E-Mails verschlüsseln

GnuPG - NSA-sichere Verschlüsselung made in Germany

GnuPG: So richten Sie die Mail-Verschlüsselung ein

Wenn Sie selber die NSA-sichere Verschlüsselung mit GnuPG von Werner Koch nutzen möchten, ist das kein Problem. Hier zeigen wir, wie das mit dem beliebten Mail-Programm Thunderbird funktioniert. Wie Sie alle nötigen Tools installieren und konfigurieren, verrät unsere Schritt-für-Schritt-Anleitung weiter unten. Wer Thunderbird nicht nutzen möchte, findet auf www.gnupg.org Alternativen.

Vorweg die Theorie zur Verschlüsselung mit GnuPG: Das System arbeitet mit zwei Schlüsseln, einem öffentlichen und einem privaten. Jeder Teilnehmer hat einen eigenen öffentlichen Schlüssel, den er auf Anfrage zusendet oder auf einem Server zum Download bereitstellt. Und jeder hat seinen eigenen privaten Schlüssel. Er passt zum öffentlichen Schlüssel. Den privaten halten Sie aber absolut geheim. Er dient zusammen mit einem Passwort zum Entschlüsseln empfangener Mail-Nachrichten.

Wenn Sie selbst jemandem eine geheime Nachricht senden wollen, dann verschlüsseln Sie sie mit dem öffentlichen Schlüssel des Empfängers. Der öffentliche Schlüssel ist vergleichbar mit einem an den Empfänger adressierten Umschlag, der sich fest zukleben lässt. Jeder kann dort eine Nachricht hineintun, den Umschlag verschließen und absenden. Öffnen kann den Umschlag aber nur der Empfänger mit seinem privaten Schlüssel.

Diese Programme brauchen Sie: Als Mail-Programm empfiehlt sich das Open-Source-Tool Thunderbird. Den Code von GnuPG bekommen Sie zusammen mit der Software Gpg4win. Diese installiert Ihnen auch das Programm Kleopatra, mit dem sich GPG-Schlüssel verwalten lassen. Fürs Mailen von geschützten Nachrichten empfiehlt sich die Thunderbird-Erweiterung Enigmail, die ebenfalls eine gute Schlüsselverwaltung bietet.

In der Schlüsselverwaltung von Enigmail erzeugen Sie ein neues Schlüsselpaar für eine der Mail-Adressen, die Sie in Thunderbird eingerichtet haben. In vielen Fällen kann dabei ein Ablaufdatum für die Schlüssel sinnvoll sein.
In der Schlüsselverwaltung von Enigmail erzeugen Sie ein neues Schlüsselpaar für eine der Mail-Adressen, die Sie in Thunderbird eingerichtet haben. In vielen Fällen kann dabei ein Ablaufdatum für die Schlüssel sinnvoll sein.

Schritt 1: Installieren Sie zunächst die drei nötigen Programme: Falls Sie das Mail-Programm Thunderbird noch nicht nutzen, installieren Sie zunächst dieses Tool und konfigurieren es für Ihr Mail-Konto. Dafür bietet Thunderbird nach dem ersten Start einen einfachen Assistenten. Von vielen Mail-Providern kann sich Thunderbird automatisch die nötigen Angaben für die Mail-Server holen. Sollte das bei Ihnen nicht klappen, finden Sie alle Angaben auf den Hilfeseiten Ihres Mail-Dienstes.

Installieren Sie nun Gpg4win und belassen Sie im Installationsassistenten die Voreinstellungen. Das Tool bringt den GnuPG-Code auf den PC und wird später von Enigmail genutzt.

Die Erweiterung Enigmail liegt in Form einer XPI-Datei vor. Um sie in Thunderbird zu integrieren, starten Sie das Mail-Programm und klicken auf „Menüsymbol -> Add-ons“. Ziehen Sie nun die XPI-Datei per Drag & Drop auf den linken Menübereich. Es poppt ein Fenster mit dem Titel „Software-Installation“ auf, in dem Sie auf „Jetzt installieren“ klicken. Starten Sie Thunderbird neu, damit das Tool die Erweiterung laden kann. Damit sind alle drei nötigen Tools installiert.

