Verschlüsselungs-Tools auswählen
Wer E-Mails unter Windows mit Outlook via PGP verschlüsseln will, benötigt eine freie OpenPGP-Implementation, wie zum Beispiel Pgp4Win und ein Plugin für Outlook. Das erste Tool stellt nur Infrastruktur zur Verfügung, um zum Beispiel Schlüsselpaare erzeugen zu können, während das jeweilige Outlook-Plugin die Funktionalitäten von Pgp4Win komfortabel in der grafischen Oberfläche von Outlook bereitstellt. Auf die Unterschiede von PGP, OpenPGP und GnuPG soll hier nicht weiter eingegangen werden. Unter Windows hat sich GPG4Win als sehr ausgereifte freie PGP-Implementation für Windows erwiesen.
Plugins installieren
Vom benötigten Plugin für Outlook gibt es eine ganze Reihe, unter anderem auch GpgOL, das im Gpg4win-Paket enthalten ist. Etwas mehr Komfort und Stabilität, sowie ausreichende Kompatibilität mit allen aktuellen Outlook-Versionen verspricht das Outlook Privacy Plugin. Ferner braucht man noch den Zertifikatsmanager Kleopatra zum komfortablen Erzeugen der Schlüsselpaare. Mit Kleopatra lassen sich übrigens auch X509-Zertifikate grafisch erzeugen und Beglaubigungsanfragen stellen. Auch Kleopatra ist Bestandteil von Gpg4Win und im Setup-Assistenten automatisch ausgewählt, ebenso wie die Komponente GpgOL. Diese Plugins lassen sich in gewohnter Weise je nach Outlook-Version installieren.
Schlüssel generieren
Sind die benötigten Komponenten unter Windows installiert, funktioniert das Generieren von Schlüsseln sowie das Signieren und/oder Verschlüsseln vom E-Mails wie folgt:
1. Nach dem Starten von Kleopatra ist im Menü "Datei" zunächst der Eintrag "Datei / Neues Zertifikat" zu wählen, um ein neues Schlüsselpaar zu erzeugen. Kleopatra startet dann einen Assistenten, der sowohl PGP-Schlüsselpaare, als auch X509-Zertifikate generieren kann. Ersteres funktioniert mit der Option "Persönliches OpenPGP-Schlüsselpaar erzeugen".
2. Im ersten Schritt erwartet der Assistent Name, E-Mail-Adresse und einen Kommentar zur Person, für die der Schlüssel ausgestellt wird. Mehr Angaben braucht es bei einer OpenPGP-basierten Lösung mit verteilter PKI nicht. Mit der Schaltfläche "Erweiterte Einstellungen" besteht die Möglichkeit, Details zum verwendeten Schlüsseltyp (Default RSA), wie die Schlüssellänge (Default ist 2048 Bit) und die Verwendung festzulegen, etwa Signieren, Beglaubigen und Verschlüsseln, sowie die Gültigkeitsdauer der Zertifikate.
3. Im letzten Schritt besteht vor dem Erzeugen des Schlüssels mit der Schaltfläche "Schlüssel erzeugen" die Möglichkeiten, die Schlüsseleinstellungen noch mal zu prüfen.
4. Beim Erzeugen des Schlüsselpaares erfragt der Assistent die Passphrase für den privaten Schlüssel. Diese muss dann noch einmal bestätigt werden.
5. Kleopatra zeigt dann in einer Zusammenfassung Details zum generierten Schlüsselpaar und bietet Schaltflächen an, um den öffentlichen Schlüssel auf einen Schlüsselserver hochzuladen oder den Schlüssel per E-Mail an den gewünschten Empfänger zu ermitteln. Ersteres ist zwingend zu empfehlen, damit anderer Nutzer den öffentlichen Schlüssel einfach suchen und herunterladen können. Das vorherige Versenden des öffentlichen Schlüssels ist dagegen nicht unbedingt nötig, zumal man den eigenen öffentlichen Schlüssel auch jeder neuen E-Mail direkt anhängen kann.
Tipp: Um einen öffentlichen Schlüssel auf einen Key-Server hochladen zu können, muss ein solcher zunächst in Kleopatra eingerichtet werden. Hierzu klickt man auf "Einstellungen / Kleopatra einrichten" und dann im Navigationsbereich links auf den obersten Einrag "Zertifikatesserver". Mit einem Klick ganz rechts außen auf die Schaltfläche "Neu" trägt Kleopatra dann automatisch den Schlüsselserver "keys.gnupg.net" ein. Zum Übernehmen klickt man auf "Anwenden".
