E-Mails verschlüsseln

Aus EasyLinux 04/2017

E-Mails verschlüsseln

Blickdichte E-Mails

Thunderbird beherrscht von Haus aus nur die S/MIME-Verschlüsselung, für die Sie ein Zertifikat benötigen. Einfacher geht’s mit PGP: Dafür spielen Sie unter Thunderbird das populäre Plug-in Enigmail ein. Damit bleibt Vertrauliches in Zukunft vertraulich.

Sie möchten eine Nachricht verschicken, die Fremden verborgen bleibt, und gleichzeitig dem Empfänger versichern, dass Sie der Absender sind? Dann scheiden einfache E-Mails, Faxe oder Postbriefe aus – die bieten weder Abhörschutz noch den Nachweis der Absender-Echtheit. Trotzdem müssen Sie keine Reise antreten, um die Botschaft persönlich zu überbringen (was beide Probleme lösen würde), denn Sie können E-Mails dank der so genannten Public-Key-Kryptographie verschlüsseln und signieren und auch damit alle Ziele erreichen.

Vor dem sicheren Austausch der E-Mails ist ein wenig Einrichtungsarbeit notwendig. Vielleicht haben Sie schon von dem generellen Konflikt “Sicherheit gegen Benutzerfreundlichkeit” (englisch: security vs. usability) gehört: Erhöhte Sicherheit hat immer einen Preis, und beim Mailversand ist der Preis der Konfigurationsaufwand. Wenn Sie sich die Mühe machen, gewinnen Sie damit Vertraulichkeit für Ihre Mails.

Es gibt mit OpenPGP und S/MIME zwei sehr unterschiedliche Vorgehensweisen für die Einrichtung von Verschlüsselung und Signierung, die wir hier beide kurz vorstellen.

GnuPG

In der Linux-Welt ist OpenPGP (Pretty Good Privacy, implementiert durch das Programm GnuPG, gpg) der meist genutzte Standard. PGP basiert darauf, dass jeder Benutzer, der es verwenden möchte, ein Schlüsselpaar erstellt:

  • Den öffentlichen Schlüssel (engl. public key) können Sie an Ihre Kontakte weitergeben oder auf einer Webseite veröffentlichen,
  • den privaten Schlüssel (engl. private key) behalten Sie auf Ihrem Rechner und schützen ihn, z. B. durch eine “Passphrase” (das ist der bei PGP übliche Begriff für ein Passwort).

Nachrichten werden dann mit dem öffentlichen Schlüssel verschüsselt und mit dem privaten Schlüssel entschlüsselt. Es kann dadurch jeder beliebige Anwender eine Botschaft verschlüsseln und die so erzeugte Version per Mail verschicken; nur der Empfänger ist in der Lage, sie wieder zu entschlüsseln und im Klartext zu lesen.

Das Signieren von Nachrichten läuft genau umgekehrt ab: Der Absender signiert mit seinem privaten Schlüssel die Botschaft und schickt die Signatur als Anhang mit der Mail an den Empfänger – der kann (aber auch jeder andere Benutzer) kann dann mit dem öffentlichen Schlüssel des Absenders überprüfen, dass die Nachricht nicht verändert wurde. Falls sichergestellt ist, dass der öffentliche Schlüssel wirklich zu einer bestimmten Person gehört, ist dann sogar der Absender identifiziert, weil er der Einzige ist, der korrekte Signaturen erstellen kann: Nur er besitzt seinen eigenen privaten Schlüssel. Dieses Sicherstellen unterstützt OpenPGP durch die Möglichkeit, öffentliche Schlüssel von mehreren Personen signieren zu lassen, wodurch sie an Glaubwürdigkeit gewinnen. Es entsteht ein “Web of trust” (dt. Netz des Vertrauens).

Beim Verschlüsseln und Signieren gibt es nun zwei praktische Probleme:

  • Erstens müssen Absender und Empfänger beide mit OpenPGP arbeiten, damit eine verschlüsselte Kommunikation möglich ist,
  • und zweitens muss der Absender den öffentlichen Schlüssel des Empfängers besorgen, falls er ihn nicht bereits hat.

