E-Mails verschlüsseln: Thunderbird, Enigmail und GnuPG unter Windows einrichten
von caschy | 51 Kommentare
In den letzten Jahren habe ich hier Dutzende Möglichkeiten vorgestellt, Dateien, ja sogar ganze Betriebssysteme zu verschlüsseln. Ein wenig kurz kam die Verschlüsselung von E-Mail, was ich hier einmal kurz nachholen möchte.
PGP, beziehungsweise GnuPG und Co hören sich immer sehr kompliziert an und ich bin mir sicher, dass nicht nur Anfänger in der Thematik teilweise schlucken müssen, wenn sie zum ersten Mal vor der ganzen Software stehen, kryptische Zahlenkolonnen, Schlüsseln und Co sehen.
[werbung]
Aller Anfang ist bekanntlich schwer, aber mit ein bisschen Hilfe klappt das sicherlich. Ich mache hier einmal den groben Anfang und beschreibe die Einrichtung erst einmal mit GnuPG und Thunderbird unter Windows 8. GPG ist ein Public-Key-Verschlüsselungsverfahren, das heißt, dass zum Verschlüsseln von E-Mails keine geheimen Informationen nötig sind. Jeder GPG-Nutzer erstellt ein Schlüsselpaar, welches aus zwei Teilen besteht: dem privaten Schlüssel und dem öffentlichen Schlüssel.
Den öffentlichen Schlüssel legt man auf Schlüsselservern ab, alternativ kann man ihn auch an Kontakte weitergeben oder an die Mail anhängen. Auf den eigenen privaten Schlüssel dürft nur ihr Zugriff haben. Dieser Schlüssel wird im Verlaufe des Setups bestenfalls mit einem starkem Passwort geschützt. Mit diesen Schlüsseln können Daten ver-, entschlüsselt und signiert werden.
Seht es keinesfalls als umfassendes Kompendium, sondern lediglich als losen Einstieg in die Thematik. Auch im Jahre 2013 hat man das Gefühl, dass Verschlüsselung nichts für die Massen ist, was einfach daran liegt, dass man ein sehr komplexes Thema auf ein Minimum runterbrechen muss. Hier also erst einmal die Installation und Einrichtung von Thunderbird, GnuPG und der Schlüssel, sodass ihr in der Lage seid, verschlüsselte Nachrichten zu senden und diese zu empfangen.
Installation
Eine erfolgte Thunderbird-Installation setze ich voraus, fehlt zur Einrichtung nur das GnuPG-Paket und die Schnittstelle zu Thunderbird, eine Erweiterung namens Enigmail. Diese beiden Komponenten sind kostenlos: GnuPG für Windows und Enigmail. Nach erfolgtem Download wird dann GnuPG für Windows installiert:
Danach installiert man die Erweiterung Enigmail in Thunderbird und startet Thunderbird anschließend neu. Nun solltet ihr im besten Falle einen Menüpunkt in Thunderbird namens OpenPGP vorfinden.
Der Assistent
Das Setup bringt über das OpenPGP einen Assistenten mit, den ihr jetzt behelligen dürft. So ist das Ganze „eigentlich“ eine Sache von wenigen Klicks, statt aber immer blind „weiter“ zu klicken, solltet ihr schon die Hinweistexte lesen und verstehen. Vieles davon ist über die Screenshots ersichtlich, sodass ich mir den zusätzlichen Text spare.
Unter Schritt 3 habe ich festgelegt, dass ich mir aussuchen möchte, wann ich verschlüsseln will, denn nur die wenigsten meiner Mailpartner verschlüsseln, sodass die manuelle Lösung für mich sinnvoller ist.
In Schritt 5 sollten wir den Haken bei „Nachrichten im Reintext anzeigen“ entfernen.
Sollte der Assistent eure Installation nicht erkennen, so solltet ihr das im nächsten Schritt manuell nachholen. Hier muss zum Pfad der gpg.exe durchgeklickt werden. Sie versteckt sich im Programmverzeichnis im Unterordner GnuPG > pub.
Nun wird euer Schlüsselpaar erzeugt. Das öffentliche und das geheime. Euer privater Schlüssel muss natürlich mit einem Passwort geschützt werden, sonst könnte man in eurem Namen verschlüsselte Mails senden und entschlüsseln.
Am Ende sollte man noch ein Zertifikat erzeugen und sichern, mit diesem kann man den Schlüssel bei Bedarf als ungültig erklären.
Mails senden und empfangen
Wenn ihr nun eine Mail schreibt, könnt ihr direkt verschlüsseln. Und ihr seht, das Ganze waren doch sicherlich maximal nur 15 bis 20 Minuten Aufwand. Ihr könnt direkt über das Menü im Entwurfsfenster von Thunderbird verschlüsseln:
Logisch, verschlüsselte Mails kommen nur an, wenn auch der Empfänger verschlüsselt und der Schlüssel bekannt ist. Eurem Gegenüber könnt ihr vorab unverschlüsselt den öffentlichen Key geben, alternativ gibt es in Thunderbird den Menüpunkt, dass man seinen Schlüssel immer mit anhängt.
Ihr seid nun für die Verschlüsselung gerüstet, könnt mit Thunderbird Mails ver- und entschlüsseln. Oft gestellte Fragen finden sich übrigens auch im GPG4Win-Kompendium. Und nun mal Hand auf das Herz: wer verschlüsselt denn konsequent, wenn das mobile Senden & Empfangen und Web-Interfaces das Lesen von verschlüsselten Mails teilweise unmöglich machen?
Wird geladen ...
autsch …
Den privaten Schlüssel legt man auf Schlüsselservern ab, alternativ kann man ihn auch an Kontakte weitergeben oder an die Mail anhängen. Auf den eigenen privaten Schlüssel dürft nur ihr Zugriff haben. Dieser Schlüssel wird im Verlaufe des Setups bestenfalls mit einem starkem Passwort geschützt. Mit diesem Schlüssel können Daten entschlüsselt und signiert werden.
Der öffentliche Schlüssel dient dazu, Daten zu verschlüsseln und signierte Daten zu überprüfen. Dieser Schlüssel muss auch euren Mail-Partnern vorliegen, da sie sonst weder ent- noch Mails an euch verschlüsseln können. Und nun Zähne zusammenbeißen, die Einrichtung als solches kann man “eigentlich” in wenigen Augenblicken erledigen.
guck da lieber noch mal drüber 😀
der private schlüssel wird nicht weitergegeben !!! und nicht hochgeladen ….!!! WICHTIG
Den privaten Schlüssel legt man eben nicht auf Schlüsselservern ab, sondern den öffentlichen. Der private Schlüssel sollte tunlichst geheim bleiben. Er dient zu Entschlüsseln der mit dem öffentlichen Schlüssel verschlüsselten Datei / Mail … .
Den öffentlichen Schlüssel legt man auf Schlüsselservern ab, alternativ kann man ihn auch an Kontakte weitergeben oder an die Mail anhängen. Auf den eigenen privaten Schlüssel dürft nur ihr Zugriff haben. Dieser Schlüssel wird im Verlaufe des Setups bestenfalls mit einem starkem Passwort geschützt. Mit diesem Schlüssel können Daten entschlüsselt und signiert werden.
Alles gut und schön aber ich hätte das gerne auf webinterface.
Außerdem kann man es auch dann auf dem iPhone nicht lesen.
Das ganze wird sich leider nicht durchsetzen im privaten Umfeld.
Dafür ist es den meisten zu kompliziert
@nektus: das schrieb ich ja.
Noch ein kleiner bzw. Hinweis: Ich hatte PGP mal vor Jahren benutzt. Ich weiß nicht ob das noch so ist, aber früher konnte man einstellen, wann der Schlüssel abläuft – beispielsweise nach zwei Jahren. Wenn das dann passiert, also der Schlüssel ungültig wird oder man Ihn einfach verliert, kann man seine eigenen Mails nicht mehr lesen. Ich habe so Mailverkehr von knapp zwei Jahren verloren.
@nektus fürs webinterface gibts teilweise browserplugins aber für mobil habe ich leider auch noch nichts gefunden
Was einen wieder zeigt… Darum ist Emailverschlüsselung kein verbreitetes Thema geschweige denn im Einsatz. Einfach nicht benutzerfreundlich von A-Z, zumal gefühlte 1000 Beiträge immer TB/Enigmail/GnuPG herhalten. Die Masse wird sicherlich nicht solch ein Aufwand betreiben, zumal die Windows Bordmittel anderes hergeben.
Windows Live Mail, siehts Mau aus an simple How To oder EM Client oder oder oder :-///
ist das thema noch nicht gut genug ausgelutscht? wir alle wissen, das der otto normal user das nicht macht, weil es aus ersichtlichen gründen zu umständlich ist (siehe tut oben) und das gro benutzt doch nicht mal mehr thunderbird o. outlook, also einen lokalen cleint. auf den lokalen systemen läuft email zu 99% im browser, was pgp und co ohnehin sinnlos macht.
auf den mobilen geräten gibt es vermehrt lokale cleints in app form, dort ist pgp entweder nicht implementiert oder zu kompliziert oder es ist auch wieder ein webclient und somit sinnfrei.
dieses tutorial erreicht eine ausgenommen kleine minderheit der user und bringt somit auf all den websites wo es angeboten wird nur hit`s für die page an sich aber kaum einen realen nutzen für den otto normaldau.
hey ihr coder! entwickelt endlich programme die auch otto normal user benutzen kann um endend verschlüsselung zu benutzen, dann reden wir weiter. bis dahin ist das alles nur heiße luft.
@Tobias:
Schlüsselgültigkeiten kann man verlängern, solange man den private key noch besitzt:
http://powerbook.blogger.de/2007/11/01/442117/gueltigkeit-von-pgp-schluesseln-verlaengern/
Verschlüsselung im Webinterface macht nur dann Sinn, wenn man dem Anbieter absolut vertraut, das halte ich für bedenklich. Der Anbieter hätte dann ja wieder Zugriff auf die Daten: er muss den Secretkey kennen und auch das Passwort dazu.
Die Browserlösungen sind daher Plugins, die die Entschlüsselung lokal machen, aber im Browser transparent anzeigen. Es bleibt dabei: von unterwegs hat man keinen Zugriff auf die Mails.
@Tobias: Auch nach Ablauf der Gültigkeitsfrist eines Schlüssels kann man damit selbstverständlich vorhandene Mails entschlüsseln! Wenn man den Schlüssel natürlich verliert, hat man keine Chance. Und das ist gut so. 😉
@nektus und @caschy: Wenn man Roundcube als Webmail-System nutzt, kann man mit folgendem Roundcube-Plugin Mails ver- und entschlüsseln: https://github.com/qnrq/rc_openpgpjs — Dabei wird er private Schlüssel nicht auf dem Server, sondern nur lokal auf dem Client gespeichert und die Ver- und Entschlüsselung läuft auch auf dem Client.
Und mobile Verschlüsselung funktioniert auf Android mit K9 Mail und APG ganz hervorragend, da K9 mit APG zusammenarbeitet.
naja, die ver- und entschlüsselung ließe sich bei webmail ja per javascript realisieren. Dann hätte der Anbieter keine möglichkeit auf die Mails zuzugreifen…
@Tobias
So nicht ganz richtig. Wenn der Schlüssel nur abläuft, kannst du weiterhin deine Mails entschlüsseln, aber nicht mehr verschlüsseln. Man kann den Schlüssel aber jederzeit verlängern, sogar wenn er abgelaufen ist (was etwas komplizierter ist).
Wenn du den Schlüssel natürlich verlierst, ist es vorbei. Anderenfalls wäre Verschlüsselung ja wohl auch sinnlos.
Bei Android kann K9-Mail hervorragend mit Verschlüsselung umgehen. Man muss nur die Zusatz-App APG installiert und eingerichtet haben. Ist ganz ähnlich, wie bei Enigmail
Mann, seid Ihr schnell, hier!
S/MIME finde ich für mich besser, da es nativ von zig Behörden unterstützt wird, sowie keine Zusatzsoftware für iOS und OSX notwendig ist.
Für iOS gibt es auch Apps zum Entschlüsseln oder Verschlüsseln mit GPG beispielsweise oPenGP Lite oder oPenGP… geht alles, wenn der Wille da ist.
Man muss nicht konsequent alles verschlüsseln und signieren. Daher ist mobiler und webbasierter Zugriff keine große Einschränkung. Man muss sich überlegen, was man verschlüsselt oder signiert senden will. Man bekommt die Mail mobil und im Browser ja trotzdem und weiß zumindest Bescheid. Es ist halt immer ein Balanceakt zwischen Bequemlichkeit und Schutz der Privatsphäre.
Ich habe das am WE nach längerer Zeit mal wieder durchgespielt – sehr unübersichtlich wie ich finde.
Lasst uns mal über den praktischen Einsatz reden und dessen Sinnhaftigkeit. Sensible Daten sende ich im Normalfall u.a. an wen? Behörden, Ärzte Anwälte …
Und jetzt erkläre mir mal bitte jemand verständlich was ich meinem Gegenüber alle beibringen muss – welchen Schlüssel muss ich dem schicken und wo finde ich diesen denn am Ende der oben beschriebenen Installation?? Daran bin ich nämlich gescheitert – da steht nirgends öffentlicher oder privater Schlüssel.
Was ich mich auch frage: macht das bei Behörden, Anwälten etc. überhaupt Sinn zu verschlüsseln? Dort müssen ja mehrere Leute Zugriff auf meine Daten haben. Wenn die Mail einmal entschlüsselt ist, dann wird vermutlich die Nachricht nochmal irgendwo wieder unverschlüsselt gespeichert, oder der Schlüssel wird für alle zugänglich irgendwo abgelegt.
Des weiteren werden vermutlich meine Daten ohnehin in Datenbanken etc. eingegeben. Unverschlüsselt. Ich halte das insgesamt für wenig praktikabel – wie seht ihr das?
@Tobias: Wenn der Schlüssel lediglich abgelaufen ist, kann man sehr wohl damit noch alte Mails entschlüsseln. Man kann ihn sogar reaktivieren, indem man ein neues Datum (in der Zukunft) setzt. Bei Verlust des privaten Schlüssels hast u allerdings Recht – darum passt man auf das Teil ja auch auf. Richtig auf. So mit Backup und so… 😉
Und für den absoluten Notfall gibt es PaperKey (http://www.jabberwocky.com/software/paperkey/)
@caschy: Ich habe bestimmte Bekannte und Freunde, bei denen ich weiß, dass Sie einen (gültigen) Key haben. Die schreibe ich bei PMs grundsätzlich verschlüsselt an. Dank APG kann ich inzwischen auch unterwegs Mails ver- und entschlüsseln, ansonsten hat das auch mal Zeit, bis ich wieder am großen Rechner sitze. Mails von meinen privaten Accounts werden auch grundsätzlich signiert – es sei denn der Empfänger verbittet sich das.