Nicht nur Firmen, sondern auch immer mehr Privatanwender verschlüsseln Ihre E-Mails – Schäuble lässt grüßen. Dank Enigmail geht der Umgang mit den Schlüsseln bequem von der Hand.
Die Kommunikation per E-Mail zählt heute zum selbstverständlichen Repertoire des Alltags. Neben privater Korrespondenz erreichen auch geschäftliche Vorgänge wie selbstverständlich über die elektronische Post den Empfänger. Dabei wandert auch allerlei Vertrauliches über die Datenleitungen, doch kaum jemand macht sich Gedanken um die Sicherheit dieses Mediums – obwohl E-Mails in der Regel im Klartext vom Sender zum Empfänger laufen. Dabei ist Mailverschlüsselung kein Teufelswerk, sondern dank moderner Software ganz einfach und komfortabel möglich.
Für den häufig eingesetzten E-Mail-Client Thunderbird gibt es mit Enigmail ein Addon, das dem Anwender die meiste Arbeit abnimmt. Dabei nutzt es die weit verbreitete und als sehr sicher geltende Verschlüsselungssoftware GnuPG, die den OpenPGP-Standard unterstützt. Dieser Artikel zeigt, wie Sie Enigmail und GnuPG einrichten und damit E-Mails verschlüsseln und signieren. Die Beschreibung erfolgt anhand der Distribution Ubuntu 7.10, die Vorgehensweise ist für die meisten Linux-Distributionen jedoch identisch.
Installation der Komponenten
Drei Komponenten müssen für eine funktionierende Verschlüsselung zusammen kommen: der E-Mail-Client Thunderbird [1], das Kryptographieprogramm GnuPG [2] und das Thunderbird-Addon Enigmail [3]. Alle gängigen Distributionen bieten die Möglichkeit, das Trio über das Paketmanagement ganz einfach einzurichten. Alternativ laden Sie die Programme einzeln herunter und installieren sie manuell. Unter Ubuntu richten Sie die Software mit den Befehlen aus Listing 1 ein, die jeweils die deutschen Versionen von Thunderbird und Enigmail einspielen.
$ sudo su # apt-get install thunderbird thunderbird-locale-de # apt-get install gnupg # apt-get install enigmail enigmail-locale-de
Erzeugen eines Schlüsselpaares
Als nächstes gilt es ein so genanntes Schlüsselpaar zu erzeugen. Das besteht aus einem öffentlichen Schlüssel (Public Key) und einem geheimen Schlüssel (Private Key). Der Public Key dient anderen zum Überprüfen Ihrer Identität sowie zum Verschlüsseln von Nachrichten an Sie. Mit dem Private Key signieren Sie Nachrichten und entschlüsseln Sie an Sie gesendete Mails. Wie der Name schon andeutet, ist der Public Key für die Öffentlichkeit bestimmt, Sie dürfen und sollen ihn weitergegeben. Ihr Private Key hingegen darf auf keinen Fall in die Hände Dritter gelangen!
Das Erzeugen eines Schlüsselpaares ist sehr einfach. Rufen Sie in einem Terminal den Befehl gpg --gen-key auf und bestätigen Sie mit der Eingabetaste, um einen DSA+Elgamal-Schlüssel zu erzeugen. Die nächste Frage bestätigen Sie wiederum mit [Eingabe], um die vorgegebene Schlüssellänge von 2048 Bit zu übernehmen.
Nun müssen Sie angeben, wann die Schlüssel verfallen sollen. Ab dem Verfallsdatum ist Ihr Schlüssel unausweichlich als ungültig markiert und muss durch einen neuen ersetzt werden. Es macht bei Privatpersonen normalerweise keinen Sinn, den Schlüssel verfallen zu lassen, denn im Zweifelsfall können Sie ihn ohnehin später jederzeit zurückziehen. Bestätigen Sie daher mit [Eingabe] und einem anschließenden [J], dass der Schlüssel niemals verfallen soll.
