E-Mail-Verschlüsselung
23.08.2013, 13:58 Uhr
erste Schritte
Eine E-Mail kann auf ihrem Weg zum Empfänger verändert, mitgelesen oder auch falsch signiert sein. Gerne geben wir Ihnen nachfolgend eine kompakte Anleitung, die Ihnen den Einstieg zur E-Mail-Verschlüsselung erleichtern soll.
Erwarten Sie nicht oder verlangen Sie nicht von allen Ihren Angehörigen, ab jetzt nur noch verschlüsselt zu kommunizieren. Da werden Sie sich unter Umständen nicht nur Freunde machen. Dennoch kann es sich lohnen, Personen, mit denen Sie wirklich nur sehr vertrauliche Informationen austauschen, das System der E-Mail-Verschlüsselung zu erklären. Eine Möglichkeit, E-Mail-Verschlüsselung auf komfortable Weise zu nutzen, bietet der Thunderbird E-Mail Client in Kombination mit der OpenPGP-Erweiterung Enigmail. Dann braucht es nur noch die eigentliche Verschlüsselungs-Software: GnuPG.
Zuerst ein bisschen Theorie
OpenPGP ist ein standardisiertes Datenformat für verschlüsselte Daten. Zwei der Hauptanwendungen sind die Signierung und die Verschlüsselung von E-Mail. Dabei setzt OpenPGP auf ein hybrides Verschlüsselungssystem mit Kombination von symmetrischer und asymmetrischer Verschlüsselung. Bei einer symmetrischen Verschlüsselung verwenden beide Teilnehmer den gleichen Schlüssel, während bei einem asymmetrischem System beide kommunizierende Parteien keinen gemeinsamen (geheimen) Schlüssel kennen müssen: Ein Benutzer erzeugt hier in der Regel ein Schlüsselpaar, das aus einem geheimen Teil (einem so genannten privaten Schlüssel) und einem für den vorgesehenen Empfänger nicht geheimen Teil (einem öffentlichen Schlüssel) besteht. Der öffentliche Schlüssel ermöglicht es jedem, der ihn hat, Daten für den vorgesehenen Empfänger zu verschlüsseln. Schlussendlich ermöglicht aber erst der private Schlüssel seinem Inhaber empfangene Mails zu entschlüsseln und digitale Signaturen zu erzeugen, damit gegenseitige Authentifizierung gewährt ist. Auf den privaten Schlüssel darf nur der Eigentümer Zugriff haben. Nächste Seite: Thunderbird einrichten
Thunderbird einrichten
Zunächst installieren Sie Thunderbird, doppelklicken die Datei nach dem Download zur Installation. Der Thunderbird-Installationsassistent wird Sie durch die Installation führen. Einfach alles mit Weiter bestätigen, danach sollte Thunderbird neu gestartet werden. Nun können Sie E-Mail-Konten oder auch Newsgroups und RSS Feeds integrieren. Wählen Sie einfach mal E-Mail und OK. Die nächste Aufforderung können Sie überspringen, weil Sie am liebsten existierende E-Mail-Konten über den Browser Client verwalten wollen. Bei der Konto-Einrichtung können bequem E-Mail-Konten hinzugefügt werden, ohne dass lange die Ein- und Ausgangs-Server-Einstellungen gesucht werden müssen. Einfach dem oder den Konto/Konten Namen zuweisen und per Login-Daten Konto/Konten suchen lassen und hinzufügen.
Lesen Sie weiter auf der nächsten Seite: GnuPG
Nun ist die eigentliche Verschlüsselungs-Software GnuPG an der Reihe: Am besten Sie schliessen Thunderbird kurz, klicken sich durch den Installationsassistenten von GnuPG und bestätigen auch hier alles wieder mit Weiter und Fertigstellen. Was jetzt nur noch gebraucht wird, ist die Enigmail-Erweiterung für Thunderbird, damit der Thunderbird Client die PGP-Schnittstelle auch unterstützt. Diese Erweiterung können Sie ganz einfach, innerhalb von Thunderbird, über den Add-Ons Manager von Thunderhird hinzufügen. (Den Add-Ons Manager von Thunderbird finden Sie ganz rechts oben, indem Sie auf das «gestrichelte» Menü unterhalb des Exit-Feldes klicken und dann auf «Add-Ons» gehen.) Nun sind Sie schon (fast) bereit für die erste verschlüsselte E-Mail...
Erinnern wir uns nochmals an des Konzept der Schlüssel
Welchen Schlüssel soll Alice verwenden, um die Mail von Bob lesen zu können? Es muss ein Schlüssel sein, den nur sie selbst besitzt und sonst niemand. Schliesslich soll nur Alice die Mail lesen können. Gibt es einen solchen Schlüssel? Natürlich gibt es den: Es ist Alices privater Schlüssel.
