![]() |
Inhalt |
Weitere Anwendungen ![]() |
OpenPGP ist ein etablierter Standard für die Verschlüsselung und Signatur von E-Mails. Die beiden Begriffe sollen kurz erlätert werden:
OpenPGP nutzt asymmetrische Verschlüsselung. Das bedeutet, dass der Anwender ein Schlüsselpaar bestehend aus einem geheimen und einem öffentlichen Schlüssel besitzt. Während der geheime Schlüssel sorgfältig geschützt nur dem Anwender selbst zur Verfügung stehen sollte, ist der öffentliche Schlüssel an alle Kommunikationspartner zu verteilen.
Wenn Beatrice eine verschlüsselte Nachricht an Anton senden will, nutzt sie den öffentlichen Schlüssel von Anton, um die Nachricht zu chiffrieren. Nur Anton kann diese E-Mail mit seinem geheimen Schlüssel dechiffrieren und lesen.
Wenn Anton eine signierte E-Mail an Beatrice senden will, erstellt er eine Signatur mit seinem geheimen Schlüssel. Die Anwenderin Beatrice kann mit dem öffentlichen Schlüssel von Anton die Nachricht verifizieren, da nur Anton Zugriff auf seinen geheimen Schlüssel haben sollte.
Für die Nutzung von OpenPGP in Mozilla Thunderbird muss man zusätzliche Software installieren. Man benötigt GnuPG oder das kommerzielle PGP für die Kryptooperationen und das Add-on Enigmail für Thunderbird zur Vereinfachung des Handling im täglichen E-Mail Chaos.
Unter Windows installieren Sie GnuPG am einfachsten, wenn Sie die Pakete gpg4win oder GpgSX verwenden. Nach dem Download folgen Sie den Anweisungen der Installer. Neben GnuPG werden einige weitere brauchbare Tools installiert, auf die wir im Rahmen dieser Anleitung nicht weiter eingehen werden.
Fü MacOS gibt es die GPG Tools, unter Linux/UNIX ist GnuPG bereits vorhanden.
Das Add-on Enigmail installiert man am einfachsten mit dem Add-on Manager von Thunderbird unter "Extras - Add-ons". Im Suchfeld gibt man "Enigmail" ein. Ein Klick auf den Button "Installieren" holt das Add-on. Nach der Installation muss Thunderbird neu gestartet werden.
Nach dem Neustart fragt der Einrichtungsassistent von Enigmail, ob alle E-Mails in Zukunft verschlüsselt und signiert werden sollen. Wenn man überwiegend Bekannte hat, die dazu noch nicht in der Lage sind, kann man dieses Option verneinen. Es ist möglich, sofort ein Schlüsselpaar für eine E-Mail Adresse zu erzeugen. Das kann man später auch in der Schlüsselverwaltung von Enigmail erledigen.
Unter Linux können Sie Enigmail auch mit der Paketverwaltung installieren. Für Debian und Ubuntu kann man aptitude nutzen: > sudo aptitude install enigmail
Die Verwaltung der OpenPGP-Schlüssel findet Sie in Thunderbird unter dem Menüpunkt "OpenPGP / Schlüssel verwalten". Ist die Liste noch leer, wählt man zuerst den Menüpunkt "Erzeugen -> Neues Schlüsselpaar". Diesen Schritt übernimmt auch der Assistent zur Einrichtung von Enigmail.
Um verschlüsselt zu kommunizieren, muss den Kommunikationspartnern der eigene öffentliche Schlüssel zur Verfügung gestellt werden. Sie müssen Ihren öffentlichen Schlüssel exportieren:
Der einfachste Weg nutzt die Schlüsselserver im Internet. In der Schlüsselverwaltung findet man den Menüpunkt "Schlüssel-Server - Schlüssel hochladen". Der öffentliche Schlüssel wird auf den Schlüsselserver exportiert und steht dort allen Partnern zum Download zur Verfügung. Die verschiedenen Server synchronisieren ihren Datenbestand.
Alternativ können Sie Ihren öffentlichen Schlüssel als E-Mail Attachment versenden. Aktivieren Sie die Option "OpenPGP - Meinen öffentlichen Schlüssel anhängen" beim Schreiben einer Mail.
Der öffentliche Schlüssel kann auch als Datei auf einem Webserver abgelegt werden. Den Menüpunkt für den Export in eine Datei findet man unter "Datei -> Schlüssel exportieren" in der Schlüsselverwaltung.
Um an einen Kommunikationspartner verschlüsselte E-Mails zu senden oder die Signatur erhaltener Nachrichten zu prüfen, benötigen Sie den öffentlichen Schlüssel des Partners. Diesen Schlüssel müssen Sie importieren. Auch hierfür gibt folgende Möglichkeiten:
Sie können den passenden Schlüssel für eine E-Mail Adresse auf den Keyservern im Internet suchen. Menüpunkt: "Schlüssel-Server - Schlüssel suchen". Geben Sie die E-Mail Adresse als Suchkriterium an oder die ID des OpenPGP-Schlüssels (zB. 0xF1305880, wenn bekannt) und wählen Sie einen Keyserver aus der Liste. Wurden mehrere Schlüssel für eine E-Mail Adresse gefunden, dann ist der zuletzt erzeugte Schlüssel meist richtig.
