E-Mail-Verschlüsselung mit OpenPGP sicher einrichten

Iaroslav Neliubov, 123RF

Einfach, sicher, mailen!

Verschlüsselt kommunizieren ist schwierig? Nein, überhaupt nicht! Die Einrichtung braucht fünf Minuten. Und ab und an müssen Sie eventuell ein Passwort eingeben oder einen Schlüssel per Drag-and-Drop in ein Programm werfen. Machbar, oder? Mit diesem Artikel sicher!
Termine planen, Nachrichten austauschen, Kundendaten verwalten, am besten auch vom Smartphone aus. Das alles und noch viel mehr sollen moderne ... (mehr)

Ihre E-Mails können jederzeit vom Bundesnachrichtendienst und der NSA mitgelesen werden. Angeblich halten gültige Gesetze die treuen Gesetzeshüter davon ab, alle Nachrichten mitzuschneiden. Wer das nicht mehr glauben mag und lieber auf Nummer sicher gehen möchte, sollte seine E-Mails verschlüsseln. Am besten alle E-Mails, mindestens aber so viele wie möglich. Aktuelle OpenPGP-Software kann so stark verschlüsseln, dass auch die NSA keine Chance hat. Das bestätigt sogar Edward Snowden.

Jeder, der PGP in der vergangenen Jahren schon mal ausprobiert hat, erinnert sich meist ungern an das komplizierte Prozedere und die vielen Fachbegriffe. Dank weiterentwickelter Software ist die Handhabung aber mittlerweile sehr einfach. Die Fachbegriffe klärt dieser Artikel noch mal in kurzer Form.

Angenommen, Sie haben ein neues, noch geheimes Projekt gestartet und wollen mit Ihrem Geschäftspartner sicher per E-Mail kommunizieren. Wenn Ihr Partner an Sie eine E-Mail schickt, muss sichergestellt sein:

  • dass die E-Mail wirklich vom Partner stammt und nicht von jemand, der sich für ihn ausgibt;
  • dass niemand an der E-Mail rumgefummelt und sie verändert hat;
  • dass niemand außer Ihnen die E-Mail lesen kann.

Um alle drei Ziele zu erreichen, bedient man sich einer Verschlüsselung mit zwei Schlüsseln. Dank ausgeklügelter mathematischer Verfahren gilt dabei: Verschlüsselt man etwas mit dem einen Schlüssel, kann man es nur mit dem jeweils anderen wieder entschlüsseln. Ein Schlüssel allein reicht zum Ver- und Entschlüsseln nicht aus.

Privat und öffentlich

Einer der beiden Schlüssel heißt »privat« . Er verbleibt bei einem persönlich und ist mindestens so wichtig wie die PIN der eigenen Bankkarte. Er darf den oder die eigenen Rechner nicht verlassen. Schlimmer noch: Sie müssen ihn absolut sicher verwahren. Ist er weg, können Sie keine der Mails mehr lesen, die man verschlüsselt an Sie geschickt hat oder noch schicken wird. Ein sicheres Backup ist daher unabdingbar.

Der zweite Schlüssel nennt sich »öffentlich« . Diesen gilt es an alle zu verteilen, die einem etwas vertraulich schicken möchten. Um die Verbreitung zu vereinfachen, gibt es Schlüsselserver (Key-Server, ähnlich wie Download-Server für Software), auf denen sich öffentliche Schlüssel hinterlegen lassen und auf denen jeder nach öffentlichen Schlüsseln anderer suchen kann. Wer Daten sicher an Sie schicken möchte, sucht sich Ihren öffentlichen Schlüssel und kann damit eine Nachricht an Sie verschlüsseln, die nur Sie entschlüsseln können (mit dem privaten Schlüssel).

Tiefergehende Informationen zu diesem Thema finden Sie im Artikel über GnuPG in der letzten ADMIN-Ausgabe [1] und im http://Kasten <C>Schlüssel, Zertifikate und Co<C> .

Schlüssel, Zertifikate und Co.

Beim Thema »Verschlüsselung« gibt es zahlreiche Fachbegriffe, die meist munter durcheinander genutzt werden. Die Wichtigsten sind:

Fingerprint: Als Fingerprint wird eine (relativ kurze) Buchstabenfolge bezeichnet, die man aus einem Schlüssel berechnet. Ist der Fingerprint vor und nach dem Verschicken eines Schlüssels gleich, hat sich der Schlüssel nicht verändert. Die Zahlenfolge kann man persönlich, per Telefon, Brief oder Fax weiterreichen.

GnuPG: Ist die Abkürzung für Gnu Privacy Guard. Diese Software implementiert Verschlüsselungstechniken nach dem OpenPGP-Standard und ist unter der Gnu Public Licence frei verfügbar. »GPG« ist dabei das Kommandozeilen-Tool, das viele Programme mit schicken Oberflächen oder Plugins für Mail-Programme unter der Haube verwenden.

Schlüssel: Im engeren Sinn ist ein Schlüssel eine einfache, aber lange Zahlenfolge. Mit ihrer Hilfe werden Daten so verändert (verschlüsselt), dass man sie auch unter großen Mühen nicht mehr lesbar machen kann. Im weiteren Sinne ist ein Schlüssel nicht nur die lange Zahlenfolge, sondern enthält auch noch zusätzliche Daten (Metadaten) wie Besitzer, Erstellungsdatum, E-Mail-Adressen, Verfallsdatum und Verschlüsselungsverfahren.

Signieren: Das meint den Vorgang des digitalen Unterschreibens einer E-Mail oder Datei. Mit dem privaten Schlüssel wird eine Prüfsumme einer Mail verschlüsselt und mitgeschickt. Der Empfänger kann diese Signatur mit Ihrem öffentlichen Schlüssel entschlüsseln und die Prüfsumme vergleichen. Stimmt Sie, kann er sicher sein, dass die EMail von Ihnen stammt und unverändert ist. Dies erledigt Ihr E-Mail-Programm vollautomatisch.

Zertifikat: Mehr oder minder das gleiche wie ein Schlüssel, ergänzt um zahlreiche Metadaten und Prüfsummen.

Bevor es losgehen kann, muss die Basis-Software installiert ein. Dies ist »GnuPG« , eine Freeware unter Gnu Public Licence, die den offiziellen OpenPGP-Standard implementiert. Unter Linux ist GnuPG bei allen großen Distributionen bereits installiert. Unter Windows ist dazu das Tool-Paket »GPG4Win« ( Abbildung 1 ) [2] zu laden und zu installieren. Mac-User können auf die jüngst erst aktualisierte und sehr schöne »GPGSuite« [3] zurückgreifen. Beide Tool-Pakete enthalten eine gut ans Betriebssystem angepasste Schlüsselverwaltung inklusive grafischer Oberfläche.

Abbildung 1: Unter Windows stellt GPG4Win die Grundfunktionen für GnuPG zur Verfügung.

In GPG4Win heißt die Schlüsselverwaltung »Kleopatra« – ein Zugriff per Kommandozeile ist damit überflüssig. Im Paket ist auch ein Plugin für Outlook bis zur Version 2013. Es gibt aber ein paar Einschränkungen, die man sich als Outlook-Nutzer durchlesen sollte [2] . Beim Mac muss man die GPGSuite lediglich über den mitgelieferten Installer auf die Platte heben lassen. Dazu gehört auch das Plugin für Apples »Mail« , dass sich nahtlos in Mail einfügt.

Die folgende Beschreibung wendet sich an Thunderbird-User. Die Schritte lassen sich aber entsprechend mit Kleopatra (Windows), GPGTools (Mac) und GPA (Linux) vornehmen, falls man einen anderen E-Mail-Client nutzt, für den es keine eingebaute Schlüsselverwaltung gibt.

Ersteinrichtung

Um GnuPG in Thunderbird nutzen zu können, braucht man das Plugin »Enigmail« ( Abbildung 2 ). Nach Auswahl von »Add-ons« im Menü des Mail-Programms und Wechsel auf den Reiter »Add-ons suchen« , tippen Sie »Enigmail« in das Suchfeld. Als erstes Addon sollte »Enigmail 1.5.2« erscheinen. Nach dem Klick auf »Installieren« und einem Neustart von Thunderbird ist die Software startbereit. Im Menü erkennen Sie das an dem neuen Punkt »OpenPGP« .

Abbildung 2: Enigmail für Thunderbird rüstet die fehlende GnuPG-Unterstützung für den frei verfügbaren E-Mail-Client nach.

Enigmail hat eine Schlüsselverwaltung eingebaut. Sie greift auf die gleichen Schlüssel zu wie etwa Kleopatra oder GPGTools. Sie können also durchaus mal die eine und mal die andere Verwaltung verwenden. Die Schlüssel liegen bei Linux und Mac OSX in ».gnupg« im Home-Verzeichnis, unter Windows 7 in »Appdata\Roaming\gnupg« .

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023