E-Mails verschlüsseln und digital signieren

GnuPG
closeDieser Beitrag wurde vor 6 jahr 2 monat 13 tag veröffentlicht. Die Informationen in diesem Beitrag sind möglicherweise veraltet. Bitte benutze die Suche oder das Archiv, um nach neueren Informationen zu diesem Thema zu suchen.

GnuPGIn letzter Zeit bekomme ich immer wieder Nachfragen, was es mit den Anhängen an meinen E-Mails auf sich hat. Den sieht man, wenn der Mail-Client kein GPG unterstützt.

Ich signiere alle von mir versendeten E-Mails mit einem digitalen Schlüssel, und Mails an Freunde mit einem eigenen Schlüssel werden auch verschlüsselt. Der Vorteil ist, dass ich als Absender der Mail bestätigt bin, wenn die Mail mit meinem Schlüssel signiert ist. Und verschlüsselte Mails können von unberechtigten Dritten, die die Mail vielleicht unterwegs abfangen, nicht gelesen werden.

Was braucht man dafür?

Als erstes installiert man einen MUA, der GnuPG unterstützt. Das ist in erster Linie Thunderbird, den es für alle Plattformen gibt. Aber auch M$ Outlook unterstützt die Schlüssel, und eigentlich alle Mail-Clients aus der Linux/Unix-Welt. Auch deren Portierungen auf Windows. Und für das Webinterface von Google Mail gibt es die Firefox-Erweiterung „FireGPG“, um den Schlüsselbund auch dort nutzen zu können 1. Der Mail-Client im Opera-Browser, oder das bei einigen beliebte Incredi-Mail unterstützen GnuPG nicht.

Dann muss natürlich GnuPG selbst installiert sein, und man muss sich ein Schlüsselpaar generieren.

Wie macht man das?

Nachdem alles installiert ist, benötigt man in Thunderbird noch die Erweiterung „Enigmail“, die bei einigen Linux-Distributionen über den Paketmanager installiert werden kann, oder man läd sie selbst herunter und installiert sie manuell. Ich beschreibe hier die Vorgehensweise mit Thunderbird.

Schlüsselpaar generieren

Im Thunderbird-Hauprfenster findet man nach der Installation der Enigmail-Erweiterung den Menüpunkt „OpenPGP“. Klickt man diesen an, gibts dort den Punkt „OpenPGP-Assistent“. Für die Ersteinrichtung sollte der Assistent das Mittel der Wahl sein. Ich habe den eben noch mal durchgeklickt, und es muss eigentlich nur auf „Weiter“ geklickt werden.

Wenn es dann an das generieren eines Schlüsselpaares geht, wählt man die Mail-Adresse aus, für die das Paar gelten soll, und vergibt sich ein Passwort. Das sollte natürlich möglichst sicher sein, aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen, und mindesten 8 Zeichen lang sein.

Während das Schlüsselpaar generiert wird, soll man mit der Maus ein wenig im Internet herumklicken, da der Schlüsselgenerator so besser und schneller arbeiten kann.

Anschließend hat man einen privaten und einen öffentlichen Schlüssel. Der private bleibt natürlich privat, er dient später zum Signieren von Mails, und zum Entschlüssen von Mails, die man verschlüsselt bekommt. Der öffentliche Schlüssel sollte auf einen Schlüsselserver im Internet hochgeladen werden. Auf welchen ist egal, da sie Server untereinander synchonisieren. Dazu wählt man den Menüpunkt „OpenPGP -> Schlüssel verwalten&ldquo, um die Schlüsselverwaltung aufzurufen. Zu Anfang findet ihr hier nur euren eben generierten Schlüssel, später sammeln sich hier auch die öffentlichen Schlüssel eurer Mailpartner. Klickt euren Schlüssel mit rechts an, und wählt im Kontextmenü „Auf Schlüsselserver hochladen…“. Das nachfolgende Fenster betätigt einfach mit OK. Außerdem wird ein Zertifikat erstellt, mit dem man den Schlüssel bei Bedarf widerrufen kann.

E-Mails signieren

Neue Mail

Diese Mail wird digital signiert

Wenn ihr nun eine neu E-Mail verfasst, gibts in der Statusleiste zwei neue Icons: Einen Stift und einen Schlüssel. Der Stift sollte gelb leichten, als Zeichen, dass die Mail signiert wird. Ist das nicht der Fall, klickt einmal auf den Stift, um ihn zu aktivieren. Oder um ihn zu deaktivieren, falls ihr mal eine Mail nicht signieren wollte. Das war auch schon alles, was zum Thema Signieren zu sagen ist. Beim Absenden der Mail wird nun das Passwort für den Schlüssel abgefragt, welches auch nicht gespeichert werden kann. Ihr habt maximal die Möglichkeit, Das „Vergessen“ des Passwortes ein paar Minuten zu verzögern. Das macht Sinn, wenn man direkt hintereinander mehrere Mails schreiben will.