Das erste Problem lösen Sie in Thunderbird durch die Installation des Enigmail-Plug-ins (siehe weiter unten), und für das zweite Problem gibt es auch eine einfache Lösung: Öffentliche Schlüsselserver (PGP Key Server) bieten als Service eine Schlüsselverwaltung. Anwender können ihre öffentlichen Schlüssel dort hochladen, und andere Benutzer können dann nach diesen Schlüsseln suchen.

S/MIME

S/MIME (Secure/Multipurpose Internet Mail Extensions) nutzt ebenfalls Schlüsselpaare (privat, öffentlich) für Ver- und Entschlüsselung bzw. für Signatur und Überprüfung, setzt aber zusätzlich auf ein Zertifikatsystem, das garantieren soll, dass der Empfänger einer Mail zuverlässig prüfen kann, ob der Absender echt ist. Gerade in Zeiten einer Phishing-Mail-Flut ist das nützlich. Was bei OpenPGP über das Web of trust (oder die persönliche Überprüfung der Schlüsselechtheit) läuft, setzt bei S/MIME die Zusammenarbeit mit Zertifizierungsstellen (engl. CAs, Certification Authorities) voraus, die Zertifikate ausstellen. Der Ablauf ist dabei prinzipiell

  • Der Benutzer besucht die Webseite einer CA und beantragt ein S/MIME-Zertifikat.
  • Die CA überträgt ein Generierungsprogramm (z. B. als im Browser laufender JavaScript-Code) auf den Rechner des Anwenders.
  • Auf dem Rechner erzeugt das Generierungsprogramm ein Schlüsselpaar (privat, öffentlich) und lädt den öffentlichen Schlüssel zur CA hoch.
  • Die CA erstellt auf Basis des Schlüssels und der Anmeldedaten ein Zertifikat und überträgt es zum Rechner des Anwenders.
  • Der Benutzer speichert das Schlüsselpaar und das Zertifikat.

Das Zertifikat der CA sagt aus: “Wir garantieren, dass dieser öffentliche Schlüssel zu dieser konkreten Person gehört.” Damit diese Vorgehensweise überhaupt einen Wert hat, muss bereits eine Kundenbeziehung zwischen CA und Benutzer bestehen oder der Benutzer sich auf eine sichere Weise gegenüber der CA ausweisen (etwa über PostIdent).

Mailprogramme erkennen die Zertifikate einer CA nur dann an, wenn sie diese CA kennen und als vertrauenswürdig betrachten. Da es je nach Mailprogramm und dessen Version vorkommt, dass bestimmte CAs unbekannt sind oder ihnen nicht vertraut wird, klappt die Überprüfung nicht immer.

Die meisten CAs verlangen für die Zertifikatsausstellung Geld. Es gibt auch kostenlose Angebote, bei denen aber die Wahrscheinlichkeit höher ist, dass nicht alle Mailprogramme diese Zertifikate akzeptieren. Schließlich besteht noch die Möglichkeit, sich selbst ein Zertifikat auszustellen (das dann nirgends als vertrauenswürdig angesehen wird).

Wegen der vergleichsweise umständlichen Einrichtung von S/MIME und auch wegen der starken Verbreitung von OpenPGP im Linux-Umfeld geht es im Rest der Artikels um die Einrichtung und Nutzung von OpenPGP.

GnuPG für Thunderbird

Die meisten Mailprogramme und auch viele Webmailer bieten PGP-Unterstützung an, wir beschreiben die Vorgehensweise bei Thunderbird – auf einem Windows-Rechner oder einem Mac klappt das (in Thunderbird) analog.

    1. Starten Sie Thunderbird; wir gehen davon aus, dass Sie bereits ein Mailkonto eingerichtet haben, also Mails (unverschlüsselt und unsigniert) verschicken und empfangen können.
    2. Öffnen Sie das Hamburger-Menü (rechts oben) und klicken Sie auf Add-ons.
    3. Geben Sie rechts oben ins Suchfeld enigmail ein, drücken Sie [Eingabe], und klicken Sie in der Ergebnisliste neben den (vermutlich ganz oben erscheinenden) Eintrag Enigmail auf Installieren.
    4. Wenn die Installation abgeschlossen ist, erscheint ein Hinweis, dass Sie Thunderbird neu starten müssen – klicken Sie auf Jetzt neu starten (Abbildung 1).
Abbildung 1: Enigmail ist eine Thunderbird-Erweiterungen, die Sie zuerst installieren müssen.

