Mein digitaler SchutzschildOpenPGP – E-Mails verschlüsseln, damit sie keine Postkarten mehr sind
Seite 2/2:

Schlüssel finden und importieren

Um nun verschlüsselte Mails austauschen zu können, braucht es den öffentlichen Schlüssel des jeweiligen Empfängers, in diesem Fall den von Sam. Es gibt verschiedene Wege für den Austausch der Schlüssel.

Man kann seinen Schlüssel zum Beispiel im Netz veröffentlichen, auf einem sogenannten Schlüsselserver. Dazu öffne ich über den Reiter Open PGP den Bereich Schlüssel verwalten und klicke dann auf den neuen Reiter Schlüssel-Server. Dort gibt es die Option Schlüssel hochladen. Nach dem Upload kann jeder PGP-Nutzer meinen öffentlichen Schlüssel finden und mir sofort eine verschlüsselte Nachricht zukommen lassen. Die Suche funktioniert über denselben Weg wie das Hochladen: Man öffnet die Schlüsselverwaltung und wechselt dann über den Reiter Schlüssel-Server zu Schlüssel suchen. Hier muss man nur den Namen der Person eingeben, deren Schlüssel man sucht. Da es durchaus denkbar ist, dass sich ein Betrüger als jemand anderes ausgibt und einen Schlüssel in dessen Namen erstellt und hochgeladen hat, ist dieser Weg nicht ganz ohne Risiko. Um dieses Risiko zu mindern, gibt es aber die Möglichkeit, Schlüssel zu signieren: Person A signiert den Schlüssel von Person B, wenn sie Person B vertraut. Die Signatur ist öffentlich, so dass Person C sieht, dass Person B vertrauenswürdig ist. Web oft Trust heißt das Prinzip.

Der dritte Weg ist, jemanden einfach in einer unverschlüsselten Mail nach seinem Schlüssel zu fragen und am besten den eigenen gleich mitzuschicken. Das funktioniert über den Reiter OpenPGP (oben in Thunderbird, nicht im Fenster der neuen E-Mail) und einen Klick auf Meinen öffentlichen Schlüssel anhängen. So tauschen Sam und ich unsere Schlüssel, denn schließlich sitzen wir nebeneinander und sehen, dass es wirklich wir beide sind, die sich gerade schreiben. Um seinen öffentlichen Schlüssel nutzen zu können, muss mich ihn importieren. Das geht zum Beispiel durch einen Rechtsklick auf den als Anhang mitgeschickten Schlüssel, woraufhin sich die Option OpenPGP-Schlüssel importieren anbietet.

Enigmail Schlüssel anhängen

Enigmail Schlüssel anhängen  |  © Patrick Beuth / ZEIT ONLINE

Den eigenen geheimen Schlüssel findet man außerhalb von Thunderbird nicht so einfach. Man kann ihn aber in einen beliebigen Ordner exportieren und dann zum Beispiel auf einen USB-Stick ziehen, um ihn auch außerhalb des Rechners aufzubewahren. Das funktioniert in der Schlüsselverwaltung über einen Rechtsklick auf den eigenen Schlüssel, dann das Feld In Datei exportieren und schließlich die Option Geheime Schlüssel exportieren.

Nachdem Sam und ich die Schlüssel getauscht haben, machen wir eine Reihe von Tests: Kann der andere eine verschlüsselte Mail lesen? Kann er verschlüsselte Anhänge entschlüsseln? Ist die Mail außerhalb von Thunderbird, also zum Beispiel auf dem Smartphone oder bei Gmail, unleserlich? Das muss sie nämlich sein, weil auf dem Smartphone kein privater Schlüssel liegt – gleichzeitig ist das im Alltag natürlich unpraktisch. Die Versuche verlaufen allesamt erfolgreich. Nun kann ich mich auf die Suche nach weiteren Menschen machen, mit denen ich Schlüssel tauschen und dann vertraulich kommunizieren kann.

Der Alltag mit Enigmail

Die Einrichtung mag kompliziert sein, aber das Versenden und Empfangen von verschlüsselten Mails ist es nicht. Das gilt auch für E-Mail-Anhänge. Ich habe jedenfalls großen Gefallen daran gefunden und will es künftig so häufig wie möglich tun. Es fühlt sich einfach gut an zu wissen, dass mit Ausnahme des Empfängers wirklich niemand lesen kann, was ich schreibe. Außerdem ist es sinnvoll, möglichst viele Mails zu verschlüsseln. Denn hundert verschlüsselte Mails sind Alltag, nur zwei verschlüsselte zwischen hundert unverschlüsselten fallen einem eventuellen Beobachter auf.

