Mein digitaler SchutzschildOpenPGP – E-Mails verschlüsseln, damit sie keine Postkarten mehr sind

Die Verschlüsselung von E-Mails mit OpenPGP ist nicht einfach. Einmal eingerichtet ist es aber ein praktikabler Weg, die eigene Privatsphäre zu schützen. von 

Verschlüsselte E-Mails sind nicht zwingend anonym. Denn die Adresse des Absenders wird unverschlüsselt übertragen. Dennoch ist die Technik bestens geeignet, um sich ein Stück Privatsphäre zu bewahren. Denn mit Ausnahme des jeweiligen Empfängers kann sie niemand lesen. Der Vorteil: Ein normales E-Mail-Konto reicht, zum Beispiel ein Gmail-Konto mit dem tatsächlichen Namen. Normalerweise durchsucht Google die Mails automatisiert nach werberelevanten Schlagworten. Mit verschlüsselten Mails aber kann Google nichts anfangen.

Die Einrichtung ist allerdings aufwändig. Anstatt ein Handbuch zu nehmen, frage ich Samuel Carlisle, ob er mir zeigt, wie ich mein ThinkPad ausrüsten muss, um verschlüsselte Mails senden und empfangen zu können. Ich treffe ihn beim 29C3, dem Kongress des Chaos Computer Clubs. Carlisle, 25, ist einer der Organisatoren der CryptoPartys in London. Er hat viel Erfahrung damit, Anfängern die Grundlagen der Verschlüsselung beizubringen.

Anzeige

Drei Dinge brauche ich dafür, sagt Sam: Erstens ein Konto bei einem der üblichen Webmail-Anbieter, also zum Beispiel Gmail oder GMX, zweitens das Mailprogramm Thunderbird – das wie der Firefox-Browser von Mozilla kommt –  und drittens die Erweiterung Enigmail für die eigentliche Verschlüsselung. An diesr Stelle ein Hinweis für alle, die kein Linux-System verwenden: Mitunter wird noch ein vierter Baustein benötigt, nämlich das Programm GnuPG. Enigmail ist lediglich die Benutzeroberfläche für GnuPG in Thunderbird. Die meisten Linux-Systeme haben GnuPG an Bord, Windows-System dagegen nicht.  Details dazu gibt es hier.

Welchen Webmail-Anbieter ich nehme, spielt keine allzu große Rolle. Wichtig ist nur, dass er den Zugriff auf meine E-Mails in Thunderbird über IMAP oder POP3 ermöglicht. Ich nehme deshalb einfach mein Gmail-Konto.

Mein digitaler Schutzschild

Wie schwierig ist es, sich anonym im Internet zu bewegen, E-Mails zu verschlüsseln, die eigene Privatsphäre zu schützen und Daten sicher zu speichern? Wie alltags- und laientauglich sind die entsprechenden Programme?

In der Serie "Mein digitaler Schutzschild" beantwortet ZEIT ONLINE diese Fragen. Digital-Redakteur Patrick Beuth hat ein Notebook mit der nötigen Software ausgerüstet und seine Erfahrungen dokumentiert. Er hat dazu Handbücher gelesen, Wikis und Anleitungen, und er hat Hacker und andere Experten um Rat gebeten.

Das Ergebnis ist eine Schritt-für-Schritt-Anleitung für diejenigen, die noch keine Erfahrung mit Linux, Anonymisierungssoftware oder Verschlüsselung haben – und das ändern möchten.

Inhalte der Serie

Teil 1: Ubuntu (Linux) als Betriebssystem

Teil 2: Anonymes Surfen mit Tor

Teil 3: Anonymes Surfen mit VPN

Teil 4: Ein anonymes E-Mail-Konto Einrichten mit Hushmail und Tor

Teil 5: E-Mails verschlüsseln mit Enigmail / OpenPGP

Teil 6: Daten auf der Festplatte mit TrueCrypt verschlüsseln

ALS E-BOOK

Die Serie Mein digitales Schutzschild gibt es auch als E-Book. Erfahren Sie in dieser für eReader hochwertig aufbereiteten Fassung, wie Sie Ihre Daten auf dem PC und im Internet besser schützen können.

Unser E-Book steht Ihnen dabei als EPUB-Version für Ihren eReader, sowie als MOBI-Version für Ihr Kindle Lesegerät von Amazon zur Verfügung.

Entdecken Sie auch weitere E-Books von ZEIT ONLINE unter www.zeit.de/ebooks.