Abbildung 1: Enigmail ist eine Thunderbird-Erweiterungen, die Sie zuerst installieren müssen.

Nach dem Neustart erscheint der Enigmail-Einrichtungs-Assistent, der Sie durch die GnuPG-Konfiguration führt.

    1. Im ersten und im zweiten Dialog übernehmen Sie die Vorgaben Jetzt einrichten bzw. Ich bevorzuge eine Standard-Konfiguration und klicken jeweils auf Weiter.
    2. Der dritte Dialog bereitet die Schlüsselerzeugung vor. Geben Sie eine Passphrase zweimal in die vorgesehenen Felder ein (Abbildung 2). Sie können diese später auch ändern, müssen sich aber auf jeden Fall merken, was Sie jetzt eingeben. Wenn Sie sich nicht vertippt (also in beiden Felder dasselbe geschrieben) haben, können Sie auf Weiter klicken.
Abbildung 2: Passwörter heißen im PGP-Slang Passphrasen. Die Bedeutung ist gleich: Damit schützen Sie Daten, in diesem Fall Ihren privaten Schlüssel.

Abbildung 2: Passwörter heißen im PGP-Slang Passphrasen. Die Bedeutung ist gleich: Damit schützen Sie Daten, in diesem Fall Ihren privaten Schlüssel.

  1. Jetzt erzeugt der Enigmail-Assistent das Schlüsselpaar, was eine Weile dauert – eine entsprechende Nachricht in Rot weist darauf hin.
  2. Wenn das Schlüsselpaar fertig ist, erscheint ein neuer Hinweis, und Sie können auf die Schaltfläche Widerrufszertifikat erzeugen klicken – das werden Sie eventuell benötigen, falls Ihr privater Schlüssel in fremde Hände gerät. Sie müssen für die Zertifikatserzeugung Ihre Passphrase eingeben. Es öffnet sich ein Speichern-Dialog, in dem Sie einen Ordner auswählen: Dort legt Enigmail eine Datei mit Endung .asc ab, die das Widerrufszertifikat enthält. Danach erklärt ein Hinweis, wofür das Zertifikat gebraucht wird. Schließen Sie diesen Hinweis und klicken Sie auf Weiter.
  3. Die Einrichtung ist damit abgeschlossen; den letzten Dialog schließen Sie per Klick auf Fertigstellen.

OpenGPG-Einstellungen

Sie können nun noch die Einstellungen zur Verschlüsselung und Signierung bearbeiten: Dazu klicken Sie in der Ordnerliste am linken Rand mit rechts auf den Namen Ihres Mailkontos (ganz oben in der Liste) und wählen aus dem Kontextmenü den Eintrag Einstellungen aus. Es erscheint ein Fenster Konten-Einstellungen, in dem Sie in der Themenübersicht am linken Rand auf OpenPGP-Sicherheit klicken (Abbildung 3).

Abbildung 3: In den OpenGPG-Einstellungen des Mailkontos geben Sie an, ob Sie Mails immer verschlüsseln und/oder signieren wollen.

Abbildung 3: In den OpenGPG-Einstellungen des Mailkontos geben Sie an, ob Sie Mails immer verschlüsseln und/oder signieren wollen.

  • Wollen Sie Nachrichten immer signieren, aktivieren Sie die Option Nachrichten standardmäßig unterschreiben.
  • Die darüber stehende Option Nachrichten standardmäßig unterschreiben ist nicht hilfreich, weil Sie zum Verschlüsseln immer den öffentlichen Schlüssel des Empfängers benötigen (den Sie meist nicht besitzen); zudem wird die Mehrheit Ihrer Kontakte keinen Schlüssel haben.

Über einen Klick auf die Schaltfläche Enigmail-Einstellungen öffnen Sie ein weiteres Einstellungsfenster, in dem aber in der Regel nichts zu tun ist: Dort sind die bequemen Verschlüsselungseinstellungen aktiviert, was bedeutet, dass Enigmail Mails an Empfänger, deren öffentlichen Schlüssel Sie importiert haben, automatisch verschlüsseln wird.

