Wie kann ich E-Mails verschlüsseln ?

E-Mails werden im Klartext durch das Internet gesendet. Jeder, der die Mail abfängt, kann den Inhalt lesen. Daher müssen vertrauliche E-Mails verschlüsselt werden.
Ein de-facto Standard ist PGP (Pretty Good Privacy) bzw. dessen freier Abkömmling GnuPG.

Allgemeines

Die Übertragung von E-Mails kann man mit dem Versenden von Postkarten vergleichen: Jeder, der sie in die Hand bekommt, ob Postbote oder Zusteller, kann sie problemlos mitlesen. Aus diesem Grund verschickt man normale Post gewöhnlich, außer bei erwähnten trivialen Postkarten, lieber verschlossen als Brief. Selbst wenn der Inhalt objektiv betrachtet nicht besonders schützenswert scheint, ist er so nicht sichtbar.

Im Internet werden E-Mails an den Empfänger nicht direkt, sondern oft über zahlreiche Zwischenstufen zugestellt. Und bei jeder Zwischenstufe bestünde prinzipiell die Möglichkeit diese E-Mail mitzulesen. Wer dies nicht möchte, hat die Möglichkeit, eine E-Mail mit einem „besonders schützenden Briefumschlag“ zu versehen. Dieser verweigert Unbefugten auch mit größter Anstrengung diesen zu öffnen und die Mail zu lesen.

Das wohl bekannteste und erfolgreichste Verschlüsselungsprogramm ist PGP ( = Pretty Good Privacy, „ziemlich gute Privatsphäre“). Dies ist ein von Phil Zimmermann entwickeltes Programm zur Verschlüsselung und zum Unterschreiben von Daten.

Funktionsweise

Damit eine E-Mail „mitlessicher“ ist, muss diese vor dem Versand in geeigneter Form verschlüsselt werden. Solange der Unbefugte nicht weiß, wie diese zu entschlüsseln ist, kann er mit der E-Mail überhaupt nichts anfangen. Der autorisierte Empfänger kann die E-Mail jedoch dekodieren, da er den passenden Schlüssel dazu besitzt. Natürlich könnte ein Angreifer durch bloßes Versuchen (sog. brute force) den richtigen Schlüssel in Erfahrung bringen. Die Wahrscheinlichkeit diesen zu knacken ist so gering, dass selbst bei Zuhilfenahme von vielen sehr rechenstarken Computern der Prozess Jahre dauern würde. Im Durchschnitt kann ein Mensch einen aktuellen PGP-Schlüssel nicht im Laufe seiner Lebens entschlüsseln, weshalb diese Methode sehr verbreitet ist und als sehr sicher gilt.

PGP nutzt das sogenannte asymmetrische Verschlüsseln von Daten, d.h. jeder Benutzer besitzt ein eigenständiges Schlüsselpaar. Mit einem Schlüssel kann man die Nachrichten verschlüsseln und der andere Schlüssel ist ausschließlich für das Entschlüsseln zuständig.

Der Vorteil dabei ist: Man kann den Schlüssel zum Verschlüsseln der E-Mails frei im Internet preisgeben. Daher nennt man ihn auch den „öffentlichen Schlüssel“. Jeder, der nun Zugriff auf diesen Schlüssel hat, kann dieser Person verschlüsselte Nachrichten senden, eine verschlüsselte wieder sichtbar machen, d.h. dekodieren, kann er jedoch damit nicht.

Damit ist eine verschlüsselte E-Mail erstellt und wird dem Empfänger zugestellt. Dekodiert werden kann sie ausschließlich mit dem dafür vorgesehen Schlüssel. Man nennt ihn auch „privaten Schlüssel“. Dies ist der zweite Schlüssel des Schlüsselpaares. Aus diesem Grund darf man diesen Schlüssel auch niemals weitergeben, sondern sollte ihn besonders sicher aufbewahren!

Die Vorgehensweise des Ver- und Entschlüsselns wird in folgender Abbildung gezeigt:

 

PGP+Verschlüsselung

Installation von PGP

PGP ist für den privaten Gebrauch kostenlos. – Es gibt verschiedene Open-Source-Lösungen. Zum einen GNU-PG http://gnupg.org/index.de.html, die für verschiedene Plattformen Verschlüsselungssoftware, auf der Grundlage von PGP, anbieten. Zum Anderen findet man meist zu seinem geliebten E-Mail-Client auch häufig kostenfreie Plugins für PGP-Verschlüsselung. Für den E-Mail Client Thunderbird ist da zum Beispiel Enigmail zu nennen, für Outlook GPG4win und bei KMail ist dies etwas umständlicher aber auch mit GNUPG lösbar. Auch Lösungen für Mac OSX werden dort vorgestellt.

Installationsanweisungen für die Software gibt es meist auf den Seiten auf denen Sie diese runtergeladen haben oder direkt im Programm selbst. Während der Installation wird meist ein Schlüsselpaar, d.h. Ihr privater und Ihr öffentlicher Schlüssel erzeugt. Der private Schlüssel wird zusätzlich mit einer Passphrase versehen, die Sie während der Erzeugung angeben müssen und die den Schlüssel gegen eine Verwendung durch Dritte absichert. Diese Passphrase sollte nicht zu kurz und trotzdem gut einprägbar sein. Eine gute Methode ist eine Eselsbrücke, einen Satz zu generieren, denn zum Beispiel „Meine Oma fährt mit 86 Motorrad!“ ist eindeutig besser zu merken und auch einzugeben als „U8/*2Y5y!P“ (Groß/Kleinschreibung beachten!). Aber diese Passphrase ist beinahe genauso sicher.

Nachfolgend wird anhand vom Beispiel Thunderbird mit dem Plugin Enigmail, welches OpenPGP nutzt, die Konfiguration mit Hilfe des Assistenten gezeigt. Die Installation des Plugins bedarf hier keiner weiterer Erwähnung und kann von jedem problemlos vorgenommen werden.

Für volle Benutzerfreundlichkeit sorgt auch der OpenPGP-Assistent, indem er erneut nachfragt, ob er alles automatisch einstellen solle oder ob der Nutzer alle Einstellungen manuell vornehmen möchte. Das gewählte Plugin Enigmail ist in der automatischen Einrichtung absolut ausreichend, daher kann die automatische Unterstützung gewählt werden.

Bildschirmfoto-OpenPGP-Assistent-1

Als nächster Schritt steht zur Auswahl, ob wir alle vorhandenen E-Mailkonten konfigurieren möchten oder nur bestimmte Konten auswählen möchten. Wir beschränken uns in diesem Beispiel auf ein Konto.

Bildschirmfoto-OpenPGP-Assistent-2

Daraufhin müssen Sie entscheiden, ob die Nachrichten standardmäßig mit PGP unterschrieben werden sollen oder dies nur bei Bedarf manuell aktiviert wird. Unsere Empfehlung ist: Unterschreiben Sie. Sie haben einen Schlüssel erstellt und derjenige der Ihren Schlüssel kennt, weiß ab sofort das Ihre Mails wirklich von Ihnen kommen.

Bildschirmfoto - 20.08.2013 - 09:32:03

In den aktuellen Versionen von Enigmail und PGP-Modulen wird ein weiteres optionales Fenster erscheinen. Wir empfehlen (!) diese zusätzlichen Details zu beachten und auch wie gezeigt einzustellen. Dadurch werden zwar keine bunten HTML-Mails mehr verfasst, aber hier geht es uns um Sicherheit und Informationsaustausch. Sollten Sie später unbedingt HTML-Mails schreiben wollen, können Sie das dennoch tun.

Bildschirmfoto - 20.08.2013 - 09:39:07

Nun wünscht der Assistent die Eingabe der Passphrase, die, wie bereits erwähnt, den Schlüssel gegen Verwendung von Dritten absichert.

Bitte beachten Sie die Wahl der Passphrase. Sie sollte einfach zu merken, aber nicht einfach zu erraten sein. Tipps dazu finden Sie auch in den PGP-Programmen bzw. Plugins.

Bildschirmfoto-OpenPGP-Assistent-5

Nachdem Sie nun alle nötigen Angaben zum Erstellen eines Schlüssels eingegeben haben, bekommen Sie abschließend eine Zusammenfassung, die Sie nur noch zu bestätigen haben.

Bildschirmfoto - 20.08.2013 - 09:40:04

Dann wird vom Plugin das Schlüsselpaar erzeugt und gibt Ihnen wertvolle Tipps zum Verhalten während dieser Zeit:

Bildschirmfoto-OpenPGP-Assistent-7

Sobald der Schlüssel erzeugt wurde, erhalten Sie auch schon folgende positive Meldung:

Bildschirmfoto - 20.08.2013 - 10:20:13

Da das Plugin uns die Möglichkeit gibt einen Wiederrufungsschlüssel zu erzeugen, können Sie dies auch gleich mit durchführen. Bitte beachten Sie die Lagerung, Speicherung von diesem Schlüssel!

