Mail sicher verschlüsseln für Dummies

Aus TimosWiki

Diese Seite befindet sich in Bearbeitung und ist noch nicht fertig gestellt.

---

Inhaltsverzeichnis 1 Warum Verschlüsseln? 2 So hat man es früher gemacht: Symmetrische Verschlüsselung 3 So macht man es heute: Asymmetrische Verschlüsselung 4 Ein praktisches Beispiel 4.1 Fall 1: Klaus schreibt Bärbel eine Mail 4.2 Fall 2: Bärbel schreibt Klaus eine Mail und schickt sie aus Versehen auch an Jörg 5 Welche Programme benötigt man 6 Wie funktioniert das mit der Verschlüsselung? 7 Gpg4win 8 Installation 9 Schlüssel erzeugen 10 Den eigenen Schlüssel auf einem Server veröffentlichen 11 Outlook 2003 zum Ver- und Entschlüsseln verwenden

Warum Verschlüsseln?

E-Mail war schon immer ein unsicheres Medium, denn im Prinzip konnte jeder Provider die Nachrichten mitlesen. Heutzutage ist es schlimmer: Staatliche Stellen versuchen ebenfalls mitzulesen. Der Überwachungsstaat nimmt immer krassere Züge an, und die Menschen, die am wenigsten davon verstehen, entscheiden am häufigsten über die Überwachung. Wenn man möchte, dass die eigenen Mails nur von Adressaten gelesen werden können, muss man sie verschlüsseln.

So hat man es früher gemacht: Symmetrische Verschlüsselung

Früher benutzte man die symmetrische Verschlüsselung. Ein heute noch gebräuchliches Beispiel: Man verpackt eine Datei in ein ZIP-Archiv und vergibt dabei ein Kennwort. Das Kennwort ist in diesem Fall der Schlüssel. Dann schickt man die Datei an jemanden, und der kann sie dort wieder auspacken - wenn er das Kennwort kennt.

Dieses Verfahren hat einige Nachteile:

• Das Kennwort muss irgendwie an den Empfänger übermittelt werden, und zwar unverschlüsselt (also unsicher).
• Jeder andere, der das Kennwort kennt oder errät, kann die Datei ebenfalls auspacken.
• Es ist nicht sicher gestellt, dass das ZIP-Archiv tatsächlich vom Absender stammt, denn jeder, der das Kennwort kennt, kann auch verschlüsselte Dateien erstellen.

So macht man es heute: Asymmetrische Verschlüsselung

Heute benutzt man die asymmetrische Verschlüsselung. Hier gibt es zwei verschiedene Schlüssel, die man als Schlüsselpaar bezeichnet. Ein Schlüsselpaar besteht aus einem geheimen Schlüssel (private key) und einem öffentlichen Schlüssel (public key). Mit dem öffentlichen Schlüssel (public key) wird eine Mail verschlüsselt. Sie kann danach nur mit dem zugehörigen geheimen Schlüssel (private key) gelesen werden. Selbst wenn die Mail in falsche Hände gelangt oder mitgelesen wird - jeder andere sieht nur Zeichenmüll. Nur der Inhaber des zugehörigen privaten Schlüssels kann die Mail wieder lesbar machen.

Das ist nicht ganz so einfach zu verstehen, deswegen erstmal ein paar Beispiele aus dem wahren Leben:

• Nehmen wir einen verschlossenen Briefkasten. Jeder kann etwas durch die Klappe hineinwerfen (also entspricht die Klappe dem öffentlichen Schlüssel). Aber herausholen kann es einzig und allein der Empfänger, denn nur er hat einen Schlüssel für den Briefkasten (der dem geheimen Schlüssel entspricht).
• Haben wir alle als Kinder gemacht: Mit Zitronensaft einen Brief schreiben. Der Empfänger bekam ein weißes Blatt Papier - und wenn er schlau war, dann holte er das Bügeleisen, denn unter Wärme wurde die Schrift lesbar. Das Verschlüsseln (mit dem Zitronensaft) und das Entschlüsseln (mit der Hitze des Bügeleisens) sind zwei ganz verschiedene Vorgänge, es handelt sich also um ein asymmetrisches Verschlüsselungsverfahren (wenn auch ein sehr einfaches).
• Stell dir einen Tresor mit Schnappschloss vor. Du kannst etwas einschließen, weil der Tresor sich automatisch schließt, wenn die Tür ins Schloss fällt. Zum Öffnen braucht man aber einen Schlüssel.

Dieses Verfahren hat Vorteile:

• Den öffentlichen Schlüssel darf jeder kennen, er ist nicht geheim. Zum Verschlüsseln braucht man nur den - also kann jeder zu jedem Zeitpunkt eine Mail verschlüsseln, ohne dass zuvor ein Kennwort vereinbart werden muss.
• Der geheime Schlüssel verbleibt einzig und allein beim Empfänger, niemand sonst benötigt ihn. Dieser geheime Schlüssel (private key) ist das einzige, was geheim gehalten werden muss.

