Tipps & Tricks 19.08.2013, 14:02 Uhr

E-Mail-Verschlüsselung: erste Schritte

Eine E-Mail kann auf ihrem Weg zum Empfänger verändert, mitgelesen oder auch falsch signiert sein. Gerne geben wir Ihnen nachfolgend eine kompakte Anleitung, die Ihnen den Einstieg zur E-Mail-Verschlüsselung erleichtern soll.
Erwarten Sie nicht oder verlangen Sie nicht von allen Ihren Angehörigen, ab jetzt nur noch verschlüsselt zu kommunizieren. Da werden Sie sich unter Umständen nicht nur Freunde machen. Dennoch kann es sich lohnen, Personen, mit denen Sie wirklich nur sehr vertrauliche Informationen austauschen, das System der E-Mail-Verschlüsselung zu erklären. Eine Möglichkeit, E-Mail-Verschlüsselung auf komfortable Weise zu nutzen, bietet der Thunderbird E-Mail Client in Kombination mit der OpenPGP-Erweiterung Enigmail. Dann braucht es nur noch die eigentliche Verschlüsselungs-Software: GnuPG. 

Zuerst ein bisschen Theorie

OpenPGP ist ein standardisiertes Datenformat für verschlüsselte Daten. Zwei der Hauptanwendungen sind die Signierung und die Verschlüsselung von E-Mail. Dabei setzt OpenPGP auf ein hybrides Verschlüsselungssystem mit Kombination von symmetrischer und asymmetrischer Verschlüsselung. Bei einer symmetrischen Verschlüsselung verwenden beide Teilnehmer den gleichen Schlüssel, während bei einem asymmetrischem System beide kommunizierende Parteien keinen gemeinsamen (geheimen) Schlüssel kennen müssen: Ein Benutzer erzeugt hier in der Regel ein Schlüsselpaar, das aus einem geheimen Teil (einem so genannten privaten Schlüssel) und einem für den vorgesehenen Empfänger nicht geheimen Teil (einem öffentlichen Schlüssel) besteht. Der öffentliche Schlüssel ermöglicht es jedem, der ihn hat, Daten für den vorgesehenen Empfänger zu verschlüsseln. Schlussendlich ermöglicht aber erst der private Schlüssel seinem Inhaber empfangene Mails zu entschlüsseln und digitale Signaturen zu erzeugen, damit gegenseitige Authentifizierung gewährt ist. Auf den privaten Schlüssel darf nur der Eigentümer Zugriff haben.

Thunderbird einrichten

Einfach mal Namen mit Mailkonto und Passwort eingeben und schon ist ein bestehenes Mailkonto hinzugefügt
Zunächst installieren Sie Thunderbird, doppelklicken die Datei nach dem Download zur Installation. Der Thunderbird-Installationsassistent wird Sie durch die Installation führen. Einfach alles mit Weiter bestätigen, danach sollte Thunderbird neu gestartet werden. Nun können Sie E-Mail-Konten oder auch Newsgroups und RSS Feeds integrieren. Wählen Sie einfach mal E-Mail und OK. Die nächste Aufforderung können Sie überspringen, weil Sie am liebsten existierende E-Mail-Konten über den Browser Client verwalten wollen. Bei der Konto-Einrichtung können bequem E-Mail-Konten hinzugefügt werden, ohne dass lange die Ein- und Ausgangs-Server-Einstellungen gesucht werden müssen. Einfach dem oder den Konto/Konten Namen zuweisen und per Login-Daten Konto/Konten suchen lassen und hinzufügen. 
Lesen Sie weiter auf der nächsten Seite: weitere Schritte

weitere Schritte

Hier geht's zum Add-Ons-Manager von Thunderbird
Nun ist die eigentliche Verschlüsselungs-Software GnuPG an der Reihe: Am besten Sie schliessen Thunderbird kurz, klicken sich durch den Installationsassistenten von GnuPG und bestätigen auch hier alles wieder mit Weiter und Fertigstellen. Was jetzt nur noch gebraucht wird, ist die Enigmail-Erweiterung für Thunderbird, damit der Thunderbird Client die PGP-Schnittstelle auch unterstützt. Diese Erweiterung können Sie ganz einfach, innerhalb von Thunderbird, über den Add-Ons Manager von Thunderhird hinzufügen. (Den Add-Ons Manager von Thunderbird finden Sie ganz rechts oben, indem Sie auf das «gestrichelte» Menü unterhalb des Exit-Feldes klicken und dann auf «Add-Ons» gehen.)  
Nun sind Sie schon (fast) bereit für die erste verschlüsselte E-Mail... 

