PGP-Mailverschlüsselung mit Web-Mailern wie Gmail, Yahoo, Outlook.com und GMX
In den letzten Wochen ist das Thema Verschlüsselung für viele Menschen trotz der immer noch hohen Komplexität immer interessanter geworden, sodass ich vormals Uninteressierte doch einmal hinsetzen und sich des Themas annehmen. Vollverschlüsselung des Betriebssystems oder von einzelnen Festplatten / Partitionen? Alles hier im Blog bereits festgehalten.
PGP und Thunderbird, die ersten Schritte? Den entsprechenden Beitrag findet ihr ebenfalls hier im Blog. Was ist aber mit den Menschen, die Webmailer wie Outlook, GMX, Yahoo oder Gmail verwenden? Müssen diese auf Sicherheit verzichten?
[werbung]
Nein, denn hier kann man zur Chrome-Erweiterung Mailvelope greifen, hierbei werden die Schlüssel im Browser gespeichert, Ver- und Entschlüsselung läuft im Browser ab, das Ganze ist fast bequemer als in den Clients. Hier ist man ebenso an das Konzept privater und öffentlicher Schlüssel gebunden, wie bei den anderen Lösungen auch. Der öffentliche Schlüssel sollte eurem Gegenüber zugänglich gemacht werden, während der private natürlich bei euch bleibt. Das Generieren von Schlüsseln ist innerhalb der Erweiterung möglich.
Erweiterung installieren:
[appbox chromewebstore kajibbejlbohfaggdiogboambcijhkke]Schlüssel generieren:
Einfach in die Optionen der Erweiterung, ab in den Punkt „Generate Key“. Name, Mail-Adresse und eure geheime Phrase eingeben.
Öffentlichen Schlüssel für Mailpartner weitergeben:
Kann direkt versandt werden oder in die Zwischenablage kopiert werden. Zu finden im Punkt „Display Keys“
Öffentliche Schlüssel importieren:
Unter dem Punkt „Import Keys“ können die Keys eurer Mailpartner gespeichert werden.
Mails verschlüsseln und entschlüsseln:
Diese paar Schritte reichen für die Einrichtung von Mailvelope. Wenn ihr nun in euren Webmailer aufruft, habt ihr im Editor die Möglichkeit zu verschlüsseln:
Das Gleiche beim Entschlüsseln. Mails werden dementsprechend dargestellt und können mittels Klick entschlüsselt werden:
Mehr nicht? Nein, in der Tat erst einmal nicht. Doch wie ich bereits in meinem Beitrag: E-Mails verschlüsseln: „Thunderbird, Enigmail und GnuPG unter Windows einrichten“ sagte: das Ganze hier ist nur ein Einstieg, Wissen in manchen Dingen darf man sich ruhig anlesen und aneignen, damit man auch weiss, was genau passiert. Eine FAQ zu Mailvelope steht hier bereit.
Mailvelope unterstützt (noch) keine Signatur von Mails. Vielleicht wäre dazu noch ein Artikel mit WebGP hilfreich. Ich muss mir das aber auch nochmal anschauen. Das Projekt sieht auf den ersten Blick etwas eingeschlafen aus. 🙁
„Privaten Schlüssel für Mailpartner weitergeben“
Ich finde es schon auffällig, wenn derselbe schwerwiegende gedankliche Fehler in zwei aufeinanderfolgenden Artikeln zum Thema PGP gemacht wird. Ohne Absicht zu unterstellen, doch das lässt mich etwas am Grundverständnis zweifeln.
@Fraggle
Möglich ist es auf jeden Fall, dass eine Mail nur für den Absender verschlüsselt ist. Man muss bloß ein nicht so schlaues Interface haben, das die Schlüssel nicht automatisch anhand der ID setzt. Kann z.B. sein, dass jemand schon den öffentlichen Schlüssel des Empfängers in der Liste hat (oder gerade frisch importiert) und nun eine seiner ersten verschlüsselten Mails schicken will. Dann noch eine Prise „keinen Plan“ dazu und lustig seinen öffentlichen Schlüssel eingetragen. Et voilà.
Und wie Du schon schreibst, dass es schon bei CC-Mails mit Enigmail hakt, scheint so ein Automatismus nicht selbstverständlich zu sein. Warum sollte er bei To funktionieren, aber bei CC nicht? Das ist empfängertechnisch nämlich fast dasselbe.
PGP/GnuPG:
„public key“ wird NUR zum Verschlüsseln verwendet und kann/muss daher veröffentlicht werden.
„secure/private key“ wird NUR zum Entschlüsseln verwendet.
Der Mensch (auch ich) hat nun einmal ein Problem bei zwei möglichen Lösungen: „public“ oder „secure“. Da „vertut“ der Mensch sich nun einmal des öfteren. Man denke nur an die Schulzeit, wenn man „raten musste“ und „nur“ zwei Lösungen zur Verfügung hatte: Die Wahrscheinlichkeit, das Richtige/Falsche zu erraten war/ist also 50:50.
Nach einer Gewöhnungsphase ist das aber kein Problem mehr, denn dann hat man „gelernt“ – so man will. Zudem ist in unserem Fall das nur ein Problem bei der Ersteinrichtung.
Schlüsselpaar bedeutet, dass „public key“ UND „secure/private key“ zusammen passen müssen! (Daher werden sie ja auch gemeinsam generiert.)
DIESE VERSCHLÜSSELUNG IST NICHT KOMPLIZIERT! Wann wird dieses Vorurteil endlich beerdigt? Es kommt immer von Leuten, die sich mit dem Verschlüsseln NICHT beschäftigen wollen! Meistens sind das Männer, die NICHTS DAZU LERNEN WOLLEN, denn lernen tut ja schließlich weh (so meine Erfahrungen)!