Wer verschlüsselt und gleichzeitig anonym kommunizieren will, muss – wie im ersten Teil beschrieben – einen E-Mail-Account wählen, der nichts über seine Person verrät. Denn die Headerdaten, also Absender, Empfänger, Betreffzeile und einige andere Informationen werden auch mit OpenPGP nicht verschlüsselt und sind deshalb von Dritten unter Umständen lesbar.

Zur Startseite
 
Leserkommentare
  1. "Die Einrichtung ist allerdings aufwändig"
    "Die Einrichtung mag kompliziert sein"

    Psychologisch äußerst unklug. Mit der ständigen Betonung, wie kompliziert das Ganze sei, demotivieren sie sofort jeden, der Berührungsängste hat.

    Was genau an OpenPGP dann nun so aufwändig ist, bleibt unklar. Die Software führt sie doch bequem durch alle Schritte.
    Gerade Thunderbird mit Enigmail macht fast alles von alleine.

    Sie haben doch sogar selbst ihr linuxbasiertes Betriebssytem installiert - das soll die Einrichtung von PGP kompliziert sein?
    Ich bitte sie.

    14 Leserempfehlungen
  2. Wollte das schon immer mal umgesetzt haben. Hab's nun - durch Ihren Artikel inspiriert - gemacht. Hat geklappt.

    Allerdings hatte ich schon gpg und ein Schlüsselpaar auf meinem Rechner, auch Thunderbird war schon in Benutzung. So gesehen war der Aufwand bei mir minimal.

    Vielen Dank! :)

    4 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    Redaktion

    Ich freue mich sehr über jeden, der die Anleitung verwendet!

  3. ... werden alle ausgehenden Nachrichten verschlüsselt, und wenn der Empfänger kein PGP benutzt, kann er nicht lesen, was ich ihm schreibe."

    Das hat er bestimmt nicht erklärt, denn wenn ein Empfänger kein GPG benutzt, hat er auch keinen öffentlichen Schlüssel, und somit kann gar nicht verschlüsselt werden. Womit denn?

    Genau das ist die Krux bei GPG/PGP und ähnlichen Verschlüsselungsverfahren: Beide Kommunikationspartner müssen es eingerichtet haben. Nur hat das fast niemand. Und man bringt auch kaum jemanden dazu. Suchen Sie mal auf den Keyservern nach Freunden, Bekannten, Verwandten, Kollegen. Trefferquote: einer bis zwei...

    4 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    Redaktion

    Stimmt, da hatte ich mich unpräzise ausgedrückt. Ist im Text jetzt verbessert. Es geht darum, dass man jemandem manchmal auch unverschlüsselte Mails schicken will, wenn man weiß, dass derjenige gerade kein Gerät mit dem privaten Schlüssel dabei hat.

    Insofern hat auch Leser(in) "L3v3l0rd" Recht. Smartphones sind aber nochmal ein eigener Bereich. Dazu müsste ich eine weitere Artikelserie schreiben.

  4. Toll. Ich habe dann verschlüsselte Mails, die ich genau an EINEM sicheren Ort lesen kann. Zu Hause. (Bzw. auf privaten Windows/Linux Rechnern)
    Der Vorteil des Web-Mailing ist damit schon mal flöten, nämlich das "Überall"-Lesen können der Mails (z.B. auf der Arbeit).
    Was ist mit Smartphones? Ja/Nein/Vielleicht?
    Das ist leider der schwächste Artikel aus Ihrer Serie.

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen

    Für Android gibt es den Android Privacy Guard: https://play.google.com/s...

    Es gibt OpenPGP (bzw. dessen Derivate) Apps für Smartphones, ebenso Browserplugins für Webmaildienste. Wie ausgereift die sind ist eine andere Frage. Und auch auf dem Notebook kann man Thunderbird (oder nahezu jeden anderen verbreiteten Emailclient) verwenden. Nur im Internet Cafe bzw. generell auf fremden Rechnern geht's natürlich nicht. Den privaten Schlüssel sollte man übrigens immer mit einer Passphrase schützen (und diese nie speichern), dann ist es auch nicht wirklich tragisch wenn Smartphone/Notebook in fremde Hände gelangen. Zumindest was Ihre Emails angeht ;)

    Das Ganze krankt wie gesagt daran, daß auf Seiten der Anwender das Bewustsein fehlt und daher so gut wie keine Nachfrage besteht. Technische Lösungen gäbe es. Bei ensprechend hoher Nachfrage können diese auch Benutzerfreundlich umgesetzt werden.

    auch smartphones bieten eine möglichkeit... für android ist es k-9/apg oder r2mail als gute client/krypto lösung.. mit anderen systemen habe ich mich nicht beschädftigt ;-)

  5. Redaktion
    5. Danke

    Ich freue mich sehr über jeden, der die Anleitung verwendet!