Empfängerschlüssel importieren

Beim ersten Versuch, eine verschlüsselte Mail an einen neuen Empfänger zu schicken, müssen Sie dessen Schlüssel importieren. Klicken Sie dazu im Mail-Editor-Fenster auf die ganz rechte Schaltfläche der Enigmail-Leiste und aktivieren Sie in den Enigmail-Sendeoptionen den Punkt Nachricht verschlüsseln (Abbildung 4). Wenn Sie nun die Nachricht absenden, erscheint der Hinweis, dass für den Empfänger “kein gültiger Schlüssel” zu finden ist. Klicken Sie dann unten auf Fehlende Schlüssel herunterladen.

Abbildung 4: Im Nachrichteneditor schalten Sie Verschlüsselung und Signatur nach Bedarf ein oder aus.

Abbildung 4: Im Nachrichteneditor schalten Sie Verschlüsselung und Signatur nach Bedarf ein oder aus.

Nach kurzer Wartezeit sollten einer oder mehrere passende Einträge angezeigt werden, von denen einer bereits ausgewählt ist – wenn die Wahl passt, akzeptieren Sie mit OK. Enigmail teilt Ihnen dann mit, dass es den Schlüssel importiert hat, und zeigt zudem den so genannten Fingerabdruck an – anhand von Fingerabdrücken lassen sich verschiedene Schlüssel schnell unterscheiden. Wenn Ihr Kontakt Ihnen seinen Fingerabdruck mitgeteilt hat, können Sie hier vergleichen und damit sicherstellen, dass Sie den richtigen Schlüssel erwischt haben.

Jetzt fordert Enigmail Sie erneut auf, Ihre Passphrase einzugeben: Dadurch erhält das Programm Zugriff auf Ihren privaten Schlüssel und kann die Mail signieren. (Wenn Sie nur verschlüsseln und nicht signieren, ist beim Mailversand kein Zugriff auf den privaten Schlüssel und damit auch keine Passphraseneingabe nötig.)

Oft wird die Schlüsselsuche scheitern, was verschiedene Ursachen haben kann:

  • Der Empfänger nutzt OpenPGP nicht, hat also keinen Schlüssel.
  • Der Empfänger nutzt zwar OpenPGP, hat seinen Schlüssel aber nicht auf einen Key Server hochgeladen.

In beiden Fällen werden Sie die Nachricht nicht verschlüsselt schicken können. Nehmen Sie, wenn nötig, Kontakt mit dem Empfänger auf. Eventuell hat er einen weniger populären Key Server benutzt, den Sie dann noch in der Enigmail-Konfiguration ergänzen könnten.

Ausgangskopien

Wenn Sie Mails verschlüsseln, werden sie auch verschlüsselt im Ausgangsordner abgelegt, was Sie leicht über einen Blick auf den Nachrichten-Quelltext feststellen können (Abbildung 5); Sie erhalten diese Ansicht mit [Strg]+[U]. Um dann später auf diese Ausgangskopien zuzugreifen, müssen Sie erneut die Passphrase eingeben. Falls das nicht gelingt (z. B. weil Sie die Passphrase vergessen haben), ist es nicht möglich, diese Mails wiederherzustellen. Thunderbird zeigt dann statt des Inhalts einen rosa Balken mit der Fehlermeldung Fehlende Passphrase an, und auch ein Klick auf Details / Enigmail-Sicherheitsinfo liefert diese Meldung (Abbildung 6).

Abbildung 5: Diese Nachricht enthält nichts Lesbares: Der Quellcode besteht nur aus einer "PGP-Nachricht" mit verschlüsseltem Inhalt.

Abbildung 5: Diese Nachricht enthält nichts Lesbares: Der Quellcode besteht nur aus einer “PGP-Nachricht” mit verschlüsseltem Inhalt.

Abbildung 6: Ohne Passphrase geht nichts: Wenn Sie diese vergessen oder den Schlüssel verlieren, können Sie die Mails nicht mehr lesen.

Abbildung 6: Ohne Passphrase geht nichts: Wenn Sie diese vergessen oder den Schlüssel verlieren, können Sie die Mails nicht mehr lesen.

In den Versandeinstellungen können Sie das Verschlüsseln der Ausgangskopien auch abstellen, wenn Ihr Computer gut geschützt ist; für Notebooks, bei denen Diebstahl oder Verlust wahrscheinlicher sind, sollten Sie die Verschlüsselung aktiviert lassen.

