PGP-Mailverschlüsselung mit Web-Mailern wie Gmail, Yahoo, Outlook.com und GMX

In den letzten Wochen ist das Thema Verschlüsselung für viele Menschen trotz der immer noch hohen Komplexität immer interessanter geworden, sodass ich vormals Uninteressierte doch einmal hinsetzen und sich des Themas annehmen. Vollverschlüsselung des Betriebssystems oder von einzelnen Festplatten / Partitionen? Alles hier im Blog bereits festgehalten.

PGP und Thunderbird, die ersten Schritte? Den entsprechenden Beitrag findet ihr ebenfalls hier im Blog. Was ist aber mit den Menschen, die Webmailer wie Outlook, GMX, Yahoo oder Gmail verwenden? Müssen diese auf Sicherheit verzichten?

[werbung]

Nein, denn hier kann man zur Chrome-Erweiterung Mailvelope greifen, hierbei werden die Schlüssel im Browser gespeichert, Ver- und Entschlüsselung läuft im Browser ab, das Ganze ist fast bequemer als in den Clients. Hier ist man ebenso an das Konzept privater und öffentlicher Schlüssel gebunden, wie bei den anderen Lösungen auch. Der öffentliche Schlüssel sollte eurem Gegenüber zugänglich gemacht werden, während der private natürlich bei euch bleibt. Das Generieren von Schlüsseln ist innerhalb der Erweiterung möglich.

Erweiterung installieren:

Mailvelope
Mailvelope
Entwickler: www.mailvelope.com
Preis: Kostenlos

Schlüssel generieren:

Einfach in die Optionen der Erweiterung, ab in den Punkt „Generate Key“. Name, Mail-Adresse und eure geheime Phrase eingeben.

Generate_Key

Öffentlichen Schlüssel für Mailpartner weitergeben:

Kann direkt versandt werden oder in die Zwischenablage kopiert werden. Zu finden im Punkt „Display Keys“

display_keyÖffentliche Schlüssel importieren:

Unter dem Punkt „Import Keys“ können die Keys eurer Mailpartner gespeichert werden.

importMails verschlüsseln und entschlüsseln:

Diese paar Schritte reichen für die Einrichtung von Mailvelope. Wenn ihr nun in euren Webmailer aufruft, habt ihr im Editor die Möglichkeit zu verschlüsseln:

Posteingang_-_carsten.knobloch_gmail.com_-_Gmail_und_Bünyamin_Rahn

chrome-extension___kajibbejlbohfaggdiogboambcijhkke_common_ui_modal_editor.html_parent_klsau5fc_editor_type_plain_und_Posteingang_-_carsten.knobloch_gmail.com_-_Gmail

chrome-extension___kajibbejlbohfaggdiogboambcijhkke_common_ui_modal_editor.html_parent_klsau5fc_editor_type_plain_und_Posteingang_-_carsten.knobloch_gmail.com_-_Gmail 2Das Gleiche beim Entschlüsseln. Mails werden dementsprechend dargestellt und können mittels Klick entschlüsselt werden:

verschlüsselt!

Bildschirmfoto_2013-08-12_um_17.22.52-2

 

Mehr nicht? Nein, in der Tat erst einmal nicht. Doch wie ich bereits in meinem Beitrag: E-Mails verschlüsseln: „Thunderbird, Enigmail und GnuPG unter Windows einrichten“ sagte: das Ganze hier ist nur ein Einstieg, Wissen in manchen Dingen darf man sich ruhig anlesen und aneignen, damit man auch weiss, was genau passiert. Eine FAQ zu Mailvelope steht hier bereit.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

32 Kommentare

  1. Eignet sich auch für die Verschlüsselung von Facebook nachrichten… allerdings funktioniert das nicht so sauber wie bspw. in GMail.

    grüße

  2. Ich habe vorhin diesen email-Bot gefunden: http://gpgtest.phpgangsta.de

    Da kann man verschlüselte Emails an einen Mail-Bot schicken und bekommt eine Antwort ob alles geklappt hat. Leider sagt er bei mir (Thunderbird + Enigmail), dass er die Mail nicht parsen kann. Klappt es bei euch?

  3. „Privaten Schlüssel für Mailpartner weitergeben“

    Du meinst den öffentlichen Schlüssel. Den geheimen sollte man unter gar keinen Umständen jemandem weitergeben.

    Ergänzungen:

    – Sollte man seine eigenen verschickten Mails noch lesen wollen, muss man diese zusätzlich mit seinem eigenen Schlüssel verschlüsseln. (Screenshot 5.) Erwähnenswert, da die gängigen Clients das ja bereits automatisch voreingestellt erledigen.

    – Importieren kann man nicht nur öffentliche Schlüssel der Mail-Kontakte, sondern auch die eigenen, bereits existierenden privaten Schlüssel. Sonst müsste man für Mailvelope ja extra einen PGP-Schlüssel pflegen.

