E-Mails verschlüsseln und signieren für Anfänger

E-Mails signieren und verschlüsseln

Warum verschickt man eigentlich nicht nur Postkarten, sondern packt persönlichere Nachrichten in Briefumschläge?  Als vor 24 Jahren die erste E-Mail durch deutsche Server irrte, hat man sich keine allzu großen Gedanken um die Sicherheit des Inhalts gemacht, sondern war schon begeistert, wenn sie beim Empfänger ankam. Inzwischen ist nicht nur die technische Infrastruktur gigantisch gewachsen, sondern auch Menge der potentiellen Angreifer, der möglichen Angriffspunkte und die aus der Informationsflut abschöpfbaren und zu zweifelhaften Zwecken verwertbaren Daten. Wenn Persönliches persönlich bleiben soll, sollte man es besser nicht öffentlich durch die Netze jagen: E-Mails verschlüsseln und signieren für Anfänger.

Vom Vertrauen und von Geheimnissen

Eine E-Mail auf dem Weg zum Empfänger durchläuft Bereiche unterschiedlichen Vertrauens, das im Wesentlichen von Ihrer Einschätzung abhängt. Um zu einer korrekten Einschätzung zu gelangen, müsste man alle Station und deren Verbindungswege und -arten untereinander kennen, den Wert für potentiell interessierte Abhörer taxieren und die Folgen des Bekanntwerdens der übermittelten Nachrichten bewerten können – also eine Risikoanalyse erstellen. In der Praxis erweist sich das als kaum umsetzbar.

E-Mail unterwegs

Die Einschätzung der Angreifer und ihrer Absichten ist dabei noch die einfachste Aufgabe. Das kann der Ehepartner sein, der von der Strategie des gegnerischen Anwalts bei der Scheidung Nutzen ziehen kann, ein Geschäftskonkurrent , der Ihnen bei einem Vertragsabschluss zuvorkommen möchte,  Einbrecher, die Urlaubstermine ausspähen, Datensammler, die Persönlichkeitsprofile im großen Maß erstellen und verkaufen, usw.
Hat eine Nachricht den eigenen Einflussbereich verlassen, ist es ausschließlich Glaubenssache, wie sehr man den den Betreibern und Administratoren der Provider, der Netzbetreiber, der weiterleitenden Server und nicht zuletzt dem Staat und seinen Geheimdiensten vertraut.
Neben dem Inhalt einer Nachricht muss aber auch die Authentizität des Absenders prüfbar sein, denn der Geschäftskonkurrent oder scheidende Gatte könnte in Ihrem Namen weiteres Unheil anrichten.

Aus den genannten Gründen ist es daher wichtig, seinen E-Mail-Verkehr am besten komplett zu verschlüsseln, sobald man wichtige Informationen auf diesem Weg verschickt.

Um die notwendige Vertraulichkeit und das Vertrauen in die Echtheit des Absenders zu gewährleisten, benötigt man zwischen Sender und Empfänger ein Geheimnis, dass nur diesen beiden Personen bekannt ist und das für längere Zeit gültig und auch geheim bleibt.

Schlüssel als Geheimnis

Um ein Geheimnis mit jemandem zu teilen, muss es üblicherweise kommuniziert werden, was wiederum ein gewisses Gefahrenpotential beinhaltet. Nur wenn das das Geheimnis bei der E-Mail-Verschlüsselung immer bei seinem Besitzer bleibt, ist es relativ sicher, was durch eine Technik  realisiert wird, die einen öffentlichen Schlüssel verwendet, auf den ausschließlich der geheime Schlüssel des Empfängers passt.

Der Trick besteht also darin, dem Sender einen öffentlichen Schlüssel zu geben, mit dem so verschlüsselt werden kann, so dass nur der Inhaber des zugehörigen geheimen Schlüssels wieder entschlüsseln kann.
Um die Echtheit des Absenders zu bestätigen, signiert er mit seinem geheimen Schlüssel und der Empfänger prüft diese Signatur mit dem öffentlichen Schlüssel des Senders.

E-Mails signieren und verschlüsseln

Zusätzlich ist ein Schlüssel immer auch an die E-Mail-Adresse gebunden und es sollte für jede E-Mai-Adresse auch nur einen gültigen Schlüssel geben.