Vertrauen: Wieso vertraut man wildfremden Konzernen wie Apple, Google und Co.? Ich kann doch viel besser dem vertrauen, was ich auf meinem eigenen Rechner LOKAL mache. Die PGP/GnuPG-Software ist „Open Source“, d.h. sie liegt jedermann im Source-Code vor. Zur Not kompiliert man sich das Programm dann selber – aber das halte ich für unnötige Arbeit.
100%ige Sicherheit gibt es nun einmal im Leben nicht. Es reicht doch völlig aus, wenn viel mehr Leute verschlüsseln, damit die Schlapphüte endlich was zu tun bekommen: Hacken! Um dann am Ende festzustellen, dass in der entschlüsselten E-Mail steht: „Herzlichen Glückwunsch zu Deinem Geburtstag am 01.10.1999“ – und das im Jahre 2022!
De-mail und ePost.de sind tot, weil es nur Insellösungen sind (zudem noch kostenpflichtig). Ich habe bei beiden ein Postfach, weil ich gehofft hatte, darüber eventuelle Behördenkontakte abwickeln zu können. Aber selbst die nutzen meines Wissens nach weder das eine noch das andere System.
Ich glaube, die CC-Probleme resultieren daraus, dass eine E-Mail an mehr als eine Person verschickt wird und unter diesen Personen Empfänger OHNE vorhandenen „public key“ sind. Hier verschlüsselt das System nicht! Ich habe deshalb (um mich darauf aufmerksam machen zu lassen) in den OpenPGP-Einstellungen unter „Senden“ den Punkt „Senden immer bestätigen“ aktiviert. Ich werde jetzt VOR dem Senden noch einmal informiert, was wie an wen versendet werden soll.
Ein bisschen Sorgfalt ist schon vom User zu erwarten. Automatismus funktioniert nämlich nicht immer! – Da kann man machen, was man will.
Noch einmal sei erwähnt, dass die kommerzielle PGP-Version seit v7 einen „Unternehmensschlüssel“ kennt (ich weiß nicht, ob dieser oder ein anderer Begriff verwendet wird, da ich diese Funktion in einem englischen Buch aus dem Jhre 2006 gelesen habe). Hier gibt es noch eine Hierarchie mehr als das persönliche „public/secure“-Schlüsselpaar. D.H. der Chef kann die Firmen-E-Mails seiner Untergebenen ebenfalls entschlüsseln. Wenn man so etwas einbaut, dann könnte man auch annehmen, dass es einen „Master-Key“ geben könnte, der ALLES entschlüsseln kann… Ein Bösewicht, der Böses dabei denkt.
@Tux: 1. Ist das nicht trivial in der Umsetzung. 2. Liegen relevante Teile des Codes für jeden einsehbar im Quelltext der Seite. 3. Einfach mit Wireshark deinen Traffic mitlesen. Wenn da bei jedem Mal Tippen was übertragen wird, weißt du Bescheid. Weiß einer Bescheid, wissen es bald alle. Und wenn jemand vorsätzlich eine Verschlüsselung umgeht wird man ja wohl auch mal Anzeige erstatten dürfen. Wenn hingegen nichts übertragen wird, dann kannst du recht sicher sein, dass deine Verschlüsselung sicher ist. 4. Kann auch jeder lokal installierte Client eine Hintertür haben, nur lässt sich das hier viel schwieriger nachvollziehen.
Behauptungen aufstellen kann jeder.
Prima auch noch von Google, dann muss es ja gut verschlüsselt sein.
Dann fassen wir mal zusammen:
1. Google ist Schnüffler Nummer 1 für die NSA und Industrie
2. Chrome ist von Google
3. HTTPS ist auch verschlüsselt und wie sich die NSA kürzlich verplappert hat, gibt es Masterkeys
Abgesehen davon sieht man ja nicht, was wirklich durch die Leitung fliesst.
Es gibt Dinge wie Cache, oder Blindcopys etc, die man auch zusätzlich unverschlüsselt wo anders hinschicken kann.
Noch Fragen?
Auf http://www.gnupt.de/ gibt es einen netten Loader für thunderbird-portable. Diese Loader lädt Thunderbird, Enigmail.xpi und Gnupt nach.
Hieraus ergibt sich dann ein verschlüsselungsfähiger, portabler Thunderbird.
Einzig, dass man nach der ersten Installation das mitgelieferte Add-on enigmail manuell aktivieren muss ist ein kleiner Aufwand.
Hiermit hat man sämtliche Verschlüsselungsoftware als opensource und unter eigener Kontrolle. Verschlüsselung online ist immer ein Widerspruch in sich.
Wenn man allerdings Paranoia vor der NSA schiebt, hilft alles nichts, solange man ein closed-source-OS benutzt, egal ob Apple oder Microsoft. Natürlich ist openSource mit bekannten Löchern auch nicht besser, weshalb auch Android kein Heilmittel ist.
Dennoch ist so eine Verschlüsselung dann in aller Regel ausreichend wirksam, dass der Emailprovider den Inhalt nicht selbst mitlesen kann.
Auch wenn Absender, Adressat und Email-Betreff systembedingt unverschlüsselt bleiben.
Danke für deinen Beitrag hat mir sehr geholfen.
Hat mir für meine Masterarbeit geholfen, danke 🙂
@Caschy: Ein Update wär mal interessant. Neue, bessere Lösungen? 🙂
Update: Wird nun bei GMX und Web.de offiziell eingesetzt.