E-Mail-Verschlüsselung in 30 Minuten – so geht’s!
E-Mail-Verschlüsselung ist keine Hexerei, sondern etwas, das Journalisten beherrschen müssen, wenn sie ihre Quellen schützen wollen. MEDIENWOCHE liefert eine Anleitung, wie man verschlüsselt per E-Mail kommuniziert.
«Sicher ist, dass nichts sicher ist.
Selbst das nicht.»
Joachim Ringelnatz
Am 9. Juni 2013 bekannte sich Edward Snowden verantwortlich für ein Leak, das die Öffentlichkeit über das Ausmass der weltweiten Überwachungs- und Spionagepraktiken von Geheimdiensten informiert. MEDIENWOCHE beschäftigt sich ein Jahr später mit der Beziehung zwischen Journalisten und Whistleblowern.
Vorbemerkung: Journalisten dazu zu bringen, sich eine halbe Stunde für Sicherheitsfragen Zeit zu nehmen, ist ein schwieriges Unterfangen. Wir haben uns deshalb um eine Anleitung bemüht, die unnötige Details möglichst ausspart. Wenn sich ein Schritt nicht exakt so darstellt wie in unserer Beschreibung: Nicht verunsichern lassen. Weitermachen.
1. Installation OpenGPG
Zunächst muss die Software OpenGPG installiert werden. Für Windows gibt es das Paket auf www.gpg4win.org, für Mac unter gpgtools.org.
2. Installation Thunderbird
Anschliessend muss das E-Mail-Programm Thunderbird unter mozilla.org/de/thunderbird installiert und mindestens ein E-Mail-Konto eingerichtet werden.
3. Installation Enigmail
Der nächste Schritt ist die Installation der Browser-Erweiterung Enigmail über addons.mozilla.org/en-US/thunderbird/addon/enigmail.
Die zur Installation nötigen Informationen werden während des Herunterladens angezeigt, ansonsten helfen die jeweiligen Downloadseiten auf ihren Hilfe-Seiten weiter.
Die Verschlüsselung
Zum Verständnis der E-Mail-Verschlüsselung, wie wir sie hier nutzen, müssen wir uns das asymmetrische Verschlüsselungsverfahren veranschaulichen. Für dieses Verfahren werden zwei Schlüssel generiert, die als ein Paar zusammengehören: ein öffentlicher und ein privater, geheimer – letzterer wird mit einer Passphrase geschützt. Der private Schlüssel verbleibt geschützt bei der ihn besitzenden Person, der öffentliche Schlüssel ist öffentlich und kann und soll mit der ganzen Welt geteilt werden.
Texte, Videos, Dokumente, Dateien, die mit Hilfe eines öffentlichen Schlüssel chiffriert werden, sehen beispielsweise folgendermassen aus:
-----BEGIN PGP MESSAGE-----
Charset: ISO-8859-15
Version: GnuPG/MacGPG2 v2.0.22 (Darwin)
Comment: GPGTools - https://gpgtools.org
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
hQEMA6R6n7xOS9qDAQf/aUB2KbefStopuiMSZUqJvcvNTp5Bwos2SsyRiQpbgUuu
iIyckhbRXfkhwrfpWhxKmqjvaVkWQrAmAln8J7A0INgHN05AQCnVXakOHxFexN0F
n6j1SzBzz6Kb8sPr48hQvL+iqT1Y5H1dabN1xfm73uAINXBZzUB6KcQyvznNaQPF
TAH+M1qZnH9+jWQ7U3r82sN0BQw9ogYyhvQ5oc+u++4Xr7E4ZAFaf0Jt4R+bcbm6
7vK8zrmSlV2jnyYQvJkh2NGOFJgKAwJMXEuclbEX5VhyaslV/JGRtSpalcYCEWgV
2/9J0+mk
—–END PGP MESSAGE—–
Dieses Dokument ist nur noch für jene Person im Klartext lesbar, die über den passenden privaten Schlüssel verfügt, der gemeinsam mit dem zugehörigen öffentlichen Schlüssel erzeugt wurde.
4. Schlüsselpaar erzeugen
Um ein Schlüsselpaar zu erzeugen, starten wir den OpenPGP-Assistent in Thunderbird, zu finden unter → OpenPGP und → OpenPGP-Assistent. Die Erklärungen und Vorauswahlen des Assistenten sind gut beschrieben, es ist sinnvoll, sie zur Kenntnis zu nehmen und so zu belassen, wie sie sind. Bis zum Punkt «Passphrase» können alle vom Assistent voreingestellten Optionen bestätigt werden.
5. Wahl der Passphrase
Eine Passphrase schützt den privaten Schlüssel vor unbefugtem Zugriff. Sie muss unbedingt geschützt und keinesfalls notiert oder weitergegeben werden. Sie unterscheidet sich von einem Passwort dadurch, dass sie Leerzeichen enthalten darf (zur Gestaltung der Passphrase mehr hier oder hier). Auf die Sicherheit ist in diesem Zusammenhang noch mehr zu achten als bei einem guten Passwort. Es sollte darauf verzichtet werden, bereits verwendete Passwörter zu benutzen.
Widerrufszertifikat
Ist die Passphrase gewählt, startet der eigentliche Prozess des Generierens der Schlüssel. Es wird dabei die Erstellung eines Widerrufszertifikates angeboten, was zu empfehlen ist (mehr zur Erstellung des Widerrufszertifikats hier) – dieses sollte auf einem externen Medium gespeichert werden.
Erreichbarkeit
Damit uns andere nun eine verschlüsselte E-Mail zukommen lassen können, muss unser öffentlicher Schlüssel öffentlich zur Verfügung stehen. Das kann über eine beliebige Website geschehen (zum Beispiel im eigenen Blog, hier der Link auf den Public Key von Ronnie Grob), er kann direkt versandt werden, oder auch auf einem im Internet verfügbaren Keyserver zur Verfügung gestellt werden.
6. Öffentlichen Schlüssel veröffentlichen
Um den Schlüssel zu veröffentlichen, muss die Schlüsselverwaltung in Thunderbird geöffnet werden (→ Einstellungen → OpenPGP → Schlüssel verwalten). Wir selektieren unseren PGP-Schlüssel und wählen sodann → Schlüssel-Server → Schlüssel hochladen. Es reicht, nur einen der vorgeschlagenen Server auszuwählen, denn die Server gleichen sich untereinander ab. Der eigene öffentliche Schlüssel lässt sich an der gleichen Stelle auch in die Zwischenablage kopieren und in einen beliebigen Text einfügen.
Geschafft. Wir sind jetzt bereit, eine verschlüsselte E-Mail zu versenden und zu erhalten. Die Verschlüsselung erfolgt transparent, also unsichtbar. Sie lässt sich kontrollieren, indem die E-Mail im Gesendet-Ordner angewählt (und geöffnet) wird. In der Titelleiste sind die PGP-Informationen zu ersehen, zudem kann unter → Ansicht → Nachrichten-Quelltext die verschlüsselte E-Mail betrachtet werden.
Verschlüsselter E-Mail-Verkehr
In der Standardeinstellung der Schlüsselerzeugung ist enthalten, dass ausgehende E-Mails signiert werden. Wer will, kann nicht nur jede E-Mail unterschreiben, sondern auch standardmässig jede E-Mail verschlüsseln (→ Einstellungen → OpenPGP → Häkchen setzen bei Nachricht verschlüsseln). Leider haben nur wenige einen öffentlichen Schlüssel bereitgestellt, so dass das Austauschen von verschlüsselten Nachrichten noch nicht die Regel ist.
Nachbemerkung: Wer lieber direkt von Edward Snowden angeleitet wird, nutzt jenes Tutorial, das er (bekanntlich vergeblich) Glenn Greenwald zur Verfügung gestellt hatte.
aglaeser 01. Juni 2014, 07:26
Für selbständige Journalisten mag es ganz gut sein, per GPG und Enigmail zu verschlüsseln. Wer für ihrendeine Firma arbeitet, sollte sich ein x509-Zertifikat geben lassen vom Arbeitgeber, mit dem der Mail-Verkehr SSL-verschlüsselt werden kann.
Die entsprechende Funktionalität ist bei Thunderbird bereits fest eingebaut.
Meiner Erfahrung nach erfordert die Konfiguration und das Feintuning von PGP und Enigmail wesentlich mehr Zeit als nur 30 Minuten, man braucht dazu zwar kein studierter Informatiker zu sein dazu, aber zumindest ein erfahrener ‚Poweruser‘, sonst ist man mit einiger Wahrscheinlichkeit verloren im Konfigurations-Gestrüpp.
Jorgo 22. März 2015, 11:11
Noch einfacher für Windows geht alles mit GnuPT: Thunderbird, GnuPG, Thunderbird und Enigmail voll Portabel integriert. Sozusagen Memory-Stick ready in wenigen Minuten installiert.