E-Mail-Verschlüsselung mit OpenPGP
Wozu ist das gut?
E-Mails werden normalerweise offen und ohne Verschlüsselung im Klartext übertragen, können also von Dritten gelesen werden. Für die Übermittlung von vertraulichen Daten (Account-Namen, Passwörter, Klausurergebnisse etc.) per E-Mail empfiehlt sich daher die Verwendung einer starken Verschlüsselung. Dieser Artikel beschreibt die Installation am Beispiel von Mozilla Thunderbird als Mail-Client.
Voraussetzungen
- Installierte Version von Mozilla Thunderbird 2.0 oder höher (Download von http://www.mozilla.com)
- dort bereits eingerichtete Mail-Konten
Funktionsprinzip
Die PGP-Verschlüsselung ist ein asymmetrisches Verschlüsselungsverfahren. Das bedeutet grob: Von jedem Schlüssel gibt es immer einen öffentlichen und einen privaten Teil. Der private Teil bleibt immer beim Eigentümer, während der öffentliche Teil frei weitergegeben werden kann. Nachrichten, die mit einem öffentlichen Schlüssel verschlüsselt wurden, können NUR mit dem dazugehörigen privaten Schlüssel entschlüsselt werden und umgekehrt. Neben der Verschlüsselung kann OpenPGP noch zum digitalen Unterschreiben von Nachrichten verwendet werden. Auf diese Weise kann sichergestellt werden, dass der Urheber einer Mail auch wirklich derjenige ist, der im Absender-Feld erscheint.
Beispiel: Verschlüsselung
Heinzi Schmolke möchte eine Mail an Lieschen Müller senden, die keiner mitlesen soll. Dazu tauschen die beiden zunächst ihre öffentlichen Schlüssel aus. Heinzi verwendet dann zum Verschlüsseln den öffentlichen Schlüssel von Lieschen Müller, damit sie die Nachricht mit ihrem privaten Schlüssel entschlüsseln kann. Wenn Lieschen ihm antworten möchte, benutzt sie zum Verschlüssen Heinzis öffentlichen Schlüssel, und er entschlüsselt die Nachricht mit seinem privaten Schlüssel.
Beispiel: Digitale Unterschrift
Lieschen Müller möchte sicher sein, daß es auch wirklich Heinzi ist, der ihr dauernd schreibt. Deswegen benutzt Heinzi seinen privaten Schlüssel zum Erzeugen einer digitalen Unterschrift. Diese kann dann mit Heinzis öffentlichem Schlüssel überprüft und verifiziert werden.
Installation der zusätzlichen Software
Man benötigt zusätzlich zum Standard-Thunderbird:
- OpenPGP bzw. GNU Privacy Guard
- Enigmail
OpenPGP / GnuPG (PGP = Pretty Good Privacy) ist das eigentliche Verschlüsselungsprogramm; Enigmail ist eine Erweiterung für Thunderbird, die die Einbindung von OpenPGP in Thunderbird übernimmt.
OpenPGP ist bei Linux meist in der Standard-Installation enthalten bzw. als Paket verfügbar. Für Windows gibt es den Installer | hier zum Download (unter Binärdateien gibt es dort einen Eintrag GnuPG 1.4.9 kompiliert für Microsoft Windows; siehe auch Screenshot). Das Programm wird dann mit den Standardeinstellungen mit dem Installer installiert (siehe Screenshots):
GnuPG Download
GnuPG Installer
GnuPG Installer
GnuPG Installer
Enigmail findet man als Erweiterung für Thunderbird. Dazu wählt man im Thunderbird Extras --> Add-Ons und wählt dort die Registerkarte Erweiterungen. Dort gibt es einen Link Erweiterungen herunterladen. Daraufhin öffnet sich eine Webseite mit der Auswahl für Thunderbird-Add-Ons. Mit der Suchfunktion findet man Enigmail (siehe Screenshots). Man lädt die Erweiterung herunter und speichert die xpi-Datei auf der Festplatte. Dann klickt man im Extras --> Add-ons-Fenster des Thunderbirds auf Installieren und wählt die gerade heruntergeladene xpi-Datei aus. Nach der Installation muss Thunderbird neu gestartet werden. Siehe auch Screenshots:
Add-on-Fenster
Enigmail Download
Enigmail speichern
Enigmail installieren
Erste Konfiguration
Nach der erfolgreichen Installation findet man im Thunderbird-Menü einen zusätzlichen Menüpunkt OpenPGP (siehe Screenshot unten). Dort können alle Einstellungen zur Verschlüsselung vorgenommen werden. Als Erstes sollte auf Windows-Systemen überprüft werden, ob die "Zusammenarbeit" zwischen Enigmail und GnuPG einwandfrei klappt. Dazu wählt man OpenPGP --> Einstellungen (siehe Screenshot). Dort sollte zu sehen sein, dass GnuPG gefunden wurde. Wenn das nicht der Fall ist, muss der Pfad zur GnuPG-Executable manuell angegeben werden (Default: C:\Programme\GNU\GnuPG\gpg.exe).
