E-Mail Verschlüsselung mit Hilfe von Thunderbird und GnuPG

Rund 1.220.000 Treffer bei Google "ich habe doch nichts zu verbergen", sollten uns etwas nachdenklich stimmen. Nein, nicht paranoid, sondern aufgeschlossen zur derzeitigen Entwicklung im Land und Internet - so würde ich deine Ausgangssituation beschreiben. Wenn das der Fall ist, dann habe ich neuen Input für deinen Kopf. Es wird Zeit, die gesendete Mail in den sprichwörtlichen Briefumschlag zu stecken, und somit den Inhalt vor neugierigen Augen oder ausgeklügelten Algorithmen zu schützen.

GnuPG Tutorial – Hilfestellung für alle diejenigen, die sich denken: „Damit wollte ich mich schon immer mal beschäftigen, aber ich hatte ja keine Zeit.“

In letzter Zeit bekomme ich gehäuft Anfragen, was man einstellen muss, um Mails verschlüsselt zu versenden. Diese Aufgabe ist ohne eine kleine Anleitung für den „Normalnutzer“ kaum zu lösen. Darum hier ein kleines Beispiel für alle, die es endlich mal versuchen wollen.

Was wird zur Umsetzung dieser Anleitung benötigt?
30 Minuten Zeit sollte man investieren, um eventuellen „Mitlesern" das Leben recht schwer zu machen.
Thunderbird portable (auch auf USB-Sticks ohne Installation verwendbar)
http://portableapps.com/de/apps/internet/thunderbird_portable
GnuPG (die eigentliche Software zum verschlüssen)
http://www.gnupg.org/(de)/index.html

Und schon geht's los!

Hinweis: Die unwichtigen Screenshots, die sich von selbst erklären, lasse ich einfach weg!
Thunderbird ist sicher schon heruntergeladen, und kann entpackt werden.

In meinem Beispiel wird es nach C:\ThunderbirdPortable entpackt, aber das kann jeder selbst entscheiden.

Im Ergebnis sollte es dann so aussehen.

Nun widmen wir uns der Installation von GnuPG:

 

Installiert habe ich es direkt nach C:\ThunderbirdPortable\GnuPG , da es beim Umzug auf einen USB-Stick gleich dabei ist.

Nun benötigen wir noch Enigmail, welches als Schnittstelle zwischen Thunderbird und GnuPG gesehen werden kann. Es ist ein xpi Plugin und kann direkt aus dem Thunderbird heraus geladen / installiert werden.

Thunderbird -> Add-ons -> Erweiterungen herunterladen (rechts unten)

Es öffnet sich der Browser mit der Add-ons Seite für Thunderbird.
Hier müsst ihr in das Suchfeld noch „enigmail“ eintragen und danach suchen.

Über „Installieren" bekommt man die entsprechende XPI Datei auf den Rechner.

Installiert wird enigmail im Thunderbird unter -> Extras -> Add-ons -> Installieren.

 

Hat es geklappt? Dann sollte es jetzt so aussehen.

Für alle, die gleich noch ein Mailkonto mit IMAP Zugriff benötigen, folgt nun eine kleine Anleitung zur Erstellung. Wer sein vorhandenes Konto nutzen möchte, kann das natürlich gerne überspringen.
Die Konfiguration zeige ich anhand eines Googemail Kontos, da es sich bestens für solche Sachen eignet.

 

Erstellen einer Google Mailadresse mit IMAP Anbindung

Wen das Erstellen nicht interessiert, der kann auch gleich zur Konfiguration springen.

http://mail.google.com

Hier gibt es den Punkt „Melden Sie sich für Google Mail an“.

Nachdem alle Angaben ordnungsgemäß eingetragen sind, kommt man nach ein paar Klicks in das eigentliche Postfach.
Hier ist alles, wie man es kennt. Wie gewöhnlich wird man direkt mit einer Mail von Google begrüßt.

Nun sollte das Postfach IMAP fähig gemacht werden.
Zum Zeitpunkt der Erstellung dieser Hilfe muss man aber noch folgenden Schritt erledigen, wenn der Punkt "IMAP" unter Einstellungen -> Weiterleitung und POP nicht zu finden ist.

Diese Option ist zur Zeit nämlich leider nur unter der Sprache English (US) zu finden. Nach der erfolgreichen Konfiguration kann man aber die Sprache wieder auf Deutsch stellen. Die Einstellungen bleiben trotzdem bestehen, auch wenn Sie dann unsichtbar sind.

Wichtig: Hier English (US) einstellen!

Mehr ist nun an dem Webinterface nicht zu konfigurieren und man kann die Einstellungen wieder auf deutsch stellen. IMAP bleibt aktiviert.

Kommen wir nun zur Konfiguration vom Thunderbird.

Unter http://mail.google.com/support/bin/answer.py?answer=77662
kann man die richtigen Einstellungen sehen. Folgt einfach den Anweisungen.
Die Einstellungen kann man leicht mit einer Mail an sich selbst testen.