Die Installation

Thunderbird selbst ist schon in Ubuntu enthalten. (Eine Installationsanleitung für Enigmail in Thunderbird unter Windows gibt es übrigens auch im Wiki der Piratenpartei.) Und Enigmail bekomme ich in Thunderbird über den Reiter Extras, wo ich dann auf Add-ons klicke. Dort suche ich die Erweiterung und installiere sie mit einem Klick und einem Neustart von Thunderbird. Alternativ kann man Enigmail auf von der Website der Entwickler herunterladen und dann installieren. Enigmail taucht dann als Reiter OpenPGP oben im Thunderbird-Menü auf. OpenPGP ist der zugrundeliegende technische Standard, der das Verschlüsselungsverfahren beschreibt.

Enigmail Add-on

Enigmail Add-on  |  © Patrick Beuth / ZEIT ONLINE

Nun habe ich die drei Bausteine. Als nächstes muss ich sie verknüpfen. In Thunderbird richte ich mir zuerst das Gmail-Konto ein. Wer Thunderbird zum ersten Mal benutzt, bekommt dabei Hilfe von einem Einrichtungsassistenten. Ich belasse einfach alles bei den Voreinstellungen und wähle an der entsprechenden Stelle IMAP, um mit Thunderbird auf den Gmail-Server zuzugreifen. Die Alternative zu IMAP heißt POP3. Die hat den Nachteil, dass E-Mails nach dem Herunterladen in Thunderbird vom Gmail-Server verschwinden.

Praktischerweise kennt Thunderbird die Servereinstellungen von Gmail für IMAP und POP3 schon, was die Verbindung kinderleicht macht. Wer einen anderen Dienst als Gmail nimmt, muss hier eventuell die Server- und Portnamen unter manuell einrichten selbst eintragen. Die entsprechenden Informationen sollten auf der Seite des jeweiligen Anbieters zu finden sein.

Nun gehe ich über den Reiter OpenPGP zum Assistenten des Verschlüsselungsprogramms. Auch hier ist es ratsam, alles bei den Voreinstellungen zu belassen, auch beim Punkt Nein, ich möchte in den Empfängerregeln festlegen, wann verschlüsselt werden soll. Denn andernfalls, erklärt Sam, werden alle ausgehenden Nachrichten verschlüsselt. Das kann im Alltag unpraktisch sein, denn wenn der Empfänger gerade nur mit einem Gerät auf seine Mails zugreifen kann, auf dem er seinen privaten Schlüssel nicht hinterlegt hat – zum Beispiel auf dem Smartphone – kann er nicht lesen, was ich ihm schreibe.

Beim letzten Punkt sollte man einfach auf Nein, danke klicken.

Enigmail-Assistent

Enigmail-Assistent  |  © Patrick Beuth / ZEIT ONLINE

Als nächstes brauche ich einen Schlüssel. Hier ist noch ein kleiner Exkurs nötig, um zu erklären, wie die Ver- und Entschlüsselung abläuft: Jeder Teilnehmer hat ein Schlüsselpaar: ein Schlüssel ist öffentlich, der andere privat. Der öffentliche wird verteilt, und zwar an jeden, mit dem man kommunizieren will. Der private bleibt bei einem selbst und darf unter keinen Umständen herausgegeben werden. Wer eine Mail verschlüsseln will, tut das mit dem öffentlichen Schlüssel des Empfängers. Der braucht seinen privaten, um die Mail dann wieder entschlüsseln zu können. Wer diesen privaten Schlüssel nicht hat, kann die Mail nicht lesen. Hier wird das Ganze ausführlich und anschaulich erklärt.

Ich lege nun ein neues Schlüsselpaar an. Dazu klicke ich unter dem Reiter OpenPGP auf den Assistenten, der mich durch die selbsterklärende Prozedur leitet. Sie beginnt damit dass ich eine Passphrase für meinen privaten Schlüssel festlege. Die Passphrase sollte stark sein, aber nicht unmerkbar. Denn sie wird jedes Mal benötigt, wenn man eine empfangene verschlüsselte Mail lesen will. Außerdem ist es ratsam, ein Widerrufszertifikat anzulegen, um den eigenen Schlüssel unbrauchbar machen zu können, wenn er doch mal in falsche Hände gerät.

Leserkommentare
    • DerDude
    • 30. Januar 2013 14:55 Uhr

    Eine Option für das Internetcafé könnte Thunderbird Portable sein, der sich auch auf USB-Sticks, SD-Karten usw. installieren lässt.

    http://www.chip.de/downlo...

    Habe jetzt aber noch nicht selbst ausprobiert, ob die Verschlüsselung auch mit der Portable-Version funktioniert.

  1. Der Artikel ist super und eine große Hilfe, aber die abfotografierten Bildschirme sehen absolut schrecklich auch. Nehmen Sie diese Kritik doch bitte auch mal ernst.

    Reaktionen auf diesen Kommentar anzeigen

    Abfotografierte Bildschirme erzeugen, im Gegensatz zu Screenshots, eine gewisse Distanz zum Bildinhalt.

