<- Thunderbird konfigurieren Inhalt Weitere Anwendungen ->

E-Mails verschlüsseln mit OpenPGP

OpenPGP ist ein etablierter Standard für die Verschlüsselung und Signatur von E-Mails. Die beiden Begriffe sollen kurz erlätert werden:

  1. Verschlüsseln von E-Mails bedeutet, dass nur definierte Empfänger den Inhalt lesen können und die Vertraulichkeit der Nachricht gewährleitet bleibt.
  2. Signieren von E-Mails bedeutet, dass die Authentizität der Nachricht bestätigt wird, dass die Nachricht nicht auf dem Weg über unsichere Netze verändert wurde.

Asymmetrische Verschlüsselung

OpenPGP nutzt asymmetrische Verschlüsselung. Das bedeutet, dass der Anwender ein Schlüsselpaar bestehend aus einem geheimen und einem öffentlichen Schlüssel besitzt. Während der geheime Schlüssel sorgfältig geschützt nur dem Anwender selbst zur Verfügung stehen sollte, ist der öffentliche Schlüssel an alle Kommunikations­partner zu verteilen.

Software installieren

Für die Nutzung von OpenPGP in Mozilla Thunderbird muss man zusätzliche Software installieren. Man benötigt GnuPG oder das kommerzielle PGP für die Krypto­operationen und das Add-on Enigmail für Thunderbird zur Vereinfachung des Handling im täglichen E-Mail Chaos.

OpenPGP-Schlüssel verwalten

Die Verwaltung der OpenPGP-Schlüssel findet Sie in Thunderbird unter dem Menüpunkt "OpenPGP / Schlüssel verwalten". Ist die Liste noch leer, wählt man zuerst den Menüpunkt "Erzeugen -> Neues Schlüsselpaar". Diesen Schritt übernimmt auch der Assistent zur Einrichtung von Enigmail.

OpenPGP-Schlüssel verwalten
  1. Um verschlüsselt zu kommunizieren, muss den Kommunikationspartnern der eigene öffentliche Schlüssel zur Verfügung gestellt werden. Sie müssen Ihren öffentlichen Schlüssel exportieren:

  2. Um an einen Kommunikationspartner verschlüsselte E-Mails zu senden oder die Signatur erhaltener Nachrichten zu prüfen, benötigen Sie den öffentlichen Schlüssel des Partners. Diesen Schlüssel müssen Sie importieren. Auch hierfür gibt folgende Möglichkeiten:

  3. Um die Echtheit der Schlüssel der Kommunikationspartner zu prüfen, gibt es zwei Möglichkeiten:

Verschlüsselte E-Mails schreiben und empfangen

Wenn Sie die Software installiert haben, ein eigenes Schlüsselpaar erzeugt haben und die Schlüssel mit Ihren Kommunikations­partnern ausgetauscht haben, dann haben Sie alle Hürden überwunden. Der Rest ist ein Kinderspiel.

  1. Beim Schreiben einer E-Mail können Sie die Verschlüsselung mit einem Klick auf den OpenPGP-Button aktivieren. Wenn Sie die Option "PGP/MIME" aktivieren, werden auch Anhänge automatisch mit verschlüsselt. Wenn diese Option deaktiviert ist, müssen Sie sich selbst um die Verschlüsselung der Anhänge kümmern.

    verschlüsselte E-Mail schreiben

    Wichtig: der Betreff wird NICHT verschlüsselt. Verwenden Sie einen harmlosen Betreff, der keine Hinweise auf den Inhalt liefert.

  2. Beim Empfang einer verschlüsselten E-Mail werden Sie nach der Passphrase für Ihren Schlüssel gefragt und die Mail wird entschlüsselt.

Erste Übungen mit "Adele"

Adele ist der freundliche OpenPGP E-Mail-Roboter der G-N-U GmbH. Man kann mit dem Robot seine ersten verschlüsselten Mails austauschen und ein wenig üben ohne Freunde mit Anfänger­probleme zu belüstigen.

  1. Als erstes schickt man den eigenen öffentlichen Schlüssel per E-Mail an adele@gnupp.de. Den Schlüssel hängt man als Anhang an die Mail an, indem man die Option "OpenPGP - Meinen öffentlichen Schlüssel anhängen" vor dem Versenden der Mail aktiviert.

    OpenPGP Key anhängen
  2. Als Antwort erhält man nach einigen Minuten eine verschlüsselte E-Mail von Adele. Die E-Mail wird nach Abfrage der Passphrase entschlüsselt und enthält den Schlüssel von Adele:

    Hallo,

    hier ist die verschlüsselte Antwort auf Ihre E-Mail.

    Ihr öffentlicher Schlüssel wurde von mir empfangen.

    Anbei der öffentliche Schlüssel von adele@gnupp.de,
    dem freundlichen E-Mail-Roboter.

    Viele Grüsse,
    adele@gnupp.de

    -----BEGIN PGP PUBLIC KEY BLOCK-----
    Version: GnuPG v1.4.9 (GNU/Linux)

    mQGiBDyFlIkRBACfVHJxv47r6rux7TwT4jHM7z/2VfyCrmcRegQEsbdLfqu3mEmK
    RouuaDQukNINWk2V2ErOWzFnJqdzpapeuPJiOWp0uIEvU3FRPhYlytw9dFfwAHv4
    MJ7639tAx9PfXBmZOd1PAoE451+VLhIGlLQiFGFppJ57SZ1EQ71/+/nkSwCg8Mge
    ....
    EQIABgUCPIWUlQASCRDlczRpkqs/9wdlR1BHAAEBv20AoJJGeeZjMCSbXtmNSwfW
    QsLOd0+4AKCdXwt552yi9dBfXPo8pB1KDnhtbQ==
    =ERT8
    -----END PGP PUBLIC KEY BLOCK-----

    Man kann die Zeilen von "BEGIN PGP PUBLIC KEY BLOCK" bis inklusive "END PGP PUBLIC KEY BLOCK" mit der Maus markieren, in die Zwischenablage kopieren und in der Schlüsselverwaltung über "Bearbeiten - Aus Zwischenablage importieren" einfügen.

  3. Alternativ kann man den Schlüssel von "Adele" auch auf den Keyservern suchen. Als Training sollten Sie auch diesen Weg probieren.

  4. Jetzt kann man Adele verschlüsselte E-Mails schicken. Als Antwort erhält man umgehend eine gleichfalls verschlüsselte E-Mail mit dem gesendeten Text als Zitat.

    Hallo,

    hier ist die verschlüsselte Antwort auf Ihre E-Mail.

    Ich schicke Ihnen Ihre Botschaft im Wortlaut zurück, damit Sie
    sehen, dass ich sie erfolgreich entschlüsseln konnte.

    > Hello Adele,
    >
    > hope you are feeling well.

Web of Trust

Im Prinzip kann jeder Anwender einen Schlüssel mit beliebigen E-Mail Adressen generieren. Um eine Basis für Vertrauen zu schaffen, bietet OpenPGP das "Web of Trust".

Hat Beatrice die Echtheit des Schlüssels von Anton überprüft, kann sie diesen Schlüssel mit ihrem geheimen Schlüssel unterschreiben. Ein anderer Nutzer, der den Schlüssel von Beatrice bereits überprüft hat, kann damit aufgrund der Unterschrift auch dem Schlüssel von Anton vertrauen. Es bildet sich ein weltweites Netz von Vertrauensbeziehungen. Die Grafik zeigt eine mögliche Variante für den Key von Anton (A).

Web of Trust

Um den Schlüssel eines Kommunikationspartners zu unterschreiben, ist in der Schlüsselverwaltung der Schlüssel zu auszuwählen und der Menüpunkt "Bearbeiten -> Unterschreiben" zu wählen. In dem sich öffnenden Dialog wählen Sie die eigenen privaten Schlüssel, mit dem Sie unterschreiben wollen und bestätigen, dass Sie die Identität des Inhabers sehr genau überprüft haben.

Schlüssel signieren

Danach können Sie den unterschriebenen Schlüssel per Mail an den Inhaber senden oder auf die Keyserver exportieren, damit er anderen Nutzern zur Verfügung steht. Bitte exportieren Sie unterschriebene Schlüssel nur nach Rücksprache mit dem Inhaber auf Keyserver. Manche Nutzer möchten nicht, dass ihre Schlüssel dort zu finden sind.

 

<- Thunderbird konfigurieren Inhalt Weitere Anwendungen ->