Eigenen Schlüssel veröffentlichen

Zur PGP-Einrichtung gehört nach das Hochladen Ihres öffentlichen Schlüssels auf einen Key Server: Das erledigen Sie über den Eintrag Enigmail / Schlüssel verwalten im Hamburger-Menü von Thunderbird. Es öffnet sich eine Tabelle mit allen bisher importierten Schlüsseln – der Schlüssel, der zu Ihrem Mailkonto gehört, ist dort fett hervorgehoben. Klicken Sie die Zeile mit rechts an und wählen Sie aus dem Kontextmenü den Eintrag Auf Schlüsselserver hochladen. Es dauert in der Regel nur wenige Sekunden, bis die Aktualisierung der Datenbank greift und Ihre Mailkontakte Sie dort finden werden.

Arbeit mit “gpg”

Zum Abschluss noch ein Hinweis für Freunde der Kommandozeile: Enigmail nutzt im Hintergrund das Programm gpg (GnuPG), das Sie auch manuell aufrufen können. Es zeigt u. a. mit

gpg --list-secret-keys

und

gpg --list-public-keys

Listen aller gespeicherten privaten bzw. öffentlichen Schlüssel an. Außerdem können Sie das Programm verwenden, um Dateien von Hand zu verschlüsseln – das kann sinnvoll sein, wenn Sie z. B. eine sehr große Datei via USB-Stick mit der Post verschicken wollen: Dann erzeugen Sie eine verschlüsselte Kopie und schicken die mit der Post. Im Detail geht das so:

Wenn Sie die Datei wichtig.zip an den Empfänger empf@inter.net verschicken wollen, rufen Sie gpg wie folgt auf:

gpg -o wichtig.zip.gpg -e -r empf@inter.net wichtig.zip

Die Langform des Befehls (die sich für Skripte besser eignet) ist

gpg --output wichtig.zip.gpg --encrypt --recipient empf@inter.net wichtig.zip

Bei der Angabe der Empfängeradresse hilft die Shell übrigens: Genauso wie Sie Datei- und Ordnernamen automatisch vervollständigen lassen können (auto-complete), gelingt das auch mit Mail-Adressen in einem gpg-Befehl.

Wie beim Mailversand wird der Versuch zu verschlüsseln nur erfolgreich sein, wenn der Empfänger bekannt ist. Falls Sie einen Warnhinweis wie in Abbildung 7 erhalten, können Sie die Verschlüsselung mit j fortsetzen. Schreiben Sie diesem Empfänger öfter, sollten Sie über die Schlüsseleigenschaften in der Enigmail-Schlüsselverwaltung dem Schlüssel vertrauen, indem Sie auf Zertifizieren klicken und im sich dann öffnenden Dialog Ich habe es sehr genau geprüft auswählen – wenn das denn so ist. Es gibt auch geringere Vertrauensstufen.

Abbildung 7: Das Tool "gpg" können Sie auch im Terminalfenster verwenden, um Dateien gezielt zu ver- und entschlüsseln.

Abbildung 7: Das Tool “gpg” können Sie auch im Terminalfenster verwenden, um Dateien gezielt zu ver- und entschlüsseln.

Wenn der Empfänger die Datei erhalten hat, kann er sie auf ähnliche Weise auspacken (sofern er im Besitz seines privaten Schlüssels ist). Die nötigen Befehle sind

gpg -o wichtig.zip -d wichtig.zip.gpg

bzw. in der Langform

gpg --output wichtig.zip --decrypt wichtig.zip.gpg

Damit zeigt GnuPG auch abseits des Mailversands eine nützliche Seite.

Infos

  1. Wikipedia-Artikel zum Web of Trust: https://de.wikipedia.org/wiki/Web_of_Trust
DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDF
EasyLinux 04/2017 KAUFEN
EINZELNE AUSGABE
ABONNEMENTS
TABLET & SMARTPHONE APPS
E-Mail Benachrichtigung
Benachrichtige mich zu:

Hinweis: Dieser Artikel ist älter als ein Jahr, enthaltene Informationen sind möglicherweise veraltet.

0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben