Mein digitaler Schutzschild : OpenPGP – E-Mails verschlüsseln, damit sie keine Postkarten mehr sind

Die Verschlüsselung von E-Mails mit OpenPGP ist nicht einfach. Einmal eingerichtet ist es aber ein praktikabler Weg, die eigene Privatsphäre zu schützen.

Verschlüsselte E-Mails sind nicht zwingend anonym. Denn die Adresse des Absenders wird unverschlüsselt übertragen. Dennoch ist die Technik bestens geeignet, um sich ein Stück Privatsphäre zu bewahren. Denn mit Ausnahme des jeweiligen Empfängers kann sie niemand lesen. Der Vorteil: Ein normales E-Mail-Konto reicht, zum Beispiel ein Gmail-Konto mit dem tatsächlichen Namen. Normalerweise durchsucht Google die Mails automatisiert nach werberelevanten Schlagworten. Mit verschlüsselten Mails aber kann Google nichts anfangen.

Die Einrichtung ist allerdings aufwändig. Anstatt ein Handbuch zu nehmen, frage ich Samuel Carlisle, ob er mir zeigt, wie ich mein ThinkPad ausrüsten muss, um verschlüsselte Mails senden und empfangen zu können. Ich treffe ihn beim 29C3, dem Kongress des Chaos Computer Clubs. Carlisle, 25, ist einer der Organisatoren der CryptoPartys in London. Er hat viel Erfahrung damit, Anfängern die Grundlagen der Verschlüsselung beizubringen.

Drei Dinge brauche ich dafür, sagt Sam: Erstens ein Konto bei einem der üblichen Webmail-Anbieter, also zum Beispiel Gmail oder GMX, zweitens das Mailprogramm Thunderbird – das wie der Firefox-Browser von Mozilla kommt –  und drittens die Erweiterung Enigmail für die eigentliche Verschlüsselung. An diesr Stelle ein Hinweis für alle, die kein Linux-System verwenden: Mitunter wird noch ein vierter Baustein benötigt, nämlich das Programm GnuPG. Enigmail ist lediglich die Benutzeroberfläche für GnuPG in Thunderbird. Die meisten Linux-Systeme haben GnuPG an Bord, Windows-System dagegen nicht.  Details dazu gibt es hier.

Welchen Webmail-Anbieter ich nehme, spielt keine allzu große Rolle. Wichtig ist nur, dass er den Zugriff auf meine E-Mails in Thunderbird über IMAP oder POP3 ermöglicht. Ich nehme deshalb einfach mein Gmail-Konto.

Die Installation

Thunderbird selbst ist schon in Ubuntu enthalten. (Eine Installationsanleitung für Enigmail in Thunderbird unter Windows gibt es übrigens auch im Wiki der Piratenpartei.) Und Enigmail bekomme ich in Thunderbird über den Reiter Extras, wo ich dann auf Add-ons klicke. Dort suche ich die Erweiterung und installiere sie mit einem Klick und einem Neustart von Thunderbird. Alternativ kann man Enigmail auf von der Website der Entwickler herunterladen und dann installieren. Enigmail taucht dann als Reiter OpenPGP oben im Thunderbird-Menü auf. OpenPGP ist der zugrundeliegende technische Standard, der das Verschlüsselungsverfahren beschreibt.

Enigmail Add-on © Patrick Beuth / ZEIT ONLINE

Nun habe ich die drei Bausteine. Als nächstes muss ich sie verknüpfen. In Thunderbird richte ich mir zuerst das Gmail-Konto ein. Wer Thunderbird zum ersten Mal benutzt, bekommt dabei Hilfe von einem Einrichtungsassistenten. Ich belasse einfach alles bei den Voreinstellungen und wähle an der entsprechenden Stelle IMAP, um mit Thunderbird auf den Gmail-Server zuzugreifen. Die Alternative zu IMAP heißt POP3. Die hat den Nachteil, dass E-Mails nach dem Herunterladen in Thunderbird vom Gmail-Server verschwinden.

Praktischerweise kennt Thunderbird die Servereinstellungen von Gmail für IMAP und POP3 schon, was die Verbindung kinderleicht macht. Wer einen anderen Dienst als Gmail nimmt, muss hier eventuell die Server- und Portnamen unter manuell einrichten selbst eintragen. Die entsprechenden Informationen sollten auf der Seite des jeweiligen Anbieters zu finden sein.

