Mail-Verschlüsselung

Inhalt

Grundsätzliches

Wenn du eine Mail über das Internet versendest wird sie viele Stellen durchlaufen bis sie am Ziel angekommen ist. Vielen davon musst du, ohne Verschlüsselung einfach vertrauen, dass sie deine Daten schützen und sich im Zweifel auch gegen Behördenanfragen zur Wehr setzen. Das machen aber leider viele nicht. Zum Beispiel ist bekannt das 1&1 zu denen auch GMX und Web.de gehören ohne große Rückfragen gespeicherte Daten weitergeben. Aber auch bei kleineren Anbietern solltest du dich nicht darauf verlassen, dass die Betreiber:innen für dich in den Knast gehen werden wenn sie eine Anfrage bekommen. Die Lösung ist auch hier wieder Verschlüsselung.

Asymmetrische Verschlüsselung

Was wir gerade für die Verschlüsselung unserer Geräte verwendet haben war eine traditionelle symmetrische Verschlüsselung. Das bedeutet das die Person an die Daten kommt die das Passwort hat. Für Kommunikation ist das etwas unpraktisch, da so das Passwort zwischen allen Kommunikationsteilnehmer:innen auf einem sicheren Kanal ausgetauscht werden muss bevor kommuniziert werden kann. Das ist umständlich und bringt das Risiko mit sich, dass das Passwort beim Austausch abgefangen wird. Dieses Problem wird mit asymmetrischer Verschlüsselung gelöst. Bei dieser haben unsere Kommunikationsteilnehmer:innen Alice und Bob je einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel wird nur zum verschlüsseln verwendet, der private Schlüssel wird nur zum entschlüsseln verwendet.

Alice und Bob?

Alice und Bob sind die “Anna und Arthur” der Kryptografie, In unserem Beispiel wollen die beiden miteinander kommunizieren ohne dass Mallory mitlesen kann.

Ein privater und ein öffentlicher Schlüssel bilden ein Schlüsselpaar. Eine Nachricht die mit Bobs öffentlichem Schlüssel verschlüsselt wurde kann nur mit seinem privatem Schlüssel entschlüssselt werden. Selbst Alice die die Nachricht verschlüsselt hat kann die Verschlüsselung nicht rückgängig machen, denn nur Bob kennt den privaten Schlüssel.

Dieses Verfahren wird fast überall verwendet wo ohne einen sicheren Kanal zum Passwortaustausch kommuniziert werden muss. Es ist auf den ersten Blick etwas kompliziert, funktioniert aber gut.

Verschlüsselte Kommunikation mit GPG4Win und Kleopatra (Win)

Installieren und eigene Schlüssel erstellen

  1. GPG4Win installieren (bei der Komponentenauswahl “Kleopatra” ausgewählt lassen)
  2. “New Key Pair” klicken
  3. Optional Name und Mail vergeben
  4. “Create“ klicken
  5. Passwort vergeben (siehe dazu Kapitel „Passwort“)
  6. Während der Erstellung die Maus zufällig über den Bildschirm bewegen (das benötigt der Algorithmus als Zufallswert, wir kennen das schon von VeraCrypt)

Eigenen öffentlichen Schlüssel rausfinden

Diesen kannst du anderen Leuten geben damit sie dir verschlüsselte Mails schreiben können

  1. In Hauptfenster den neu erzeugten Eintrag klicken
  2. “Export” klicken
  3. Gesamten Inhalt des Fensters kopieren
  4. In einem Texteditor alle Zeilen die mit “Comment” beginnen entfernen, die Leerzeilen ebenso
  5. Der restliche Text ist dein öffentlicher Schlüssel

Eine Nachricht verschlüsseln

  1. Öffentlichen Schlüssel der Person der du schreiben willst in die Zwischenablage kopieren
  2. In Kleopatra auf “Extras” - “Clipboard” - “Import Certificate” klicken
  3. Auf “No” klicken
  4. Auf “Notepad” wechseln und die Nachricht eingeben
  5. Im Anschluss auf den anderen Tab wechseln
  6. Alle 3 Häkchen sollen aktiviert sein, die oberen sollen deinen eigenen Schlüssel enthalten, im unteren gibst du dendie Empfängerin ein. (Deren Schlüssel haben wir vorhin importiert, der ist nun auf der Hauptseite zu finden)
  7. “Sign/Encrypt Notepad” klicken
  8. Passwort eingeben
  9. Im Tab “Notepad” sollte jetzt etwas stehen was mit “BEGIN PGP MESSAGE” anfängt und mit “END PGP MESSAGE” aufhört
  10. Kopiere den gesamten Inhalt des Textfeldes und pack den in die E-Mail die du versenden willst. Die andere Person wird ihn entschlüsseln können

Eine Nachricht entschlüsseln

  1. Empfangene Nachricht in die Zwischenablage kopieren
  2. “Notepad” auswählen
  3. Nachricht einfügen
  4. “Decrypt Notepad” klicken
  5. Wenn die Nachricht mit deinem öffentlichen Schlüssel erstellt wurde kannst du sie nun lesen

⚠ Fallstrick beim Verschlüsseln von E-Mails ⚠
Empfängerin und Betreff einer E-Mail werden nicht verschlüsselt werden. Wähle also einen neutralen Betreff der keinen Rückschluss auf den Inhalt der Nachricht zulässt. Gegebenfalls sollten auch die E-Mail-Adressen der Kommunikationsteilnehmerinnen neutral sein, also frei von Hinweisen auf die reale Person.