  4. Jetzt noch einen Absatz für eine Smartphone Mail-App die das kann. Dann wäre es perfekt. 🙂

    K9 + APG sollte bei den Droiden gehen.

  5. Ich rate davon ab, den in diesem Artikel beschriebenen Weg als Lösung anzusehen. Webmailer können stets eine Hintertür haben, die lokal installierte Clients nicht haben.

  6. Go-Cypher von 2001-2002 macht alles einfach und besser. Ohne Schlüsselverwaltung und ohne Spuren in der verschlüsselten Datei zu hinterlassen.

  7. Interessante Sache. Aber wie sieht das mit den GMail-Clients für iOS/Android aus? Gibts dafür etwas entsprechendes?

  8. Meiner Meinung nach für privaten Mailverkehr nicht notwendig. Ich warte nur darauf, dass ich von irgend einem DAU eine verschlüsselte Mail bekomme, die ich nicht aufmachen kann, weil sie an ihn selbst verschlüsselt ist.

  9. @Tux: Nur wenn bereits beim Tippen der Text übertragen wird, ist die Methode Webmailer unsicher. Ob das so ist lässt sich mit Wireshare oder Ähnlichem herausfinden. Grund dafür ist, dass anderenfalls der Text bereits verschlüsselt auf dem Server des Webmailers ankommt.

    Aber davon mal abgesehen würde das dem Webmailer nur dann etwas bringen, wenn er anschließend eine separate Kopie des getippten Textes der letztendlich gesenden E-Mail speichern würde. Das würde de facto bedeuten, dass er es darauf anlegt deine Verschlüsselung zu umgehen.

  10. ich hab ja eben das geheule schon gelesen, dass sich leuten beschwerten, dass sie das doch bitte in ihrer Weboberfläche haben möchten…

    Aber das ist doch überhaupt kein Vorteil zu Thunderbird.

    Hier muss man etwas LOKAL einrichten, welches nur auf seinem Rechner ist…

    Die andere möglichkeit, so das gleich die großen anbieter dafür etwas bereit halten, wäre ganz großer quatsch… weil dann braucht man nicht verschlüsseln -,-

    Der Mail-Anbieter könnte also immernoch mitlesen…. also quatsch…

    Eine software die lokal auf dme Rechner läuft, und alles übernimmt, gleichzeitig auch noch performanter läuft, hat weniger nachteile als ein browserplugin, welches man ja auch lokal einrichten muss.
    Außerdem sollte das plugin nur auf dem Fifrefox verwendet werden, da Chrome bekanntlich von google ist, und genau die sollen ja die mail nicht lesen dürfen 😉

  11. Ich find das fantastisch! Habs gestern installiert, wirklich simpel. Sonst war Verschlüsselung ja schon was für wirklich Interessierte. Gibts irgendwelche Nachteile sonst? Anhänge werden ja generell bei PGP nicht verschlüsselt, oder?

  12. @Tichi: „Das würde de facto bedeuten, dass er es darauf anlegt deine Verschlüsselung zu umgehen.“ … abwegig, nicht? NSA.

  13. @Karim Geiger:
    Also entweder blamiere ich mich jetzt, oder Du hast ein gewaltiges Eigentor geschossen. Der Schlüssel wird doch anhand der Empfänger ID identifziert. Wie soll da ein DAU Dir eine an ihn verschlüsselte Mail schicken? Zugegeben, ich nutze es bei Thunderbird, aber da ist soetwas nicht möglich. Einzig CC Mails sind ein Problem, für das ich noch keine Lösung fand.

  14. Allein die Tatsache, dass in diesem sowie in dem anderen Artikel die Frage auf kam, welcher Schlüssel nun welcher ist, ob der öffentliche (eigentlich offensichtlich ÖFFENTLICH) Schlüssel oder doch der Private herausgegeben werden muss bzw. das ganze verwechselt wurde, zeigt dass das ganze nicht taugt und für den Otto-Normal-Nutzer viel zu kompliziert ist.
    SO wird sich Verschlüsslung nie durchsetzen.

  15. Im Browser verschlüsseln ist ein Eigentor denn Browser können kompromittiert sein wie z. der Artikel http://stadt-bremerhaven.de/finfisher-staatstrojaner-tarnt-sich-als-firefox/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+stadt-bremerhaven%2FdqXM+%28Caschys+Blog%29 bewiesen hat und das ist nicht die einzige Möglichkeit.

  16. @Jakob: hast du, wie ganz unten auf der Seite steht, den Betreff DECRYPT AND CHECK verwendet? Damit hat es bei mir dann funktioniert.

  17. Paul D. 12. August 2013 um 18:46 Uhr

    Go-Cypher von 2001-2002 macht alles einfach und besser. Ohne Schlüsselverwaltung und ohne Spuren in der verschlüsselten Datei zu hinterlassen.

