In letzter Zeit erkläre ich öfter mal, wie das mit der Verschlüsselung von E-Mails so funktioniert. Damit das Ganze jetzt noch viel einfacher und toller wird, habe ich beschlossen, ein kleines Tutorial zusammenzuschreiben, in dem alles Wichtige auf die möglichst einfachste Art und Weise erklärt wird.

Da mein überwiegender Freundes- und Bekanntenkreis weiblich ist, verwende ich hier durchgehend weibliche Anredeformen (oder bemühe mich zumindest weitestgehend darum). Für die Männer unter euch: Ihr seid natürlich mitgemeint. 🙂

Ich versuche es so zu erklären, dass auch wirklich jede versteht, was es mit der Verschlüsselung so auf sich hat und was es zu tun gilt, um von einer unverschlüsselten zu einer verschlüsselten Kommunikation zu kommen. Vielleicht wird da die eine oder andere mit ein wenig mehr Technikverständnis klagen, dass es zu einfach erklärt ist – aber ich setze einfach mal ein „Kenntnislevel 0“ voraus – also die Standard-Nutzerin, die gerade mal ein Mail-Programm benutzt (und vielleicht nicht einmal selbst eingerichtet hat) und nach dem Tippen der Mail schlicht auf „absenden“ klickt. Also dann, legen wir mal los…

E-Mails verschlüsseln? Warum überhaupt?!? Das ist doch total kompliziert!

Eins vorweg: Die erste Einrichtung könnte, unter Umständen, abhängig vom verwendeten System, ein klitzekleines bisschen kompliziert sein. Aber keine Panik! Dafür nehme ich dich, liebe Leserin, hier kurz an die Hand und begleite dich durch die einzelnen Schritte von einer unverschlüsselten zur verschlüsselten Mail. Und sieh’s mal so: Wenn du dir den (wirklich minimalen) Aufwand machst, kannst du direkt stolz auf dich sein, weil du wieder etwas kannst, was nicht jede kann (tatsächlich finde ich es immer wieder erschreckend zu erfahren, wie wenig Menschen überhaupt auch nur ahnen, dass man E-Mails verschlüsseln kann…).

Ich will mit einer kleinen Geschichte anfangen. So eine unverschlüsselte E-Mail wird immer gern mit einer Postkarte verglichen, die jede andere Person lesen kann. Das ist zwar schon ganz gut – aber immer noch die halbe Wahrheit. Es ist nicht nur so, dass die „virtuelle Postkarte“ jede lesen könnte – sie muss ja auch irgendwie von A nach B gelangen. Das passiert über ziemlich öffentliche Leitungen. Zwar rüsten in letzter Zeit immer mehr E-Mail-Anbieter auf und behaupten, sie hätten eine Transportweg-Verschlüsselung – das hängt aber davon ab, ob der empfangende Server auch das gleiche Protokoll spricht, wie der sendende. Tut er das nicht, bleibt die Leitung zwischen den Servern einfach offen und unverschlüsselt. Transportweg-Verschlüsselung? Server? Protokolle? Noch nie etwas davon gehört? Bleiben wir mal bei der Postkarten-Metapher, dann ist das ungefähr so:
Du schreibst deiner besten Freundin eine Nachricht auf eine Postkarte und willst sie verschicken. Zum Verschicken muss die Nachricht irgendwie bewegt werden. Nun – für das Bewegen von Nachrichten gibt es Postbotinnen (Server). So einer Botin drückst du die Postkarte in die Hand, die läuft los und gibt steckt sie in den Briefkasten der Empfängerin. Soweit, so gut. Und was hat das mit der Transportweg-Verschlüsselung auf sich? Nun, einfach gesagt: Wenn der Transportweg zwischen der Postbotin und dem Briefkasten der Empfängerin verschlüsselt ist, dann nimmt die Postbotin deine Postkarte, liest sie (er muss ja wissen, wohin die Nachricht soll – und dabei liest er natürlich ZUFÄLLIG auch den Text auf der Karte, den er im besten Fall ganz schnell vergisst, weil der Text nicht wichtig für die Zustellung ist…) und steckt sie dann in ihre Tasche. Mit der Postkarte in der Tasche kann die Nachricht auf dem Weg zum Briefkasten mehr gelesen werden. Wir haben es aber mit einer besonderen Postbotin zu tun. Unsere Postbotin ruft nämlich erst einmal bei der Empfängerin der Karte an und fragt, wie denn die Haustür vor dem Briefkasten so aussieht und ob sie mit ihrer Tasche durch die Tür passt (mit anderen Worten: Der versendende Server fragt, ob der empfangende Server ein entsprechendes Transportwegsverschlüsselungsprotokoll überhaupt unterstützt). Wenn die Empfängerin dann erklärt, dass die Tasche durch die Tür passt, ist die Sache geritzt. Und was wenn nicht? Tja, dann kann unsere arme Postbotin die Karte leider nicht in die Tasche stecken. Statt dessen nimmt sie die Karte mit auf den Weg zum Briefkasten und liest sie an jeder Ecke laut vor (die Verbindung wird zurückgesetzt und die Nachricht unverschlüsselt übermittelt). Der Gedanke an eine Postbotin, die deine Briefe an deine beste Freundin nimmt, sie überall laut vorliest und vielleicht noch die mitgeschickten Fotos rumzeigt, während sie nach dem Weg zum Briefkasten fragt, ist irgendwie unangenehm? Na, dann wird’s Zeit, dass wir uns spätestens jetzt mit der Verschlüsselung beschäftigen.

