Mit TLS/SSL kann man zwar dafür sorgen, das die Verbindung zwischen Email-Programm(Client) und Mailserver verschlüsselt ist, allerdings hat man darüber hinaus keine Möglichkeit die Verschlüsselung sicherzustellen. Hier kommt dann OpenPGP bzw. die verschiedenen Implementierungen wie z.B. GPG(GNU Privacy Guard) ins Spiel. Mit GPG ist es möglich Emails direkt zwischen Absender und Empfänger zu verschlüsseln und zu signieren. Die Verschlüsselung ist dabei unabhängig von den beteiligten Mailservern.
Beispielhaft und anhand von Mozilla Thunderbird als Email-Programm bzw. der OpenPGP Implementierung GPG, möchten wir die Einrichtung zum verschlüsselten Versenden und Signieren von Emails vorstellen.
Allgemeine Vorbereitungen
Sofern Sie Mozilla Thunderbird noch nicht nutzen, downloaden und installieren Sie das Programm. Anschließend benötigen Sie das Thunderbird Add-on Enigmail. Downloaden Sie dieses und installieren dieses über den Thunderbirdmenüpunkt „Extras“ -> „Add-ons“ -> „Add-on aus Datei installieren“(dieser Menüpunkt versteckt sich in der Add-on-Übersicht bei dem „Zahnradsymbol“, neben dem Eingabefeld für „Alle Add-ons durchsuchen“). Zum Schluss benötigen Sie noch eine OpenPGP Installation, downloaden und installieren Sie dazu, abhängig vom verwendeten Betriebssystem, entweder GPGTools für Mac OX oder GPG4Win für Windows.
Downloads:
- https://gpgtools.org/ (für Mac OX)
- http://www.gpg4win.de/ (für Windows)
- http://www.mozilla.org/de/thunderbird/
- https://addons.mozilla.org/de/thunderbird/addon/enigmail/
Starten des OpenPGP Assistenten
Öffnen Sie den Mozilla Thunderbird und starten Sie den Assitenten über den Menüpunkt OpenPGP -> OpenPGP-Assistent.
Automatische Signatur/Unterschrift
Bei diesem Schritt können Sie entscheiden, ob Sie standardmäßig alle E-Mails signieren/unterschreiben möchten. Wenn Sie hier Nein wählen, können Sie später beim Senden einer E-Mail bestimmen, ob diese signiert werden soll oder nicht.
Einstellungen
Hier fragt Sie der Assistent, ob er die E-Mail-Einstellungen automatisch einstellen soll. Wählen Sie hier Ja, aber kontrollieren Sie vorher über den Button „Details“, welche Einstellungen vorgenommen werden. Falls Sie auch HTML-Mails versenden möchten, wählen Sie den entsprechenden Punkt dort ab.
Schlüssel erzeugen
Bei diesem Schritt werden Ihr öffentlicher und privater Schlüssel erzeugt. Ebenfalls legen Sie hier das Passwort fest, mit dem Sie an Sie gerichtete Emails dann wieder entschlüsseln können.
Zusammenfassung
Hier bekommen Sie sich nochmals alle bisherigen Schritte als Zusammenfassung angezeigt und können mit einem Klick auf „Fortsetzen“ die Einstellungen übernehmen und die Schlüssel erzeugen lassen.
Widerrufszertifikat erzeugen
In diesem Schritt können (und sollten) Sie ein Widerrufszertifikat für Ihr Schlüsselpaar erzeugen. Mit diesem Zertifikat, können Sie bei Bedarf Ihren Schlüssel für ungültig erklären. Klicken Sie dazu auf „Zertifikat erzeugen“ und speichern Sie im anschließenden Download-Dialog das Zertifikat ab.
Öffentlichen Schlüssel exportieren
Als nächstes sollten Sie Ihren Öffentlichen Schlüssel in eine Datei exportieren, damit Sie diesen weitergeben können. Öffnen Sie dazu über das Mozilla Thunderbird Menü „OpenPGP“ -> „Schlüssel verwalten“ die Schlüsselverwaltung und klicken Sie in das Kästchen „Standardmäßig alle Schlüssel anzeigen“, um Ihren Schlüssel angezeigt zu bekommen.
Klicken Sie mit der rechten Maustaste auf Ihren Schlüssel und wählen Sie im Kontextmenü „In Datei exportieren…“ aus. Danach werden Sie gefragt, ob Sie auch Ihren privaten Schlüssel speichern möchten, wählen Sie hier „Nur öffentliche Schlüssel exportieren“ aus und speichern Sie die Datei mit Ihrem Schlüssel dann ab.
Abschließend
Nun sollten Sie GPG eingerichtet und konfiguriert haben. Ebenfalls sollte Ihnen ein Widerrufszertifikat für Ihren (geheimen!) privaten Schlüssel vorliegen, ebenso wie Ihr öffentlicher Schlüssel. Den öffentlichen Schlüssel können Sie nun mit anderen austauschen, um verschlüsselt kommunizieren zu können.
Es gibt natürlich noch viele weitere erwähnenswerte Informationen rund um GPG, wie z.B. Schlüsselserver oder Keysigning-Party’s, welche aber den Rahmen dieses FAQ’s sprengen würden.
Weitergehende FAQ’s
Hier finden Sie einige Links zu weitergehenden bzw. ähnlichen Themen, welche für Sie eventuell interessant sind:
- Passwortsicherheit
- Sichere Datenübertragung per FTP (SFTP, FTPeS)
- Sichere Verbindung zwischen Mailserver und Client (SSL/TLS)
Quellen: