Mailverschlüsselung ganz einfach

In weniger als einer Stunde zu sicherem Mailverkehr

1.     Inhalt – worum geht’s hier?

2.     Zielgruppe – kann ich was damit anfangen?

3.     Was ist Verschlüsselung gleich noch mal?

4.     Grundwissen - Das Prinzip von Verschlüsselung

5.     S/MIME oder PGP – was soll ich nehmen?

6.     Was brauche ich für S/MIME?

7.     Was brauche ich für PGP?

 

1.     Inhalt – worum geht’s hier?

Dass „normale“ Mails alle unverschlüsselt, also offen zugänglich übers Internet gehen, ist hinlänglich bekannt. Die damit verbundenen Gefahren werden in der Öffentlichkeit erst seit den jüngsten Vorfällen thematisiert und wenn überhaupt, der einzige Schutz davor –  nämlich Verschlüsselung – sehr oft zur Expertensache deklariert. Doch so kompliziert ist das gar nicht!

Diese Beschreibung ist der Versuch, das Thema Mailverschlüsselung vereinfacht für Anfänger verständlich zu machen, so dass diese es rasch und mit möglichst geringem Aufwand einsetzen können. Der Focus liegt dabei auf einer sinngemäßen Anleitung - WAS brauche ich und WO bekomme ich es.

2.     Zielgruppe – kann ich was damit anfangen?

Sie setzen auf Sicherheit vor fremdem Zugriff und auf Privatsphäre im Mailverkehr.

Sie wollen sicher gehen, dass den Inhalt Ihrer Mails wirklich nur der Sender und der Empfänger kennen. 100% Vertraulichkeit garantiert!

 

Sie sind zwar Laie, haben aber allgemeine Grundkenntnisse im Umgang mit PC und Programmen. D.h. Sie wissen, wie man etwas downloadet und sind auch in der Lage, an Ihrem PC etwas zu installieren (z.B. ein neues Programm) und auch zu konfigurieren (Einstellungen vornehmen). Im Idealfall haben Sie z.B. ihr Mailprogramm selbst installiert und konfiguriert.

3.     Was ist Verschlüsselung gleich noch mal?

Mit Verschlüsselung werden Daten (Text oder auch Zahlen) zum Schutz vor Missbrauch mathematisch so verändern, dass sie praktisch unleserlich werden und der ursprüngliche Inhalt nur mit dem passenden Schlüssel wieder lesbar gemacht werden kann. Wenn man nicht im Besitz „des Schlüssels“ ist, kann man nach heutigem Stand meist gar nicht, oder nur mit einem Riesenaufwand die Daten wiederherstellen. Riesenaufwand heißt: viele Wochen Rechenzeit mit vielen Großrechnern gleichzeitig – also schon sehr sicher.

4.     Grundwissen - Das Prinzip von Verschlüsselung

Zum Verschlüsseln gibt es viele gängige Methoden, das Prinzip ist jedoch immer gleich:

Aus den drei Ausgangsgrößen

a)      Nutzdaten (z.B. Klartext einer Mail)

b)      eine Rechenmethode (Algorithmus)

c)      einen geheimen Schlüssel zur Methode (Key – das ist eine lange Zahlenreihe)

macht man

d)      die verschlüsselten Daten (Chiffrat)

 

 

Natürlich geht das ganze auch umgekehrt beim Entschlüsseln (gelbe Pfeile). Dieses Verfahren nennt man symmetrisch.

 

Wenn man jetzt eine Mail vor dem Senden verschlüsseln will und der Empfänger soll sie wieder entschlüsseln, dann stellt sich die Frage:

Wie bringen wir den Schlüssel sicher vom Sender zum Empfänger?

Um das zu lösen gibt es eine geniale Erfindung: Das Schlüsselpaar (key pair)

Das Paar besteht aus:

a)      einem öffentlichen Schlüssel (public key)

> jeder darf ihn haben

> damit kann man nur verschlüsseln[1]

b)      einem privaten Schlüssel (private key)

> der muss geheim bleiben

> damit kann man nur entschlüsseln2

 

Jeder Teilnehmer hat also ein Schlüsselpaar. Wenn ich meinem Partner eine verschlüsselte Mail schicken will, brauche ich seinen öffentlichen Schlüssel und umgekehrt. Diese Technik ist asymmetrisch und wird als Public-Key-Verfahren bezeichnet.

