Verschlüsseltes E-Mailen mit GnuPG (Theorie und Praxis)
INHALT
Teil 1 – Ein bisschen Theorie muss sein:
- Was ist GnuPG und was macht man damit?
- Und warum das Ganze?
- Meine E-Mails können abgefangen und manipuliert werden?
- Das Prinzip des Schlüsselpaares
Teil 2 – Nun geht’s ans Eingemachte:
- Einrichtung und Konfiguration von GnuPG
- Verschlüsseltes E-Mailen am Beispiel von Mozilla Thunderbird und Enigmail
- Literatur
Teil 1 – Ein bisschen Theorie muss sein
Was ist GnuPG und was macht man damit?
Der GNU Privacy Guard, häufig mit GnuPG oder GPG abgekürzt, ist ein Programm zum Verschlüsseln und Signieren beliebiger digitaler Daten; das können beispielsweise E-Mails und Musikdateien sein, aber auch komplette Festplatten. Umgekehrt kann GnuPG zur Entschlüsselung und Überprüfung dieser Daten benutzt werden.
Wenn man etwas verschlüsselt, dann wandelt man einen Klartext (eine unverschlüsselte Nachricht) mit Hilfe eines Algorithmus (eine für Machinen präzise formulierte Anleitung eines bestimmten Vorgangs) in einen Geheimtext (eine verschlüsselte Nachricht) um. Beim Signieren hingegen, dem digitalen Unterschreiben, soll einerseits die Echtheit (Authentizität) und andererseits die Unversehrtheit (Integrität) bestimmter Daten sichergestellt werden. Die Umkehrung dieser beiden Vorgänge wird entsprechend Entschlüsselung und Überprüfung genannt.
Nachfolgend werden wir uns GnuPG im Zusammenhang mit E-Mails widmen.
… und warum das Ganze?
Sendet man eine E-Mail im Klartext, dann lässt sie sich mit einer Postkarte vergleichen, die mit mehr oder weniger großem Aufwand von jedem Interessenten gelesen werden kann. Wenn man das nicht möchte, verschickt man die Nachricht zumindest in einem Briefumschlag. GnuPG ist dieser Briefumschlag für E-Mails, denn durch Verschlüsselung oder noch besser durch Verschlüsselung und Signierung, schützt man seine Nachricht vor neugierigen Blicken und gibt dem Empfänger zudem die Möglichkeit, aufgrund der digitalen Unterschrift nachzuvollziehen, wer der tatsächliche Absender ist und ob die Nachricht unverändert angekommen ist.
Meine E-Mails können abgefangen und manipuliert werden?
Ja. Seit dem 1. Januar 2005 dürfen das die Leute diverser Strafverfolgungsbehörden sogar ganz legal machen. Durch die neue Telekommunikationsüberwachungsverordnung (TKÜV) ist nämlich jeder in Deutschland ansässige E-Mail-Provider mit mehr als 1000 Benutzern dazu verpflichtet, Überwachungsschnittstellen bereitzustellen, die ggf. sämtliche ein- und ausgehenden E-Mails abfangen, speichern und bestimmten Personen zugänglich machen.
Aber auch gelangweilte oder böswillige Systemadministratoren und Cracker könnten deine E-Mails lesen und womöglich auch verändern; eine E-Mail durchläuft u.U. etliche Server, bevor sie dem Empfänger letztendlich zugestellt wird. Wenn der Systemadministratoren in diesem Moment Langeweile hat und auch nicht in der Lage ist, seinen Server vernünftig abzusichern, hast du schon wieder zwei potenzielle Mitleser mehr. Außerdem haben Geheimdienste ganze Abhörnetzwerke, mit denen sämtliche Daten abgefangen werden können.