Sie können als Attachement in einer E-Mail empfangene Schlüssel als Datei speichern oder eine Datei mit dem Schlüssel aus dem Netz herunter laden, wenn der Link bekannt ist. Um diese Datei zu importieren, wählen Sie den Menüpunkt "Datei / Importieren" in der Schlüselverwaltung.
Um die Echtheit der Schlüssel der Kommunikationspartner zu prüfen, gibt es zwei Möglichkeiten:
Sie können das "Web of Trust" nutzen (siehe unten).
Sie können den Fingerabdruck des Schlüssel prüfen. Den korrekten Fingerprint muss Ihnen der Kommunikationspartner über einen sicheren Kanal mitteilen. (Das ist manchmal nicht so einfach.) Sie klicken mit der rechten Maustatste auf den Schlüssel und wählen den Punkt "Eigenschaften". Dort vergleichen Sie den übermittelten Fingerabdruck.
Wenn Sie die Software installiert haben, ein eigenes Schlüsselpaar erzeugt haben und die Schlüssel mit Ihren Kommunikationspartnern ausgetauscht haben, dann haben Sie alle Hürden überwunden. Der Rest ist ein Kinderspiel.
Beim Schreiben einer E-Mail können Sie die Verschlüsselung mit einem Klick auf den OpenPGP-Button aktivieren. Wenn Sie die Option "PGP/MIME" aktivieren, werden auch Anhänge automatisch mit verschlüsselt. Wenn diese Option deaktiviert ist, müssen Sie sich selbst um die Verschlüsselung der Anhänge kümmern.
Wichtig: der Betreff wird NICHT verschlüsselt. Verwenden Sie einen harmlosen Betreff, der keine Hinweise auf den Inhalt liefert.
Beim Empfang einer verschlüsselten E-Mail werden Sie nach der Passphrase für Ihren Schlüssel gefragt und die Mail wird entschlüsselt.
Adele ist der freundliche OpenPGP E-Mail-Roboter der G-N-U GmbH. Man kann mit dem Robot seine ersten verschlüsselten Mails austauschen und ein wenig üben ohne Freunde mit Anfängerprobleme zu belüstigen.
Als erstes schickt man den eigenen öffentlichen Schlüssel per E-Mail an adele@gnupp.de. Den Schlüssel hängt man als Anhang an die Mail an, indem man die Option "OpenPGP - Meinen öffentlichen Schlüssel anhängen" vor dem Versenden der Mail aktiviert.
Als Antwort erhält man nach einigen Minuten eine verschlüsselte E-Mail von Adele. Die E-Mail wird nach Abfrage der Passphrase entschlüsselt und enthält den Schlüssel von Adele:
Hallo,Man kann die Zeilen von "BEGIN PGP PUBLIC KEY BLOCK" bis inklusive "END PGP PUBLIC KEY BLOCK" mit der Maus markieren, in die Zwischenablage kopieren und in der Schlüsselverwaltung über "Bearbeiten - Aus Zwischenablage importieren" einfügen.
Alternativ kann man den Schlüssel von "Adele" auch auf den Keyservern suchen. Als Training sollten Sie auch diesen Weg probieren.
Jetzt kann man Adele verschlüsselte E-Mails schicken. Als Antwort erhält man umgehend eine gleichfalls verschlüsselte E-Mail mit dem gesendeten Text als Zitat.
Hallo,Im Prinzip kann jeder Anwender einen Schlüssel mit beliebigen E-Mail Adressen generieren. Um eine Basis für Vertrauen zu schaffen, bietet OpenPGP das "Web of Trust".
Hat Beatrice die Echtheit des Schlüssels von Anton überprüft, kann sie diesen Schlüssel mit ihrem geheimen Schlüssel unterschreiben. Ein anderer Nutzer, der den Schlüssel von Beatrice bereits überprüft hat, kann damit aufgrund der Unterschrift auch dem Schlüssel von Anton vertrauen. Es bildet sich ein weltweites Netz von Vertrauensbeziehungen. Die Grafik zeigt eine mögliche Variante für den Key von Anton (A).
Um den Schlüssel eines Kommunikationspartners zu unterschreiben, ist in der Schlüsselverwaltung der Schlüssel zu auszuwählen und der Menüpunkt "Bearbeiten -> Unterschreiben" zu wählen. In dem sich öffnenden Dialog wählen Sie die eigenen privaten Schlüssel, mit dem Sie unterschreiben wollen und bestätigen, dass Sie die Identität des Inhabers sehr genau überprüft haben.
Danach können Sie den unterschriebenen Schlüssel per Mail an den Inhaber senden oder auf die Keyserver exportieren, damit er anderen Nutzern zur Verfügung steht. Bitte exportieren Sie unterschriebene Schlüssel nur nach Rücksprache mit dem Inhaber auf Keyserver. Manche Nutzer möchten nicht, dass ihre Schlüssel dort zu finden sind.
![]() |
Inhalt |
Weitere Anwendungen ![]() |