Erinnern wir uns nochmals an des Konzept der Schlüssel

Welchen Schlüssel soll Alice verwenden, um die Mail von Bob lesen zu können? Es muss ein Schlüssel sein, den nur sie selbst besitzt und sonst niemand. Schliesslich soll nur Alice die Mail lesen können. Gibt es einen solchen Schlüssel? Natürlich gibt es den: Es ist Alices privater Schlüssel.
Damit Bob verschlüsselt an Alice senden kann, hat Alice ihren öffentlichen Schlüssel allseits bekannt gemacht. Daher kann Bob ihn problemlos verwenden und damit seine Mail an Alice verschlüsseln.
Für die Antwort von Alice an Bob gilt das Gleiche: Alice benötigt Bobs öffentlichen Schlüssel für das Verschlüsseln der Nachricht. Bob verwendet seinen privaten Schlüssel, um zu lesen, was Alice ihm schreibt.

Noch ein Konzept: die digitale Signatur

Ein zweites Konzept ist ebenfalls interessant: die digitale Signatur. Damit wird die Echtheit von Schlüsseln sichergestellt. Schickt Alice eine E-Mail an Bob und signiert sie digital, kann Bob die empfangene Mail nicht mehr verfälschen. Umgekehrt kann Alice später nicht abstreiten, diese Mail mit genau diesem Inhalt geschickt zu haben. Auch ein Angreifer, der die Mail unterwegs abfängt, kann sie nicht verändern, ohne dass dies auffällt. Zum Signieren einer E-Mail benötigt der Absender seinen eigenen privaten Schlüssel. Zum Überprüfen einer Signatur benötigt der Empfänger den öffentlichen Schlüssel des Absenders.
Lesen Sie auf der letzten Seite: die erste verschlüsselte E-Mail

Zum Verschlüsseln, Entschlüsseln, zum Signieren ...

Zum Verschlüsseln, Entschlüsseln, zum Signieren und Prüfen von Signaturen benötigen Sie ein Schlüsselpaar, also einen privaten und einen zugehörigen öffentlichen Schlüssel.
Zunächst wird ein neues Schlüsselpaar für das Mail-Konto angelegt
Zunächst werde ich für uns beide, nämlich für mich und Alice, ein neues Schlüsselpaar bestehend aus privatem und öffentlichem Schlüssel anlegen. Dazu gehe ich im E-Mail-Verfassungsfenster (oder bei Einstellungen/OpenPGP) auf den Reiter OpenPGP, auf OpenPGP-Schlüssel verwalten, dann auf Erzeugen, Neues Schlüsselpaar.
Sollten Sie wirklich: Ihr erstes Schlüsselpaar durch ein sicheres Passwort schützen ..
Es empfiehlt sich, das Schlüsselpaar zusätzlich durch eine Passphrase zu schützen, die nur Sie kennen. Das Häkchen bei Schlüssel zum Unterschreiben verwenden können Sie so lassen. Dann werden Sie noch aufgefordert,ein Widerrufszertifikat anzulegen, damit bei Bedarf der öffentliche Schlüssel wieder für ungültig erklärt werden kann, falls Sie Ihren privaten Schlüssel mal verlieren. Dies wird nach Aufforderung ihres Passworts als Datei angelegt und sollte an einem sicheren Ort aufbewahrt werden (wie Stick/Diskette). Beim Ablauf-Datum würde ich wählen, dass der Schlüssel nie abläuft. 

Schlüssel austauschen

Will ich nun Alice eine verschlüsselte Mail senden, muss Alice zuerst meinen öffentlichen Schlüssel kennen. Dafür muss ich, Bob, lediglich beim Verfassen unter dem Menüpunkt OpenPGP Öffentlichen Schlüssel anhängen aufrufen, um ihn ihr zu schicken. (Alice benötigt natürlich auch eine OpenPGP-Lösung. Zufällig hat auch sie ein gutes GnuPG-Paket für ihren Mac E-Mail Client installiert. Würde sie verschlüsselte Mails nur webbasiert aufrufen, geht natürlich nichts.) Alice hat inzwischen ebenfalls ein Schlüsselpaar erzeugt. Wenn nun die E-Mail von Bob bei Alice eintrifft, kann Alice mit Rechtsklick auf den Anhang der Mail klicken, worauf sich ein Kontextmenü öffnet. Alice wählt darauf OpenPGP-Schlüssel importieren. Enigmail sollte dann den erfolgreichen Import von Bobs Schlüssel bestätigen. Auch Bob sollte zunächst den öffentlichen Schlüssel von Alice importieren.
Nachdem Sie gegenseitig die öffentlichen Schlüssel voneinander importiert haben, können Sie per Klick auf das Schloss die Nachricht verschlüsseln und unterschreiben ..
Jetzt können Sie, zumindest mit dieser Person, verschlüsselt kommunizieren, indem Sie nach Verfassen einer neuen Nachricht an Alice oben auf das OpenPGP-Schloss klicken und Nachricht unterschreiben und Nachricht verschlüsseln wählen. Die Nachricht ist nun komplett verschlüsselt. Selbst wenn jemand (z. B. via Web) auf Ihr Mailkonto kommt, kann er mit dieser Nachricht nichts anfangen, er würde nur wirres Zifferngemüse sehen beim Öffnen der Nachricht. 

