E-Mails verschlüsseln

GnuPG - NSA-sichere Verschlüsselung made in Germany

Schlüsselverteilung und Schlüsselbeschaffung für GPG

Die Schlüsselverteilung bei einem System mit öffentlichen und privaten Schlüsseln nach dem Open-PGP-Standard zählt zunächst zu den größten Hürden für seine Nutzung. Denn wenn Sie jemandem eine verschlüsselte Mail schreiben möchten, dann benötigen Sie zusätzlich zur Mail-Adresse den öffentlichen Schlüssel des Empfängers. Grundsätzlich gibt es mehrere Möglichkeiten, an den öffentlichen Schlüssel einer anderen Person zu kommen und seinen eigenen zu verteilen. Der Schlüssel liegt Ihnen sowohl als Datei mit der Endung .ASC vor als auch in einem Textblock, der sich als Mail-Signatur unter jede Mail packen lässt.

Direkter Schlüsseltausch: Die erste Methode ist ein direkter Schlüsseltausch. Sie ist leicht nachvollziehbar, aber auf Dauer umständlich und langwierig. Dennoch ist es die zuverlässigste Methode. Praktisch läuft das so ab, dass Sie Ihren Kommunikationspartner unverschlüsselt anmailen und einfach fragen, etwa so: „Hallo Herr Müller, gerne würde ich künftig per GnuPG verschlüsselt mit Ihnen mailen. Falls Ihnen das recht ist, schicken Sie mir bitte Ihren öffentlichen Schlüssel als Anhang oder per Link auf einen Schlüsselserver. Meinen eigenen Schlüssel finden Sie anbei.“

Den erhaltenen Schlüssel laden Sie in Ihre Schlüsselverwaltung mit Enigmail. Kommt der Schlüssel als Datei, geht das in Thunderbird über „Menüsymbol -> Enigmail -> Schlüssel verwalten -> Datei -> Importieren. Erhalten Sie einen Schlüssel als Textblock, etwa am Ende einer Mail, dann kopieren Sie diesen einschließlich der Zeilen „-----BEGIN PGP“ und „-----END PGP“. Der Import des Schlüssels klappt dann über „Menüsymbol -> Enigmail -> Schlüssel verwalten -> Bearbeiten -> Aus Zwischenablage importieren“.

Um Ihren eigenen öffentlichen Schlüssel zu versenden, wählen Sie „Menüsymbol -> Enigmail -> Schlüssel verwalten“ und klicken mit der rechten Maustaste auf Ihren Schlüssel. Wählen Sie „Öffentlichen Schlüssel per E-Mail senden“, und geben Sie den gewünschten Empfänger ein sowie einen passenden Text.

Schlüsselserver: Für die GPG-Keys gibt es auch Schlüsselserver, auf die jeder seinen öffentlichen Schlüssel laden und Schlüssel von anderen suchen kann. Bei Enigmail funktioniert das über die Schlüsselverwaltung (Menüsymbol -> Enigmail -> Schlüssel verwalten -> Schlüsselserver“). In Enigmail müssen Sie bei der Suche nach einem Schlüssel stets die Mail-Adresse angeben. Bei den meisten Key-Servern, etwa https://pgp.mit.edu, genügt auch der Name einer Person. Fürs Hochladen Ihres eigenen Schlüssels wählen Sie in Enigmail „Auf Schlüsselserver hochladen“. Enigmail schlägt standardmäßig den Server url link http://pool.sks-keyservers.net pool.sks-keyservers.net _blankvor. Dieser Server ist Teil eines weltweiten Verbunds von Schlüsselservern. Die weitere Verteilung erfolgt automatisch.

Schon zu vergleichsweise seltenen Namen finden sich auf den öffentlichen Schlüsselservern derart viele Keys, dass man anhand des Namens alleine nicht den richtigen finden wird.
Schon zu vergleichsweise seltenen Namen finden sich auf den öffentlichen Schlüsselservern derart viele Keys, dass man anhand des Namens alleine nicht den richtigen finden wird.

Das klingt zwar erst mal ganz praktisch, allerdings lauern hier gleich mehrere Gefahren. Das beginnt damit, dass ein Angreifer völlig problemlos einen öffentlichen Schlüssel zu Ihrer Mail-Adresse erzeugen und auf den Schlüsselserver laden kann. Oder er erzeugt eine ähnliche Mail-Adresse wie die Ihre und lädt dazu einen Schlüssel hoch. Doch selbst wenn kein Angreifer mitmischt, stehen die Chancen oft schlecht, durch einfaches Suchen den richtigen Schlüssel zu finden.

Ein Beispiel: Für den nicht allzu häufigen Namen Arne Arnold finden sich auf den öffentlichen Key-Servern neun verschiedene Schlüssel. Die zwei ältesten stammen von 2001 und sind vom Autor dieses Beitrags, werden aber eigentlich nicht mehr genutzt. Das trifft auch auf zwei weitere Keys zu, die testweise für diesen Beitrag erstellt wurden. Die anderen Schlüssel stammen von Namensvettern. Hier den richtigen Key zu erwischen ist eher unwahrscheinlich. Bei Personen mit stärker verbreiteten Namen ist es fast unmöglich. Besser funktioniert die Suche, wenn Sie die Mail-Adresse kennen. Doch ob der Key von der betreffenden Person erstellt wurde, wie zuvor erwähnt, ist dann auch nicht sicher.

Dennoch haben Key-Server ihre Berechtigung. Statt den eigenen Schlüssel per Mail zu versenden, können Sie ihn durchaus auf einem Key-Server veröffentlichen. Zum Verteilen verweisen Sie dann per Link auf den Server und nennen zusätzlich Ihre eindeutige Key-ID. Diese wird in Enigmail und vom Key-Server mit angezeigt. Zudem lassen sich Keys mit einem Ablaufdatum versehen, was die Flut der Keys deutlich eindämmen kann.