Anschließend fordert GnuPG Sie auf, Ihren Vor- und Nachnamen einzugeben, so wie dieser im Schlüssel erscheinen soll. Anschließend geben Sie die E-Mail-Adresse an, die für die Verschlüsselung benutzt werden soll. Sie können später auch weitere E-Mail-Adressen und Namen hinzufügen. Das Kommentarfeld lassen Sie frei. Es dient oft dazu, einen Zusatz wie “(beruflich)” oder “(privat)” zu machen. Sind Sie mit Ihren Angaben zufrieden, so bestätigen Sie mittels [F].
Anschließend müssen Sie sich ein Kennwort, die so genannte Passphrase, ausdenken. Dieses benötigen Sie später zum Unterschreiben und Verschlüsseln von E-Mails. Denken Sie sich ein sicheres Passwort aus und verwenden Sie keinesfalls leicht zu erratende Kennwörter wie Ihr Geburtsdatum oder Ihre Telefonnummer. Jeder, der in den Besitz Ihres Passwortes kommt, kann sonst mit Ihrer Identität E-Mails verschlüsseln.
GnuPG sammelt nun noch einige Daten für den Zufallsgenerator und fordert Sie gegebenenfalls dazu auf, die Maus zu bewegen, bis es genug Zufallsdaten hat. Nach einer kurzen Wartezeit hat GnuPG den Schlüssel vollständig erzeugt und zeigt noch einmal die Details (Listing 2). Sie sehen einen Schlüssel auf den Namen Tux Testkonto, mit der E-Mail-Adresse tux.testkonto@tux.local und 2048 Bit Verschlüsselungsstärke, der am 5. Dezember 2007 erzeugt wurde. Auch genannt werdem zwei wichtige Identifizierungsmerkmale Ihres neuen Schlüssels, die Sie später noch benötigen werden – Ihr Fingerprint (AF84 9339 ....) und die Schlüssel-ID (90690901 für 2048 Bit, 6FF89B27 für 1024 Bit).
gpg: "Trust-DB" wird überprüft
gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
gpg: Tiefe: 0 gültig: 1 signiert: 0 Vertrauen: 0-, 0q, 0n, 0m, 0f, 1u
pub 1024D/6FF89B27 2007-12-05
Schl.-Fingerabdruck = AF84 9339 AC60 8A35 4206 093C F4DC E5A7 6FF8 9B27
uid Tux Testkonto <tux.testkonto@tux.local>
sub 2048g/90690901 2007-12-05
Enigmail konfigurieren
Nachdem Sie das Schlüsselpaar erzeugt haben, geht es an die Konfiguration von Enigmail selbst. Rufen Sie zunächst Thunderbird auf. Erfahrenen Thunderbird-Nutzern fällt sofort ein neuer Menüpunkt namens OpenPGP ins Auge, hinter dem sich die Funktionalität des Enigmail-Addons verbirgt (siehe Abbildung 1).
Abbildung 1: Der neue Menüpunkt »OpenPGP«.
Sofern Sie alle Komponenten direkt über die Distribution eingerichtet haben, fällt keine separate Konfiguration mehr an. Der Dialog unter OpenPGP | Einstellungen… mutet zunächst einmal sehr spartanisch an (siehe Abbildung 2). Sie stellen hier den korrekten Pfad zu GnuPG ein, falls Sie mehrere Installationen haben oder Enigmail keine Installation finden konnte. Zusätzlich geben Sie an, wie lange Enigmail Ihr eingegebenes Kennwort (die Passphrase) speichern soll. Auf ein dauerhaftes Speichern sollten Sie aus Sicherheitsgründen verzichten. Der vorgegebene Wert von fünf Minuten stellt einen guten Kompromiss zwischen Komfort und Sicherheit dar, damit Enigmail nicht bei jeder Nachricht erneut nach dem Kennwort fragen muss.
Abbildung 2: Der Konfigurationsdialog von Enigmail (hier mit aktivierten »Experten-Einstellungen«) wirkt etwas spartanisch.
