Ich benötige dafür drei Dinge: zwei Apps und den rund 50 Euro teuren Yubikey Neo. Zunächst installiere ich auf meinem Android-Smartphone das E-Mail-Programm K-9 sowie die App OpenKeychain. Sowohl K-9 als auch OpenKeychain sind quelloffen und somit von Experten auf Fehler überprüfbar. In K-9 richte ich meine E-Mail-Adresse ein, mit der ich verschlüsselt E-Mails schreiben will. Für iOS sind beide Programme leider nicht erhältlich. 

Die App OpenKeychain verbinde ich nun mit K-9. In meinem E-Mail-Konto von K-9 klicke ich mich wie folgt durch die Menüs: "Einstellungen", "Kontoeinstellungen", "Kryptographie" und "OpenPGP-Provider". Dort wähle ich OpenKeychain aus. Noch passiert nichts.

Den Yubikey umstellen und neue PGP-Schlüssel kreieren

Auf meinem Desktop-Rechner installiere ich nun den Yubikey Neo Manager. Ich starte das Programm und stelle den Yubikey auf den sogenannten CCID + OTP-Modus um. Standardmäßig ist er auf OTP (One Time Password) eingestellt und hat zwei freie Plätze für Passwort und Einmalpasswort. Hat man den Yubikey vorher allein im OTP-Modus benutzt, bleiben die gespeicherten Passwörter erhalten. Drücke ich den Sensor des Yubikeys nun etwas länger, generiert er ein langes Passwort; drücke ich ihn kurz, bekomme ich ein kurzes Einmalpasswort. Nach dieser Umstellung kann der Yubikey auch meinen privaten PGP-Schlüssel aufnehmen.

Nun erstelle ich ein neues PGP-Schlüsselpaar für meine E-Mail. Wie das geht, hängt vom jeweiligen Betriebssystem und dem verwendeten PGP-Ableger ab. Den öffentlichen Schlüssel lade ich auf einen Schlüsselserver hoch, damit ihn jeder finden und damit Mails an mich verschlüsseln kann. Den geheimen Schlüssel behalte ich auf meinem Rechner und erstelle drei Unterschlüssel, die ich anschließend auf dem Yubikey speichere. Mit diesen Unterschlüsseln kann ich künftig alle E-Mails signieren und entschlüsseln. Sollte ich den Yubikey verlieren, wäre das kein Beinbruch.

Kontrolle ist teuer erkauft

Der geheime Hauptschlüssel ist immer noch auf meinem Rechner. Nur er garantiert die Echtheit der Unterschlüssel, signiert sie und kann auch neue kreieren. Gehen meine Unterschlüssel verloren, kann ich sie also nach der Reise für ungültig erklären und neue vergeben. Zusätzlich kann ich die Unterschlüssel auch auf ein Jahr befristen. Sie laufen dann automatisch ab.

Für den Yubikey vergebe ich abschließend noch eine normale PIN und eine Admin-PIN. Das war's dann endlich. Jedes Mal, wenn ich künftig in meinem Smartphone auf verschlüsselte Mails klicke, öffnet sich automatisch die App OpenKeychange und fragt nach meinem normalen PIN für den Yubikey. Nachdem ich den eingegeben habe, halte ich noch den Yubikey an das Smartphone und die Nachricht ist entschlüsselt.

Wie genau die Unterschlüssel auf den Yubikey gelangen, hängt vom Betriebssystem ab. Wie es für Linux Ubuntu geht, beschreiben wir in der folgenden Fotostrecke. Gleiches gilt für die Vergabe der PIN und der Admin-PIN für den Yubikey (sichtbar nur in der Desktopansicht):

Es ist schön, wenn ein derart schwierig einzurichtendes System irgendwann einmal funktioniert. Der Aufwand ist jedoch sowohl in finanzieller als auch in zeitlicher Hinsicht fast schon unangemessen, insbesondere im Vergleich zur einfachen Lösungen mit den Messenger-Apps. Zumal diese auch mit modernen Funktionen wie Gruppenchats sehr viel geeigneter für Reisen sind. Auf dem Smartphone machen deshalb TextSecure beziehungsweise Signal und Threema das Rennen. 

Als nächstes wird es darum gehen, was eigentlich passiert, wenn sich nicht Diebe, sondern Behörden meine Daten schnappen wollen.

Nützliches zum Thema Verschlüsselung haben wir in diesem Video zusammengefasst.

Datenschutz - Nachfrage nach CryptoPartys steigt Ein Jahr ist es her, dass die Enthüllungen des ehemaligen NSA-Mitarbeiters Edward Snowden den Glauben an Privatsphäre im Netz erschüttert haben. Langsam aber stetig wächst die Gemeinschaft derjenigen, die sich im Alltag dagegen wehren, von Geheimdiensten ausgespäht zu werden.