Mein digitaler SchutzschildOpenPGP – E-Mails verschlüsseln, damit sie keine Postkarten mehr sind

Die Verschlüsselung von E-Mails mit OpenPGP ist nicht einfach. Einmal eingerichtet ist es aber ein praktikabler Weg, die eigene Privatsphäre zu schützen. von 

Verschlüsselte E-Mails sind nicht zwingend anonym. Denn die Adresse des Absenders wird unverschlüsselt übertragen. Dennoch ist die Technik bestens geeignet, um sich ein Stück Privatsphäre zu bewahren. Denn mit Ausnahme des jeweiligen Empfängers kann sie niemand lesen. Der Vorteil: Ein normales E-Mail-Konto reicht, zum Beispiel ein Gmail-Konto mit dem tatsächlichen Namen. Normalerweise durchsucht Google die Mails automatisiert nach werberelevanten Schlagworten. Mit verschlüsselten Mails aber kann Google nichts anfangen.

Die Einrichtung ist allerdings aufwändig. Anstatt ein Handbuch zu nehmen, frage ich Samuel Carlisle, ob er mir zeigt, wie ich mein ThinkPad ausrüsten muss, um verschlüsselte Mails senden und empfangen zu können. Ich treffe ihn beim 29C3, dem Kongress des Chaos Computer Clubs. Carlisle, 25, ist einer der Organisatoren der CryptoPartys in London. Er hat viel Erfahrung damit, Anfängern die Grundlagen der Verschlüsselung beizubringen.

Anzeige

Drei Dinge brauche ich dafür, sagt Sam: Erstens ein Konto bei einem der üblichen Webmail-Anbieter, also zum Beispiel Gmail oder GMX, zweitens das Mailprogramm Thunderbird – das wie der Firefox-Browser von Mozilla kommt –  und drittens die Erweiterung Enigmail für die eigentliche Verschlüsselung. An diesr Stelle ein Hinweis für alle, die kein Linux-System verwenden: Mitunter wird noch ein vierter Baustein benötigt, nämlich das Programm GnuPG. Enigmail ist lediglich die Benutzeroberfläche für GnuPG in Thunderbird. Die meisten Linux-Systeme haben GnuPG an Bord, Windows-System dagegen nicht.  Details dazu gibt es hier.

Welchen Webmail-Anbieter ich nehme, spielt keine allzu große Rolle. Wichtig ist nur, dass er den Zugriff auf meine E-Mails in Thunderbird über IMAP oder POP3 ermöglicht. Ich nehme deshalb einfach mein Gmail-Konto.

Mein digitaler Schutzschild

Wie schwierig ist es, sich anonym im Internet zu bewegen, E-Mails zu verschlüsseln, die eigene Privatsphäre zu schützen und Daten sicher zu speichern? Wie alltags- und laientauglich sind die entsprechenden Programme?

In der Serie "Mein digitaler Schutzschild" beantwortet ZEIT ONLINE diese Fragen. Digital-Redakteur Patrick Beuth hat ein Notebook mit der nötigen Software ausgerüstet und seine Erfahrungen dokumentiert. Er hat dazu Handbücher gelesen, Wikis und Anleitungen, und er hat Hacker und andere Experten um Rat gebeten.

Das Ergebnis ist eine Schritt-für-Schritt-Anleitung für diejenigen, die noch keine Erfahrung mit Linux, Anonymisierungssoftware oder Verschlüsselung haben – und das ändern möchten.

Inhalte der Serie

Teil 1: Ubuntu (Linux) als Betriebssystem

Teil 2: Anonymes Surfen mit Tor

Teil 3: Anonymes Surfen mit VPN

Teil 4: Ein anonymes E-Mail-Konto Einrichten mit Hushmail und Tor

Teil 5: E-Mails verschlüsseln mit Enigmail / OpenPGP

Teil 6: Daten auf der Festplatte mit TrueCrypt verschlüsseln

ALS E-BOOK

Die Serie Mein digitales Schutzschild gibt es auch als E-Book. Erfahren Sie in dieser für eReader hochwertig aufbereiteten Fassung, wie Sie Ihre Daten auf dem PC und im Internet besser schützen können.

