. .

E-Mails verschlüsseln unter Windows mit Thunderbird

Auch wenn der Einfluss der E-Mail in Zeiten von Facebook, Skype und Google Talk nachlässt, ist sie immer noch das wichtigste Kommunikationsmedium im Internet. Folgender Artikel erläutert, wie mit Hilfe von Open Source Software (frei verfügbar und kostenlos) E-Mails unter den Microsoft Windows Betriebssystemen verschlüsselt und entschlüsselt werden können. 

Hilfreich, aber nicht zwingend notwendig ist es zu wissen, was ein asymmetrisches Kryptosystem ist (vgl. dazu diesen Artikel). Darüber hinaus ist es wichtig zu verstehen, was der Unterschied zwischen einem Client und einem Server ist. Der Server stellt in der Regel irgendwelche Dienste zur Verfügung und ist – außer bei Wartungsarbeiten oder irgendwelchen Ausfällen – jeder Zeit erreichbar. Ein Client ist ein Rechner, an dem der Benutzer sitzt und z. B. seine E-Mails liest. Da zum Ver- und Entschlüsseln das Schlüsselpaar aus Private und Public Key benötigt wird, ist es keine gute Idee, eine Mail auf dem Server zu ver- und entschlüsseln. Außerdem kann nicht sichergestellt werden, dass die E-Mail bei der Übertragung vom Client zum Server nicht abgefangen werde könnte. Um also ganz sicher zu sein, dass niemand mitlesen kann, sollte die E-Mail an dem Geräte, wo sie geschrieben wird, verschlüsselt, und an dem Gerät, wo sie gelesen wird, entschlüsselt werden.

E-Mail-Client Thunderbird

Um eine E-Mail lokal auf dem Rechner lesen zu können, wird ein E-Mail-Programm benötigt, das als Mail-Client die E-Mails vom Server herunterlädt und auf der Festplatte speichert. Thunderbird ist völlig ausreichend für den Heimbetrieb und bietet alles, was man von einem E-Mail-Programm erwartet. Thunderbird kann kostenlos unter http://www.mozilla.org/de/thunderbird/ heruntergeladen werden. Die darauf folgende Installation funktioniert über den Installationsassistenten wie man es unter Windows gewohnt ist.

Damit mit Thunderbird E-Mails verschickt und empfangen werden können, muss das E-Mail-Konto eingerichtet werden. Dazu wird die Adresse des POP- oder IMAP-Servers zum Empfangen von Mails sowie die Adresse des SMTP-Servers zum Verschicken der Mails benötigt. Diese Daten stellt der E-Mail-Provider zur Verfügung.

OpenPGP-Software: Gpg4Win

PGP ist die Abkürzung für Pretty Good Privacy. Dies ist der Name für eine Software zum Verschlüsseln nach dem Public-Key-Verfahren. Aus dieser proprietären Software ist später OpenPGP entstanden, ein standardisiertes Datenformat für verschlüsselte und digital signierte Daten. GnuPG oder auch GPG ist das freie Pendant zum proprietären PGP-Programm und setzt den OpenPGP-Standard vollständig um.

Lange Rede kurzer Sinn: Gpg4Win ist letztlich die Umsetzung von GnuPG (die kostenlose Software für asymmetrische Verschlüsselung) für Microsoft Windows Betriebssysteme und beinhaltet alles, was zum Verschlüsseln benötigt wird. Gpg4Win kann unter http://www.gpg4win.org/ heruntergeladen werden. Die Installation erfolgt wieder über einen Installationsassistenten. Bei der Frage, welche Pakete installiert werden sollen, genügt die Standardvorgabe. Wer bei der Installation Hilfe benötigt, kann sich an diese Anleitung halten.

Thunderbird-Erweiterung Enigmail

Enigmail ist ein Wortspiel aus den Wörtern Enigma und E-Mail. Die Enigma war eine Verschlüsselungsmaschine, die von den Nazis im zweiten Weltkrieg eingesetzt wurde. Enigmail ist ein Erweiterungsmodul, das die Verschlüsselungsfunktionen von GnuPG nahtlos in Thunderbird integriert.

Nachdem Thunderbird geöffnet worden ist, wird unter Extra => Add-ons der Bildschirm zur Installation von Erweiterungen geöffnet. Im Suchfeld kann nun nach Enigmail gesucht werden. Nach der Installation ist ein Neustart notwendig.

Die Schlüsselerzeugung

Wie im vorherigen Artikel erklärt, wird für asymmetrische Verschlüsselungsverfahren ein öffentlicher und ein privater Schlüssel benötigt. Dieses Schlüsselpaar kann nach der Installation von Enigmail mit Hilfe des OpenPGP-Assistenten direkt aus Thunderbird erstellt werden. Dazu im Menu OpenPGP => OpenPGP-Assistent wählen und folgende Schritte ausführen:

  1. Beginn: Ja, ich möchte vom Assistenten geholfen bekommen
  2. Unterschreiben: Nein, ich möchte in Empfängerregeln festlegen, wann unterschrieben werden soll
  3. Verschlüsseln: Nein, ich möchte in Empfängerregeln festlegen, wann verschlüsselt werden soll
  4. Möchten Sie die Einstellungen anpassen, so dass OpenPGP besser funktionieren wird?: Ja
  5. Kein OpenPGP-Schlüssel gefunden: Ich möchte ein neues Schlüsselpaar erzeugen
  6. Hier wird nun eine Passphrase verlangt. Beachte dazu folgenden Abschnitt!

