E-Mail-Verschlüsselung mit OpenPGP: Unterschied zwischen den Versionen

Aus Hergipedia
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(34 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 6: Zeile 6:
== Voraussetzungen ==
== Voraussetzungen ==


* Installierte Version von Mozilla Thunderbird (Download von http://www.mozilla.com)
* Installierte Version von Mozilla Thunderbird 2.0 oder höher (Download von http://www.mozilla.com)
* dort bereits eingerichtete Mail-Konten  
* dort bereits eingerichtete Mail-Konten  


Zeile 12: Zeile 12:
== Funktionsprinzip ==
== Funktionsprinzip ==


Die PGP-Verschlüsselung ist ein asymmetrisches Verschlüsselungsverfahren. Das bedeutet grob: Von jedem Schlüssel gibt es immer einen öffentlichen und einen privaten Teil. Der private Teil bleibt immer beim Eigentümer, während der öffentliche Teil weitergegeben werden kann. Nachrichten, die mit einem öffentlichen Schlüssel verschlüsselt wurden, können NUR mit dem dazugehörigen privaten Schlüssel entschlüsselt werden und umgekehrt.  
Die PGP-Verschlüsselung ist ein '''asymmetrisches''' Verschlüsselungsverfahren. Das bedeutet grob: Von jedem Schlüssel gibt es immer einen '''öffentlichen''' und einen '''privaten''' Teil. Der private Teil bleibt immer beim Eigentümer, während der öffentliche Teil frei weitergegeben werden kann. Nachrichten, die mit einem '''öffentlichen''' Schlüssel verschlüsselt wurden, können '''NUR''' mit dem dazugehörigen '''privaten''' Schlüssel entschlüsselt werden und umgekehrt. Neben der Verschlüsselung kann OpenPGP noch zum digitalen Unterschreiben von Nachrichten verwendet werden. Auf diese Weise kann sichergestellt werden, dass der Urheber einer Mail auch wirklich derjenige ist, der im Absender-Feld erscheint.


==== Beispiel: Verschlüsselung ====
==== Beispiel: Verschlüsselung ====
Heinzi Schmolke möchte eine Mail an Lieschen Müller senden, die keiner mitlesen soll. Dazu tauschen die beiden zunächst ihre öffentlichen Schlüssel aus. Heinzi verwendet dann zum Verschlüsseln den '''öffentlichen''' Schlüssel von Lieschen Müller, damit sie die Nachricht mit ihrem '''privaten''' Schlüssel entschlüsseln kann. Wenn Lieschen ihm antworten möchte, benutzt sie zum Verschlüssen Heinzis '''öffentlichen''' Schlüssel, und er entschlüsselt die Nachricht mit seinem '''privaten''' Schlüssel.  
Heinzi Schmolke möchte eine Mail an Lieschen Müller senden, die keiner mitlesen soll. Dazu tauschen die beiden zunächst ihre öffentlichen Schlüssel aus. Heinzi verwendet dann zum Verschlüsseln den '''öffentlichen''' Schlüssel von Lieschen Müller, damit sie die Nachricht mit ihrem '''privaten''' Schlüssel entschlüsseln kann. Wenn Lieschen ihm antworten möchte, benutzt sie zum Verschlüssen Heinzis '''öffentlichen''' Schlüssel, und er entschlüsselt die Nachricht mit seinem '''privaten''' Schlüssel.  
Neben der Verschlüsselung kann OpenPGP noch zum digitalen Unterschreiben von Nachrichten verwendet werden. Auf diese Weise kann sichergestellt werden, dass der Urheber einer Mail auch wirklich derjenige ist, der im Absender-Feld erscheint.


==== Beispiel: Digitale Unterschrift ====
==== Beispiel: Digitale Unterschrift ====
Zeile 26: Zeile 24:


Man benötigt zusätzlich zum Standard-Thunderbird:
Man benötigt zusätzlich zum Standard-Thunderbird:
* OpenPGP
* OpenPGP bzw. GNU Privacy Guard
* Enigmail
* Enigmail


OpenPGP (PGP = '''P'''retty '''G'''ood '''P'''rivacy) ist das eigentliche Verschlüsselungsprogramm; Enigmail ist eine Erweiterung für Thunderbird, die die Einbindung von OpenPGP in Thunderbird übernimmt.  
OpenPGP / GnuPG (PGP = '''P'''retty '''G'''ood '''P'''rivacy) ist das eigentliche Verschlüsselungsprogramm; Enigmail ist eine Erweiterung für Thunderbird, die die Einbindung von OpenPGP in Thunderbird übernimmt.  


