AA_PO-24676_MaksimKabakou-123RF.jpg

© Maksim Kabakou, 123RF

Mit GnuPG E-Mails zuverlässig verschlüsseln

Verschlossen

"Darf ich Ihre privaten Mails lesen?" säuselt eine nette Dame in der Werbung, um gleich im Anschluss E-Mail-Verschlüsselung per De-Mail anzupreisen – reine Augenwischerei: Wer sicher per E-Mail kommunizieren möchte, braucht Ende-zu-Ende-Verschlüsselung mit GnuPG.

Das Post- und Fernmeldegeheimnis gehört zu den elementaren Grundsätzen, deren Einhaltung die Bewohner eines Rechtsstaates erwarten dürfen. Wer in Deutschland lebt, sollte mit Fug und Recht annehmen können, dass ein Brief nicht schon gelesen wurde, bevor der Briefträger ihn zustellt. Das im Grundgesetz verankerte Briefgeheimnis schützt jede schriftliche Mitteilung vor den Blicken Dritter. Bei der digitalen Kommunikation gelten eigentlich vergleichbare Regeln, doch spätestens seit den Enthüllungen Edward Snowdens steht zweifelsfrei fest, dass sich in- wie ausländische Geheimdienste wenig für nationale Gesetze interessieren.

Auch Strafverfolgungsbehörden agieren regelmäßig so, als heilige der Zweck jedes Mittel. Auch staatliche Initiativen wie De-Mail erwecken eher den Anschein oberflächlicher Augenwischerei als eines ernsthaften Bemühens um sichere und verschlüsselte Kommunikation via Internet (Kasten "Gar nicht sicher"). Immerhin: Als Nutzer digitaler Kommunikation stehen Sie dem staatlichen Treiben wenigstens nicht ohnmächtig gegenüber.

E-Mails wandern im Grunde wie Postkarten für jeden lesbar durchs Netz. Schon 1991 entwickelte daher der bei Symantec angestellte IT-Sicherheitsspezialist Phil Zimmermann mit Pretty Good Privacy oder kurz PGP ein solides Verfahren, um E-Mails sicher zu verschlüsseln. Inzwischen nimmt PGP unter dem Namen OpenPGP die Funktion eines offenen Standards ein, den das von der Free Software Foundation entwickelte GnuPG für alle gängigen Betriebssysteme umsetzt. Im Folgenden zeigen wir, wie GnuPG funktioniert und wie Sie den E-Mail-Client Thunderbird so einrichten, dass Sie abhörsicher mit anderen kommunizieren können.

Gar nicht sicher

Eigentlich sollten wir uns als Bürger freuen, wenn der Staat nicht nur ein Interesse an sicherer Kommunikation signalisiert, sondern sich auch um deren Umsetzung bemüht. Dass staatliches Interesse nicht immer zu einer besseren Gesamtsituation führt, demonstriert nun aber De-Mail sehr deutlich. Der Sicherheitsspezialist Linus Neumann vom Chaos Computer Club betitelte De-Mail auf dem 30. Chaos Communication Congress recht drastisch als "Bullshit made in Germany" [9]. An dem schlechten Ruf sind die Unternehmen, denen der Bund die Implementation von De-Mail übertrug, nicht ganz unschuldig.

Im Grunde bezeichnet der Begriff De-Mail nur ein Gesetz, das die verschiedenen technischen Grundlagen für De-Mail verankert. Das Gesetz sieht zwar ein Verschlüsseln der Kommunikation vor, allerdings nur bezüglich des Transportwegs. Damit eine E-Mail ihr Ziel erreicht, muss Sie vom Mailserver des Absenders zum Server des Empfängers gelangen. Die Server stehen meist in unterschiedlichen Rechenzentren, die auf verschiedenen Wegen miteinander verbunden sind. Das Internet besitzt hier im Grunde einen eingebauten Kompass, der dafür sorgt, dass Datenpakete stets den Weg von Server A zu Server B finden. Dabei nehmen die Pakete eventuell aber einen Weg, der über Rechenzentren führt, die zu völlig anderen Anbietern gehören.

Die Transportverschlüsselung, die De-Mail nun vorsieht, bezieht sich nur und ausschließlich auf eben den Weg, den eine Mail vom Absender zum Empfänger hinter sich bringen muss. Anders formuliert: De-Mail verschlüsselt nicht die Mail, sondern nutzt lediglich Leitungen, die einer Verschlüsselung unterliegen. Wer die Leitung anzapft, kann die E-Mail also nicht mehr ohne Weiteres lesen. Doch wer physikalischen Zugriff auf die Computer des Absenders, des Empfängers oder einem der beteiligten Internet-Router auf dem Weg der Mail erlangt, sieht die Nachricht nach wie vor im Klartext. Genau dagegen hilft ausschließlich eine Verschlüsselung von Ende zu Ende.

Es wäre durchaus ein legitimer Wunsch, hätten die De-Mail-Anbieter stärker auf den Faktor der Ende-zu-Ende-Verschlüsselung aufmerksam gemacht oder – besser noch – erzwungen, dass Tools wie GnuPG eine integrale Komponente von De-Mail wären. Mittlerweile ist diese Diskussion allerdings Ärger über vergossene Milch: Nutzer müssen nach wie vor selber für eine sichere und verschlüsselte Kommunikation sorgen.