Sicherheit kostet

Das Verfahren ist relativ einfach zu verstehen, aber es hat einige Nachteile im praktischen Bereich, wenn man auf das kostenlose GnuPG (auch GPG) setzt. Deswegen empfehle ich völlig technikfremden Menschen, sich einen (höchstwahrscheinlich) zuverlässigen Provider wie z.B.  Posteo oder Mailbox.org zu suchen. Die Mails liegen dann verschlüsselt auf den Mailservern, wobei allerdings die Strecke vom PC zum Webmailer angreifbar ist. Weiterführende Links dazu finden Sie am Ende der Seite.

Geht der private Schlüssel verloren oder vergisst man das Passwort dafür, sind die Mails unbrauchbar.
Die Schlüssel müssen auf jedem Gerät (PC, Smartphone, Tablet) irgendwie verfügbar sein, um verschlüsselte Mails zu lesen oder zu schreiben. Zudem ist es wieder eine Frage der Risikoeinschätzung, ob man einen privaten Schlüssel überhaupt auf einem Smartphone speichern möchte und soll. Bevor ich auf die Risikominimierung eingehe, möchte ich zuerst das Erstellen der Schlüssel erklären.

Vorbereitungen

Ich habe bereits angesprochen, dass der Verlust des eines Schlüsselspaars oder des zugehörigen Passworts dazu führt, dass Ihre verschlüsselten E-Mails nicht mehr lesbar sind. Daher benötigt man einen oder besser zwei verschlüsselte USB-Sticks, auf denen man die Schlüssel sicher speichern kann. Das Passwort für die USB-Sticks und die Schlüssel muss man sich merken! Dazu empfehle ich einen hochwertigen kleinen USB-Stick und die Software -> SecurStick. Auf der Seite finden Sie auch Informationen zur Installation.
Eine lesenswerte Anleitung zur Installation bei der Nutzung mit unterschiedlichen Betriebssystemen findet sich bei -> heise.de.

Sollten Sie unter Ubuntu/Linux Probleme haben den USB-Stick zu mounten, dann hilft Ihnen folgende Befehlssequenz weiter, falls der Stick als sdb1 automatisch eingehängt wurde:

:~$ sudo umount /<Einhängepunkt des Sticks>
:~$ sudo mount /dev/sdb1 /media/<Zielordner> -o rw
:~$ chown 777 /media/<Zielordner>

Einen Schlüssel erstellen

Bei der Erstellung der Schlüssel ist die Stärke des verwendeten Passworts enorm wichtig. Je länger, desto besser und es sollten Klein- und Großbuchstaben, Sonderzeichen und Zahlen gemischt verwendet werden. Tipps dazu finden Sie -> hier.

Ubuntu/Linux

Prüfen Sie zunächst, ob die derzeit aktuelle Version ( > 2.0.x ) von GPG installiert ist und verwenden Sie immer gpg2 anstelle von gpg.

: ~$ gpg2 --version

Bei älteren Ubuntu-Versionen muss gpg2 nachinstalliert werden

: ~$ sudo apt-get install gnupg2 

und die Schlüsselerzeugung kann im Terminal begonnen werden.

: ~$ gpg2 --gen-key 

Die wichtigen Eingaben mit den empfohlenen Werten habe ich rot eingerahmt:

gpg2

Nachdem die Angaben mit O bestätigt wurden, sind die Schlüssel erzeugt. Um die Informationen darüber anzuzeigen, verwendet man die Befehle gpg2 -K und gpg2 -k und erhält für meinen Beispielschlüssel die Schlüssel-ID für den geheimen Schlüssel (sec) und für den öffentlichen Schlüssel (pub).

:~$ gpg2 -K
/home/impuscatura/.gnupg/secring.gpg
----------------------------
sec 4096R/2E436CF0 2018-07-24 [expires: 2019-07-24]
uid Thomas Hupfer (impuscatura.ro) &lt;tom.hupfer@impuscatura.ro&gt;
ssb 4096R/A94AAC74 2018-07-24

:~$ gpg2 -k
/home/impuscatura/.gnupg/pubring.gpg
----------------------------
pub 4096R/2E436CF0 2018-07-24 [expires: 2019-07-24]
uid Thomas Hupfer (impuscatura.ro) &lt;tom.hupfer@impuscatura.ro&gt;
sub 4096R/A94AAC74 2018-07-24 [expires: 2019-07-24]