Das Prinzip des Schlüsselpaares
GnuPG setzt beim Austausch von verschlüsselten E-Mails auf ein sog. asymetrisches Schlüsselverfahren, um sich vor o.g. Szenarien zu schützen. Das bedeutet nichts weiter als dass beim Ver- und Entschlüsseln unterschiedliche Schlüssel zum Einsatz kommen. Nämlich ein öffentlicher (public key) und ein privater (secret key) Schlüssel. Der public key wird primär dazu verwendet, um Nachrichten an den Eigentümer des dazugehörigen secret keys zu verschlüsseln und umgekehrt; die Hauptaufgabe des secret keys ist die Entschlüsselung der mit dem eigenen public key verschlüsselten Nachrichten.
Beispiel: Brain möchte Pinky seinen neusten und äußerst geheimen Plan zum Erreichen der Weltherrschaft schicken. Dazu muss Pinky dafür gesorgt haben, dass Brain seinen public key hat. Brain nimmt also Pinkys public key und verschlüsselt mittels GnuPG seinen Plan. Den soll ja kein anderer lesen. Wenn die E-Mail bei Pinky angekommen ist, nimmt er seinen secret key und entschlüsselt die Nachricht. Schon weiß er, was heute abend zu tun ist.
Andererseits wird der private Schlüssel dazu benutzt, Inhalte zu signieren, so dass der Empfänger mit dem öffentlichen Schlüssel des Verfassers die Echtheit der Nachricht nachvollziehen kann (vgl. auch 1. Was ist GnuPG und was macht man damit?).
Eine weitere Sache, die man mit seinem private key anstellen kann ist das Unterschreiben anderer Schlüssel. Damit beglaubigt man, dass ein Schlüssel tatsächlich demjenigen gehört, der er vorgibt zu sein. Auch die c‘t bietet gelegentlich an, Schlüssel gegen Vorlage des Personalausweises zu unterschreiben. Auf diesen Prinzipien beruht das sog. Web of Trust.
Teil 2 – Nun geht’s ans Eingemachte
Einrichtung und Konfiguration von GnuPG
Voraussetzungen für diese Anleitung ist ein Windows-XP-System mit installiertem und für den normalen E-Mail-Verkehr eingerichteten Mozilla Thunderbird.
Um die Schlüsselpaare zu verwalten und zu erstellen, gibt es verschiedene Programme; wir entscheiden uns für eine Lösung mit grafischer Oberfläche: WinPT. Die jeweils aktuelle ist hier zu finden. Windows Privacy Tools (WinPT) ist „eine Sammlung mehrsprachiger Programme für einfacheVerschüsselung und digitale Signierung von Daten.“ Es basiert auf GnuPG und ist somit kompatibel zu OpenPGP-Software (z.B. PGP) und frei für die kommerzielle und private Nutzung unter der GPL.
Beginnen wir nun mit der Installation der Windows Privacy Tools, die soweit selbsterklärend sein sollte. Da wir hier auf die Benutzung mit Mozilla Thunderbird eingehen werden, ist es nicht nötig, weitere Plugins für Outlook oder Eudora mit zu installieren. Die Standard-Einstellungen können also ohne weiteres übernommen werden.
GnuPG – Installation: Komponenten-Auswahl
Die Standard-Einstellungen können auch bei der nächsten Auswahl beibehalten werden, bis auf eine Ausnahme: Der Speicherort, an dem die Schlüsselringe abgespeichert werden sollen, ist mit Bedacht zu wählen. Es ist unbedingt darauf zu achten, dass der private Schlüssel vor fremden Zugängen geschützt ist.
Die Installation ist damit beendet und wir können das Programm starten.
Als erstes werden wir zur Auswahl eines Schlüsselpaares aufgefordert. Da wir von einer kompletten Neuinstallation ausgehen, wählen wir „Generate a GnuPG key pair“
Als nächstes tragen wir unseren Namen und unsere E-Mail-Adresse ein.
Mit einem Klick auf den Button „Expert“ öffnet sich ein zusätzliches Fenster, welches einem verschiedene Konfigurationsmöglichkeiten bietet; zwingend erforderlich sind diese allerdings nicht.
