noch lassen sich zwischen ihnen signierte oder verschlüsselte Nachrichten austauschen, da sich das Nachrichtenformat und die PKI-Struktur unterscheiden. Beide Verfahren stehen sowohl unter Linux (Abbildung 1) als auch unter Windows zur Verfügung, wobei S/MIME eher aus der Windows-Welt und PGP mehr aus dem Unix-Umfeld stammt.

Abbildung 1: Auch Thunderbird enthält von Haus aus Unterstützung für S/MIME, sodass Sie hierzu keine Erweiterung installieren müssen.

Während der S/MIME-Standard ab 1995 von einem Herstellerkonsortium entwickelt wurde, fußt PGP ursprünglich auf dem Engagement seines Erfinders Phil Zimmermann. Er legte von Anfang an die Quellen offen – mit der Konsequenz, dass die von PGP verwendete PKI heute weiter verbreitet und einfacher zugänglich ist. Andererseits enthalten die meisten heute erhältlichen E-Mail-Clients bereits native S/MIME-Unterstützung, während man PGP oft nachrüsten muss.

S/MIME ist als MIME-Erweiterung konzipiert und definiert dazu zwei zusätzliche Content-Typen: Multipart/Signed zum Signieren einer Mail und Multipart/Encrypted zum Verschlüsseln. Im Gegensatz zu (Open)PGP benötigt S/MIME auf dem X.509-Standard basierende Zertifikate.

Die Anhänger beider Lager streiten seit Jahrzehnten, welche Lösung die Bessere ist. Dass besser nicht zwangsläufig praktikabler bedeutet, ist einer der Gründe dafür, dass sich inzwischen die meisten Firmen und Anwender aufgrund der einfacheren Handhabbarkeit für OpenPGP entscheiden. Zwar garantieren beide Verfahren nach heutigen Stand gute Sicherheit, und auch die Verfügbarkeit der notwendigen Frontends kann nicht mehr als Argument für oder gegen PGP oder S/MIME herhalten. Die Flexibilität der PKI spricht aber für PGP.

PGP-PKI

Das A und O der Praktikabilität bei der E-Mail-Verschlüsselung stellt ein effizientes Verfahren zum Verteilen der Schlüssel dar. OpenPGP nutzt zum Verteilen der Schlüssel (bei PGP spricht man nicht von Zertifikaten) eine Public-Key-Infrastruktur. Der Begriff kennzeichnet in der Kryptologie ein System, das digitale Zertifikate ausstellen, verteilen und prüfen kann.

Im Gegensatz zu S/MIME verwendet OpenPGP jedoch keine X.509-Zertifikate. Seine PKI besteht aus einem öffentlich zugänglichen System zum Verteilen von Schlüsseln auf Basis von HTTP-Schlüsselservern. Ein wesentlicher Vorteil gegenüber S/MIME: Die (Open)PGP-Anwender-Gemeinde hat im Verbund Pgp.net sowie mit Servern der Anbieter von OpenPGP-Software (wie etwa Keyserver.de) über die Jahre eine recht gut synchronisierte PKI geschaffen. In der X.509-Welt ist das bis heute nicht der Fall.