    Antwort auf "Hat geklappt! :)"
    Reaktionen auf diesen Kommentar anzeigen

    Danke für Ihren Artikel.

    Ich möchte ergänzend noch auf http://www.gpg4win.de aufmerksam machen. Die Seite bietet für Neuanwender ein Installationspaket mit sehr gutem deutschsprachigen Begleitmaterial und Hilfestellung bei der Installation bzw. Konfiguration.

    Da es auf OpenPGP bzw. PGP generell aufbaut, kann es wie in Ihrem Artikel beschrieben mit Thunderbird und Enigmail zusammen verwendet werden.

    Während meines Studiums hab ich mich auch oft gewundert, wie viele Firmen heute zwar Bewerbungen per Mail akzeptieren, jedoch wie wenige auf einen öffentlichen Schlüssel verweisen, mit denen man eine elektronische Bewerbung verschlüsselt schicken könnte. Immerhin ist dabei oft der gesamte Lebenslauf im Anhang.

    ist ganz einfach... man nehme "K-9" mail aus dem playstore und APG, ebenfall aus dem google store. beide apps sind aufeinander abgestimmt. und man kann sehr gut pgp schlüssel (pub/sec) per asc file nach APG importieren... eine weitere app heisst R2 mail, die auch x509 versteht... pgp, s/mime und x509 sind bereits nach r2 implementiert....

    ich verwende aber zur zeit einfach k-9 und apg, weil es umsonst ist. thunderbird/gnu/enigmail habe ich, seit die möglichkeit besteht.

    es ist übrigens nicht schwer, das ganze einzurichten, die user sollten aber nicht verschreckt werden. ;-)

  6. Redaktion

    Stimmt, da hatte ich mich unpräzise ausgedrückt. Ist im Text jetzt verbessert. Es geht darum, dass man jemandem manchmal auch unverschlüsselte Mails schicken will, wenn man weiß, dass derjenige gerade kein Gerät mit dem privaten Schlüssel dabei hat.

    Insofern hat auch Leser(in) "L3v3l0rd" Recht. Smartphones sind aber nochmal ein eigener Bereich. Dazu müsste ich eine weitere Artikelserie schreiben.

    Eine Leserempfehlung
  7. Für Android gibt es den Android Privacy Guard: https://play.google.com/s...

    Antwort auf "Zu unhandlich"
  8. Es gibt OpenPGP (bzw. dessen Derivate) Apps für Smartphones, ebenso Browserplugins für Webmaildienste. Wie ausgereift die sind ist eine andere Frage. Und auch auf dem Notebook kann man Thunderbird (oder nahezu jeden anderen verbreiteten Emailclient) verwenden. Nur im Internet Cafe bzw. generell auf fremden Rechnern geht's natürlich nicht. Den privaten Schlüssel sollte man übrigens immer mit einer Passphrase schützen (und diese nie speichern), dann ist es auch nicht wirklich tragisch wenn Smartphone/Notebook in fremde Hände gelangen. Zumindest was Ihre Emails angeht ;)

    Das Ganze krankt wie gesagt daran, daß auf Seiten der Anwender das Bewustsein fehlt und daher so gut wie keine Nachfrage besteht. Technische Lösungen gäbe es. Bei ensprechend hoher Nachfrage können diese auch Benutzerfreundlich umgesetzt werden.

    Antwort auf "Zu unhandlich"
    Reaktionen auf diesen Kommentar anzeigen

    Der Grund, warum ich das nicht schon längst verwende. Ich habe schlicht keinen einzigen potenziellen Empfänger. Aber vielleicht klappt es ja mal mit Hilfe dieses Artikel, liegt jetzt auch jeden Fall in den Lesezeichen.

    Die Nachfrage besteht prinzipiell schon, es fehlt nur die Rechtssicherheit. Was zur Folge hat, dass sich so ein (technisch gesehen) Müll, wie de-mail etabliert.
    Hätte man dagegen von politischer Seite aus pgp-mails für rechtskräftig erklärt, hach...

    • DerDude
    • 30. Januar 2013 14:55 Uhr

    Eine Option für das Internetcafé könnte Thunderbird Portable sein, der sich auch auf USB-Sticks, SD-Karten usw. installieren lässt.

    http://www.chip.de/downlo...

    Habe jetzt aber noch nicht selbst ausprobiert, ob die Verschlüsselung auch mit der Portable-Version funktioniert.

Bitte melden Sie sich an, um zu kommentieren

Service