Ein praktisches Beispiel

Klaus, Bärbel und Jörg erzeugen sich - jeder für sich - ein Schlüsselpaar. Den eigenen öffentlichen Schlüssel (public key) schicken sie jeweils den beiden anderen per Mail. Den geheimen Schlüssel (private key) behalten sie nur für sich.

Also hat nun jeder:

• Seinen eigenen geheimen Schlüssel.
• Seinen eigenen öffentlichen Schlüssel.
• Die öffentlichen Schlüssel der beiden anderen.

Fall 1: Klaus schreibt Bärbel eine Mail

Klaus verschlüsselt die Mail an Bärbel mit deren öffentlichem Schlüssel. Dann schickt er sie ab. Bärbel bekommt die Mail und kann sie mit ihrem geheimen Schlüssel wieder lesbar machen.

Fall 2: Bärbel schreibt Klaus eine Mail und schickt sie aus Versehen auch an Jörg

Bärbel verschlüsselt die Mail an Klaus mit seinem öffentlichen Schlüssel. Dann schickt sie sie ab, aus Versehen aber auch an Jörg. Klaus bekommt die Mail und kann sie mit seinem geheimen Schlüssel wieder lesbar machen. Jörg bekommt die Mail auch - aber er hat den geheimen Schlüssel von Klaus nicht, deswegen kann er die Mail nicht entschlüsseln.

Welche Programme benötigt man

Leider ist Windows nicht von Haus aus mit einer Software zur asymmetrischen Verschlüsselung ausgestattet. Es gibt aber inzwischen tolle Lösungen, die mit wenig Aufwand funktionieren.

Alle Lösungen basieren auf einem kleinen Programm namens [GnuPG].

• GPGoe - Ein PlugIn für Outlook Express.
• GPGol - Ein PlugIn für Outlook 2003 ab SP2.

• [[1]] - bringt auf Wunsch jedem Mailprogramm die Verschlüsselung bei

Wie funktioniert das mit der Verschlüsselung?

Jeder, der verschlüsselt kommunzieren will, braucht zwei Schlüssel: Einen öffentlichen und einen geheimen Schlüssel.

Das Prinzip ist einfach:

• Mit dem öffentlichen Schlüssel wird eine Mail verschlüsselt.
• Mit dem geheimen Schlüssel kann der Adressat (und nur er!) die Mail entschlüsseln.
• Es funktioniert nicht das Entschlüsseln der Mail mit dem öffentlichen Schlüssel, genausowenig wie das verschlüsseln mit dem geheimen.
• Der geheime Schlüssel wird zusätzlich mit einem Passwort (Passphrase) versehen.

Zur Verdeutlichung ein kleines Beispiel:

1. Ich erzeuge mir ein Schlüsselpaar, also einen geheimen und einen öffentlichen Schlüssel. Den öffentlichen Schlüssel sende ich an Klaus.
2. Klaus schreibt mir eine Mail und verschlüsselt sie mit meinem öffentlichen Schlüssel. Er sendet die Mail an mich und aus Versehen auch an Tina.
3. Ich bekommen die Mail von Klaus und kann sie mit meinem privaten Schlüssel und der zugehörigen Passphrase entschlüsseln.
4. Tina bekommt die Mail, sie kann aber nichts damit anfangen, da sie meinen geheimen Schlüssel nicht hat.

Daraus ergibt sich:

• Meinen öffentlichen Schlüssel (public key) kann ruhig jeder haben. Den muss sogar jeder haben, damit er mir verschlüsselt Mail schreiben kann.
• Meinen geheimen Schlüssel (private key) darf niemand außer mir selbst haben, damit nur ich und sonst niemand die Mail entschlüsseln kann.
• Ich wiederum kriege die öffentlichen Schlüssel von allen Leuten, mit denen ich schreiben möchte.
• Wenn ich eine Mail an jemanden schreibe, dann verschlüssele ich sie mit seinem öffentlichen Schlüssel, und er kann sie dann mit seinem geheimen entschlüsseln.

Gpg4win ist freie Software und für private wie auch kommerzielle Nutzung kostenlos. Es steht unter einer Lizenz mit offenem Quellcode, das bedeutet, dass sich jeder selbst davon überzeugen kann, dass keine staatliche oder sonstige Instanz eine Hintertür zum Entschlüsseln eingebaut hat.

Die eingesetzte Verschlüsselung ist sehr sicher und kann nach aktuellem Stand der Technik nicht gebrochen werden.

Gpg4win

Gpg4win ist ein Paket, dass die folgenden Bestandteile umfasst:

GnuPG: das Kernstück, die Verschlüsselungs-Software GPA: der GNU Privacy Assistent, eine Schlüsselverwaltung WinPT: Schlüsselverwaltung, unterstützt auch Verschlüsselung per Clipboard GPGol: ein Plugin für Microsoft Outlook, es integriert dort die Bedienung von GnuPG (nur Version 2003 mind. SP2, nicht Outlook Express) GPGee: ein Plugin für den Windows Explorer, per rechter Maustaste können Dateien verschlüsselt werden Claws Mail: ein komplettes Email-Programm mit integrierter GnuPG-Bedienung

Installation

Download hier.

Pakete, die auf jeden Fall installiert werden sollten: GnuPG, GPA, WinPT und die beiden Handbücher. GPGol für den Einsatz mit Outlook 2003 sp2

Die Installation endet mit einem Neustart des Systems.

Und woher kriege ich die öffentlichen Schlüssel der anderen?

Da gibt es mehrere Wege:

1. Man schickt sich gegenseitig den öffentlichen Schlüssel als Textdatei.
2. Alle laden ihren Schlüssel auf einen Keyserver hoch, dann seht er der ganzen Welt zur Verfügung.

Beide Wege sind in Ordnung, der zweite Weg ist aber sehr viel komfortabler. Da man mit dem öffentlichen Schlüssel nur ver- aber nicht entschlüsseln kann, ist es kein Risiko, den eigenen Schlüssel auf einem öffentlichen Server publik zu machen.

Schlüssel erzeugen

1. Start/Programme/GnuPG For Windows/GPA ausführen.
2. Jetzt Schlüssel erzeugen klicken.
3. Den eigenen Namen eingeben, Weiter klicken.
4. Die eigene E-Mail-Adresse eingeben.
5. Einen Passwortsatz zweimal eingeben (sollte ein wirklich sicheres Kennwort sein, also mindestens 8 Zeichen und ein Mix aus Groß-, KLeinbuchstaben und Zahlen).
6. Den Passwortsatz gut merken bzw. irgendwo notieren!
7. Weiter klicken.
8. Der Schlüssel wird erstellt. Anschließend will das System eine Sicherheitskopie des öffentlichen und (!) des geheimen Schlüssels machen.
9. Die Sicherheitskopie an einem Ort abspeichern, wo du sie wiederfindest.
10. Die Sicherheitskopie sofort auf USB-Stick sichern oder CD brennen. Sollte der geheime Schlüssel verloren gehen, kannst du deine Mail nicht mehr entschlüsseln!
11. Die Sicherheitskopie von der Festplatte löschen (auch den Papierkorb leeren!).

Den eigenen Schlüssel auf einem Server veröffentlichen

1. Den Schlüssel anklicken.
2. Im Menü Server/Schlüssel verschicken wählen.
3. Die Voreinstellung übernehmen und auf 'Ja' klicken.
4. Alle Schlüsselserver auf der Welt gleichen sich ab, nach ein paar Stunden ist der Schlüssel überall zugänglich.

Outlook 2003 zum Ver- und Entschlüsseln verwenden

1. Unbedingt das Update auf Outlook 2003 Service Pack 2 oder 3 einspielen, falls noch nicht geschehen. Download hier. Welches Service Pack installiert ist, findet man im Menü in Outlook unter ?/Info.
2. In Outlook sicher stellen, dass unter Extras/Optionen/E-Mail-Format das Häkchen bei "E-Mail mit Microsoft Office Word 2003 bearbeiten" nicht gesetzt ist.
3. Auf derselben Karte unter "Verfassen im Nachrichtenformat" den Wert "Nur-Text" einstellen.
4. Unter Extras/Optionen/GnuPG das Häkchen bei "Nachricht ebenfalls mit voreingestellten Schlüssel verschlüsseln" setzen. In das Feld muss die Schlüssel-ID des eigenen geheimen Schlüssels, die findet man in WinPT in der Schlüsselliste.
5. Häkchen bei "HTML Darstellung anzeigen wenn möglich" setzen.
6. Gewünschte Minutenzahl unter "Passphrase speichern für .... Minuten" eintragen. Je nach Sicherheitsbedürfnis können hier 5 oder 480 Minuten stehen.
7. OK klicken. Beim ersten Versuch, eine Mail zu verschlüsseln, fragt Outlook nach dem eigenen Passwortsatz (s.o.).
8. Künftig finden sich im Fenster "Neue Mail" zwei zusätzliche Buttons, mit denen die Mail verschlüsselt und signiert werden kann. Soll eine Mail verschlüsselt werden, beide vor dem Senden betätigen.
9. Kommt eine verschlüsselte Mail an, dann die Mail doppelt anklicken. Im Fenster findet sich ein Knopf zum entschlüsseln.
10. Hat eine Mail Anlagen, so wird man gefragt, ob man diese unverschlüsselt abspeichern will.

Handbuch: hier