In der Praxis läuft das alles meist automatisch im Hintergrund des Mailprogramms ab und man muss sich nicht weiter darum kümmern ob und welcher Schlüssel verwendet wird.

 

1.     S/MIME oder PGP – was soll ich nehmen?

Nun zu einem wichtigen Thema. Es gibt zum Mailverschlüsseln zwei verbreitete Technologien (S/MIME und PGP). Beide funktionieren nach dem oben beschriebenen Prinzip. Sie sind leider nicht kompatibel, man kann sie aber parallel nutzen.

Auf die jeweiligen Vor- und Nachteile können wir hier nicht eingehen, nur soviel zum Unterschied:

 

-         S/MIME ist in den meisten Mailprogrammen (Clients) bereits integriert. Man kann die Schlüssel aber leider nicht selbst erstellen, sondern ist auf eine sog. Zertifizierungsagentur (Trustcenter) als zentrale Organisation angewiesen. Für den rein privaten Gebrauch ist dieser Dienst meist kostenlos, aber jährlich neu zu beantragen

 

-         PGP ist zusätzlich zu installieren, die Schlüssel generiert man dann aber selbst. Das ganze ist in jedem Fall unabhängig von zentralen Instanzen und zudem kostenlos. Außerdem ist PGP universeller einsetzbar (nicht nur für Mail) und daher im privaten Umfeld auch eher verbreitet

 

Der Zeitaufwand S/MIME oder PGP einzurichten, ist in etwa der gleiche.

Folgende Punkte sollen dabei helfen zu entscheiden, in welche Richtung Sie starten:

>    Wenn einer Ihrer Kommunikationspartner bereits PGP oder S/MIME nutzt, sollten Sie das gleiche Prinzip verwenden, das ist klar
>    Wenn Sie oder Ihr Kommunikationspartner nur minimale Veränderungen am System zulassen wollen oder dürfen, dann starten Sie doch einfach mal mit S/MIME. Es gilt als sehr systemkonform im Windows Umfeld.
>    Vertrauen Sie nur einer unabhängigen Lösung? Nutzen Sie bereits Thunderbird als Mailclient? Nutzen Sie Mail an mehreren (auch fremden) Rechnern oder sind Sie gar Linux Nutzer?  Dann sei an dieser Stelle auf jeden Fall PGP empfohlen.
Am besten ist es natürlich, Sie machen sich mittelfristig mit beiden Ansätzen vertraut. Diese Anleitung will auch beide Technologien behandeln. An dieser Stelle lässt es sich aber auch nicht vermeiden, auf die jüngsten Inhalte allseits bekannter Enthüllungsplattform und die dadurch aufgeworfenen öffentlichen Debatten hinzuweisen. Dies – man mag das nachsehen – lässt die Neutralität dieser Anleitung mitunter in Schieflage geraten.

2.     Was brauche ich für S/MIME?

Vorweg: Bei S/MIME heißen die Schlüssel nicht Schlüssel, sondern „Zertifikate“.

Genauer: X.509 Zertifikate. Auch hier gibt es öffentliche Zertifikate (zum Verschlüsseln) und persönliche (geheime) Zertifikate (zum Entschlüsseln[2]). Das System folgt einem streng hierarchischen Vertrauensprinzip (Trust) und daher werden die Zertifikate von sog. Zertifizierungsstellen (CA) ausgestellt.

Die folgenden Schritte setzen voraus dass Ihr Mailprogramm S/MIME unterstützt. Das ist aber bei den meisten Mailclients der Fall. Sie erkennen es daran, dass Sie in den Optionen etwas über Zertifikate finden. Das kann dann z.B. so aussehen (hier ein Zertifikat-Manager von Outlook Express):

 

 

Wie man sieht, ist Eigene Zertifikate noch leer.

Vielleicht haben Sie schon S/MIME signierte Mails von anderen erhalten. Dann sollten sie deren (öffentliche) Zertifikate bei Andere Personen finden.

Nun zu Ihrem eigenen Zertifikat in fünf Schritten:

 

1.      Im Internet bei einem Trustcenter ein kostenloses Zertifikat beantragen

2.      Zertifikat über Browser installieren

3.      Zertifikat prüfen + sichern

4.      Im Mailprogramm S/MIME Einstellungen prüfen

5.      Signierte Mail verschicken

 

1+2:

Gehen Sie auf trustcenter.de[3] und bestellen sie dort ein Zertifikat. Das Produkt heißt dort TC Internet ID. Sie bekommen nach der Anmeldung eine Mail mit einem Link über den dann das Zertifikat installiert wird. Für den Fall, dass Sie ihr Zertifikat sperren lassen wollen, müssen Sie ein Sperr-Passwort vergeben.

 

3:

Öffnen Sie in Ihrem Browser (Optionen…) den Zertifikat-Manager. Ihr eigenes Zertifikat müsste nun dort auftauchen. Sichern Sie das Zertifikat über die Exportfunktion an einen sicheren Ort incl. Ihres privaten Zertifikats. Eventuell müssen wir es noch ins Mailprogramm importieren. Beim Exportieren müssen Sie ein Passwort vergeben, da auch ihr geheimes Zertifikat mit exportiert wird.

 

 

4:

Öffnen Sie in Ihrem Mailprogramm den Zertifikat-Manager. Sollte Ihr eigenes Zertifikat nicht auftauchen, importieren Sie es über die Importfunktion. Des Weiteren können Sie in den Optionen des Mailprogramms einstellen, dass Sie alle ausgehenden Mails verschlüsseln und signieren2 wollen. Das sollten Sie aktivieren.

 

 

5:

Senden Sie jetzt ihre erste signierte Mail!

Dadurch bekommt der Empfänger ihr Zertifikat und kann Ihnen eine verschlüsselte Mail schicken.

Signierte Mails sehen im Outlook z.B. so aus:

 

Viel Erfolg!

3.     Was brauche ich für PGP?

Vorweg: Wenn im Folgenden von PGP die Rede ist, ist GnuPG (oder auch open-PGP) gemeint. Das ist die kostenlose und freie Variante (GNU Lizenz!) vom mittlerweile kommerziellen PGP. Programm und Funktionen sind modular aufgebaut und existieren daher in unterschiedlichen Varianten, was immer gern für Verwirrung sorgt.

Grundsätzlich braucht man aber immer folgendes „ABC“:

 

A.     GnuPG. Das eigentliche Programm für den PGP-Algorithmus. Keine Wahl, ohne das läuft gar nichts…

B.     Eine GUI: also eine grafische Benutzeroberfläche für GnuPG. Die brauchen wir schon, um Schlüssel zu erstellen und zu verwalten. Hier wird die Auswahl schon größer…

C.     Einen Mailclient (Mailprogramm), der PGP unterstützt. Hier wird die Auswahl wieder kleiner…

 

Bei Linux ist dieses ABC übrigens schon enthalten.

Generell lässt sich sagen, dass man mit jedem Mailprogramm PGP nutzen kann, denn die Palette der Möglichkeiten mit Modulen und Funktionen ist groß. Geht nicht, gibt’s also nicht.

In dieser Anleitung behandeln wir aber folgende schlanke Lösung:

 

A+B:

Wir installieren GnuPG (A) und WinPT (B). Das ganze geht in einem Aufwasch über einen Installer Namens GnuPT

 

C:

Wir verwenden als Mailclient Thunderbird[4] und installieren dazu die Erweiterung (add-on) Enigmail. Enigmail macht Thunderbird sozusagen „PGP-ready“ und enthält im Übrigen auch eine GUI (B) für GnuPG

 

Für alle, die noch kein Thunderbird nutzen:

Thunderbird4 gilt als eines der komfortabelsten und sichersten Mailprogramme. Es sei daher unabhängig von obigem Thema heiß empfohlen. Weitere Schritte in diesem Abschnitt setzten Thunderbird voraus. Machen Sie sich jetzt damit vertraut! Installieren Sie es einfach zusätzlich zu ihrem jetzigen Mailprogramm. Download unter mozilla.org/de/thunderbird.