Unser E-Book steht Ihnen dabei als EPUB-Version für Ihren eReader, sowie als MOBI-Version für Ihr Kindle Lesegerät von Amazon zur Verfügung.

Entdecken Sie auch weitere E-Books von ZEIT ONLINE unter www.zeit.de/ebooks.

Die Installation

Thunderbird selbst ist schon in Ubuntu enthalten. (Eine Installationsanleitung für Enigmail in Thunderbird unter Windows gibt es übrigens auch im Wiki der Piratenpartei.) Und Enigmail bekomme ich in Thunderbird über den Reiter Extras, wo ich dann auf Add-ons klicke. Dort suche ich die Erweiterung und installiere sie mit einem Klick und einem Neustart von Thunderbird. Alternativ kann man Enigmail auf von der Website der Entwickler herunterladen und dann installieren. Enigmail taucht dann als Reiter OpenPGP oben im Thunderbird-Menü auf. OpenPGP ist der zugrundeliegende technische Standard, der das Verschlüsselungsverfahren beschreibt.

Enigmail Add-on

Enigmail Add-on  |  © Patrick Beuth / ZEIT ONLINE

Nun habe ich die drei Bausteine. Als nächstes muss ich sie verknüpfen. In Thunderbird richte ich mir zuerst das Gmail-Konto ein. Wer Thunderbird zum ersten Mal benutzt, bekommt dabei Hilfe von einem Einrichtungsassistenten. Ich belasse einfach alles bei den Voreinstellungen und wähle an der entsprechenden Stelle IMAP, um mit Thunderbird auf den Gmail-Server zuzugreifen. Die Alternative zu IMAP heißt POP3. Die hat den Nachteil, dass E-Mails nach dem Herunterladen in Thunderbird vom Gmail-Server verschwinden.

Praktischerweise kennt Thunderbird die Servereinstellungen von Gmail für IMAP und POP3 schon, was die Verbindung kinderleicht macht. Wer einen anderen Dienst als Gmail nimmt, muss hier eventuell die Server- und Portnamen unter manuell einrichten selbst eintragen. Die entsprechenden Informationen sollten auf der Seite des jeweiligen Anbieters zu finden sein.

Nun gehe ich über den Reiter OpenPGP zum Assistenten des Verschlüsselungsprogramms. Auch hier ist es ratsam, alles bei den Voreinstellungen zu belassen, auch beim Punkt Nein, ich möchte in den Empfängerregeln festlegen, wann verschlüsselt werden soll. Denn andernfalls, erklärt Sam, werden alle ausgehenden Nachrichten verschlüsselt. Das kann im Alltag unpraktisch sein, denn wenn der Empfänger gerade nur mit einem Gerät auf seine Mails zugreifen kann, auf dem er seinen privaten Schlüssel nicht hinterlegt hat – zum Beispiel auf dem Smartphone – kann er nicht lesen, was ich ihm schreibe.

Beim letzten Punkt sollte man einfach auf Nein, danke klicken.

Enigmail-Assistent

Enigmail-Assistent  |  © Patrick Beuth / ZEIT ONLINE

Als nächstes brauche ich einen Schlüssel. Hier ist noch ein kleiner Exkurs nötig, um zu erklären, wie die Ver- und Entschlüsselung abläuft: Jeder Teilnehmer hat ein Schlüsselpaar: ein Schlüssel ist öffentlich, der andere privat. Der öffentliche wird verteilt, und zwar an jeden, mit dem man kommunizieren will. Der private bleibt bei einem selbst und darf unter keinen Umständen herausgegeben werden. Wer eine Mail verschlüsseln will, tut das mit dem öffentlichen Schlüssel des Empfängers. Der braucht seinen privaten, um die Mail dann wieder entschlüsseln zu können. Wer diesen privaten Schlüssel nicht hat, kann die Mail nicht lesen. Hier wird das Ganze ausführlich und anschaulich erklärt.