So funktioniert PGP

PGP basiert auf einem Public-Key-Verfahren, und schon das bringt einige Implikationen mit sich. Jeder, der am PGP-System teilnimmt, besitzt ein für ihn spezifisches Paar aus zwei digitalen Schlüsseln: Einen privaten Schlüssel, den nur der Besitzer selber kennen darf, und einen öffentlichen Schlüssel, den alle sehen und den Sie daher an alle Ihre Kommunikationspartner weitergeben dürfen.

Wollen nun Alice und Bob, die Besitzer zweier PGP-Schlüsselpaare, privat und verschlüsselt miteinander kommunizieren, geht das so: Zum Austausch der öffentlichen Schlüssel (der Key-IDs) treffen sich die zwei am besten persönlich. So gehen Alice und Bob sicher, dass die Key-IDs nicht von Ganoven beim Transfer über das Kabel manipuliert wurden.

Alice verschlüsselt die E-Mail mit dem öffentlichen Schlüssel von Bob. Zudem nutzt sie ihren eigenen privaten Schlüssel für eine digitale Signatur der E-Mail – quasi eine Unterschrift. Die Nachricht lässt sich jetzt nur noch mit Bobs privatem Schlüssel öffnen. Obendrein hat Bob die Gewissheit, dass die E-Mail tatsächlich von Alice kommt, denn nur sie kann mit ihrem privaten Key eine gültige Signatur leisten.

Öffentlicher und privater Schlüssel verhalten sich zueinander also quasi wie Schloss und Schlüssel einer Schatulle. Indem Alice die Nachricht mit dem öffentlichen Schlüssel von Bob verschlüsselt, rastet das Schloss der Schatulle ein und nur Bob kann es mit dem privaten Schlüssel wieder öffnen. Mallory, der die Schatulle unterwegs abfängt, sieht nur die Schatulle, aber nicht deren Inhalt.

Das beschriebene System beruht auf der Annahme, dass die Teilnehmer einer Kommunikation sich persönlich kennen, ihre Identität überprüft und ihre Key-IDs untereinander ausgetauscht haben. Je mehr Teilnehmer das System nutzen, desto sicherer lässt sich innerhalb dieses Netzes kommunizieren. Deshalb hat sich für das Netzwerk der GnuPG-Teilnehmer der Name Web of Trust etabliert.

Aller Anfang ist schwer

Die Mathematik hinter GnuPG ist hochgradig komplex, Sie als Anwender müssen sich darum allerdings nicht kümmern. Sie benötigen lediglich einen E-Mail-Client wie Mozilla Thunderbird mit dem GnuPG-Plugin Enigmail. Freilich existieren auch andere Mail-Clients, die GnuPG beherrschen: KDEs KMail oder Evolution aus der Gnome-Desktop-Umgebung wären brauchbare Alternativen. Im folgenden Beispiel konzentrieren wir uns allerdings auf die plattformübergreifend funktionierende Kombination aus Thunderbird, Enigmail und eben GnuPG.

Bevor es allerdings an das Versenden von E-Mails geht, steht ein wenig GnuPG-Basisarbeit auf dem Stundenplan: Sie benötigen erst einmal ein Schlüsselpaar aus öffentlichem und privatem Schlüssel. Dazu wiederum brauchen Sie GnuPG auf dem Rechner. Es lässt sich in Form des Pakets gnupg bei allen gängigen Distributionen bequem via Paketmanager aus den Repositories einrichten.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • E-Mails verschlüsseln mit KMail, Mozilla Thunderbird und Evolution
    Wer das Postgeheimnis auch bei elektronischer Post wahren will, verschlüsselt seine E-Mails. So wird aus einer öffentlich lesbaren Postkarte ein Brief mit versiegeltem Umschlag. Dieser Artikel zeigt, wie Sie mit den Mail-Clients Thunderbird, KMail und Evolution verschlüsseln und signieren.
  • Grundlagen zur sicheren Kommunikation mit GnuPG
    E-Mails sind wie Postkarten – jeder kann sie lesen. Zumindest dann, wenn sie unverschlüsselt durch die Leitung wandern. Mit GnuPG sperren Sie unerwünschte Mitleser aus.
  • Schlüsselfrage
    Nicht nur Firmen, sondern auch immer mehr Privatanwender verschlüsseln Ihre E-Mails – Schäuble lässt grüßen. Dank Enigmail geht der Umgang mit den Schlüsseln bequem von der Hand.
  • Schlüsselerlebnis
    E-Mails kryptografisch zu sichern, ist längst keine Hexerei mehr: GnuPG und moderne Mailclients sorgen für Komfort.
  • E-Mails verschlüsseln in Thunderbird mit GnuPG und Enigmail
    Eine E-Mail gleicht sicherheitstechnisch einer Postkarte: Jeder Interessierte kann den Inhalt lesen. Dabei lassen sich die elektronischen Nachrichten relativ problemlos mit frei zugänglichen Verfahren verschlüsseln.
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Huawei
Pit Hampelmann, 13.12.2017 11:35, 2 Antworten
Welches Smartphone ist für euch momentan das beste? Sehe ja die Huawei gerade ganz weit vorne. Bi...
Fernstudium Informatik
Joe Cole, 12.12.2017 10:36, 2 Antworten
Hallo! habe früher als ich 13 Jahre angefangen mit HTML und später Java zu programmieren. Weit...
Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 3 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...