Sicherheit

Teil 3 - Sichere Kommunikation per E-Mail


In diesem Kapitel lernen Sie, wie das E-Mail-Programm Thunderbird auf dem eigenen PC eingerichtet wird, um über jeden beliebigen Anbieter E-Mails verschlüsselt zu senden.

Unverschlüsselte E-Mails

Gewöhnlich werden E-Mails ohne besonderen Schutz einfach durch das Internet gesendet. Der Weg, den sie dabei nehmen, hält sich nicht an Ländergrenzen, sondern nimmt die leichteste (schnellste) Verbindung. Die Nachricht an sich ist meist überhaupt nicht gesichert – an jeder beliebigen Stelle kann die Nachricht gelesen werden (wie eine Postkarte). Hinweis: Technisch aktuelle E-Mail-Anbieter verschlüsseln teilweise von Server zu Server, dort jedoch bleibt die Nachricht jedoch wieder offen liegen.


Wirkungsprinzip E-Mail Verschlüsselung

Das prinzipielle Problem der unsicheren E-Mail kann nur behoben werden, wenn der Inhalt der Nachricht beim Sender verschlüsselt und beim Empfänger entschlüsselt wird. Es handelt sich dann um eine sogenannte End-to-End Verschlüsselung. Umgesetzt wird dies durch eine asymmetrische Verschlüsselung, bei der jeder Kon­ver­sa­tionsteilnehmer zwei Schlüssel besitzt – einen öffentlichen und einen privaten. Der Sen­der A einer Nachricht kann diese mit dem öffentlichen Schlüssel des Empfängers B ver­schlüsseln, ist jedoch nicht in der Lage, die Nachricht wieder zu entschlüsseln – das kann nur der Empfänger mit seinem privaten Schlüssel (Siehe auch Kapitel 1).



Anleitung Thunder­bird

Hier wird zwar die Einrichtung Ihres E-Mail-Clients am Beispiel von Thunderbird beschrieben, grundsätzlich funktioniert dieses Vorgehen aber mit beliebigen anderen Programmen genauso.

1. Thunder­bird herunter­laden

Win / Mac:   herunterladen von mozilla.org/thunderbird
Linux:   über den Paketmanager laden (z.B. apt)
Smartphone:   aus dem jeweiligen AppStore beziehen

Installieren Sie Thunderbird und richten Sie den Zugriff auf Ihr (bestehendes oder neues) E-Mail Konto ein:
> Thunderbird > Datei > Neu > E-Mail Konto...

2. Enigmail herunter­laden

Vorbereitung - Enigmail ist ein Thunderbird-Plugin, benannt nach der bekannten Enigma-Verschlüsselung. Es übernimmt später die eigentliche Verschlüsselung der E-Mails. Laden Sie Enigmail aus der selben Quelle wie Thunderbird. Installieren Sie es, nachdem Sie Thunderbird installiert haben (PC: Ausführen der heruntergeladenen Datei).

3. Schlüssel­paar generieren

Geheimnis erzeugen - Dies ist der wichtigste Teil: Erstellen Sie nun ein eigenes Schlüsselpaar – Sie erhalten einen öffentlichen und einen privaten Schlüssel.

> Thunderbird > Menü > Enigmail > Einrichtungs-Assistent

Folgen Sie dem Assistenten. Sie können beim Anlegen eines neuen Schlüsselpaares wählen, welches Konto dieser Schlüssel gelten soll (im Normalfall ist dies Ihr Standard-E-Mail-Konto).

Das Erstellen eines Schlüssel wird mehrere Minuten dauern.
* Beim Erstellen der Schlüssel müssen Sie eine Passphrase (ein Passwort) festlegen. Damit wird der Schlüssel selbst gesichert, um Diebstahl zu erschweren.
Schlüsselpaar sichern - Speichern Sie das Schlüsselpaar nun zusätzlich (Backup exportieren) an einem sicheren Ort (USB-Stick, externe Festplatte, aus­drucken, ...) – geht der private Schlüssel verloren, können Sie Ihre E-Mails nicht mehr lesen! Beispiel eines öffentlichen Schlüssels (Auszug):

Verschlüsselung aktivieren - Aktivieren Sie jetzt die automatische Verschlüsselung jeder E-Mail (bei der dies möglich ist, weil der Empfänger einen öffentlichen Schlüssel besitzt):

> Thunderbird > Ihr Konto > Einstellungen > OpenPGP > Nachrichten standardmäßig verschlüsseln > Häkchen setzen > OK
Auf dem gleichen Weg lässt sich auch das Signieren jeder E-Mail aktivieren (dies bezeugt, dass die Mail tatsächlich von Ihnen stammt).