Zusätzliches OpenPGP-Menü
Pfad zu GPG
Bei einer Neuinstallation muss zunächst ein eigenes Schlüsselpaar (privat und öffentlich) erzeugt werden. Dazu wählt man im Thunderbird OpenPGP --> Schlüssel verwalten und im Schlüsselverwaltungsfenster Erzeugen --> Neues Schlüsselpaar (siehe Screenshots). Dort kann man optional eine Passphrase für den Schlüssel vergeben und festlegen, ob der Schlüssel zeitlich limitiert sein soll. Zum Abschluß klickt man auf Schlüsselpaar erzeugen.
Schlüsselverwaltung
Schlüsselpaar erzeugen
Schlüsseltausch
Zum Verschlüsseln benötigt man noch den öffentlichen Schlüssel des Empfängers; ebenso muss man dem Empfänger den eigenen öffentlichen Schlüssel zukommen lassen. Man kann öffentliche Schlüssel auf verschiedenste Weisen austauschen:
Versand per E-Mail
Im Mail-Verfassen-Fenster kann man OpenPGP --> Meinen öffentlichen Schlüssel anhängen wählen. Dann wird der öffentliche Schlüssel im Klartext an die Mail angehängt, und der Empfänger kann den angehängten Schlüssel dann in seine Schlüsselverwaltung importieren. Zum Importieren klickt man mit der rechten Maustaste den angehängten Schlüssel (asc-Datei) an und wählt OpenPGP-Schlüssel importieren. Siehe Screenshots:
Schlüssel anhängen
Schlüssel importieren
Export des Schlüssels in eine Datei
Im Fenster Schlüsselverwaltung kann man seinen eigenen Schlüssel in eine Textdatei oder auch die Zwischenablage exportieren oder auch fremde öffentliche Schlüssel importieren. Zum Export klickt man den eigenen Schlüssel mit der rechten Maustaste an und wählt die entsprechende Option. Zum Import einer fremden Schlüsseldatei wählt man Datei --> Importieren oder auch Bearbeiten --> Aus Zwischenablage importieren. Siehe Screenshots:
Export
Import aus Datei
Import aus Zwischenablage
Upload auf einen Schlüsselserver
Es gibt eine ganze Reihe frei verfügbarer Schlüsselserver, auf denen man seinen öffentlichen Schlüssel publizieren kann (Fenster Schlüsselverwaltung, Export siehe Screenshot oben)
Download von der eigenen Homepage
(siehe z.B. Torsten Winkler hier im Wiki)
Verschlüsseln und Unterschreiben
Nachdem die Schlüssel getauscht wurden, kann es losgehen: Im Fenster Verfassen kann man OpenPGP --> Nachricht verschlüsseln und / oder Nachricht unterschreiben wählen. Alternativ kann man auch unten rechts im Verfassen-Fenster auf die entsprechenden Icons klicken. Bei aktivierter Verschlüsselung und / oder Unterschrift leuchten diese Icons grün (siehe Screenshot). Eine eingegangene unterschriebene oder verschlüsselte Mail erkennt man an der OpenPGP-Zeile und den zusätzlichen Symbolen im Adressbereich (Screenshot).
aktivierte Verschlüsselung
OpenPGP-Kopfzeile
Verschlüsselte Attachments können beim Speichern oder Öffnen automatisch entschlüsselt werden. Dazu klickt man das Attachment mit der rechten Maustaste an und wählt Entschlüsseln und öffnen bzw. Entschlüsseln und speichern unter.
Experten-Einstellungen
Zum fortgeschrittenen Konfigurieren bietet Enigmail die sog. Experteneinstellungen. Um diese zu aktivieren, wählt man im Thunderbird OpenPGP --> Einstellungen und aktiviert dort die Checkbox Experteneinstellungen anzeigen. Dadurch erweitert sich das OpenPGP-Menü, und auch das Einstellungsfenster erhält zusätzliche Tabs. Die Beschreibung aller Features würde hier zu weit gehen. Als Beispiele seien genannt:
- Aktivieren automatischer Verschlüsselung und / oder Unterschrift
- Erstellen von Empfänger-Regeln
- Auswahl weiterer Schlüsselserver
- etc.