 

Hier nun der Weg zu PGP in fünf Schritten:

 

1.      GnuPG + WinPT mittels GnuPT installieren (A+B)

2.      Schlüssel erstellen und sichern

3.      Verschlüsselung testen

4.      Enigmail installieren und konfigurieren

5.      Signierte Mail versenden

 

1+2:

Gehen Sie auf installer.gnupt.de, laden Sie GnuPT herunter und starten Sie den Installer.

Im Verlauf werden Sie auch gleich aufgefordert, ein Schlüsselpaar zu erstellen. Dazu werden Namen und Mailadresse und eine Passphrase für den Zugriff auf den geheimen Schlüssel benötigt.

Unten rechts (im Systray) sollte jetzt etwa dieses WinPT-Icon auftauchen:

Wenn Sie darüber die Schlüsselverwaltung öffnen, sollten darin Ihr Schlüsselpaar und der öffentliche Schlüssel des GnuPT-Projektes auftauchen. Sichern sie nun Ihren Schlüssel (auch ihren privaten!) mittels der Exportfunktion im Menü an einen sicheren Ort. Mittels  Rechtsklick können Sie ihren öffentlichen Schlüssel auch an einen Schlüsselserver senden. Er verteilt sich von dort über alle Keyserver weltweit, so dass ihn jeder abrufen kann. Alternativ verschicken Sie Ihren Schlüssel per Mail. Bedenken Sie, dass man einen Schlüssel nicht mehr von den Keyservern löschen kann. Man kann ihn aber jederzeit für ungültig erklären oder warten, bis er abläuft (sofern mit Ablaufdatum versehen).

 

3:

Testen Sie nun die Verschlüsselung von Text, indem Sie mittels Word oder Editor ein paar Zeilen schreiben.

 

 

Mittels Rechtsklick auf WinPT-Icon > aktuelles Fenster > Verschlüsseln können Sie den Text schon mal mit ihrem eigenen public key verschlüsseln. Das Ergebnis könnte so aussehen.

 

 

Im Prinzip könnten Sie damit schon Mails mit PGP verschlüsseln. Doch es wäre etwas umständlich. Besser läuft das automatisch im Hintergrund mit Enigmail zu Thunderbird.

 

4:

Installieren Sie in Thunderbird das add-on Enigmail. Geben Sie es einfach direkt in Thunderbird  > Extras > add-ons als Suchbegriff ein und laden Sie es herunter.

Anschließend sollten Sie in Thunderbird > OpenPGP > Schlüsselverwaltung jetzt wieder ihre Schlüssel vorfinden. Den Rest der Einstellung (nämlich Ihr Mailkonto mit Ihrem Schlüssel verknüpfen) machen wir am einfachsten über:

 

5:

Senden sie eine signierte Mail an irgendeinen Freund oder auch an Sie selbst.

Dazu benutzen sie den jetzt neuen Button OpenPGP.

 

 

Wenn jetzt noch kein Schlüssel mit Ihrem Mailkonto verknüpft ist (das sollte der Fall sein), können sie das jetzt einstellen.

 

 

 

Beim Signieren wird (wie auch beim entschlüsseln) auf ihren privaten Schlüssel zugegriffen. Es wird daher nach dem Passwort für den priv. Key gefragt.

PGP/MIME (nicht zu verwechseln mit S/MIME!) ist zu empfehlen. Es werden dann Anlagen gleich mit verschlüsselt / signiert. Lässt sich alles aber auch fest einstellen: OpenPGP > Einstellungen. Die verschiedenen Funktionen erkunden Sie am besten durch Ausprobieren.

 

Viel Erfolg!

 


[1] …und Signaturen prüfen. Darauf wollen wir hier aber nicht näher eingehen.

 

[2] …und zum Signieren. Darauf wollen wir hier aber nicht näher eingehen. Nur soviel: Signaturen gewähren, dass die Email wirklich vom Sender stammt und auf dem Weg nicht verändert wurde. Beim Signieren mit S/MIME wird das eigene öffentliche Zertifikat meistens gleich mitgeschickt, so dass es der Empfänger zum Verschlüsseln verwenden kann.

 

[3] Alternative Zertifizierungsagenturen: comodo.com; startssl.com

 

[4] www.thunderbird-mail.de oder www.mozilla.org/de/thunderbird