'''OpenPGP''' ist bei Linux meist in der Standard-Installation enthalten bzw. als Paket verfügbar. Für Windows gibt es den Installer [http://www.gnupg.org/download/index.de.html |'''hier zum Download'''] (unter '''Binärdateien''' gibt es dort einen Eintrag '''GnuPG 1.4.9 kompiliert für Microsoft Windows'''; siehe auch Screenshot). Das Programm wird dann mit den Standardeinstellungen mit dem Installer installiert (siehe Screenshots):
'''OpenPGP''' ist bei Linux meist in der Standard-Installation enthalten bzw. als Paket verfügbar. Für Windows gibt es den Installer [http://www.gnupg.org/download/index.de.html | '''hier zum Download'''] (unter '''Binärdateien''' gibt es dort einen Eintrag '''GnuPG 1.4.9 kompiliert für Microsoft Windows'''; siehe auch Screenshot). Das Programm wird dann mit den Standardeinstellungen mit dem Installer installiert (siehe Screenshots):
<gallery>
<gallery>
Bild:Openpgp01.png | GnuPG Download
Bild:Openpgp01.png | GnuPG Download
Zeile 39: Zeile 37:
</gallery>
</gallery>


Enigmail findet man als Erweiterung für Thunderbird. Dazu wählt man im Thunderbird '''Extras''' --> '''Add-Ons''' und wählt dort die Registerkarte '''Erweiterungen'''. Dort gibt es einen Link '''Erweiterungen herunterladen'''. Daraufhin öffnet sich eine Webseite mit der Auswahl für Thunderbird-Add-Ons. Mit der Suchfunktion findet man Enigmail (siehe Screenshots). Man lädt die Erweiterung herunter und speichert die '''xpi-Datei''' auf der Festplatte. Dann klickt man im Extras --> Add-on-Fenster des Thunderbirds auf '''Installieren''' und wählt die gerade heruntergeladene xpi-Datei aus. Nach der Installation muss Thunderbird neu gestartet werden. Siehe auch Screenshots:
Enigmail findet man als Erweiterung für Thunderbird. Dazu wählt man im Thunderbird '''Extras''' --> '''Add-Ons''' und wählt dort die Registerkarte '''Erweiterungen'''. Dort gibt es einen Link '''Erweiterungen herunterladen'''. Daraufhin öffnet sich eine Webseite mit der Auswahl für Thunderbird-Add-Ons. Mit der Suchfunktion findet man Enigmail (siehe Screenshots). Man lädt die Erweiterung herunter und speichert die '''xpi-Datei''' auf der Festplatte. Dann klickt man im '''Extras''' --> '''Add-ons'''-Fenster des Thunderbirds auf '''Installieren''' und wählt die gerade heruntergeladene xpi-Datei aus. Nach der Installation muss Thunderbird '''neu gestartet''' werden. Siehe auch Screenshots:
<gallery>
<gallery>
Bild:Openpgp05.png | Add-on-Fenster
Bild:Openpgp05.png | Add-on-Fenster
Zeile 50: Zeile 48:
== Erste Konfiguration ==
== Erste Konfiguration ==


Nach der erfolgreichen Installation findet man im Thunderbird-Menü einen zusätzlichen Menüpunkt OpenPGP
Nach der erfolgreichen Installation findet man im Thunderbird-Menü einen zusätzlichen Menüpunkt '''OpenPGP''' (siehe Screenshot unten). Dort können alle Einstellungen zur Verschlüsselung vorgenommen werden. Als Erstes sollte auf Windows-Systemen überprüft werden, ob die "Zusammenarbeit" zwischen Enigmail und GnuPG einwandfrei klappt. Dazu wählt man '''OpenPGP''' --> '''Einstellungen''' (siehe Screenshot). Dort sollte zu sehen sein, dass GnuPG gefunden wurde. Wenn das nicht der Fall ist, muss der Pfad zur GnuPG-Executable manuell angegeben werden (Default: C:\Programme\GNU\GnuPG\gpg.exe).
<gallery>
Bild:Openpgp09.png | Zusätzliches OpenPGP-Menü
Bild:Openpgp10.png | Pfad zu GPG
</gallery>
 