Autor(in) Simon Gröflin



Kommentare
Avatar
Juerg Schwarz
20.08.2013
Ich habe mich heute mal mit der digitalen Signierung beschäftigt und habe heraus gefunden, dass die Firma Trust verkauft wurde und nun ein Zertifikat rund 23Dollar pro Jahr kostet. Was gibt es, ausser neu Symantec, für Outlook 2013 noch für eine Alternative? Ich bin nämlich absolut kein Fan von Thunderbird :) Einen sehr guten Artikel findest du auch hier. http://www.itemis.de/itemis-ag/unternehmen/publikationen/fachartikel/language=de/29853/sichere-e-mail-kommunikation-mit-openpgp Thunderbird Fan hin oder her. Wirst wohl kaum dran vorbei kommen, wenn du den Standard benutzen willst. Denke dabei auch an deine Email Empfänger.

Avatar
Teetee
20.08.2013
Thunderbird ist kein Standard, wird nur häufig benutzt. Es gibt viele e-mail Programme, die mit Verschlüsselung klarkommen. Wenn Du bei http://GPG4win.de nachsiehst, kannst Du mit Claws mail einen gleichwertigen e-MailClient installieren. GPG4win kann auch Outlook bis 2007 einschließlich mit GPG oder SMime verschlüsseln. Dabei ist es unerheblich, welches Mailprogramm der Empfänger hat, wichtig ist nur, der Empfänger kann Mails ( die mit PGP/GPG oder Mime verschlüsselt sind) entschlüsseln.

Avatar
gucky62
20.08.2013
Die neue Beta von gpg4win kann nun auch mit Outlook 2010 was anfangen. Die Funktionen des Plugins sind zwar noch etwas rudimentär, scheint aber schon zu tun. Ansonsten gibt es noch ein ein weiteres Plugin für Outlook 2010, dieses ist jedoch ebenfalls noch Beta udn hat diverse Einschränkungen. Sonst gibt es noch die kommerzielle PGP Variante oder Mailclients für welche es entsprechende Plugins gibt (Z.B. Thunderbird, usw.) Gruss Daniel

Avatar
rom@n
01.09.2013
Ich hatte mit Gpg4win und Outlook 2007 nur Ärger und bin darum auf Thunderbird umgestiegen. Seither klappt alles wunderbar.

Avatar
aandima
13.09.2013
Einfacher Datenaustausch Verschlüsselt, mit Passwort Sofern Absender und Empfänger beide in der Lage sind ihre Software auf kompatible Verschlüsselung zu konfigurieren, ist das beschriebene Vorgehen gut geeignet. Nun haben die Meisten aber das Problem dass wenige Empfänger vorbereitet sind auf solche Übertragungen. Was kann man da tun ohne den Partner zu nerven? Ich selbst schreibe dann meinen Text in Notepad oder Winword und verschlüssle und verpacke es dann mit der Freeware 7-Zip. Daselbe kann man natürlich auch mit anderen Dokumenten tun. Neben der Verschlüsselung ist alles dann auch auf minimale Grösse reduziert. Nebenbei ist es möglich die Dateien aufzuteilen und so in mehreren kleinen e-mail zu schicken. http://de.wikipedia.org/wiki/7-Zip#Verschl.C3.BCsselung Sodann versende ich 7-zip (oder den download Link von 7-zip) und die gepackte Datei an den Empfänger, und sende danach das Passwort per SMS.

Avatar
multi-os
04.09.2014
prozess Sofern Absender und Empfänger beide in der Lage sind ihre Software auf kompatible Verschlüsselung zu konfigurieren, ist das beschriebene Vorgehen gut geeignet. Sehe ich auch so. Finde aber, das dabei möglichst wenig Software zum Einsatz kommen sollte. Eine zusätzliche Kompmrimierung ist sicherlich für grosse Dateien nützlich, doch alleine für Texte und einfache Grafiken heute kaum mehr von Vorteil. Der Aufwand steigt natürlich bei umso höherem SicherheitsAnspruch. Das reicht bis hin zur fragmentierten Übertragung von Dokumenten. Je höher der SicherheitsAnspruch, desto konsequenter sollte man sich aber auch der PC's widmen. Denn beste Verschlüsselungstechnik hilft langfristig nicht viel, wenn ein PC anfällig ist. Auch in Sachen E-Mail erweist es sich wieder einmal mehr, dass Sicherheit kein Zustand, sondern ein Prozess ist.