Wenn man signierte Mails bekommt, zeigt das Übersichtsfenster einen gelben Balken an, mit dem Hinweis, dass die Mail digital signiert ist. Klickt man dann rechts auf „Details“, kann man den öffentlichen Schlüssel des Absenders herunterladen und seinem Schlüsselbund hinzufügen. Vorausgesetzt natürlich, der Schlüssel liegt auf einem der Server.

Signierte Mail

Die Signatur dieser Mail wurde als gültig erkannt


Ein erfolgreicher Schlüsselimport wird neben einem Hinweisfenster mit einem grünen statt einem gelben Balken signalisiert. Der grüne Balken bedeutet dann, dann man den zur Signatur gehörigen öffentlichen Schlüssel in seinem eigenen Schlüsselbund hat, und nach einem Vergleich damit die Signatur als korrekt und gültig erkannt wurde. Das „UNVERTRAUT“ bedeutet, dass ich den Schlüssel des Absenders nicht unterschrieben, also nicht gegengezeichnet habe. Dazu später mehr.

Wenn die Mail beispielsweise unterwegs manipuliert wurde, wird das erkannt, und mit einem roten Balken eine ungültige Signatur angezeigt. Das muss nicht unbedingt gleich heißen, dass da jemand Böses im Schilde führt, das kann auch durch das Anhängen eines Footers der Fall sein, wie es z.B. bei Mailing-Listen oft gemacht wird.

E-Mails verschlüsseln

Wenn ich nun eine E-Mail vorm Versand verschlüsseln möchte, benötige ich dazu den öffentlichen Schlüssel des Empfängers. Entweder habe ich den schon in meinem Schlüsselbund, oder der Empfänger hat mir seinen öffentlichen Schlüssel per Mail zugeschickt, oder ich muss mich auf die Suche machen. Durch Anklicken des Schlüssel-Symboles in der Statusleiste (siehe 1. Screenshot oben) aktiviert man die Verschlüsselung. Wenn der Empfänger bereits in das An-Feld der neuen Mail eingetragen ist, wird automatisch nach einem zu dessen Mailadresse passenden Schlüssel im Schlüsselbund gesucht. Wird keiner gefunden, oder werden mehrere gefunden, gibt es ein Auswahl-Fenster, in welchen der zutreffende Schlüssel ausgewählt werden kann. Der Empfänger der Mail entschlüsselt die Mail dann mit seinem privaten Schlüssel.

Wenn ich eine verschlüsselte Mail erhalte, fragt Thunderbird mich beim Öffnen der Mail nach dem Passwort für meinen Schlüssel. So ist sicher gestellt, dass nur ich die Mail lesen kann. Dabei ist es egal, ob ich die Mail im Vorschau-Fenster lesen will, oder in einem eigenen Fenster. Die entschlüsselte Mail auf dem Bildschirm kann natürlich jeder lesen, der auf den Bildschirm schauen kann. Nach dem Schließen der Mail wird das Passwort bei einem erneuten Öffnen wieder abgefragt.

Eine nicht entschlüsselte Mail stellt nur einen Buchstaben-Salat dar, mit dem eigentlich niemand etwas anfangen kann.

Schlüssel unterschreiben (lassen)

Der letzte wichtige Punkt ist das Unterschreiben der Schlüssel. Ich kann z.B. den öffentlichen Schlüssel eines Freundes unterschreiben, und so betätigen, dass es auch wirklich sein Schlüssel ist. Den unterschriebenen Schlüssel lade ich dann wieder auf den Schlüsselserver hoch, damit auch andere meine Unterschrift sehen können.

Es gibt mehrere Möglichkeiten, die Echtheit eines Schlüssels zu überprüfen: Zum einen kann ich, wenn mir der Inhaber persönlich bekannt ist, mir von ihm den digitalen Fingerabdruck des Schlüssels telefonisch oder per (verschlüsselter) Mail übermitteln lassen. Den Fingerabdruck findet man in den Schlüsseleigenschaften. Ich kann dann den Fingerabdruck vergleichen, und bei Übereinstimmung den Schlüssel unterschreiben.

Die andere Möglichkeit, die auch gerne auf so genannten Key-Signing-Partys genutzt wird, überprüft nicht nur den Schlüssel, sondern auch dessen Eigentümer. Die Identität wird mittels amtlichem Ausweisdokument überprüft, und ein Schriftstück mit dem Fingerabdruck des Schlüssels übergeben. Jetzt weiß der Gegenüber, wer ich bin, und kann meinen überprüfen. Damit er meinen Schlüssel bekommt, sende ich ihm nun eine signierte Mail. Im Gegenzug habe ich seine Identität mittels Ausweis überprüft, und unterschreibe nach Kontrolle des Fingerabdrucks auch seinen Schlüssel.