Danach steht der Verwendung von PGP nichts mehr im Weg. :-)

Bildschirmfoto-OpenPGP-Assistent-11

Anwendung von PGP

Da es unterschiedliche -sich aber stark ähnelnde- Programme und Module gibt, beschreiben die folgenden Abschnitte nur oberflächlich das Prinzip der Nutzung. Spezifische Programmpunkte werden wir hier nicht mit aufnehmen, da diese die Größe dieses Handouts sprengen würden.
Wir nutzen in unseren Beispielbildern wieder das Programm Thunderbird mit dem Plugin Enigmail. Weitere Programme oder Plugins sind ähnlich und sind von der Handhabung nicht großartig abweichend.

Schlüsselbund aktualisieren

Nach der Installation haben Sie zu aller Wahrscheinlichkeit einen neuen Menüpunkt in ihrem E-Mailprogramm  namens „PGP“ oder „OpenPGP“ oder ähnliches. Bevor Sie nun verschlüsselt senden können, ist der öffentliche Schlüssel des Empfängers von Nöten. Wie Sie an diesen gelangen? Meist finden Sie diesen auf der Unternehmenshomepage unter den Kontaktdaten. Sie können Ihn von dort kopieren oder auch direkt den Empfänger nach einem PGP-Schlüssel fragen. Das Hinzufügen zu Ihrem Schlüsselbund, damit Sie Mails an diesem spezifischen Absender immer verschlüsseln, geschieht meinst automatisch. Sobald Sie auf die übermittelte Datei klicken, brauchen Sie nur noch bestätigen und schon wird er dem Portfolio Ihres privaten Schlüsselbundes hinzugefügt.
Manchmal müssen Sie jedoch den Schlüssel auch erst suchen oder gar manuell einlesen lassen. Bitte lesen Sie dazu die spezifische Anleitung Ihres Programms bzw. Plugins.

Verschlüsselt versenden

Beim Schreiben ist nur darauf zu achten, dass die Nachricht vor dem Versand durch das Klicken auf den entsprechenden Schalter in der Symbolleiste für das Verschlüsseln mit PGP markiert wird. Dies ist in den meisten Fällen ein Briefumschlag mit einem Schloß.

PGP-menu-1

Bei Thunderbird und dem Enigmail-Plugin ist es ein Schloß und das Menü zum OpenPGP.

Bildschirmfoto - 20.08.2013 - 10:06:42

Um dem Empfänger eine verschlüsselte Nachricht zukommen zu lassen, benötigt man natürlich den öffentlichen Schlüssel des Empfängers. Diesen können Sie dann unter dem Menüpunkt OpenPGP (oder PGP) und Schlüssel verwalten eintragen:

pgp-schl├╝ssel-1

pgp-schl├╝ssel-2

Diesen können Sie dann importieren, aktuelle Plugins tun dies selbstständig und erkennen den passenden Schlüssel an der E-Mailadresse.

Um nun eine verschlüsselte E-Mail zu versenden, reicht es meist aus, wenn Sie die Option „Nachricht verschlüsseln“ im Menüpunkt PGP oder OpenPGP aktivieren.

Bildschirmfoto - 20.08.2013 - 10:09:10

Wenn Sie dem Empfänger noch nicht Ihren öffentlichen Schlüssel ausgehändigt haben, können Sie diesen als Anhang gleich mitsenden. Das folgende Bild erscheint auch bei jedem weiteren Versand mit einem Anhang.

pgp-versand-2

Bitte Beachten Sie: Wir empfehlen die Verschlüsselung mit PGP/MIME. Leider unterstützen das nicht alle E-Mail-Programme!

Danach wird die E-Mail verschlüsselt und liegt auch verschlüsselt in Ihrem „Gesendet“-Ordner.

Sobald die E-Mail beim Empfänger verschlüsselt eintrifft, wird dieser nach seiner Passphrase gefragt um die Mail dann zu entschlüsseln.

pgp-versand -3

Nur Anhang verschlüsseln

Sie können natürlich auch Dateien außerhalb von einem E-Mailprogramm verschlüsseln. Informationen dazu erhalten Sie in Ihrem installierten Programm.
Unabhängig davon stehen Ihnen auch verschiedene Verschlüsselungsmethoden beim Versand zur Verfügung.

Dies war das Handout zum Thema: maximale Sicherheit durch PGP-Verschlüsselung von E-Mails.

Fragen zu Sicherheitsaspekten beantworten wir Ihnen gerne.
Auch bei weiteren Fragen hilft das Support­-Team unter support@jpberlin.de oder Tel.: 030­/405051-20.

Der öffentliche PGP-Key des Support-Teams ist auf verschiedenen Schlüsselservern zu finden, wie subkeys.pgp.net, pool.sks-keyservers.net oder ldap://certserver.pgp.com, und auf unserer Kontaktseite.

  • 26. Juli 2013

  • o.graeber

  • Keinen Kommentar

Kommentar abgeben

Sie müssen eingeloggt sein um zu kommentieren.