Wie der Name schon sagt (du habt es vermutlich schon erraten), braucht es Schlüssel, um eine Nachricht zu verschlüsseln. Einer der aktuellen Standards, auf den ich mich festgelegt habe, ist die GPG-Verschlüsselung als OpenSource-Variante der PGP-Verschlüsselung (S/MIME werde ich hier also nicht extra erklären, aber mal einen Wikipedia-Artikel dazu verlinken, falls euch interessiert, wie das so funktioniert).
Das Erste, was du und deine beste Freundin jetzt machen müsst, ist Schlüsselpaare erzeugen. Es ist wichtig, dass beide Seiten Schlüssel erzeugen und sie untereinander austauschen (das ist der Moment, in dem es manch einer zu kompliziert wird – aber bitte: Durchhalten! Es ist wirklich nicht schwer! 🙂 ). Es werden grundsätzlich zwei Schlüssel erzeugt: Ein öffentlicher und ein privater Schlüssel. Der öffentliche Schlüssel ist genau das: öffentlich. Den dürfen alle haben, die dir in Zukunft E-Mails verschlüsselt schicken möchte. Der private Schlüssel ist ebenfalls, wie’s der Name schon sagt, privat. Den musst du auf jeden Fall irgendwo sicher verwahren. Sicher verwahren heißt: Niemals, auch nicht unter Androhung höchster Übel, Tod, Teufel, Raub, Mord oder Brandschatzung irgendjemandem geben. Nicht mal der eigenen Mama.

Und was hat es mit diesen beiden Schlüsseln auf sich? Nun, auch das lässt sich wieder recht einfach anhand von Bildern beschreiben: Stell dir vor, du steckst deinen Brief von jetzt an in ein kleines, gepanzertes Kästchen. Vor diesem Kästchen hängt ein Schloss mit zwei Schlüssellöchern. Das erste Schlüsselloch ist für den öffentlichen Schlüssel deiner besten Freundin gedacht (darum müsst ihr die Schlüssel nämlich austauschen: Das Kästchen wird mit dem öffentlichen Schlüssel deiner Freundin sicher verschlossen). Das zweite Schlüsselloch ist für den privaten Schlüssel der Empfängerin gemacht. Deine beste Freundin muss das Kästchen nämlich mit ihrem privaten Schlüssel wieder aufschließen (denn wenn das mit dem öffentlichen funktionieren würde, könnten ja wieder alle, die den Schlüssel haben, das Kästchen öffnen und die Nachricht lesen – und eben das wollen wir ja verhindern). Andersrum funktioniert das auch ganz genauso: Wenn du ein solches Kästchen bekommst, dann wird es von der Absenderin mit deinem öffentlichen Schlüssel zugeschlossen und nur du kannst es dann mit deinem privaten Schlüssel wieder öffnen. Und eben darum ist es so wichtig, den privaten Schlüssel nicht zu verlieren und ihn schon gar nicht irgendeiner anderen Person anzuvertrauen. 🙂

Tolle Geschichte! Und wie mache ich das jetzt?!?