    Stellen Sie sich vor, Sie lassen einen technisch unbegabten Freund einen Artikel lesen, der eine Fehlermeldung als Screenshot enthält.
    Unter Umständen versucht der noch, die zu schließen ;)

  2. Abfotografierte Bildschirme erzeugen, im Gegensatz zu Screenshots, eine gewisse Distanz zum Bildinhalt.

    Stellen Sie sich vor, Sie lassen einen technisch unbegabten Freund einen Artikel lesen, der eine Fehlermeldung als Screenshot enthält.
    Unter Umständen versucht der noch, die zu schließen ;)

    Reaktionen auf diesen Kommentar anzeigen

    Warum sollte man Distanz zum Bildinhalt erzeugen? Der Rest des Artikels ist doch auch in sauberen Computerschrift auf dem Bildschirm zu lesen und nicht im eingescannten Briefformat.

    Es passt einfach nicht zu der Qualität, die man hier gewohnt ist.

  3. Warum sollte man Distanz zum Bildinhalt erzeugen? Der Rest des Artikels ist doch auch in sauberen Computerschrift auf dem Bildschirm zu lesen und nicht im eingescannten Briefformat.

    Es passt einfach nicht zu der Qualität, die man hier gewohnt ist.

    2 Leserempfehlungen
  4. Schon wieder eine PGP-Anleitung. Sie sind alle so gleich. Vor allem darin, dass man danach noch weniger versteht als vorher. Ich kapiere einfach nicht, wie der Empfänger eine verschlüsselte Mail entziffern will, ohne dass ich ihm den Schlüssel mitteile. Sollen die Leute skypen, das ist verschlüsselt.

    Reaktionen auf diesen Kommentar anzeigen
    • xoxox
    • 30. Januar 2013 16:25 Uhr

    >> Ich kapiere einfach nicht, wie der Empfänger eine verschlüsselte Mail entziffern will, ohne dass ich ihm den Schlüssel mitteile.
    >
    Indem man dem Versender vorher seinen öffentlichen Schlüssel mitteilt. Dieser kann problemlos über unsichere Kanäle verschickt werden. Entschlüsseln geht nur mit dem eigenen geheimen Schlüssel.

    Siehe http://de.wikipedia.org/w...

    Jeder der sich um Sicherheit und Verschlüsselung Gedanken macht, der wird auch die Anweisungen verstehen wollen.

    Dem, dem das ganze "Gedöns" zu unwichtig erscheint, der kümmert sich eben nicht drum.

    Sollen die Leute skypen, das ist verschlüsselt.
    1. Ist das (noch) kein email-Dienst.
    2. Will nicht jeder immer und zu jeder Zeit ein IP-Telefonprogramm aufhaben.
    3. Nicht jeder will unbedingt ein Produkt von MS auf seinem Rechner nutzen. Auch gibt es erhebliche Unterschiede bei den Programmversionen für die versch. Betriebssysteme.
    4. In 2010 war es noch möglich, dass der Staat mithört http://www.lawblog.de/ind... Ob sich da bis heute etwas geändert hat? MS = USA; USA will alles wissen ...

  5. Der User hat schon Recht, der korrekte Abgleich des Key gehört zur vollständigen Konfiguration. Warum die Arbeit mit der Einrichtung machen und dann eine entscheidende "Kleinigkeit" vergessen? Auch können Sie nur einen verifizierten Schlüssel als uneingeschränkt vertrauenswürdig unterschreiben. Ich gleiche den Fingerprint mündlich ab. Man trifft sich oder man telefoniert. Das ging bisher immer und ist eine Sache von 30 Sekunden.

    Antwort auf "Absicht"
    • xoxox
    • 30. Januar 2013 16:25 Uhr

    >> Ich kapiere einfach nicht, wie der Empfänger eine verschlüsselte Mail entziffern will, ohne dass ich ihm den Schlüssel mitteile.
    >
    Indem man dem Versender vorher seinen öffentlichen Schlüssel mitteilt. Dieser kann problemlos über unsichere Kanäle verschickt werden. Entschlüsseln geht nur mit dem eigenen geheimen Schlüssel.

    Siehe http://de.wikipedia.org/w...

    Antwort auf "Bitte aufhören!"
    Reaktionen auf diesen Kommentar anzeigen

    Für den Mac gibt es übrigens eine einfach zu installierende Anwendung, die sich in das Standard-Email-Programm integriert:
    https://www.gpgtools.org/

  6. Für den Mac gibt es übrigens eine einfach zu installierende Anwendung, die sich in das Standard-Email-Programm integriert:
    https://www.gpgtools.org/

    Antwort auf "Nicht aufhören."

Bitte melden Sie sich an, um zu kommentieren

Service