    Yepp. Ghosthunter rockt noch immer. Hab lange Ghost_RC6 von ihm genutzt.

  18. Finde gut das dieses Thema nun auch endlich seinen Weg in die breite Öffentlichkeit gefunden hat. Ich denke so einen Fall wie den mit Snowden, war dafür nötig. Danke für Deinen super Beitrag.
    LG

  19. @Thomas77 – Verschlüsselung hat damit zu tun, dass man sich als Benutzer darüber Gedanken machen soll/muss. Denn nur wenn man halbwegs verstanden hat, wie etwas funktioniert, dann vertraut man diesem – alles andere ist „guter Glaube“ und blindes Vertrauen – dann braucht man keine Verschlüsselung. Wenn also jemand verschlüsseln WILL, dann sollte er sich auch Gedanken darum machen.

  20. wir -manche- eiern, nicht rum … wir wollen diese scheisssse einfach nicht. kannst ja in dein gelobtes land estland umziehen lol

  21. Mailvelope unterstützt (noch) keine Signatur von Mails. Vielleicht wäre dazu noch ein Artikel mit WebGP hilfreich. Ich muss mir das aber auch nochmal anschauen. Das Projekt sieht auf den ersten Blick etwas eingeschlafen aus. 🙁

    „Privaten Schlüssel für Mailpartner weitergeben“
    Ich finde es schon auffällig, wenn derselbe schwerwiegende gedankliche Fehler in zwei aufeinanderfolgenden Artikeln zum Thema PGP gemacht wird. Ohne Absicht zu unterstellen, doch das lässt mich etwas am Grundverständnis zweifeln.

    @Fraggle
    Möglich ist es auf jeden Fall, dass eine Mail nur für den Absender verschlüsselt ist. Man muss bloß ein nicht so schlaues Interface haben, das die Schlüssel nicht automatisch anhand der ID setzt. Kann z.B. sein, dass jemand schon den öffentlichen Schlüssel des Empfängers in der Liste hat (oder gerade frisch importiert) und nun eine seiner ersten verschlüsselten Mails schicken will. Dann noch eine Prise „keinen Plan“ dazu und lustig seinen öffentlichen Schlüssel eingetragen. Et voilà.
    Und wie Du schon schreibst, dass es schon bei CC-Mails mit Enigmail hakt, scheint so ein Automatismus nicht selbstverständlich zu sein. Warum sollte er bei To funktionieren, aber bei CC nicht? Das ist empfängertechnisch nämlich fast dasselbe.

  22. PGP/GnuPG:
    „public key“ wird NUR zum Verschlüsseln verwendet und kann/muss daher veröffentlicht werden.
    „secure/private key“ wird NUR zum Entschlüsseln verwendet.
    Der Mensch (auch ich) hat nun einmal ein Problem bei zwei möglichen Lösungen: „public“ oder „secure“. Da „vertut“ der Mensch sich nun einmal des öfteren. Man denke nur an die Schulzeit, wenn man „raten musste“ und „nur“ zwei Lösungen zur Verfügung hatte: Die Wahrscheinlichkeit, das Richtige/Falsche zu erraten war/ist also 50:50.
    Nach einer Gewöhnungsphase ist das aber kein Problem mehr, denn dann hat man „gelernt“ – so man will. Zudem ist in unserem Fall das nur ein Problem bei der Ersteinrichtung.
    Schlüsselpaar bedeutet, dass „public key“ UND „secure/private key“ zusammen passen müssen! (Daher werden sie ja auch gemeinsam generiert.)
    DIESE VERSCHLÜSSELUNG IST NICHT KOMPLIZIERT! Wann wird dieses Vorurteil endlich beerdigt? Es kommt immer von Leuten, die sich mit dem Verschlüsseln NICHT beschäftigen wollen! Meistens sind das Männer, die NICHTS DAZU LERNEN WOLLEN, denn lernen tut ja schließlich weh (so meine Erfahrungen)!
    Vertrauen: Wieso vertraut man wildfremden Konzernen wie Apple, Google und Co.? Ich kann doch viel besser dem vertrauen, was ich auf meinem eigenen Rechner LOKAL mache. Die PGP/GnuPG-Software ist „Open Source“, d.h. sie liegt jedermann im Source-Code vor. Zur Not kompiliert man sich das Programm dann selber – aber das halte ich für unnötige Arbeit.
    100%ige Sicherheit gibt es nun einmal im Leben nicht. Es reicht doch völlig aus, wenn viel mehr Leute verschlüsseln, damit die Schlapphüte endlich was zu tun bekommen: Hacken! Um dann am Ende festzustellen, dass in der entschlüsselten E-Mail steht: „Herzlichen Glückwunsch zu Deinem Geburtstag am 01.10.1999“ – und das im Jahre 2022!
    De-mail und ePost.de sind tot, weil es nur Insellösungen sind (zudem noch kostenpflichtig). Ich habe bei beiden ein Postfach, weil ich gehofft hatte, darüber eventuelle Behördenkontakte abwickeln zu können. Aber selbst die nutzen meines Wissens nach weder das eine noch das andere System.
    Ich glaube, die CC-Probleme resultieren daraus, dass eine E-Mail an mehr als eine Person verschickt wird und unter diesen Personen Empfänger OHNE vorhandenen „public key“ sind. Hier verschlüsselt das System nicht! Ich habe deshalb (um mich darauf aufmerksam machen zu lassen) in den OpenPGP-Einstellungen unter „Senden“ den Punkt „Senden immer bestätigen“ aktiviert. Ich werde jetzt VOR dem Senden noch einmal informiert, was wie an wen versendet werden soll.
    Ein bisschen Sorgfalt ist schon vom User zu erwarten. Automatismus funktioniert nämlich nicht immer! – Da kann man machen, was man will.
    Noch einmal sei erwähnt, dass die kommerzielle PGP-Version seit v7 einen „Unternehmensschlüssel“ kennt (ich weiß nicht, ob dieser oder ein anderer Begriff verwendet wird, da ich diese Funktion in einem englischen Buch aus dem Jhre 2006 gelesen habe). Hier gibt es noch eine Hierarchie mehr als das persönliche „public/secure“-Schlüsselpaar. D.H. der Chef kann die Firmen-E-Mails seiner Untergebenen ebenfalls entschlüsseln. Wenn man so etwas einbaut, dann könnte man auch annehmen, dass es einen „Master-Key“ geben könnte, der ALLES entschlüsseln kann… Ein Bösewicht, der Böses dabei denkt.