Bei einer Neuinstallation muss zunächst ein eigenes Schlüsselpaar (privat und öffentlich) erzeugt werden. Dazu wählt man im Thunderbird '''OpenPGP''' --> '''Schlüssel verwalten''' und im Schlüsselverwaltungsfenster '''Erzeugen''' --> '''Neues Schlüsselpaar''' (siehe Screenshots). Dort kann man optional eine Passphrase für den Schlüssel vergeben und festlegen, ob der Schlüssel zeitlich limitiert sein soll. Zum Abschluß klickt man auf '''Schlüsselpaar erzeugen'''.
<gallery>
Bild:Openpgp11.png | Schlüsselverwaltung
Bild:Openpgp12.png | Schlüsselpaar erzeugen
</gallery>
 
 
== Schlüsseltausch ==
 
Zum Verschlüsseln benötigt man noch den öffentlichen Schlüssel des Empfängers; ebenso muss man dem Empfänger den eigenen öffentlichen Schlüssel zukommen lassen. Man kann öffentliche Schlüssel auf verschiedenste Weisen austauschen:
 
==== Versand per E-Mail ====
Im Mail-'''Verfassen'''-Fenster kann man '''OpenPGP''' --> '''Meinen öffentlichen Schlüssel anhängen''' wählen. Dann wird der öffentliche Schlüssel im Klartext an die Mail angehängt, und der Empfänger kann den angehängten Schlüssel dann in seine Schlüsselverwaltung importieren. Zum Importieren klickt man mit der rechten Maustaste den angehängten Schlüssel (asc-Datei) an und wählt '''OpenPGP-Schlüssel importieren'''. Siehe Screenshots:
<gallery>
Bild:Openpgp13.png | Schlüssel anhängen
Bild:Openpgp15.png | Schlüssel importieren
</gallery>
 
==== Export des Schlüssels in eine Datei ====
Im Fenster '''Schlüsselverwaltung''' kann man seinen eigenen Schlüssel in eine Textdatei oder auch die Zwischenablage exportieren oder auch fremde öffentliche Schlüssel importieren. Zum Export klickt man den eigenen Schlüssel mit der rechten Maustaste an und wählt die entsprechende Option. Zum Import einer fremden Schlüsseldatei wählt man '''Datei''' --> '''Importieren''' oder auch '''Bearbeiten''' --> '''Aus Zwischenablage importieren'''. Siehe Screenshots:
<gallery>
Bild:Openpgp16.png | Export
Bild:Openpgp17.png | Import aus Datei
Bild:Openpgp18.png | Import aus Zwischenablage
</gallery>
 
==== Upload auf einen Schlüsselserver ====
Es gibt eine ganze Reihe frei verfügbarer Schlüsselserver, auf denen man seinen öffentlichen Schlüssel publizieren kann (Fenster '''Schlüsselverwaltung''', Export siehe Screenshot oben)
 
==== Download von der eigenen Homepage ====
(siehe z.B. [[Benutzer:Winkler| Torsten Winkler hier im Wiki]])
 
 
== Verschlüsseln und Unterschreiben ==
 
Nachdem die Schlüssel getauscht wurden, kann es losgehen: Im Fenster '''Verfassen''' kann man '''OpenPGP''' --> '''Nachricht verschlüsseln''' und / oder '''Nachricht unterschreiben''' wählen. Alternativ kann man auch unten rechts im Verfassen-Fenster '''auf die entsprechenden Icons klicken'''. Bei aktivierter Verschlüsselung und / oder Unterschrift leuchten diese Icons '''grün''' (siehe Screenshot). Eine eingegangene unterschriebene oder verschlüsselte Mail erkennt man an der OpenPGP-Zeile und den zusätzlichen Symbolen im Adressbereich (Screenshot).
<gallery>
Bild:Openpgp14.png | aktivierte Verschlüsselung
Bild:Openpgp19.png | OpenPGP-Kopfzeile
</gallery>
 
Verschlüsselte Attachments können beim Speichern oder Öffnen automatisch entschlüsselt werden. Dazu klickt man das Attachment mit der rechten Maustaste an und wählt '''Entschlüsseln und öffnen''' bzw. '''Entschlüsseln und speichern unter'''.
 
 
== Experten-Einstellungen ==
 
Zum fortgeschrittenen Konfigurieren bietet Enigmail die sog. Experteneinstellungen. Um diese zu aktivieren, wählt man im Thunderbird '''OpenPGP''' --> '''Einstellungen''' und aktiviert dort die Checkbox '''Experteneinstellungen anzeigen'''. Dadurch erweitert sich das OpenPGP-Menü, und auch das Einstellungsfenster erhält zusätzliche Tabs. Die Beschreibung aller Features würde hier zu weit gehen. Als Beispiele seien genannt:
* Aktivieren automatischer Verschlüsselung und / oder Unterschrift
* Erstellen von Empfänger-Regeln
* Auswahl weiterer Schlüsselserver
* etc.
 