Nun gehe ich über den Reiter OpenPGP zum Assistenten des Verschlüsselungsprogramms. Auch hier ist es ratsam, alles bei den Voreinstellungen zu belassen, auch beim Punkt Nein, ich möchte in den Empfängerregeln festlegen, wann verschlüsselt werden soll. Denn andernfalls, erklärt Sam, werden alle ausgehenden Nachrichten verschlüsselt. Das kann im Alltag unpraktisch sein, denn wenn der Empfänger gerade nur mit einem Gerät auf seine Mails zugreifen kann, auf dem er seinen privaten Schlüssel nicht hinterlegt hat – zum Beispiel auf dem Smartphone – kann er nicht lesen, was ich ihm schreibe.

Beim letzten Punkt sollte man einfach auf Nein, danke klicken.

Enigmail-Assistent © Patrick Beuth / ZEIT ONLINE

Als nächstes brauche ich einen Schlüssel. Hier ist noch ein kleiner Exkurs nötig, um zu erklären, wie die Ver- und Entschlüsselung abläuft: Jeder Teilnehmer hat ein Schlüsselpaar: ein Schlüssel ist öffentlich, der andere privat. Der öffentliche wird verteilt, und zwar an jeden, mit dem man kommunizieren will. Der private bleibt bei einem selbst und darf unter keinen Umständen herausgegeben werden. Wer eine Mail verschlüsseln will, tut das mit dem öffentlichen Schlüssel des Empfängers. Der braucht seinen privaten, um die Mail dann wieder entschlüsseln zu können. Wer diesen privaten Schlüssel nicht hat, kann die Mail nicht lesen. Hier wird das Ganze ausführlich und anschaulich erklärt.

Ich lege nun ein neues Schlüsselpaar an. Dazu klicke ich unter dem Reiter OpenPGP auf den Assistenten, der mich durch die selbsterklärende Prozedur leitet. Sie beginnt damit dass ich eine Passphrase für meinen privaten Schlüssel festlege. Die Passphrase sollte stark sein, aber nicht unmerkbar. Denn sie wird jedes Mal benötigt, wenn man eine empfangene verschlüsselte Mail lesen will. Außerdem ist es ratsam, ein Widerrufszertifikat anzulegen, um den eigenen Schlüssel unbrauchbar machen zu können, wenn er doch mal in falsche Hände gerät.

Schlüssel finden und importieren

Um nun verschlüsselte Mails austauschen zu können, braucht es den öffentlichen Schlüssel des jeweiligen Empfängers, in diesem Fall den von Sam. Es gibt verschiedene Wege für den Austausch der Schlüssel.

Man kann seinen Schlüssel zum Beispiel im Netz veröffentlichen, auf einem sogenannten Schlüsselserver. Dazu öffne ich über den Reiter Open PGP den Bereich Schlüssel verwalten und klicke dann auf den neuen Reiter Schlüssel-Server. Dort gibt es die Option Schlüssel hochladen. Nach dem Upload kann jeder PGP-Nutzer meinen öffentlichen Schlüssel finden und mir sofort eine verschlüsselte Nachricht zukommen lassen. Die Suche funktioniert über denselben Weg wie das Hochladen: Man öffnet die Schlüsselverwaltung und wechselt dann über den Reiter Schlüssel-Server zu Schlüssel suchen. Hier muss man nur den Namen der Person eingeben, deren Schlüssel man sucht. Da es durchaus denkbar ist, dass sich ein Betrüger als jemand anderes ausgibt und einen Schlüssel in dessen Namen erstellt und hochgeladen hat, ist dieser Weg nicht ganz ohne Risiko. Um dieses Risiko zu mindern, gibt es aber die Möglichkeit, Schlüssel zu signieren: Person A signiert den Schlüssel von Person B, wenn sie Person B vertraut. Die Signatur ist öffentlich, so dass Person C sieht, dass Person B vertrauenswürdig ist. Web oft Trust heißt das Prinzip.

Der dritte Weg ist, jemanden einfach in einer unverschlüsselten Mail nach seinem Schlüssel zu fragen und am besten den eigenen gleich mitzuschicken. Das funktioniert über den Reiter OpenPGP (oben in Thunderbird, nicht im Fenster der neuen E-Mail) und einen Klick auf Meinen öffentlichen Schlüssel anhängen. So tauschen Sam und ich unsere Schlüssel, denn schließlich sitzen wir nebeneinander und sehen, dass es wirklich wir beide sind, die sich gerade schreiben. Um seinen öffentlichen Schlüssel nutzen zu können, muss mich ihn importieren. Das geht zum Beispiel durch einen Rechtsklick auf den als Anhang mitgeschickten Schlüssel, woraufhin sich die Option OpenPGP-Schlüssel importieren anbietet.