Ich lege nun ein neues Schlüsselpaar an. Dazu klicke ich unter dem Reiter OpenPGP auf den Assistenten, der mich durch die selbsterklärende Prozedur leitet. Sie beginnt damit dass ich eine Passphrase für meinen privaten Schlüssel festlege. Die Passphrase sollte stark sein, aber nicht unmerkbar. Denn sie wird jedes Mal benötigt, wenn man eine empfangene verschlüsselte Mail lesen will. Außerdem ist es ratsam, ein Widerrufszertifikat anzulegen, um den eigenen Schlüssel unbrauchbar machen zu können, wenn er doch mal in falsche Hände gerät.

Leserkommentare
    • Bodman
    • 30. Januar 2013 17:00 Uhr

    Für Nutzer, denen die Installation der oben besprochenen Software zu kompliziert ist oder die aus anderen Gründen nicht zum Mailprogramm Thunderbird wechseln wollen, gibt es die Möglichkeit, die Verschlüsselung eines Textes selbst vorzunehmen und dann die verschlüsselten Daten in einer normalen Mail zu verschicken.

    Es ist kinderleicht, man nutzt dazu den Blowfish - Algorithmus. Unter folgendem Link kann man es ausprobieren: https://www.srware.net/online_crypt24.php

    Es empfiehlt sich, ein möglichst starkes Passwort zu benutzen, mindestens 16 Zeichen sind eigentlich Pflicht. Es muss persönlich übermittelt werden oder vor Beginn des Schriftverkehrs verabredet sein.

    Hier kann man Passwörter überprüfen: http://www.php-einfach.de/passwortsicherheit.php

    Bei länger dauernder Mailkorrespondenz kann man mit seinem Gegenüber auch eine regelmäßige Veränderung des Passwortes ausmachen. Der Phantasie sind hier keine Grenzen gesetzt.

    Ideal wäre es, wenn man die Seiten zur Verschlüsselung dann noch mit TOR oder JonDonym aufruft und zur Übermittlung einen anonymen Mail - Account nutzt.

    • ouboub
    • 30. Januar 2013 18:36 Uhr
    26. smime!

    Man sollte noch unbedingt smime erwähnen, daß ähnlich sicher wie pgp ist, aber eine Reihe von Vorteilen hat (und einen Nachteil).

    Für pgp braucht man (Was aus dem Artikel nicht so klar wurde)

    - ein Mail Programm (zb Thunderbird)

    - eine funktionierende gpg (openpg) Installation, trivial in Linux, leicht in MaC, mittelschwer in Windows.

    - ein plugin für das Mailprogamm, um vorliegenden Fall enigmail, es gibt aber auch plugins für Mac Mail, Outlook etc

    - Die Erzeugung eines Schlüsselpaares.

    - Das Verteilen des öffentlichen Schlüssels.

    SMIME ist hingegen in allen wichtigen MailProgrammen schon vorinstalliert. Thunderbird, Apple Mail, Outlook, kmail, Evolution gnus ((X)emacs) etc, Iphone Mail ab IOS 4.3, bei Android bin ich nicht ganz sicher.

    - Jetzt braucht man nur noch ein Zertifikat. Das bekommt man kostenlos zb bei www.comodo.com

    - Dann schickt man seinem Briefpartner eine unterschrieben Nachricht (die Unterschrift enthält schon den öffentlichen Schlüssel) und das wars.

    Uwe Brauer

    • ouboub
    • 30. Januar 2013 18:39 Uhr
    27. webmail

    Wenn man unbedingt webmail benutzten will, empfiehlt sich, (allerdings nur für firefox)

    - firepgp

    - penango (für smime)

    Uwe Brauer

    • DDW
    • 30. Januar 2013 21:55 Uhr

    PGP nutzt eine asymetrische Verschlüsselung.