Da ich überwiegend Windows-Nutzerinnen kenne, erkläre ich euch hier jetzt erst mal die technischen Notwendigkeiten für Windows. Im Anschluss gibt’s noch ein paar Worte zum Mac (da geht’s viel einfacher – ist halt ein Mac.. :D) – und Linux-Nutzerinnen.. ja, die gibt’s. Aber ich kenne keine, die da nicht schon so versiert wäre, als dass sie sich nicht schon beim Lesen der kleinen Einstiegsgeschichte gelangweilt (oder vor Lachen den Bauch gehalten) hätte.

Prinzipiell braucht ihr drei Dinge:

Mozilla Thunderbird als Mail-Programm
GPG4Win als Verschlüsselung-Suite
– Das Enigmail-AddOn für Thunderbird

Ich setze jetzt als gegeben voraus, dass ihr Thunderbird schon benutzt und zumindest grundsätzlich in der Lage seid, es zu bedienen. Das schließt ein, dass ihr da auch schon eure E-Mail-Konten eingerichtet habt.

Ihr geht in folgender Reihenfolge vor: GPG4Win installieren, Enigmail-AddOn installieren, Schlüssel erzeugen, öffentlichen Schlüssel exportieren und austauschen. Aber eins nach dem anderen.

Wenn ihr die GPG-Suite installiert, könnt ihr auf den mitgelieferten Mail-Client (Claws Mail) gut und gern verzichten. Alle anderen Programmteile sind durchaus ganz nützlich – insbesondere Kleopatra und GPA. Ersteres braucht ihr z. B., wenn ihr Dateien verschlüsseln wollt, Letzteres wird gleich nochmal wichtig. Hier bitte also bei der Installation darauf achten, dass diese beiden Programmbestandteile mit installiert werden.

Wenn ihr so weit seid, öffnet ihr Thunderbird, öffnet das Menü, klickt auf AddOns und sucht in der Eigabemaske nach Enigmail. Das müsst ihr dann installieren und Thunderbird einmal neu starten. Wenn alles glatt gelaufen ist, hat Enigmail auch schon den Pfad zu GPG von selbst gefunden und ihr müsst euch nicht mehr weiter darum kümmern. Sicherheitshalber könnt ihr das auch einfach überprüfen, in dem ihr wieder in das Menü klickt, dann auf Enigmail und auf Einstellungen.

Falls da steht „GnuPG wurde gefunden in C:\Program Files (x86)\GNU\GnuPG\pub\gpg.exe“ (wobei das Laufwerk vorn davon abhängt, wo genau ihr es denn installiert habt, das solltet ihr euch bei der Installation merken – außer, ihr habt nur das eine Laufwerk C:\), dann seid ihr schon auf der sicheren Seite und müsst nichts weiter machen. Falls da steht, dass es nicht gefunden wurde, gilt es, das Häkchen „Anderer Pfad“ zu setzen und den oben angegebenen Pfad eintragen. Um das Ganze noch ein wenig komfortabler zu gestalten, verfügt das AddOn über einen Assistenten, der euch bei den wichtigsten Einstellungen unter die Arme greifen kann. Der ist, wie ich finde, fast selbsterklärend. 🙂

Hurra, fast fertig! Jetzt müsst ihr nur noch Schlüssel erzeugen und austauschen! Dazu öffnet ihr GPA und bekommt entweder sofort eine Aufforderung, einen Schlüssel zu erzeugen oder landet in der Übersicht. Beide Abläufe der Schlüsselerzeugung sind im Großen und Ganzen identisch. Im ersten Fall folgt ihr einfach der Aufforderung, ein neues Schlüsselpaar zu erzeugen. Im zweiten Fall klickt ihr auf den Menüpunkt „Schlüssel“ und dann auf „Neuer Schlüssel…“ (STRG-N).
Als Verschlüsselungsalgorithmus benutzt ihr RSA und die Schlüssellänge in Bit sollte so lang wie nur irgendmöglich sein. In der Windows-Version heißt das 3072 Bit. Hier gilt: „Viel hilft viel“, also je länger, desto besser. Die User-ID besteht aus eurem Namen und der E-Mail-Adresse, mit der ihr in Zukunft verschlüsselte E-Mails verschicken wollt (keine Sorge – ihr könnt später noch beliebig viele Adressen zum Schlüsselpaar hinzufügen oder auch wieder entfernen). Als Nächstes müsst ihr dann eine Passphrase angeben, bestätigen und schon seid ihr fertig. Eine Passphrase ist übrigens eher ein Satz als ein Wort (darum heißt es Passphrase und nicht Passwort ;)). Wie ihr zu einer halbwegs sicheren Passphrase kommt, ist hier auf ganz lustige Weise erklärt: http://xkcd.com/936/

