HOWTO: E-Mails verschlüsseln mit PGP

Warum Emails verschlüsseln?

Die Übertragung von E-Mails gleicht in etwa dem Versenden einer Postkarte. Jeder, der sie in die Hand bekommt, kann sie in der Regel problemlos lesen.

Im Internet erreichen E-Mails den Empfänger leider nicht nicht direkt sondern über oft zahlreiche Zwischenstufen. Und bei jedem der beteiligten Server besteht prinzipiell eine Mitlesemöglichkeit. Ergo, wer Sachen zu verschicken hat, die nicht unbedingt jeder Lesen sollte/darf, der überträgt verschlüsselt. Und wie das geht und was dabei passiert, das versuche ich im Folgenden am Beispiel von PGP zu erklären.
Aber wozu der ganze Aufwand? Kaum jemand wird auf die Idee kommen, fremden Leuten unnötig Einblick ins eigene Privatleben zu gewähren, das heißt im ganz normalen Leben macht man von diesem Recht meistens ausgiebig Gebrauch, ohne groß darüber nachzudenken. Man denke nur an die Diskretion beim Anstehen in der Bank, abschließbare Briefkästen, Gardinen, Sichtschutz für den Balkon/Garten und vieles mehr. Unter anderem aus diesem Grund möchte ich dazu ermuntern, sich nicht nackt im Internet zu bewegen. Man denke nur an den armen Kenny Glenn...

Was ist PGP?

PGP (Pretty Good Privacy) ist ein Verschlüsselungsverfahren, dass 1991 für die breite Masse (natürlich gratis) zugänglich wurde. Möglich machte dies Herr Phil Zimmermann, der sich im Nachhinein 5 Jahre mit der US-Zollbehörde auseinandersetzen musste, da diese glaubte, dass US-amerikanische Exportbeschränkungen für kryptographische Software verletzt worden wären.

Wie funktioniert PGP?

PGP basiert auf asymmetrischer Verschlüsselung. Jeder Anwender des Verfahrens besitzt ein Schlüsselpaar, bestehend aus dem privaten und dem öffentlichen Schlüssel. Der private Schlüssel muss sicher (auf dem eigenen Rechner) aufbewahrt werden, der öffentliche hingegen wird möglichst weit bekannt gemacht, zum Beispiel durch Veröffentlichen auf einem sogenannten Keyserver. Wenn man nun eine E-Mail versenden möchte, muss man diese mit dem öffentlichen Schlüssel des Empfängers verschlüsseln. Wenn die Mail verschlüsselt ist, kann sie nur mit dem zum Adressaten gehörenden privaten Schlüssel wieder lesbar gemacht werden. Das Verfahren an sich ist dabei derzeit als sicher anzusehen, der Zeitaufwand zum Erraten der Verschlüsselung wird leider noch nicht und vermutlich auch nicht auf lange Zeit durch den Nutzen gerechtfertigt.
Um das Ganze mal bildlich darzustellen:

Alles klar?
Eigentlich ein ganz einfaches Prinzip, aber wie wird das auf dem System angewendet? Dazu gehört wenig mehr, als etwa eine halbe Stunde Zeit!

Was benötige ich?

Zunächst mal muss man einen Mailclienten verwenden, der die Mails abholt, zum Beispiel Thunderbird oder Outlook Express, etc. Der Einfachheit und Übersichtlichkeit halber orientiere ich diese Anleitung am Thunderbird. Benötigt wird:

• Mozilla Thunderbird - voll funktionsfähig zum Empfangen und Versenden von Mails
• GnuPG (Windows-Version weiter unten)
• EnigMail

Bei GnuPG und Enigmail kann die Standardinstallation verwendet werden, das reicht in der Regel aus, doch jetzt wird es spannend.

Wie wird eingerichtet?

Nun ja, prinzipiell ist auch die Einrichtung selbsterklärend...

• Im Thunderbird-Menü "OpenPGP" --> "Schlüssel verwalten" wählen
• In der Regel sollte jetzt ein Assistent starten... den wir auch benutzen wollen
• Hier sollte man sich ein wenig Zeit nehmen und alles mal durchlesen, es ist super erklärt. Wichtig ist die Passphrase. Das ist das Passwort, welches einen später als ausschließlich leseberechtigte Person verifiziert, denn dieses Passwort muss eingegeben werden, wenn verschlüsselte Mails an einen zum Lesen geöffnet werden sollen.
• Nach Abschluss des Assistenten sollte ein Fenster zu sehen sein, in dem nun der eigene Schlüssel steht (immer fett gedruckt). Per Rechtsklick auf diesen Schlüssel kann man nun alle weiteren relevanten Optionen abgreifen.
• Wichtig ist jetzt, den öffentlichen Schlüssel bekannt zu machen. Dies geschieht, indem man den Schlüssel zu einem Keyserver hochladen. Idealerweise zu jedem der in der folgenden Liste aufgeführten Keyserver.
• Soweit so gut, fast fertig! Nun muss lediglich noch in den Konteneinstellungen verifiziert werden, dass verschlüsselt werden soll. Am Besten an folgendem Bild orientieren und bei "Schlüssel auswählen..." natürlich den eigenen Schlüssel auswählen ;-)

F E R T I G !

Noch zu klären...

...was Unterschreiben bedeutet

Mit jeder Mail, die du von nun an verschickst, wirst du zur Eingabe deiner Passphrase aufgefordert. Damit wird sichergestellt, dass du selbst der Verfasser bist. Dies wird dem Empfänger später angezeigt (farbige Balken über dem Mailtext beachten). Dieser Balken ist grau, wenn der Schlüssel noch importiert werden muss (Klick auf das Symbol rechts im Balken), grün, wenn der Empfänger vertrauenswürdig gesetzt wurde und rot, wenn beim Versenden zwischendurch jemand die Möglichkeit hatte, an der Mail Sachen zu ändern (manche Mailinglisten). Das ist quasi eine digitale Unterschrift, die E-Mail wird damit theoretisch zu einer Urkunde.

...was verschlüsseln bedeutet

Das sollte sich eigentlich selbst erklären, oder?
Die Auswahl, ob eine Mail verschlüsselt werden soll, folgt vor dem Absenden über den Button "OpenPGP" im "Verfassen"-Dialog. Man wird dann beim Klick auf "Senden" zur Auswahl des Empfängerschlüssels aufgefordert. Sollte man diesen noch nicht haben, muss man ihn vom Keyserver manuell importieren, oder sich vom Empfänger in einer Vorab-Mail zusenden lassen und anschließend verifizieren. Es geht zwar auch ohne Verfizieren, aber nur der gegenseitige (am besten persönliche) Abgleich der sogenannten Fingerprints (zu sehen in den Schlüsseleigenschaften (wir erinnern uns: Rechtsklick auf den eigenen Schlüssel)) garantiert die einwandfreie Identität. Danach gehts dann immer wie von selbst. Bitte nicht vergessen: Der Schlüssel muss irgendwann erneuert werden, nämlich wenn er abgelaufen ist. Darauf wird man aber zeitnah hingewiesen.

Und jetzt ausprobieren und nutzen!

Dieser Beitrag wurde von Sigurd: 15 Oct 2009, 19:28 bearbeitet