Ja, das ist schon etwas umständlich. Falls du PGP öfters nutzen willst kannst du auch ein Plugin in deinem E-Mail Programm installieren. Im Folgenden ist das mal für Thunderbird erklärt, sowas gibt es aber für die meisten E-Mail Programme. Beachte aber auch, dass es etwas sicherer ist das stattdessen von Hand zu machen.

Verschlüsselte Kommunikation mit Thunderbird (Windows, Linux und MacOS)

Thunderbird nutzt ab der Version 78 einen eigenen Schlüsselbund, eventuell müssen Schlüssel aus PGP exportiert und in Thunderbird importiert werden, falls du vorher Enigmail genutzt hast

  1. Thunderbird installieren und mit deinem E-Mail-Konto verbinden
  2. In den Konteneinstellungen unter “Ende-zu-Ende-Verschlüsselung” einen Schlüssel hinzufügen
  3. Den Schlüssel in den Einstellungen auswählen
  4. Schlüssel können über das Menü “Konten-Einstellungen -> Ende-zu-Ende-Verschlüsselung -> OpenPGP” importiert und exportiert werden.
  5. Achte auch darauf, dass du die Schlüsselakzeptanz mindestens auf “Ja, aber ich habe nicht überprüft ob es sich im den korrekten Schlüssel handelt.” gesetzt ist
  6. An dich gerichtete verschlüsselte Nachrichten werden beim Empfang automatisch entschlüsselt
  7. E-Mails die du schreibst sollten automatisch verschlüsselt werden, sofern du den entsprechenden öffentlichen Schlüssel importiert hast und dieser akzeptiert ist. Achte auf das Schloss-Symbol unten rechts.

Verschlüsselte Kommunikation mit GPG (Linux)

Eigene Schlüssel erstellen

  1. gpg installieren (Paketverwaltung)
  2. Im Terminal “gpg –gen-key” ausführen
  3. Einen beliebigen Namen eingeben
  4. Optional E-Mail eingeben
  5. Mit “O” bestätigen
  6. Optional Passphrase eingeben

Eigenen öffentlichen Schlüssel rausfinden

  1. “gpg –armor –export NAME” im Terminal ausführen (Mit dem Namen der im vorherigen Schritt eingegeben wurde)
  2. Schlüssel kopieren

Eine Nachricht verschlüsseln

  1. Öffentlichen Schlüssel der Person der du schreiben willst in einer Textdatei speichern
  2. “gpg –import DATEINAME“ ausführen
  3. Deine Nachricht in einer Textdatei speichern
  4. “gpg -e –armor -r ADRESSE DATEINAME” dabei ist Adresse der Name oder die E-Mail Adresse die zu dem Schlüssel gehört den du gerade gespeichert hast
  5. Im gleichen Verzeichnis sollte nun eine Datei mit der Endung .asc liegen, die enthält deine verschlüsselte Nachricht.

Eine Nachricht entschlüsseln

  1. Verschlüsselte Nachricht in einer Datei speichern
  2. “gpg –decrypt DATEINAME” ausführen

Android

Für E-Mail Verschlüsselung unter Android kann an dieser Stelle die Kombination aus K9-Mail und OpenKeychain wärmstens empfohlen werden. K9-Mail unterstützt die Kopplung mit OpenKeychain, zu finden in den Accounteinstellungen unter dem Punkt “Ende-zu-Ende-Verschlüsselung”. Nun kann in den Mails die Verschlüsselung durch das Schloss am oberen rechten Bildschirmrand eingeschaltet werden, sollten die jeweiligen Schlüssel hinterlegt sein. Dafür ist nichts weiter notwendig, als diese in der Openkeychain-App mittels Dateiimport, QR-Code oder Onlineschlüsselsuche hinzuzufügen. Zum Entschlüsseln darf der eigene Privatekey an dieser Stelle natürlich nicht fehlen.

PGP-Fingerprints

Während du Schlüssel erstellst oder importierst werden dir immer wieder die „Fingerprints“ der Schlüssel angezeigt. Was ist das eigentlich? Der Name „Fingerprint“ ist schon ziemlich sprechend. Jeder Schlüssel hat einen Fingerprint der nur zu diesem Schlüssel gehört. Wenn du einen Schlüssel aus dem Internet bekommst, zum Beispiel weil die Person ihn dir per klartext E-Mail geschickt hat, dann kannst du dir nicht sicher sein ob das auch wirklich der richtige Schlüssel ist. Vielleicht hat auch eine Behörde die Leitung abgehört und den echten Schlüssel durch einen Schlüssel ersetzt mit dem sie das Gespräch mitlesen kann. Deswegen gibt es diesen kurzen Fingerprint. Du und die andere Person können über einen sicheren Kanal die Fingerprints vergleichen und so feststellen ob beide den richtigen Schlüssel haben, die Kommunikation also sicher ist. Das kann zum Beispiel bei einem Treffen in der echten Welt passieren, oder der Fingerprint kann in einer Zeitung abgedruckt worden sein. Wenn du den Fingerprint einfach nur per Mail bekommen hast oder auf der Website der anderen Person gefunden hast dann bringt das natürlich nichts. Dort könnte wieder jemand „auf der Leitung sitzen“ und den Fingerprint durch eine Fälschung austauschen.