Über die Schaltfläche Experten-Einstellungen anzeigen erhalten Sie Zugriff auf die gesamte Konfiguration. Sie hält einige zwar nicht notwendige, jedoch recht interessante Optionen bereit. Unter der Registerkarte Senden aktivieren Sie Zusätzlich mit eigenem Schlüssel verschlüsseln, um Nachrichten, die Sie versenden, später auch wieder selbst entschlüsseln zu können. Auf der Registerkarte Erweitert empfiehlt es sich, die Option Verschlüsseln beim Antworten auf verschlüsselte Nachrichten zu aktivieren, um nicht versehentlich in einer vertraulichen Konversation die Verschlüsselung zu vergessen. Ebenso aktivieren Sie die Punkte ‘–‘ als Unterschriften-Trenner behandeln und Die Zeichen ‘<‘ und ‘>’ verwenden, um E-Mail-Adressen zu kennzeichnen. Sie können den Einstellungsdialog nun schließen.
Zu guter Letzt müssen Sie für das entsprechende Mail-Konto noch die OpenPGP-Unterstützung aktivieren (Abbildung 3). Klicken Sie dazu auf Bearbeiten (bzw. Extras) | Konten…, wählen Sie unterhalb Ihres Kontos den Punkt OpenPGP-Sicherheit aus und aktivieren Sie dort den Punkt OpenPGP-Unterstützung für diese Identität aktivieren. Zusätzlich schalten Sie auch die Option Verschlüsselte Nachrichten standardmäßig unterschreiben ein.
Abbildung 3: So aktivieren Sie in Thunderbird die OpenPGP-Unterstützung für ein Mail-Konto.
Damit ist die Konfiguration abgeschlossen. Übrigens – erschrecken Sie nicht, wenn Sie das Menü OpenPGP nun wieder öffnen: Dadurch, dass Sie die Experten-Einstellungen eingeschaltet haben, haben sich hier einige Menüpunkte hinzu gesellt.
E-Mails verschlüsseln
Grundsätzlich gibt es für Enigmail drei Betriebsmodi: Unterschreiben, verschlüsseln, sowie beides gleichzeitig. Wenn Sie eine E-Mail unterschreiben, so signiert das Addon mithilfe Ihres Private Key den Text. Dadurch fallen Manipulationen beim Empfänger auf, sofern dieser ebenfalls Enigmail oder eine vergleichbare Lösung einsetzt. Gleichzeitig lässt sich anhand der Signatur sicherstellen, dass die E-Mail auch vom behaupteten Absender stammt. In diesem Modus wird die E-Mail allerdings nicht verschlüsselt und daher im Klartext übertragen.
Beim Verschlüsseln signiert Enigmail die Nachricht nicht, sondern verschlüsselt sie mit dem Public Key des Empfängers, sodass nur dieser sie wieder entschlüsseln kann. Der Absender lässt sich bei der reinen Verschlüsselung hingegen nicht verifizieren. Um das Beste aus beiden Welten zu kombinieren, kann Enigmail eine Nachricht gleichzeitig mit dem Public Key des Empfängers verschlüsseln und zusätzlich mit dem Private Key des Absenders digital signieren. Dieser Modus bietet sich für vertrauliche E-Mails an.
Einen ersten Test nehmen Sie am besten anhand einer E-Mail an sich selbst vor: Erstellen Sie eine neue Nachricht in Thunderbird, tragen Sie sich selbst als Empfänger ein, vergeben Sie einen Betreff und schreiben Sie Text hinein. Um die Nachricht zu verschlüsseln und gleichzeitig auch zu unterschreiben (wie sie es bei der Konfiguration eingestellt haben), wählen Sie die Option OpenPGP | Nachricht verschlüsseln (Abbildung 4). Nun senden Sie die E-Mail ab, woraufhin Sie Enigmail zur Eingabe Ihres Passwortes (der Passphrase) auffordert.