Tipp: Wer bereits ein OpenPGP-Schlüsselpaar besitzt, OpenPGP ist z. B. unter Linux sehr verbreitet, kann dieses auch mit der Schaltfläche "Zertifikate importieren" einlesen oder eine möglicherweise bereits bestehenden Datenbank an öffentlichen Schlüsseln der eigenen Kommunikationspartner importieren. Unter Linux steckt alles, was man dazu braucht im versteckten Verzeichnis ".gnupg" im Home-Verzeichnis des Nutzers. Kopiert der Nutzer dieses zuvor (mit root-Rechten) auf eine SMB-Freigabe, lassen sich die Daten einfach importieren.
Ab jetzt verschlüsselt
Ist das Schlüsselpaar erzeugt, kann es fortan zum Signieren, Beglaubigen und Verschlüsseln von E-Mails verwendet werden, dank GpgOL oder Outlook Privacy Plugin auch bequem direkt aus Outlook heraus. Unterschreiben (signieren) sollte man seine E-Mails immer, denn davon hat der Empfänger keinen Nachteil. Im Gegenteil stellen signierte Nachrichten für Ihn einen Sicherheitsgewinn dar, weil er sich der Identität des Senders sicher sein kann, wenn er den empfangenen Schlüssel z. B. mit dem öffentlichen Schlüssel von einem Schlüsselserver vergleicht. Das Verschlüsseln hingegen funktioniert nur mit Partnern, von denen man den öffentlichen Schlüssel besitzt.
Ver- und Entschlüsseln aus Outlook
Das Unterschreiben einer Mail funktioniert dann wie folgt:
1. Zum Unterschreiben klickt man beim Verfassen einer Mail im Mail-Editor rechts auf "GpgOL" und wählt dann in der Ribbon-Leiste das Symbol für "Sign". Dann öffnet sich ein Popup von Kleopatra zum Auswählen der gewünschten (eigenen) Identität.
2. Danach öffnet sich ein weiteres Popup von Kleopatra und fordert zum Eingeben der Passphrase des eigenen privaten Keys auf.
3. Dies führt dazu, dass GpgOL der Nachricht (inline) einen PGP-Body mit der eigenen PGP-Signatur beifügt.
E-Mail verschlüsseln
Der Vorgang zum Verschlüsseln einer Mail verläuft analog. Hierzu ist es erforderlich, in der Ribbon-Leiste im Menü GpgOL auf "Encrypt" zu klicken.
1. Kleopatra öffnet dann einen Dialog, der es erlaubt, neben dem eigenen geheimen Key, das zum Empfänger gehörigen öffentlichen Zertifikat zu wählen.
2. Existiert zum gewählten Empfänger in der eigenen Datenbank kein passender öffentlicher Key, erscheint im zugehörigen Dialog der Eintrag "Kein passendes Zertifikate gefunden".
E-Mail entschlüsseln
Zum Entschlüsseln einer empfangenen Mail, braucht man ebenfalls den öffentlichen Schlüssel des Absenders zusammen mit dem eigenen privaten Schlüssel.
1. Mit einem Klick auf "Decrypt" fordert Kleopatra zunächst zum Eingeben der Passphrase des eigenen privaten Keys auf, sofern es den öffentlichen Schlüssel des Senders in der eigenem PGP-Empfängerliste finden konnte.
2. War die Entschlüsselung erfolgreich meldet Kleopatra "Entschlüsselung abgeschlossen" und man kann auf Fertigstellen klicken.
Öffentlicher Key nicht vorhanden - was tun?
Ist der öffentliche Key des Absenders nicht vorhanden, muss dieser zunächst auf einem Key-Servers gesucht werden. Dazu steht in Kleopatra die Schaltfläche "Zertifikate auf Server suchen" zur Verfügung. Hier genügt es, in der Eingabezeile bei "Suchen" den gewünschten Namen einzugeben und dann auf die Schaltfläche "Suchen" zu klicken.
Erscheinen mehrere potenziell passende Kandidaten und ist auch aufgrund der E-Mailadresse keine eindeutige Unterscheidung möglich, bleibt dem Nutzer nichts anderes übrig, als sich anhand der Schlüssel-Kennung mit diesem persönlich per E-Mail oder auf einen anderen Weg, über den korrekten Key zu verständigen. (hal)