[[Kategorie:Installations- und Konfigurationsanleitungen]]
[[Kategorie:Anleitung]]

Aktuelle Version vom 2. April 2009, 10:00 Uhr

Wozu ist das gut?

E-Mails werden normalerweise offen und ohne Verschlüsselung im Klartext übertragen, können also von Dritten gelesen werden. Für die Übermittlung von vertraulichen Daten (Account-Namen, Passwörter, Klausurergebnisse etc.) per E-Mail empfiehlt sich daher die Verwendung einer starken Verschlüsselung. Dieser Artikel beschreibt die Installation am Beispiel von Mozilla Thunderbird als Mail-Client.


Voraussetzungen

  • Installierte Version von Mozilla Thunderbird 2.0 oder höher (Download von http://www.mozilla.com)
  • dort bereits eingerichtete Mail-Konten


Funktionsprinzip

Die PGP-Verschlüsselung ist ein asymmetrisches Verschlüsselungsverfahren. Das bedeutet grob: Von jedem Schlüssel gibt es immer einen öffentlichen und einen privaten Teil. Der private Teil bleibt immer beim Eigentümer, während der öffentliche Teil frei weitergegeben werden kann. Nachrichten, die mit einem öffentlichen Schlüssel verschlüsselt wurden, können NUR mit dem dazugehörigen privaten Schlüssel entschlüsselt werden und umgekehrt. Neben der Verschlüsselung kann OpenPGP noch zum digitalen Unterschreiben von Nachrichten verwendet werden. Auf diese Weise kann sichergestellt werden, dass der Urheber einer Mail auch wirklich derjenige ist, der im Absender-Feld erscheint.

Beispiel: Verschlüsselung

Heinzi Schmolke möchte eine Mail an Lieschen Müller senden, die keiner mitlesen soll. Dazu tauschen die beiden zunächst ihre öffentlichen Schlüssel aus. Heinzi verwendet dann zum Verschlüsseln den öffentlichen Schlüssel von Lieschen Müller, damit sie die Nachricht mit ihrem privaten Schlüssel entschlüsseln kann. Wenn Lieschen ihm antworten möchte, benutzt sie zum Verschlüssen Heinzis öffentlichen Schlüssel, und er entschlüsselt die Nachricht mit seinem privaten Schlüssel.

Beispiel: Digitale Unterschrift

Lieschen Müller möchte sicher sein, daß es auch wirklich Heinzi ist, der ihr dauernd schreibt. Deswegen benutzt Heinzi seinen privaten Schlüssel zum Erzeugen einer digitalen Unterschrift. Diese kann dann mit Heinzis öffentlichem Schlüssel überprüft und verifiziert werden.


Installation der zusätzlichen Software

Man benötigt zusätzlich zum Standard-Thunderbird:

  • OpenPGP bzw. GNU Privacy Guard
  • Enigmail

OpenPGP / GnuPG (PGP = Pretty Good Privacy) ist das eigentliche Verschlüsselungsprogramm; Enigmail ist eine Erweiterung für Thunderbird, die die Einbindung von OpenPGP in Thunderbird übernimmt.

OpenPGP ist bei Linux meist in der Standard-Installation enthalten bzw. als Paket verfügbar. Für Windows gibt es den Installer | hier zum Download (unter Binärdateien gibt es dort einen Eintrag GnuPG 1.4.9 kompiliert für Microsoft Windows; siehe auch Screenshot). Das Programm wird dann mit den Standardeinstellungen mit dem Installer installiert (siehe Screenshots):

Enigmail findet man als Erweiterung für Thunderbird. Dazu wählt man im Thunderbird Extras --> Add-Ons und wählt dort die Registerkarte Erweiterungen. Dort gibt es einen Link Erweiterungen herunterladen. Daraufhin öffnet sich eine Webseite mit der Auswahl für Thunderbird-Add-Ons. Mit der Suchfunktion findet man Enigmail (siehe Screenshots). Man lädt die Erweiterung herunter und speichert die xpi-Datei auf der Festplatte. Dann klickt man im Extras --> Add-ons-Fenster des Thunderbirds auf Installieren und wählt die gerade heruntergeladene xpi-Datei aus. Nach der Installation muss Thunderbird neu gestartet werden. Siehe auch Screenshots:


Erste Konfiguration

Nach der erfolgreichen Installation findet man im Thunderbird-Menü einen zusätzlichen Menüpunkt OpenPGP (siehe Screenshot unten). Dort können alle Einstellungen zur Verschlüsselung vorgenommen werden. Als Erstes sollte auf Windows-Systemen überprüft werden, ob die "Zusammenarbeit" zwischen Enigmail und GnuPG einwandfrei klappt. Dazu wählt man OpenPGP --> Einstellungen (siehe Screenshot). Dort sollte zu sehen sein, dass GnuPG gefunden wurde. Wenn das nicht der Fall ist, muss der Pfad zur GnuPG-Executable manuell angegeben werden (Default: C:\Programme\GNU\GnuPG\gpg.exe).