Abbildung 4: Über das Menü »OpenPGP« aktivieren Sie beim Versand das Verschlüsselung von E-Mails.
Kurze Zeit darauf erhalten Sie eine E-Mail. Liegt Ihr Passwort noch im Speicher (Fünf-Minuten-Frist), erfolgt das Entschlüsseln der Nachricht automatisch, andernfalls fragt Enigmail Sie wieder nach Ihrem Kennwort. Thunderbird zeigt Ihnen an, dass die Nachricht korrekt unterschrieben und entschlüsselt wurde, und dass es den Schlüssel des Signierenden korrekt erkannt hat (Abbildung 5, oben). Ohne korrekte Entschlüsselung ist die E-Mail für einen Empfänger hingegen unbrauchbar (Abbildung 5, unten).
Abbildung 5: Oben die E-Mail im entschlüsselten Zustand, unten verschlüsselt als vermeintlicher Buchstabensalat.
Key-Management
Der erste Test war erfolgreich – aber wie verschlüsselt man nun auch E-Mails an andere Empfänger? Im Wesentlichen funktioniert das wie im vorgenannten Beispiel. Schreiben Sie Ihre E-Mail wie gewohnt und weisen Sie Enigmail über den entsprechenden Menüpunkt an, die Nachricht zu verschlüsseln, zu unterschreiben, oder beides. Entsprechend kann auch Ihr E-Mail-Partner Ihnen eine verschlüsselte Nachricht zukommen lassen. Was hat es nun aber mit dem Schlüssel auf sich?
Zum Unterschreiben benötigen Sie den Schlüssel des Empfängers nicht. Im schlimmsten Fall setzt die Gegenstelle keine GnuPG-kompatible Verschlüsselung ein und wundert sich über die Signatur in der E-Mail, kann den Text aber in der Regel dennoch lesen. Anders hingegen sieht es bei der Verschlüsselung aus: Hierzu muss der Empfänger zwingend über GnuPG oder eine kompatible Lösung verfügen und Sie müssen seinen öffentlichen Schlüssel kennen. Um mit einem Kontakt eine Nachricht verschlüsselt auszutauschen, müssen jeweils beide über den öffentlichen Schlüssel des anderen verfügen.
Bereits weiter oben haben Sie zwei wesentliche Identifikationsmerkmale eines Schlüssels kennengelernt: dessen ID (in unserem Beispiel lautet diese 90690901 für die 2048 Bit-Fassung) sowie seinen Fingerabdruck (im Beispiel AF84 9339 ....). Zum Austausch von Schlüsseln gibt es mehrere Möglichkeiten. Zum einen kann man den Schlüssel persönlich übergeben – beispielsweise per E-Mail oder USB-Stick.
Um einen Public Key per E-Mail zu übersenden, erstellen Sie eine neue Nachricht und klicken im Menü OpenPGP auf Meinen öffentlichen Schlüssel anhängen. Daraufhin fügt Thunderbird der E-Mail automatisch einen Dateianhang zu, der den Schlüssel enthält. Senden Sie diese E-Mail nun mit einem erläuternden Text an den Empfänger.
Daneben gibt es so genannte Keyserver, die nichts anderes tun, als Public Keys bereitzustellen, die jeder dort abfragen darf. Es empfiehlt sich, seinen eigenen Key ebenfalls dort einzustellen. Dazu klicken Sie in der Mailansicht von Thunderbird auf das Menü OpenPGP und wählen den Punkt Schlüssel verwalten…. Es öffnet sich daraufhin der Schlüsselmanager (Abbildung 6), der eine Liste all Ihrer Schlüssel enthält (der so genannte Keyring) – sowohl Ihre eigenen, als auch die Ihrer E-Mail-Empfänger. Klicken Sie mit der rechten Maustaste auf Ihren eigenen Schlüssel und wählen Sie die Option Auf Schlüssel-Server hochladen….
Abbildung 6: Das Hochladen des eigenen Schlüssels auf einen Keyserver funktioniert auf Mausklick.