Damit habt ihr jetzt euer erstes Schlüsselpaar erzeugt! Herzlichen Glückwunsch! Jetzt markiert ihr in GPA euren Schlüssel und klickt auf „Exportieren“. Als Nächstes öffnet sich ein Fenster, das in der Titelzeile verlautbart, den öffentlichen Schlüssel in eine Datei speichern zu wollen. Wir erinnern uns: Damit die Mail von einer anderen Person verschlüsselt werden kann, muss die den öffentlichen Schlüssel haben. Ihr speichert den Schlüssel also in einer Datei (meist .asc oder .txt) und schickt ihn derjenigen, die euch in Zukunft Mails verschlüsseln soll (z. B. eurer besten Freundin). Wie ihr die Datei verschickt ist völlig egal (hier bedarf es jetzt also keiner großen Sicherheitsvorkehrungen) – der Schlüssel heißt öffentlich, weil er genau das ist. Jede kann ihn haben, um die Mails an euch zu verschlüsseln.
Damit ihr dann eurer Empfängerin auch eine verschlüsselte E-Mail schicken könnt, braucht ihr natürlich auch wieder deren öffentlichen Schlüssel (wie sie den erzeugt und exportiert kann sie ja auch oben nachlesen 😉 ). Wenn ihr den geschickt bekommen habt, könnt ihr den ganz einfach in GPA importieren. Ebenfalls könnt ihr dort mit einem Rechtsklick auf den importierten Schlüssel das „Schlüsselvertrauen“ einstellen (hier ist es dann doch an der Zeit, sich kurz Gedanken über die Art und Weise der Schlüsselübermittlung Gedanken zu machen – und ob ihr diejenige, die euch den Schlüssel geschickt hat, wirklich gut kennt. Aber das würde jetzt vielleicht doch ein kleines Bisschen zu weit führen…^^). Ansonsten würdet ihr in Thunderbird regelmäßig von einer großen, roten und ziemlich hässlichen Meldung über eine „unvertraute Unterschrift“ belästigt werden, sofern ihr verschlüsselte und signierte E-Mails bekommt.

Auf dem Mac funktioniert das ganz ähnlich – nur noch viel einfacher. Hier braucht ihr die GPG Suite, die alles wesentlich (Schlüsselverwaltung und Plug-ins) schon von selbst mitbringt und installiert. Die Schlüsselverwaltung findet ihr in den Programmen oder unter den Einstellungen. In Apple Mail integriert sie sich von selbst, ohne dass ihr erst ein AddOn runterladen müsst. Enigmail in Thunderbird findet die GPG Suite, soweit ich mich erinnern kann, ebenfalls automatisch, ohne dass hier große Probleme zu erwarten sind. Und noch ein kleiner Bonus: In der Mac-Suite lassen sich Schlüssel mit einer Länge von bis zu 4096 Bit generieren. 😉

Und das war‘s jetzt eigentlich auch schon. Von jetzt an könnt ihr mit allen, mit denen ihr die öffentlichen Schlüssel ausgetauscht habt, verschlüsselte E-Mails schreiben. Falls ihr wider Erwarten doch noch auf Probleme stoßt: Hinterlasst einen Kommentar oder meldet euch auf eine beliebige andere Art zu Wort. Ich will versuchen, die Schwierigkeiten dann Schritt für Schritt aus dem Weg zu räumen. Das ist es mir wert, denn je mehr Leute lernen, wie man Kommunikation verschlüsselt, desto besser ist’s. 🙂

Tagged with:  

Kommentar verfassen

%d Bloggern gefällt das: