PGP-Mailverschlüsselung mit Web-Mailern wie Gmail, Yahoo, Outlook.com und GMX
von caschy | 32 Kommentare
In den letzten Wochen ist das Thema Verschlüsselung für viele Menschen trotz der immer noch hohen Komplexität immer interessanter geworden, sodass ich vormals Uninteressierte doch einmal hinsetzen und sich des Themas annehmen. Vollverschlüsselung des Betriebssystems oder von einzelnen Festplatten / Partitionen? Alles hier im Blog bereits festgehalten.
PGP und Thunderbird, die ersten Schritte? Den entsprechenden Beitrag findet ihr ebenfalls hier im Blog. Was ist aber mit den Menschen, die Webmailer wie Outlook, GMX, Yahoo oder Gmail verwenden? Müssen diese auf Sicherheit verzichten?
[werbung]
Nein, denn hier kann man zur Chrome-Erweiterung Mailvelope greifen, hierbei werden die Schlüssel im Browser gespeichert, Ver- und Entschlüsselung läuft im Browser ab, das Ganze ist fast bequemer als in den Clients. Hier ist man ebenso an das Konzept privater und öffentlicher Schlüssel gebunden, wie bei den anderen Lösungen auch. Der öffentliche Schlüssel sollte eurem Gegenüber zugänglich gemacht werden, während der private natürlich bei euch bleibt. Das Generieren von Schlüsseln ist innerhalb der Erweiterung möglich.
Erweiterung installieren:
[appbox chromewebstore kajibbejlbohfaggdiogboambcijhkke]Schlüssel generieren:
Einfach in die Optionen der Erweiterung, ab in den Punkt „Generate Key“. Name, Mail-Adresse und eure geheime Phrase eingeben.
Öffentlichen Schlüssel für Mailpartner weitergeben:
Kann direkt versandt werden oder in die Zwischenablage kopiert werden. Zu finden im Punkt „Display Keys“
Öffentliche Schlüssel importieren:
Unter dem Punkt „Import Keys“ können die Keys eurer Mailpartner gespeichert werden.
Mails verschlüsseln und entschlüsseln:
Diese paar Schritte reichen für die Einrichtung von Mailvelope. Wenn ihr nun in euren Webmailer aufruft, habt ihr im Editor die Möglichkeit zu verschlüsseln:
Das Gleiche beim Entschlüsseln. Mails werden dementsprechend dargestellt und können mittels Klick entschlüsselt werden:
Mehr nicht? Nein, in der Tat erst einmal nicht. Doch wie ich bereits in meinem Beitrag: E-Mails verschlüsseln: „Thunderbird, Enigmail und GnuPG unter Windows einrichten“ sagte: das Ganze hier ist nur ein Einstieg, Wissen in manchen Dingen darf man sich ruhig anlesen und aneignen, damit man auch weiss, was genau passiert. Eine FAQ zu Mailvelope steht hier bereit.
Wird geladen ...
Eignet sich auch für die Verschlüsselung von Facebook nachrichten… allerdings funktioniert das nicht so sauber wie bspw. in GMail.
grüße
Ich habe vorhin diesen email-Bot gefunden: http://gpgtest.phpgangsta.de
Da kann man verschlüselte Emails an einen Mail-Bot schicken und bekommt eine Antwort ob alles geklappt hat. Leider sagt er bei mir (Thunderbird + Enigmail), dass er die Mail nicht parsen kann. Klappt es bei euch?
„Privaten Schlüssel für Mailpartner weitergeben“
Du meinst den öffentlichen Schlüssel. Den geheimen sollte man unter gar keinen Umständen jemandem weitergeben.
Ergänzungen:
– Sollte man seine eigenen verschickten Mails noch lesen wollen, muss man diese zusätzlich mit seinem eigenen Schlüssel verschlüsseln. (Screenshot 5.) Erwähnenswert, da die gängigen Clients das ja bereits automatisch voreingestellt erledigen.
– Importieren kann man nicht nur öffentliche Schlüssel der Mail-Kontakte, sondern auch die eigenen, bereits existierenden privaten Schlüssel. Sonst müsste man für Mailvelope ja extra einen PGP-Schlüssel pflegen.
Jetzt noch einen Absatz für eine Smartphone Mail-App die das kann. Dann wäre es perfekt. 🙂
K9 + APG sollte bei den Droiden gehen.
Ich rate davon ab, den in diesem Artikel beschriebenen Weg als Lösung anzusehen. Webmailer können stets eine Hintertür haben, die lokal installierte Clients nicht haben.
Go-Cypher von 2001-2002 macht alles einfach und besser. Ohne Schlüsselverwaltung und ohne Spuren in der verschlüsselten Datei zu hinterlassen.
Interessante Sache. Aber wie sieht das mit den GMail-Clients für iOS/Android aus? Gibts dafür etwas entsprechendes?
Meiner Meinung nach für privaten Mailverkehr nicht notwendig. Ich warte nur darauf, dass ich von irgend einem DAU eine verschlüsselte Mail bekomme, die ich nicht aufmachen kann, weil sie an ihn selbst verschlüsselt ist.
@Tux: Nur wenn bereits beim Tippen der Text übertragen wird, ist die Methode Webmailer unsicher. Ob das so ist lässt sich mit Wireshare oder Ähnlichem herausfinden. Grund dafür ist, dass anderenfalls der Text bereits verschlüsselt auf dem Server des Webmailers ankommt.
Aber davon mal abgesehen würde das dem Webmailer nur dann etwas bringen, wenn er anschließend eine separate Kopie des getippten Textes der letztendlich gesenden E-Mail speichern würde. Das würde de facto bedeuten, dass er es darauf anlegt deine Verschlüsselung zu umgehen.
ich hab ja eben das geheule schon gelesen, dass sich leuten beschwerten, dass sie das doch bitte in ihrer Weboberfläche haben möchten…
Aber das ist doch überhaupt kein Vorteil zu Thunderbird.
Hier muss man etwas LOKAL einrichten, welches nur auf seinem Rechner ist…
Die andere möglichkeit, so das gleich die großen anbieter dafür etwas bereit halten, wäre ganz großer quatsch… weil dann braucht man nicht verschlüsseln -,-
Der Mail-Anbieter könnte also immernoch mitlesen…. also quatsch…
Eine software die lokal auf dme Rechner läuft, und alles übernimmt, gleichzeitig auch noch performanter läuft, hat weniger nachteile als ein browserplugin, welches man ja auch lokal einrichten muss.
Außerdem sollte das plugin nur auf dem Fifrefox verwendet werden, da Chrome bekanntlich von google ist, und genau die sollen ja die mail nicht lesen dürfen 😉
Ich find das fantastisch! Habs gestern installiert, wirklich simpel. Sonst war Verschlüsselung ja schon was für wirklich Interessierte. Gibts irgendwelche Nachteile sonst? Anhänge werden ja generell bei PGP nicht verschlüsselt, oder?
@Tichi: „Das würde de facto bedeuten, dass er es darauf anlegt deine Verschlüsselung zu umgehen.“ … abwegig, nicht? NSA.
@Karim Geiger:
Also entweder blamiere ich mich jetzt, oder Du hast ein gewaltiges Eigentor geschossen. Der Schlüssel wird doch anhand der Empfänger ID identifziert. Wie soll da ein DAU Dir eine an ihn verschlüsselte Mail schicken? Zugegeben, ich nutze es bei Thunderbird, aber da ist soetwas nicht möglich. Einzig CC Mails sind ein Problem, für das ich noch keine Lösung fand.
Allein die Tatsache, dass in diesem sowie in dem anderen Artikel die Frage auf kam, welcher Schlüssel nun welcher ist, ob der öffentliche (eigentlich offensichtlich ÖFFENTLICH) Schlüssel oder doch der Private herausgegeben werden muss bzw. das ganze verwechselt wurde, zeigt dass das ganze nicht taugt und für den Otto-Normal-Nutzer viel zu kompliziert ist.
SO wird sich Verschlüsslung nie durchsetzen.
Im Browser verschlüsseln ist ein Eigentor denn Browser können kompromittiert sein wie z. der Artikel http://stadt-bremerhaven.de/finfisher-staatstrojaner-tarnt-sich-als-firefox/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+stadt-bremerhaven%2FdqXM+%28Caschys+Blog%29 bewiesen hat und das ist nicht die einzige Möglichkeit.
@Jakob: hast du, wie ganz unten auf der Seite steht, den Betreff DECRYPT AND CHECK verwendet? Damit hat es bei mir dann funktioniert.
Paul D. 12. August 2013 um 18:46 Uhr
Go-Cypher von 2001-2002 macht alles einfach und besser. Ohne Schlüsselverwaltung und ohne Spuren in der verschlüsselten Datei zu hinterlassen.
Yepp. Ghosthunter rockt noch immer. Hab lange Ghost_RC6 von ihm genutzt.
Finde gut das dieses Thema nun auch endlich seinen Weg in die breite Öffentlichkeit gefunden hat. Ich denke so einen Fall wie den mit Snowden, war dafür nötig. Danke für Deinen super Beitrag.
LG
@Thomas77 – Verschlüsselung hat damit zu tun, dass man sich als Benutzer darüber Gedanken machen soll/muss. Denn nur wenn man halbwegs verstanden hat, wie etwas funktioniert, dann vertraut man diesem – alles andere ist „guter Glaube“ und blindes Vertrauen – dann braucht man keine Verschlüsselung. Wenn also jemand verschlüsseln WILL, dann sollte er sich auch Gedanken darum machen.
wir -manche- eiern, nicht rum … wir wollen diese scheisssse einfach nicht. kannst ja in dein gelobtes land estland umziehen lol