  23. @Tux: 1. Ist das nicht trivial in der Umsetzung. 2. Liegen relevante Teile des Codes für jeden einsehbar im Quelltext der Seite. 3. Einfach mit Wireshark deinen Traffic mitlesen. Wenn da bei jedem Mal Tippen was übertragen wird, weißt du Bescheid. Weiß einer Bescheid, wissen es bald alle. Und wenn jemand vorsätzlich eine Verschlüsselung umgeht wird man ja wohl auch mal Anzeige erstatten dürfen. Wenn hingegen nichts übertragen wird, dann kannst du recht sicher sein, dass deine Verschlüsselung sicher ist. 4. Kann auch jeder lokal installierte Client eine Hintertür haben, nur lässt sich das hier viel schwieriger nachvollziehen.

    Behauptungen aufstellen kann jeder.

  24. Prima auch noch von Google, dann muss es ja gut verschlüsselt sein.

    Dann fassen wir mal zusammen:
    1. Google ist Schnüffler Nummer 1 für die NSA und Industrie
    2. Chrome ist von Google
    3. HTTPS ist auch verschlüsselt und wie sich die NSA kürzlich verplappert hat, gibt es Masterkeys

    Abgesehen davon sieht man ja nicht, was wirklich durch die Leitung fliesst.
    Es gibt Dinge wie Cache, oder Blindcopys etc, die man auch zusätzlich unverschlüsselt wo anders hinschicken kann.

    Noch Fragen?

  25. Auf http://www.gnupt.de/ gibt es einen netten Loader für thunderbird-portable. Diese Loader lädt Thunderbird, Enigmail.xpi und Gnupt nach.
    Hieraus ergibt sich dann ein verschlüsselungsfähiger, portabler Thunderbird.
    Einzig, dass man nach der ersten Installation das mitgelieferte Add-on enigmail manuell aktivieren muss ist ein kleiner Aufwand.
    Hiermit hat man sämtliche Verschlüsselungsoftware als opensource und unter eigener Kontrolle. Verschlüsselung online ist immer ein Widerspruch in sich.

    Wenn man allerdings Paranoia vor der NSA schiebt, hilft alles nichts, solange man ein closed-source-OS benutzt, egal ob Apple oder Microsoft. Natürlich ist openSource mit bekannten Löchern auch nicht besser, weshalb auch Android kein Heilmittel ist.

    Dennoch ist so eine Verschlüsselung dann in aller Regel ausreichend wirksam, dass der Emailprovider den Inhalt nicht selbst mitlesen kann.
    Auch wenn Absender, Adressat und Email-Betreff systembedingt unverschlüsselt bleiben.

  26. Danke für deinen Beitrag hat mir sehr geholfen.

  27. Hat mir für meine Masterarbeit geholfen, danke 🙂

  28. @Caschy: Ein Update wär mal interessant. Neue, bessere Lösungen? 🙂

  29. Marius (skobbler Betatester & community manager) says:

    Update: Wird nun bei GMX und Web.de offiziell eingesetzt.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.