Auf dem Linux-Rechner sind die Schlüssel relativ sicher verwahrt – zumindest wenn man sein home-Laufwerk verschlüsselt hat. Zur Sicherheit exportiert man den privaten Schlüssel auf den verschlüsselten Stick, der öffentliche wird auf dem Stick unverschlüsselt gepeichert.
Die SchlüsselID in den folgenden Befehlen muss dabei durch die eigene ID ersetzt werden, die eben mit gpg2 -k angezeigt wurde:

:~$ gpg2 -a --output gpg-key-2E436CF0.asc --export 2E436CF0
:~$ gpg2 -a --output gpg-secret-key-2E436CF0.asc --export-secret-keys 2E436CF0

Windows

Unter Windows benötigt man -> gpg4win. Nach dem Herunterladen installiert man die benötigten Komponenten.

Gpg4win

  • GnuPG ist die Hauptkomponente
  • Kleopatra ist der Zertifikatsmanager, den Sie auf jeden Fall installieren sollten
  • GPA (GNU Privacy Assistent) ist nützlich, wenn Sie unterschiedliche Betriebssysteme haben
  • GpgOL ist eine Erweiterung, um GPG unter Outlook nutzen zu können
  • GpgEX ist eine Shellerweiterung, um mit dem Explorer auch einzelne Dateien verschlüsseln zu können

Ein neuer Schlüssel wird mit Kleopatra über das Menü Schlüssel -> Neuer Schlüssel erstellt. Es werden die gleichen Daten wie bei Ubuntu/Linux abgefragt und der neue Schlüssel wird nach der Erstellung gleich exportiert (dazu wieder den verschlüsselten USB-Stick verwenden!). Er wird auch im GPA, das sich automatisch öffnet als Standardschlüssel eingetragen.
Kleopatra stellt die Schlüssel ohne zeitlich Begrenzung aus, so dass man ggfls. über Geheimen Schlüssel bearbeiten -> Verfallsdatum ändern die Dauer der Gültigkeit anpassen muss. Danach sollte nochmals die die Sicherung auf dem verschlüsselten USB-Stick erfolgen.
Der öffentliche Schlüssel kann über das Menü Schlüssel -> Schlüssel exportieren exportiert werden.

Schlüssel bekannt machen

Der öffentlich Schlüssel kann jetzt an Kommunikationspartner weitergegeben werden. Das kann durch direktes Zusenden per Mail oder auch über einen sogenannten Key Server (Zertifikatsserver) erfolgen. Die verschiedenen Key-Server synchronisieren sich in der Regel miteinander (gilt nicht für keyserver.pgp.com).
In Kleopatra genügt es über das Menü Server -> Schlüssel senden automatisch einen Key Server auswählen zu lassen und ihn dann zu übertragen.
Unter Ubuntu/Linus ist die einfachste Möglichkeit das Eintragen über das Webformular z.B. bei https://keyserver.ubuntu.com/.
Allerdings sollte man bedenken, dass übertragene Schlüssel nicht mehr gelöscht werden können. Mit dem zugehörigen Passwort ist es zwar möglich, den Schlüssel zu deaktivieren (revoke), aber er verbleibt trotzdem auf dem Key Server.
Tiefergehende Informationen zum Thema Key Server finden Sie bei -> https://de.wikipedia.org/wiki/Schl%C3%BCsselserver.

Schlüssel verwenden

In Outlook finden Sie jetzt beim Schreiben von E-Mails ganz rechts im Menü den Button Absichern, der mit GpgOL von gpg4win installiert wurde. Für Thunderbird bietet sich sowohl unter Windows als auch unter Ubuntu/Linux das AddOn Enigmail an, dass jetzt nur noch installiert werden muss.

Linktipps

 

Buy Me a Coffee at ko-fi.com

You May Also Like

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aus persönlichen Gründen...

... kann ich den Blog im Moment leider nicht wie gewohnt betreuen und Anfragen zeitnah beantworten. Lediglich die technische Funktionalität versuche ich aufrecht zu erhalten. Sollte es trotzdem was Neues hier geben, dann schreibe ich eine Info in die Telegram-Gruppe.


In der Telegram-Gruppe können Sie sich weiterhin mit anderen Lesern von Împuşcătura austauschen.

Zur Telegram-Gruppe