Enigmail Schlüssel anhängen © Patrick Beuth / ZEIT ONLINE

Den eigenen geheimen Schlüssel findet man außerhalb von Thunderbird nicht so einfach. Man kann ihn aber in einen beliebigen Ordner exportieren und dann zum Beispiel auf einen USB-Stick ziehen, um ihn auch außerhalb des Rechners aufzubewahren. Das funktioniert in der Schlüsselverwaltung über einen Rechtsklick auf den eigenen Schlüssel, dann das Feld In Datei exportieren und schließlich die Option Geheime Schlüssel exportieren.

Nachdem Sam und ich die Schlüssel getauscht haben, machen wir eine Reihe von Tests: Kann der andere eine verschlüsselte Mail lesen? Kann er verschlüsselte Anhänge entschlüsseln? Ist die Mail außerhalb von Thunderbird, also zum Beispiel auf dem Smartphone oder bei Gmail, unleserlich? Das muss sie nämlich sein, weil auf dem Smartphone kein privater Schlüssel liegt – gleichzeitig ist das im Alltag natürlich unpraktisch. Die Versuche verlaufen allesamt erfolgreich. Nun kann ich mich auf die Suche nach weiteren Menschen machen, mit denen ich Schlüssel tauschen und dann vertraulich kommunizieren kann.

Der Alltag mit Enigmail

Die Einrichtung mag kompliziert sein, aber das Versenden und Empfangen von verschlüsselten Mails ist es nicht. Das gilt auch für E-Mail-Anhänge. Ich habe jedenfalls großen Gefallen daran gefunden und will es künftig so häufig wie möglich tun. Es fühlt sich einfach gut an zu wissen, dass mit Ausnahme des Empfängers wirklich niemand lesen kann, was ich schreibe. Außerdem ist es sinnvoll, möglichst viele Mails zu verschlüsseln. Denn hundert verschlüsselte Mails sind Alltag, nur zwei verschlüsselte zwischen hundert unverschlüsselten fallen einem eventuellen Beobachter auf.

Wer verschlüsselt und gleichzeitig anonym kommunizieren will, muss – wie im ersten Teil beschrieben – einen E-Mail-Account wählen, der nichts über seine Person verrät. Denn die Headerdaten, also Absender, Empfänger, Betreffzeile und einige andere Informationen werden auch mit OpenPGP nicht verschlüsselt und sind deshalb von Dritten unter Umständen lesbar.

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

37 Kommentare Seite 1 von 5 Kommentieren

pgp verschlüsselung mit android

ist ganz einfach... man nehme "K-9" mail aus dem playstore und APG, ebenfall aus dem google store. beide apps sind aufeinander abgestimmt. und man kann sehr gut pgp schlüssel (pub/sec) per asc file nach APG importieren... eine weitere app heisst R2 mail, die auch x509 versteht... pgp, s/mime und x509 sind bereits nach r2 implementiert....

ich verwende aber zur zeit einfach k-9 und apg, weil es umsonst ist. thunderbird/gnu/enigmail habe ich, seit die möglichkeit besteht.

es ist übrigens nicht schwer, das ganze einzurichten, die user sollten aber nicht verschreckt werden. ;-)

Smartphones und Webmail

Es gibt OpenPGP (bzw. dessen Derivate) Apps für Smartphones, ebenso Browserplugins für Webmaildienste. Wie ausgereift die sind ist eine andere Frage. Und auch auf dem Notebook kann man Thunderbird (oder nahezu jeden anderen verbreiteten Emailclient) verwenden. Nur im Internet Cafe bzw. generell auf fremden Rechnern geht's natürlich nicht. Den privaten Schlüssel sollte man übrigens immer mit einer Passphrase schützen (und diese nie speichern), dann ist es auch nicht wirklich tragisch wenn Smartphone/Notebook in fremde Hände gelangen. Zumindest was Ihre Emails angeht ;)

Das Ganze krankt wie gesagt daran, daß auf Seiten der Anwender das Bewustsein fehlt und daher so gut wie keine Nachfrage besteht. Technische Lösungen gäbe es. Bei ensprechend hoher Nachfrage können diese auch Benutzerfreundlich umgesetzt werden.