In der Thunderbird Menuleiste gibt es nun einen neuen Eintrag "OpenPGP".

Unter OpenPGP -> Einstellungen muss geprüft werden, ob die allgemeinen Einstellungen auch tatsächlich stimmen. Wenn nicht, sollte der Pfad zu GnuPG angepasst werden.

Kommen wir nun zu der eigentlichen Schlüsselgenerierung und dessen Verwaltung.

Ziel ist es, ein Schlüsselpaar für die zukünftige Verschlüsselung zu erstellen:
Der private Schlüssel, für Entschlüsselung und Signierung, und der öffentliche Schlüssel, damit wir auch verschlüsselte Mails empfangen können.
Hierbei wird ein fertig konfiguriertes Mailkonto in Thunderbird vorausgesetzt.

OpenPGP -> Schlüssel Verwalten -> Erzeugen neues Schlüsselpaar

Bei Benutzer – ID sollte nun das eingestellte Mailkonto gewählt werden.
Weiterhin sollte der Schlüssel zum Unterschreiben verwendet werden.
Das Ablaufdatum ist nach Bedarf anzupassen. Die Schlüsselstärke sollte man auf 4096 erweitern.

 

Das Wichtigste ist aber die Passphrase!
Hier sollte man auf keinen Fall auf die Idee kommen, keine zu wählen.
Wer es dennoch tut, kann hier gleich abbrechen und auf das Verschlüsseln verzichten!
Die Passphrase sollte ein sehr starkes Passwort sein, dass aus mindestens 15 Zeichen besteht.
Kleine Sätze, deren Buchstaben durch Zahlen ersetzt wurden, eignen sich bestens.
z.b. G = 6 , E=3 , ... u.s.w. Auch sollte auf Sonderzeichen nicht verzichtet werden.

Und nun kommt das Wichtigste! NICHT VERGESSEN!
Aufschreiben ist dabei eine ganz schlechte Idee. Dann lieber eine Passphrase wählen, die „etwas“ einfacher ist, dafür aber im Kopf bleibt.

Ein Widerrufszertifikat ist notwendig, wenn man irgendwann den Schlüssel für ungültig erklären möchte. [also JA] -> Sicher abspeichern!

Nun sollte der Schlüssel in der Verwaltung zu sehen sein und kann an einen sicheren Ort exportiert werden. Wenn möglich auf einen externen Datenträger (z.b. USB-Stick mit einem Truecrypt Container). Die Festplatte ist dabei kein sicherer Platz!

[Datei exportieren]

Auf die Frage, ob man auch den privaten Schlüssel exportieren möchte, bitte mit [Ja] antworten.

Nun ist es schon Zeit, die erste verschlüsselte Mail zu senden.

Ganz normal eine Mails verfassen (an sich selbst, wenn man noch keinen öffentlichen Schlüssel eines Empfängers hat)
und im Drop Down Menü [OpenPGP] wahlweise die Optionen wählen (meistens beide)

 

Und los geht's! SENDEN!

Es wird sicher beim Senden / Empfangen nach der Passphrase gefragt, die dann natürlich einzugeben ist.

Möchte man eine Mail an jemand anderes versenden, braucht man dessen ÖFFENTLICHEN Schlüssel. Genauso braucht der Sender einer verschlüsselten Mail meinen Öffentlichen Schlüssel.

Achtung: Bitte nur den Öffentlichen Schlüssel!!! Sollte versehentlich der geheime private Schlüssel auf die Reise gehen, wäre dies das Ende der verschlüsselten Kommunikation!

Den Schlüssel haben wir ja bereits exportiert. Aber aufpassen: In der Datei sind beide Schlüssel! Also entweder neu exportieren oder aus der Text-Datei nur den Public Key versenden. Er ist eine normale ASCII Datei und dadurch mit jedem Texteditor zu lesen. Achtet bitte auf den Kopf und den Fuß der Datei.

----- BEGIN PGP PUBLIC KEY BLOCK ----

…..

----- END PGP PUBLIC KEY BLOCK ----
Alles was hier dazwischen steht ist der eigentliche Schlüssel.

W ie bekommt man nun den Schlüssel zu seinem Gegenüber?
Dafür gibt es viele Wege, wobei eines beachtet werden sollte: Der Schlüssel sollte vom Empfänger geprüft werden. Dies kann durch einen Anruf und dem Vorlesen der ersten Zeile validiert werden.
Weiterhin kann der Schlüssel auch auf einem öffentlichen Schlüsselserver geladen werden. Das erleichtert die erste Kontaktaufnahme, wenn der Sender noch keinen public key hat, aber dennoch verschlüsselt sendet.

OpenPGP-> Schlüssel verwalten -> rechte Maustaste auf den Schlüssel -> auf Schlüsselserver hochladen.

Ich hoffe, ihr habt einiges an Wissen mitgenommen und könnt so viele Leute wie möglich zum Verschlüsseln ihrer Mails bewegen.