Jede Unterschrift eines Schlüssels erhöht dessen Vertrauenswürdigkeit. Einzig für amtliche Angelegenheiten, z.B. das Übersenden der Steuererklärung an das Finanzamt, haben die Schlüssel keine Bewandtnis. Der Grund liegt ganz einfach darin, dass der Schlüssel ohne amtliche Kontrolle erstellt und unterschrieben werden. Denn wer Böses im Schilde führt, kann auch einen ungültigen Schlüssel von seinen Komplizen unterschreiben lassen, um so die Vertrauenswürdigkeit scheinbar zu erhöhen.

Schlüsselstärke und Gültigkeit

Wenn man in Thunderbird den Assistenten benutzt, wird ein Schlüsselpaar mit ein einer Länge von 2048 Bit erstellt, welches 5 Jahre gültig ist. Nach Ablauf dieser 5 Jahre muss ein neues Schlüsselpaar generiert werden.

Der zeitliche Ablauf eines Schlüssels soll verhindern, dass ein gekaperter Schlüssel länger verwendet werden kann. Stellt man aber fest, dass jemand anders den eigenen Schlüssel unbefugt benutzt, sollte man nicht auf den Ablauf des Schlüssels warten, sondern ihn mit Hilfe des Widerrufs-Zertifikat umgehend für ungültig erklären.

Beim Erstellen des Schlüssels kann man auch noch die Schlüssellänge einstellen. Je länger, desto schwerer ist er zu knacken. Mit der Kombination Thunderbird/Enigmail lassen sich Schlüssellängen von 1024, 2048 (Standard), und 4096 Bit erstellen. Zudem lässt sich die Gültigkeit auch anders als die Standardeinstellung von 5 Jahren festlegen. Man kann auch einstellen, dass ein Schlüssel niemals abläuft. Ob das allerdings Sinn macht, möge jeder für sich selbst entscheiden.

Keep it Country, Markus

Notes:

  1. Update 13.04.2011, 9:30: Ich wurde über Twitter eben darauf aufmerksam gemacht, dass FireGPG das Google Mail Webinterface nicht mehr unterstützt, was diese Erweiterung in meinen Augen obsolet macht.

6 Kommentare

  1. Gucky

    Ganz schön kompliziert und umständlich… :o
    Ich habe selten Mails die so geheim sind, daß sie verschlüsselt werden müßten.
    Ausprobiert habe ich das schon mal. Hat auch alles funktioniert.
    Würde ich heute aber nur noch bei ganz wichtigen Mails machen.

    1. Markus (Twitter: ) (Beitrag Autor)

      Sooo kompliziert ist das nicht. Wenn das einmal eingerichtet ist, läuft das fast von allein. Bei mir geht Signatur immer raus, auch am Androiden, und die Verschlüsselung läuft über Empfängerregeln auch fast automatisch. Das erfordert zwar zunächst mal ein bisschen Konfigurationsaufwand, aber dann läufts recht komfortabel. :smoke:

  2. Pingback: Bloglinks KW15/ 11 – Mail, WordPress & Fun - Majeres.de

  3. Sabine

    Ich finde die hardware basierte eMail Verschlüsselung “ ScryptGuard Mail“ viel einfacher. Das USB System funktioniert per Plug & Play, hat ein eigenes eMail Programm und kann in Outlook integriert werden.
    Die Verschlüsselung ist ausserdem Ende-zu-Ende.

    1. Markus (Twitter: ) (Beitrag Autor)

      Ende zu Ende Verschlüsselung macht GnuPG auch, und das ist in die meisten Mailclients einzubinden.

      Eine Hardware-Lösung ist zwar meist sicherer, aber was wenn ich den USB-Key mal im Büro vergesse? Dann komme ich daheim nicht mehr an meine Mails. Schlimmer noch wenn die Hardware in falsche Hände gerät…

      Weiterer Punkt ist, dass ich so ein Teil erst mal kaufen muss, mit proprietären Lizenzen behaftet. GnuPG ist gratis und Open Source.

      Zudem will ich kein M$ Ausguck verwenden, sondern Thunderbird. Open Source eben, und neben der WinDOSe auch auf Linux und Mac einsetzbar.

      Fazit: Die Nachteile überwiegen bei der USB-Lösung, daher ist GnuPG vorzuziehen.

  4. Pingback: Dateien per PGP bequem mit Rechtsklick verschlüsseln | Waldstepper Blog

Kommentare sind geschlossen.

Wir verwenden Cookies, um unsere Webseite für Dich komfortabler zu machen. Mit der weiteren Nutzung unserer Seiten stimmst Du der Verwendung der Cookies zu.Akzeptieren