Damit Bob verschlüsselt an Alice senden kann, hat Alice ihren öffentlichen Schlüssel allseits bekannt gemacht. Daher kann Bob ihn problemlos verwenden und damit seine Mail an Alice verschlüsseln. Für die Antwort von Alice an Bob gilt das Gleiche: Alice benötigt Bobs öffentlichen Schlüssel für das Verschlüsseln der Nachricht. Bob verwendet seinen privaten Schlüssel, um zu lesen, was Alice ihm schreibt. Nächste Seite: Digitale Signatur
Damit Bob verschlüsselt an Alice senden kann, hat Alice ihren öffentlichen Schlüssel allseits bekannt gemacht. Daher kann Bob ihn problemlos verwenden und damit seine Mail an Alice verschlüsseln. Für die Antwort von Alice an Bob gilt das Gleiche: Alice benötigt Bobs öffentlichen Schlüssel für das Verschlüsseln der Nachricht. Bob verwendet seinen privaten Schlüssel, um zu lesen, was Alice ihm schreibt. Nächste Seite: Digitale Signatur
Noch ein Konzept: die digitale Signatur
Ein zweites Konzept ist ebenfalls interessant: die digitale Signatur. Damit wird die Echtheit von Schlüsseln sichergestellt. Schickt Alice eine E-Mail an Bob und signiert sie digital, kann Bob die empfangene Mail nicht mehr verfälschen. Umgekehrt kann Alice später nicht abstreiten, diese Mail mit genau diesem Inhalt geschickt zu haben. Auch ein Angreifer, der die Mail unterwegs abfängt, kann sie nicht verändern, ohne dass dies auffällt. Zum Signieren einer E-Mail benötigt der Absender seinen eigenen privaten Schlüssel. Zum Überprüfen einer Signatur benötigt der Empfänger den öffentlichen Schlüssel des Absenders.
Zum Verschlüsseln, Entschlüsseln, zum Signieren und Prüfen von Signaturen benötigen Sie ein Schlüsselpaar, also einen privaten und einen zugehörigen öffentlichen Schlüssel. Zunächst werde ich für uns beide, nämlich für mich und Alice, ein neues Schlüsselpaar bestehend aus privatem und öffentlichem Schlüssel anlegen. Dazu gehe ich im E-Mail-Verfassungsfenster (oder bei Einstellungen/OpenPGP) auf den Reiter OpenPGP, auf OpenPGP-Schlüssel verwalten, dann auf Erzeugen, Neues Schlüsselpaar. Nächste Seite: richtig einrichten Es empfiehlt sich, das Schlüsselpaar zusätzlich durch eine Passphrase zu schützen, die nur Sie kennen. Das Häkchen bei Schlüssel zum Unterschreiben verwenden können Sie so lassen. Dann werden Sie noch aufgefordert,ein Widerrufszertifikat anzulegen, damit bei Bedarf der öffentliche Schlüssel wieder für ungültig erklärt werden kann, falls Sie Ihren privaten Schlüssel mal verlieren. Dies wird nach Aufforderung ihres Passworts als Datei angelegt und sollte an einem sicheren Ort aufbewahrt werden (wie Stick/Diskette). Beim Ablauf-Datum würde ich wählen, dass der Schlüssel nie abläuft. Nächste Seite: Schlüssel austauschen
Zum Verschlüsseln, Entschlüsseln, zum Signieren und Prüfen von Signaturen benötigen Sie ein Schlüsselpaar, also einen privaten und einen zugehörigen öffentlichen Schlüssel. Zunächst werde ich für uns beide, nämlich für mich und Alice, ein neues Schlüsselpaar bestehend aus privatem und öffentlichem Schlüssel anlegen. Dazu gehe ich im E-Mail-Verfassungsfenster (oder bei Einstellungen/OpenPGP) auf den Reiter OpenPGP, auf OpenPGP-Schlüssel verwalten, dann auf Erzeugen, Neues Schlüsselpaar. Nächste Seite: richtig einrichten Es empfiehlt sich, das Schlüsselpaar zusätzlich durch eine Passphrase zu schützen, die nur Sie kennen. Das Häkchen bei Schlüssel zum Unterschreiben verwenden können Sie so lassen. Dann werden Sie noch aufgefordert,ein Widerrufszertifikat anzulegen, damit bei Bedarf der öffentliche Schlüssel wieder für ungültig erklärt werden kann, falls Sie Ihren privaten Schlüssel mal verlieren. Dies wird nach Aufforderung ihres Passworts als Datei angelegt und sollte an einem sicheren Ort aufbewahrt werden (wie Stick/Diskette). Beim Ablauf-Datum würde ich wählen, dass der Schlüssel nie abläuft. Nächste Seite: Schlüssel austauschen
Schlüssel austauschen
Will ich nun Alice eine verschlüsselte Mail senden, muss Alice zuerst meinen öffentlichen Schlüssel kennen. Dafür muss ich, Bob, lediglich beim Verfassen unter dem Menüpunkt OpenPGP Öffentlichen Schlüssel anhängen aufrufen, um ihn ihr zu schicken. (Alice benötigt natürlich auch eine OpenPGP-Lösung. Zufällig hat auch sie ein gutes GnuPG-Paket für ihren Mac E-Mail Client installiert. Würde sie verschlüsselte Mails nur webbasiert aufrufen, geht natürlich nichts.) Alice hat inzwischen ebenfalls ein Schlüsselpaar erzeugt. Wenn nun die E-Mail von Bob bei Alice eintrifft, kann Alice mit Rechtsklick auf den Anhang der Mail klicken, worauf sich ein Kontextmenü öffnet. Alice wählt darauf OpenPGP-Schlüssel importieren. Enigmail sollte dann den erfolgreichen Import von Bobs Schlüssel bestätigen. Auch Bob sollte zunächst den öffentlichen Schlüssel von Alice importieren.
Jetzt können Sie, zumindest mit dieser Person, verschlüsselt kommunizieren, indem Sie nach Verfassen einer neuen Nachricht an Alice oben auf das OpenPGP-Schloss klicken und Nachricht unterschreiben und Nachricht verschlüsseln wählen. Die Nachricht ist nun komplett verschlüsselt. Selbst wenn jemand (z. B. via Web) auf Ihr Mailkonto kommt, kann er mit dieser Nachricht nichts anfangen, er würde nur wirres Zifferngemüse sehen beim Öffnen der Nachricht.