Schritt 2: Erstellen Sie sich Ihr Schlüsselpaar. Wir nutzen hierfür die Schlüsselverwaltung der Thunderbird-Erweiterung Enigmail. Für die Arbeit mit Enigmail starten Sie Thunderbird. Die Erweiterung Enigmail stellt automatisch fest, dass Sie sie zum ersten Mal starten, und bietet einen Einrichtungsassistenten an. Mit „Jetzt einrichten -> Weiter“ geht es los. Im nächsten Punkt wählen Sie „Ich bevorzuge eine Standard-Konfiguration“, um dann die Erstellung Ihres Schlüsselpaares zu beginnen. Der Assistent zeigt Ihnen die Mail-Adresse an, für die der Schlüssel gelten wird, und fordert Sie auf, eine Passphrase (Passwort) zu wählen. Diese schützt den Zugriff auf Ihren privaten Schlüssel, und Sie müssen sie eingeben, wenn Sie eine Mail entschlüsseln möchten. Sie sollte möglichst lang sein und Sonderzeichen enthalten. Erst wenn die Passphrase ausreichend komplex ist, aktiviert sich im Assistenten die „Weiter“-Schaltfläche.

Klicken Sie in der Schlüsselverwaltung von Enigmail mit der rechten Maustaste auf einen Schlüssel, um Zugriff auf alle Optionen für den Schlüssel zu bekommen.
Klicken Sie in der Schlüsselverwaltung von Enigmail mit der rechten Maustaste auf einen Schlüssel, um Zugriff auf alle Optionen für den Schlüssel zu bekommen.

Nach der Erstellung des Schlüsselpaares werden Sie aufgefordert, ein Widerrufszertifikat zu erstellen. Damit erklären Sie Ihren öffentlichen Schlüssel für ungültig. Das ist notwendig, wenn Sie Ihren privaten Schlüssel verloren haben oder Sie sich nicht mehr an sein Passwort erinnern können. Das Zertifikat ist eine Datei, die bei Enigmail den Namen der zugehörigen Mail-Adresse trägt und auf rev.asc endet. Speichern Sie die Datei an einem sicheren Ort, am besten getrennt von Ihrem Rechner, auf einem USB-Stick. Möchten Sie den Assistenten später nochmals starten, dann geht das in Thunderbird über „Menüsymbol -> Enigmail -> Einrichtungs-Assistent“.

In der Schlüsselverwaltung von Enigmail können Sie Ihrem Schlüssel ein Ablaufdatum hinzufügen. Danach müssen Sie ihn erneut auf einen Schlüsselserver hochladen.
In der Schlüsselverwaltung von Enigmail können Sie Ihrem Schlüssel ein Ablaufdatum hinzufügen. Danach müssen Sie ihn erneut auf einen Schlüsselserver hochladen.

Schritt 3: Von Ihrem privaten Schlüssel sollten Sie eine Kopie anfertigen und diese ebenfalls an einem sicheren Ort speichern. Schließen Sie dafür in Thunderbird den Add-on-Manager (oben über das X in der Registerkarte). Nun wählen Sie das Menüsymbol und „Enigmail -> Schlüssel verwalten“. Im folgenden Fenster befindet sich Ihr neues Schlüsselpaar. Ein Klick mit der rechten Maustaste auf den Eintrag zeigt Ihnen alle Verwaltungsmöglichkeiten. Wählen Sie zunächst „In Datei exportieren -> Geheime Schlüssel exportieren“. Sichern Sie diese Datei etwa auf einem USB-Stick.

Damit sind alle einmaligen Einrichtungsarbeiten abgeschlossen. Im Folgenden müssen Sie sich noch um die Schlüsselverteilung und -besorgung kümmern (siehe unten) und natürlich anfangen, Mails zu verschlüsseln.

Schritt 4: Verschlüsselte Mails können Sie nur an Empfänger senden, dessen öffentliche Schlüssel Sie zuvor importiert haben (siehe unten). Danach verfassen Sie wie gewohnt eine Mail. Durch die hier beschriebene Installation wird die Mail automatisch verschlüsselt, wenn ein Key vorhanden ist. Möchten Sie selber entscheiden, wann Sie verschlüsselt senden, schalten Sie die Automatik so ab: „Menüsymbol -> Enigmail -> Einstellung -> Senden -> Manuelle Verschlüsselungs-Einstellungen“. Passen Sie die Einstellungen dort nach Ihren Wünschen an. Verschlüsselt wird eine Nachricht nach dem Verfassen über das Menü „Enigmail“ in Thunderbird. Erhalten Sie eine verschlüsselte Mail, fragt Thunderbird Sie nach Ihrer Passphrase (dem Passwort, das Sie bei der Schlüsselerstellung eingegeben haben) und entschlüsselt die Mail anschließend.