GnuPG Tutorium Expertenmodus beim Schlüsselerzeugen
Für den Anfang sollten die Standard-Einstellungen reichen, die einzelnen Verschlüsselungsmethoden zu erklären würde den Rahmen sprengen. „Key expiration“ (das Schlüsselpaar ist nur bis zu einem bestimmten Datum gültig) kann eingestellt werden, muss aber nicht. Mit der Passphrase wird der secret key mit einem Passwort geschützt. Auch hier gelten die üblichen Passwort-Regeln. An dieser Stelle möchte ich einmal auf Password Safe verweisen, einem Programm zum Verwalten und Generieren von Passwörtern.
Ohne den Experten-Modus kommt die Passphrase-Eingabe nach einem Klick auf OK.
Sobald die Passphrase bestätigt wurde, werden die Schlüssel erstellt. Das kann je nach Rechenleistung, Passphrase-Länge und Algorithmus zwischen einer und zehn Minuten dauern. Einen Fortschritt bekommt ihr nicht angezeigt, also Geduld.
Nachdem das Schlüsselpaar erstellt wurde, öffnet sich der Key Manager. Er bietet auf einen Blick eine Übersicht aller Schlüssel und ihrer Eigenschaften. Über das Kontextmenü zu einem Schlüssel und die Menüs können alle Kommandos durchgeführt werden, die zum Schlüsselmanagement gehören, d. h. Schlüsselerstellung, -bearbeitung, -signierung, -import, -export, -rückzug etc.
Verschlüsseltes E-Mailen am Beispiel von Mozilla Thunderbird und Enigmail
Als nächstes besorgen wir uns die nötige Extension für useren E-Mail-Client — Enigmail und das dazugehörige Language Pack. Die *.xpi-Dateien speichern wir ab und öffnen unter Mozilla Thunderbird den Extension-Manager (Extras --> Erweiterungen/Tools --> Extensions). Anschließend wählen wir „Installieren“ öffnen die *.xpi-Dateien.
Zuerst müssen wir Enigmail den Pfad zur „gpg.exe“ mitteilen. Dazu starten wir Mozilla Thinderbird wieder und wählen die Enigmail-Optionen aus.
Die anderen Einstellungen können erst einmal so bleiben.
Dem E-Mail-Account muss jetzt noch mittgeteilt werden, dass er GnuPG benutzen soll. Dafür öffnet man die Konto-Einstellungen des jeweiligen E-Mail-Accounts und nimmt folgende Einstellungen vor:
Jetzt sind wir im Grunde genommen schon so weit, um die erste verschlüsselte E-Mail zu versenden, allerdings besitzen wir zum gegenwaertigen Zeitpunkt nur unseren eigenen public key.
Das folgende Beispiel könnt ihr so durchspielen; die E-Mail-Accounts wurden nur für dieses Tutorial angelegt.
Wir nehmen als erstes einen neuen key in unsere Schlüsselverwaltung auf. Dabei ist darauf zu achten, dass der public key auch wirklich demjenigen gehört, dem wir die E-Mail schicken wollen.Wir kopieren den kompletten key in die Zwischenablage, öffnen unter Thunderbird das „OpenPGP Key Management“ und importieren dort den public Key des Empfängers.
Schlüssel und Schlüsselpaare verwalten in GnuPG
Somit haben wir jetzt drei keys in unserer Schlüsselverwaltung. Einmal unser eigenes Schlüsselpaar (public & secret) und den public key des Empfängers. Unserer ersten verschlüsselten E-Mail steht nun nichts mehr im Wege.
Das wollen wir jetzt aber auch einmal testen. Dazu verfassen wir eine neue E-Mail und schicke diese an GnuPG_Tutorial_gulliboard2@oleco.net (für diesen E-Mail-Account haben wir gerade den public key importiert).
Ein Klick auf Senden bringt ein Eingabefenster zum Vorschein. Hier tragen wir nun die am Anfang festgelegte Passphrase ein.
Kurze Zeit später ist die Mail dann auch schon da und wurde automatisch entschlüsselt. Es funktioniert also und es kann von nun an ruhigen Gewissens gemailt werden. :-)
E N D E
Quelle