Bei einer Neuinstallation muss zunächst ein eigenes Schlüsselpaar (privat und öffentlich) erzeugt werden. Dazu wählt man im Thunderbird OpenPGP --> Schlüssel verwalten und im Schlüsselverwaltungsfenster Erzeugen --> Neues Schlüsselpaar (siehe Screenshots). Dort kann man optional eine Passphrase für den Schlüssel vergeben und festlegen, ob der Schlüssel zeitlich limitiert sein soll. Zum Abschluß klickt man auf Schlüsselpaar erzeugen.


Schlüsseltausch

Zum Verschlüsseln benötigt man noch den öffentlichen Schlüssel des Empfängers; ebenso muss man dem Empfänger den eigenen öffentlichen Schlüssel zukommen lassen. Man kann öffentliche Schlüssel auf verschiedenste Weisen austauschen:

Versand per E-Mail

Im Mail-Verfassen-Fenster kann man OpenPGP --> Meinen öffentlichen Schlüssel anhängen wählen. Dann wird der öffentliche Schlüssel im Klartext an die Mail angehängt, und der Empfänger kann den angehängten Schlüssel dann in seine Schlüsselverwaltung importieren. Zum Importieren klickt man mit der rechten Maustaste den angehängten Schlüssel (asc-Datei) an und wählt OpenPGP-Schlüssel importieren. Siehe Screenshots:

Export des Schlüssels in eine Datei

Im Fenster Schlüsselverwaltung kann man seinen eigenen Schlüssel in eine Textdatei oder auch die Zwischenablage exportieren oder auch fremde öffentliche Schlüssel importieren. Zum Export klickt man den eigenen Schlüssel mit der rechten Maustaste an und wählt die entsprechende Option. Zum Import einer fremden Schlüsseldatei wählt man Datei --> Importieren oder auch Bearbeiten --> Aus Zwischenablage importieren. Siehe Screenshots:

Upload auf einen Schlüsselserver

Es gibt eine ganze Reihe frei verfügbarer Schlüsselserver, auf denen man seinen öffentlichen Schlüssel publizieren kann (Fenster Schlüsselverwaltung, Export siehe Screenshot oben)

Download von der eigenen Homepage

(siehe z.B. Torsten Winkler hier im Wiki)


Verschlüsseln und Unterschreiben

Nachdem die Schlüssel getauscht wurden, kann es losgehen: Im Fenster Verfassen kann man OpenPGP --> Nachricht verschlüsseln und / oder Nachricht unterschreiben wählen. Alternativ kann man auch unten rechts im Verfassen-Fenster auf die entsprechenden Icons klicken. Bei aktivierter Verschlüsselung und / oder Unterschrift leuchten diese Icons grün (siehe Screenshot). Eine eingegangene unterschriebene oder verschlüsselte Mail erkennt man an der OpenPGP-Zeile und den zusätzlichen Symbolen im Adressbereich (Screenshot).

Verschlüsselte Attachments können beim Speichern oder Öffnen automatisch entschlüsselt werden. Dazu klickt man das Attachment mit der rechten Maustaste an und wählt Entschlüsseln und öffnen bzw. Entschlüsseln und speichern unter.


Experten-Einstellungen

Zum fortgeschrittenen Konfigurieren bietet Enigmail die sog. Experteneinstellungen. Um diese zu aktivieren, wählt man im Thunderbird OpenPGP --> Einstellungen und aktiviert dort die Checkbox Experteneinstellungen anzeigen. Dadurch erweitert sich das OpenPGP-Menü, und auch das Einstellungsfenster erhält zusätzliche Tabs. Die Beschreibung aller Features würde hier zu weit gehen. Als Beispiele seien genannt:

  • Aktivieren automatischer Verschlüsselung und / oder Unterschrift
  • Erstellen von Empfänger-Regeln
  • Auswahl weiterer Schlüsselserver
  • etc.