Bei den Schlüsselservern der PGP-PKI handelt es sich um gewöhnliche Datenbanken mit einer HTTP-Schnittstelle, welche es Benutzern erlaubt, Schlüssel abzuliefern oder nach Schlüsseln zu suchen. Der Schlüssel-Server antwortet mit einer HTML-Seite, die der Nutzer entweder manuell oder – mit Hilfe der Verschlüsselungssoftware – automatisch auswertet. Ein HTTP-Keyserver lässt sich im Gegensatz zu einer X.509-PKI relativ einfach aufsetzen und verursacht nur wenig Wartungsaufwand – unter anderem, weil das System im Gegensatz X.509-Architektur nicht hierarchisch aufgebaut ist, was übrigens Konsequenzen für die Schlüsselbeglaubigung hat.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • E-Mail-Sicherheit für KMail, Evolution und Thunderbird
    Verschlüsseln ist sinnvoll, heißt es überall. Doch fast niemand nutzt PGP oder S/MIME. Wir untersuchen, wie benutzerfreundlich die Krypto-Unterstützung der drei großen Mailer KMail, Thunderbird und Evolution ist.
  • S/MIME und PGP mit Thunderbird
    Entgegen der allgemeinen Auffassung ist E-Mail alles andere als ein Medium mit Privatsphäre. Die Nachrichten sind so geheim wie jede beliebige Postkarte. Mit den richtigen Hilfsmitteln sorgen Sie dennoch für Vertraulichkeit.
  • S/MIME und PGP mit Thunderbird
    Entgegen der allgemeinen Auffassung ist E-Mail alles andere als ein Medium mit Privatsphäre. Die Nachrichten sind so geheim wie jede beliebige Postkarte. Mit den richtigen Hilfsmitteln sorgen Sie dennoch für Vertraulichkeit.
  • E-Mails verschlüsseln mit KMail, Mozilla Thunderbird und Evolution
    Wer das Postgeheimnis auch bei elektronischer Post wahren will, verschlüsselt seine E-Mails. So wird aus einer öffentlich lesbaren Postkarte ein Brief mit versiegeltem Umschlag. Dieser Artikel zeigt, wie Sie mit den Mail-Clients Thunderbird, KMail und Evolution verschlüsseln und signieren.
  • Schlüsselfrage
    Nicht nur Firmen, sondern auch immer mehr Privatanwender verschlüsseln Ihre E-Mails – Schäuble lässt grüßen. Dank Enigmail geht der Umgang mit den Schlüsseln bequem von der Hand.
Kommentare
Fehlerkorrekturen und sonstige Hinweise
Hauke Laging (unangemeldet), Mittwoch, 16. Oktober 2013 02:13:50
Ein/Ausklappen

"S/MIME ist als MIME-Erweiterung konzipiert und definiert dazu zwei zusätzliche Content-Typen: Multipart/Signed zum Signieren einer Mail und Multipart/Encrypted zum Verschlüsseln."

Das stimmt nicht, ist jedenfalls missverständlich: Diese content types sind nicht Teil von S/MIME, sondern werden von RfC 1847 definiert (das war 1995, also drei Jahre vor OpenPGP, vier Jahre vor S/MIME) und werden von OpenPGP und S/MIME gleichermaßen verwendet. Der Unterschied liegt in der Belegung des protocol-Attributs, "application/pgp-signature" für OpenPGP, "application/pkcs7-signature" oder "application/pkcs7-mime" für S/MIME.

Technisch zwingend nötig für den Versand verschlüsselter Nachrichten (oder die Prüfung von Signaturen) ist zwar nur, dass man den öffentlichen Schlüssel (das Zertifikat) des Empfängers importiert, aber ungemein wichtig für das Sicherheitsniveau des ganzen Prozesses ist, dass man den importierten Schlüssel vor der Verwendung auch verifiziert, also dessen Fingerprint mit dem vergleicht, den man sich aus einer sicheren Quelle (nein, das ist keine Webseite) besorgt, also idealerweise durch persönlichen Kontakt (auf Papier), mit Einschränkungen auch telefonisch. Damit man die Verifikation auch erkennen kann, sollte man den Schlüssel anschließend zertifizieren (mit dem eigenen Schlüssel unterschreiben), im Zweifelsfall erst mal nur mit einer "lokalen Signatur" (lsign, nicht für die Öffentlichkeit).

Wenn man nicht nur mal rumspielen will, sondern einen (potentiell) langlebigen Schlüssel erzeugt (einen für die Öffentlichkeit), dann lohnt es sich, vorher mal zu sichten, was gute Schlüssel von schlechten unterscheidet, weil sich manches im nachhinein nicht mehr (ohne Unannehmlichkeiten) ändern lässt:

http://www.openpgp-schulung.../kurzinfo/schluesselqualitaet/


Bewertung: 206 Punkte bei 52 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 01/2015: E-Books im Griff

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 3 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.