Vorsicht - Halten Sie den privaten Schlüssel unbedingt geheim! Wer diesen besitzt, kann an Sie gesendete Nachrichten entschlüsseln und lesen!
Öffentlichen Schlüssel verteilen - Den öffentlichen Schlüssel können Sie nach Belieben verteilen; nutzen Sie dazu möglichst einen sicheren Kanal (zum Beispiel, wenn Sie Kontakte persönlich treffen). Besonders leicht geht das über einen Schlüsselserver:

> Thunderbird > Enigmail > Schlüssel verwalten… > Rechtsklick > Schlüssel auf Server hochladen
Damit wird Ihr öffentlicher Schlüssel auf einen sogenannten Schlüsselserver hochgeladen, damit andere Menschen auf offiziellem Weg auf ihn zugreifen können (Sie erinnern sich: das Teilen öffentlicher Schlüssel ist klar erwünscht). Ihnen bleibt so das Verteilen Ihres öffentlichen Schlüssels erspart.

4. Ver­wendung

E-Mail senden - Sie möchten einem Kontakt aus Ihrem Adressbuch eine verschlüsselte E-Mail senden. Nun gibt es zwei Möglichkeiten:

  • Sie besitzen bereits den öffentlichen Schlüssel des Emp­fängers. Dann beginnen Sie normal mit dem Schreiben der E-Mail.
  • Sie besitzen noch nicht den öffentlichen Schlüssel des Emp­fängers. In diesem Fall müssen Sie sich den Schlüssel schicken lassen (am besten persönlich über­reichen) oder Ihren Kontakt auffordern, seinen öffent­lichen Schlüssel auf den Schlüsselserver hochzuladen.


Vor dem Senden der E-Mail prüfen Sie, ob die Verschlüsselung aktiviert ist (Schlosssymbol im oberen, linken Bereich):

Häufig ist es gar nicht nötig, den öffentlichen Schlüssel jedes Kontakts aus dem Adressbuch manuell einzutragen: Im Normalfall wird der öffentliche Schlüssel zu einer Adresse schon bei der Erstellung auf einen zentralen Server hochgeladen (für öffentliche Schlüssel bedeutet das mehr Sicherheit, denn diese sollen ja so prominent wie möglich verbreitet werden).


Gefahren / Hinweise

Obwohl die OpenPGP Verschlüsselung mit ihrem Einsatz von RSA4096 relativ sicher ist (nach momentanem Stand der Technik, Quantencomputer könnten daran schnell etwas ändern), gibt es keine perfekte Sicherheit. Beim Einsatz ist besondere Vorsicht geboten, denn:

Bei Verlust Ihres privaten Schlüssels können die Nachrichten nicht mehr gelesen werden. Gleichzeitig kann ein Angreifer, der in Besitz Ihres privaten Schlüssels gekommen ist, alle Ihre Nachrichten lesen.

Es erfolgt keine Verschlüsselung des Anhangs oder des Betreffs, ein Angreifer könnte also lesen, welches Thema Ihre Nachricht hat!

Metadaten sind nach wie vor lesbar: Ein Angreifer weiß, wer wann an wen geschrieben hat, wie oft das passierte und ob die Nachrichten beantwortet wurden. Die Verschlüsselung versteckt also nicht Ihre Nachricht, sie verschleiert bloß deren Inhalt.


Stand: Februar 2017. Keine Gewähr auf technische Korrektheit oder Vollständigkeit. Nutzung auf eigene Gefahr.
Kontakt   |   Impressum   |   Datenschutzerklärung
© 2018 - Jan Kube