 
Mit einer Passphrase den Private Key sichern

Die Sicherheit von Public-Key-Verfahren basiert auf der Geheimhaltung des privaten Schlüssels. Dieser, abgespeichert auf der Festplatte, sollte eigentlich sicher sein. Doch durch Viren, Würmer und Trojaner kann es eben doch passieren, dass dieser gestohlen wird. Aus diesem Grund ist es notwendig ihn zusätzlich zu schützen. Das erreicht man mit der so genannten Passphrase. Darum nun ein kleiner Exkurs in ein anderes Thema.

Eine Passphrase besteht normalerweise nicht nur aus einem Wort, sondern aus einem ganzen Satz. Alternativ kann aber auch eine kürzere Zeichenfolge als Passphrase diesen, wenn sie aus einer scheinbar willkürlichen Kombination aus Buchstaben, Zahlen und Sonderzeichen, die man sich gut einprägen sollte, besteht. Noch besser ist es, nur bestimmte Buchstaben aus einer langen Phrase zu wählen, zum Beispiel immer den ersten Buchstaben. Die Phrase “Eine Alte Dumme Ganz Hat Eier” lernt jedes Kind, wenn es zum Gitarrenunterricht geht, um sich die Stimmung einer Gitarre E-A-D-G-H-E merken zu können. Dieser wenig Sinn ergebende Satz hat sich bei mir so fest eingebrannt, dass ich ihn mein ganzes Leben lang nicht mehr vergessen werde.

Ein anderer Satz, der mir aus meiner Kindheit in Erinnerung ist, ist eine Parodie einer Bauernregel: Sind die Hühner platt wie ein Teller, fährt der Traktor wieder schneller. Dieser Satz ist hervorragend geeignet, um ein/e Passwort/Passphrase daraus zu erstellen. Nehmen wir den jeweils ersten Buchstaben, erhalten wir SdHpweT,fdTws. Um nun Zahlen und Sonderzeichen hinzuzufügen, ersetzen wir das S durch eine 5, das E durch eine 3 und die beiden T‘s durch 7 (durch das so genannte Leetspeak-Alphabet lassen sich Buchstaben durch Zahlen ersetzen, hier S=5, E=3 und T=7). Am Anfang und am Ende fügen wir noch jeweils ein Sonderzeichen an, am Anfang zum Beispiel ein Fragezeichen und am Ende eine Raute (#). Die Passphrase lautet nun: ?5dHpw37,fd7w5#. Es ist nahezu unmöglich, diese Passphrase zu erraten oder irgendwo nachzuschlagen. Dennoch  lässt sie sich relativ leicht merken, wenn man die ursprüngliche “Bauernregel” damit assoziiert. Das so erzeugte Passwort hat nun 15 Zeichen bestehend aus Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen. Das dürfte genügen.

Ist die Passphrase eingegeben, kann der OpenPGP-Assistent fortgesetzt werden. Nach der Zusammenfassung der gewählten Einstellungen wird das Schlüsselpaar erzeugt. Zusätzlich erstellt der Assistent ein Widerrufszertifikat, womit der Public Key unbrauchbar gemacht werden kann. Das ist notwendig, falls der Private Key gestohlen worden oder verloren gegangen ist.

Die Schlüsselverwaltung 

In der Schlüsselverwaltung können die öffentlichen Schlüssel der Mail-Empfänger gespeichert werden. Außerdem können neue Schlüssel von einem Key-Server importiert werden. Dazu wählt man im Menu von Thunderbird auf OpenePGP => Schlüssel verwalten. Im sich neu öffnenden Fenster kann im Menu nun Schlüssel-Server => Schlüssel suchen ausgewählt werden. Dort kann nach den öffentlichen Schlüsseln mit Hilfe der E-Mail-Adresse der Kommunikationspartner gesucht und importiert werden.

Eine verschlüsselte E-Mail schreiben

Nun ist man in der Lage, E-Mails mit Thunderbird zu verschlüsseln. Testweise kann man einfach eine verschlüsselte Nachricht an sich selbst schicken. Dazu trägt man als Empfänger seine eigene E-Mail-Adresse ein. In dem Fenster zum Verfassen von Mails erscheint nun immer unten rechts ein kleiner grauer Stift und ein kleiner grauer Schlüssel. Wird der Stift angeklickt, wird die E-Mail signiert (unterschrieben), wird (zusätzlich) der Schlüssel betätigt, wird die E-Mail verschlüsselt.

mailverschlüsseln

Mail beim Verfassen signieren und verschlüsseln

Nach dem Senden erscheint kurze Zeit später die Mail im Posteingang als verschlüsselte Nachricht.

mailverschlüsselt

Eine verschlüsselte E-Mail vor Eingabe der Passphrase

Nach Eingabe der Passphrase wird die Mail schließlich entschlüsselt.

mailentschlüsselt

Die entschlüsselte E-Mail nach Eingabe der Passphrase

Nochmal als Video

Hervorragend zusammengefasst in einem Video, hat Heise das Thema ebenfalls behandelt.

Kommentare

Den Artikel kommentieren

  • (will not be published)

XHTML: Wenn du willst, kannst du folgende Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">