In der darauf folgenden Dialogbox bestätigen Sie den voreingestellten Schlüsselserver am besten mit OK, da sich die meisten Schlüsselserver untereinander ohnehin abgleichen. Nach einem Klick auf OK lädt Enigmail den Schlüssel auf den Keyserver.
Der Abruf fremder Schlüssel gestaltet sich ebenso einfach. Wenn Sie eine unterschriebene Nachricht erhalten, den dazugehörigen Schlüssel aber noch nicht lokal gespeichert haben, so zeigt Enigmail Ihnen dies an (Abbildung 7). Durch einen Klick auf das Briefsymbol auf der rechten Seite des Fensters rufen Sie den Schlüssel von einem Keyserver ab. Ebenso können Sie manuell über OpenPGP | Schlüssel verwalten… | Schlüssel-Server | Schlüssel suchen… gezielt nach einem Schlüssel suchen und diesen lokal abspeichern. Als Suchbegriff eignen sich beispielsweise der Name, die Schlüssel-ID oder die E-Mail-Adresse.
Abbildung 7: Eine E-Mail, deren Signatur nicht überprüft werden konnte. Den fehlenden Schlüssel beschafft ein Klick auf das Briefsymbol (rechts).
Falls Sie einen Schlüssel als Dateianhang zu einer E-Mail erhalten, Ihnen Ihr E-Mail-Partner also ebenfalls den Schlüssel zusendet, so klicken Sie einfach rechts auf den Anhang und wählen die Option OpenPGP-Schlüssel importieren. Haben beide Parteien diesen Schritt gemacht, lassen sich Nachrichten verschlüsselt austauschen.
Doch wie stellt man nun sicher, dass der Schlüssel auch wirklich von demjenigen stammt, der sich als Inhaber ausgibt? Hierfür eignet sich der schon weiter oben genannte Fingerprint, also der digitale Fingerabdruck des Schlüssels. Im Schlüsselmanager (Menü OpenPGP | Schlüssel verwalten…) können Sie nach einem Doppelklick auf den entsprechenden Schlüssel dessen Eigenschaften anzeigen (Abbildung 8).
Abbildung 8: Der Menüpunkt »OpenPGP« | »Schlüssel verwalten…« offenbart die Eigenschaften des Schlüssels mitsamt seinem Fingerabdruck.
Anhand dieses Fingerprints stellen Sie die Identität des Schlüssels sicher. Wollen Sie wirklich sichergehen, dass der Schlüssel auch von demjenigen stammt, der sich als Inhaber ausgibt, so kontaktieren sollten Sie diesen auf einem anderen Weg als per E-Mail. Rufen Sie den Schlüsselinhaber beispielsweise an, und vergleichen Sie am Telefon den Fingerabdruck. Stimmt er überein, dann können Sie davon ausgehen, dass der Schlüssel auch wirklich von ihm stammt. Jetzt steht einer verschlüsselten E-Mail-Kommunikation nichts mehr im Wege.
Ausblick
GnuPG in Verbindung mit Enigmail bietet noch eine Vielzahl weiterer Funktionen. So können Sie beispielsweise Schlüssel von Dritten beglaubigen, mehrere Identitäten mit einem Schlüsselpaar verknüpfen oder aber Ihren Schlüssel zurückziehen. Viele der Funktionen rufen Sie direkt von Enigmail heraus auf, manche lassen sich nur per Kommandozeile erreichen. Eine Referenz aller Befehle und Optionen finden Sie in der GnuPG-Dokumentation. [4]
Glossar
- DSA
- Digital Signature Algorithm. US-Regierungsstandard für Digitale Signaturen, eine Variante des Elgamal-Signaturverfahrens.
[1] Thunderbird: http://www.mozilla-europe.org/de/products/thunderbird/
[2] GnuPG: http://www.gnupg.org
[3] Enigmail: http://enigmail.mozdev.org
[4] GnuPG-Dokumentation: http://www.gnupg.org/documentation/