    Stellen Sie sich vor, Sie haben ein Auto (genauer gesagt einen alten Ford), diesen können Sie in der Regel nur mit dem eingenen Schlüssel öffnen und schließen (Privater Schlüssel). Wenn im bekanntenkreis ein weiterer Fordfahrer ist, dann wird es Sie verwundern, daß dieser oftmals mit seinem Schlüssel ihr Auto abschließen aber nicht öffnen kann (Public Key).

    Bei PGP verhält es sich ähnlich. Einen öffentlichen Schlüssel sollten Sie nach belieben verteilen. Setzen Sie ihn auf ihre Homepage, Drucken Sie ihn aus und hängen Sie ihn ins Schaufenster oder an die Klotür oder auf die Visitenkarten Rückseite. Ein Schlüsselserver ist oft nur praktischer.

    Der Public Key des Empfängers wird benötigt um jemandem eine verschlüsselte Nachricht zukommen zu lassen. Der Empfänger braucht seinen Private Key um diese Nachricht zu lesen.

    Einen eigenes Schlüsselpaar braucht man, wenn man seine Nachricht signieren möchte. Also beweisen, dass man selbst der Verfasser einer Nachricht ist. Dazu verschlüsselt man einen Teil der Nachricht mit seinem Privatkey. Dies ist die Signatur. Der Empfänger einer Mail kann dann, sofern er den Public Key des Versenders hat, oder überhaupt daran Interesse hat überprüfen ob die Mail tatsächlich vom richtigen Versender stammt.

    Was ich in diesem Artikel vermisse, ist das der Autor zwar seine Mail Adresse preis gibt, aber seinen öffentlichen Schlüssel nur über einen Keyserver verteilt.

  1. "Web of Trust", nicht "oft".

  2. Jeder der sich um Sicherheit und Verschlüsselung Gedanken macht, der wird auch die Anweisungen verstehen wollen.

    Dem, dem das ganze "Gedöns" zu unwichtig erscheint, der kümmert sich eben nicht drum.

    <em>Sollen die Leute skypen, das ist verschlüsselt.</em>
    1. Ist das (noch) kein email-Dienst.
    2. Will nicht jeder immer und zu jeder Zeit ein IP-Telefonprogramm aufhaben.
    3. Nicht jeder will unbedingt ein Produkt von MS auf seinem Rechner nutzen. Auch gibt es erhebliche Unterschiede bei den Programmversionen für die versch. Betriebssysteme.
    4. In 2010 war es noch möglich, dass der Staat mithört http://www.lawblog.de/index.php/archives/2010/08/17/skype-staat-hort-mit/ Ob sich da bis heute etwas geändert hat? MS = USA; USA will alles wissen ...

    Antwort auf "Bitte aufhören!"
    • iboo
    • 31. Januar 2013 11:22 Uhr

    Das ist nämlich in der Praxis das Hauptproblem bei der verschlüsselten Kommunikation: Keiner fängt damit an solange die anderen es nicht nutzen (und somit die verschlüsselten Botschaften gar nicht lesen können).
    Ich vermute, dass es erst noch eines richtig großen Abhörskandals oder ähnlichem "bedarf", bis sich das durchsetzt.

    Eine Leserempfehlung
  3. 32. Danke

    Auch ich habe - angeregt durch diesen Artikel - OpenPGP/Enigmail mit Thunderbird getestet:

    Es funktioniert - vielen Dank für diesen Artikel.

    Eine Sache macht mich allerdings stutzig:

    Jedes Mal, wenn ich eine verschlüsselte Email in Thunderbird anklicke, meldet meine Firewall, dass eine der beiden folgenden Dateien eine Verbindung ins Internet aufbauen möchte:
    gpg2.exe
    gpg-agent.exe

    Wozu soll eine solche Internetverbindung dieser Dateien gut sein?

    Könnte es sein, dass zwar jetzt mein Email-Provider meine Nachrichten nicht mehr zu Gesicht bekommt, dafür aber jemand anderes mitliest?

    Vielen Dank für alle Erklärungen.

Bitte melden Sie sich an, um zu kommentieren

Service