- ITespresso.de - http://www.itespresso.de -

Ungestört mailen
E-Mails mit GNUpg verschlüsseln

Verschlüsselung

Ungestört mailen

Die Verschlüsselung von E-Mail ist noch immer ein Reizthema. Während ein Brief selbstverständlich in einem Umschlag vor neugierigen Blicken geschützt ist, senden viele die elektronische Post ohne jeglichen Schutz. Dabei enthalten E-Mails nicht selten vertrauliche Informationen. Die Verschlüsselung von E-Mail ist mittlerweile recht einfach zu erreichen. Das Open-Source-Programm »GNU Privacy Guard« (GnuPG) übernimmt die Verschlüsselung. E-Mail-Clients wie Kmail, Thunderbird oder Evolution stellen Dialoge bereit, mit denen sich die notwendigen Daten auf Knopfdruck nutzen lassen.
Bei Verschlüsselung scheiden sich die Geister: Zu unbequem, zu schwer zu verwalten und außerdem habe man ja nichts zu verbergen. Selbst die Bundesregierung fährt zweigleisig: Einerseits fördert sie die Entwicklung von GnuPG (www.gnupg.org), andererseits lässt sie die Mailprovider neuerdings alle Nachrichten bis zu sechs Monate speichern. Es muss aber gar nicht die Regierung sein, die E-Mails mitliest. Ein gelangweilter Administrator kann ohne weiteres in alle Postfächer in seinem Zuständigkeitsbereich schauen, ohne dass dies jemals auffällt.

Falscher Absender
Auch den Absender zu fälschen ist – wie bei der normalen Post – nicht weiter schwierig. Es reicht, den »From-Header « zu manipulieren. Mit GnuPG unterschreibt der Absender die E-Mail zusätzlich mit einer digitalen Signatur. Der Empfänger kann so feststellen, dass die Nachricht von einem ganz bestimmten Menschen kommt – und beide sind vor Manipulationen geschützt.


GnuPG vorbereiten

Ungestört mailen

Sie benötigen GnuPG von den Suse- CDs oder besorgen die aktuellste Version von der Website. Zum Einstieg sollten Sie die Distributionsversion nehmen, dann kommen Sie schnell zur Konfiguration. Außerdem brauchen Sie ein E-Mail- Programm, das die Verschlüsselung unterstützt. Wir besprechen die GnuPG-Integration für die Programme KMail http://kmail.kde.org), Evolution (www. gnome.org/projects/evolution) und Thunderbird (www.mozilla.org/products/thun derbird). Bei allen handelt es sich um grafische Mail-Clients. Manche Kommandozeilenmailer kommen ebenfalls mit Verschlüsselungssoftware zurecht, unter anderem Pine oder Elm. Mit dem hier vermittelten Grundwissen können Sie diese ebenfalls schnell in Betrieb nehmen. Testen Sie erst, ob GnuPG bereits installiert ist. Öffnen Sie dazu ein Terminalfenster und fragen Sie die Versionsnummer ab:

gpg –version

Bekommen Sie eine Fehlermeldung zurück, installieren Sie das Programm nach. Unter Suse Professional 9.1 finden Sie es in Yast/Software installieren oder löschen. Geben Sie gpg in die Suchmaske ein und übernehmen Sie zudem alle von Yast vorgeschlagenen Abhängigkeiten. Sofern Sie eine Suse-Standardinstallation vorgenommen haben, befindet sich KMail bereits auf dem System. Möchten Sie Thunderbird oder Evolution benutzen, müssen Sie diese nachinstallieren.

Schlüssel anfertigen
Da keines der E-Mail-Programme Schlüssel erzeugen kann, stellen Sie GnuPG in einem Konsolenfenster ein. Die Konfiguration ist recht einfach. Falls Sie einen Fehler machen, können Sie diesen am Ende der Konfiguration korrigieren. Haben Sie zudem zum ersten Mal Kontakt mit einer Verschlüsselungssoftware, sollten Sie erst einen Testschlüssel erstellen. Wenn Sie sich ein bisschen eingearbeitet haben, fertigen Sie richtige Schlüsselpaare an. Diese senden Sie dann an die Kommunikationspartner und an einen Keyserver. Um die Schlüssel zu generieren, verwenden Sie in einer Konsole folgenden Befehl:

gpg –gen-key

GnuPG zeigt daraufhin ein Menü an, in dem Sie die Art des Schlüssels auswählen. Benutzen Sie am besten die voreingestellte Option »DSAund ElGamal«. Bestätigen Sie einfach mit »[Enter]«. Das Kryptoprogramm lässt den Benutzer dann eine Schlüssellänge wählen. Hier gilt es, sich zwischen Sicherheit und Rechenaufwand zu entscheiden. E-Mails enthalten in der Regel nicht sehr viel Text und selbst ein etwas schwächerer PC kommt mit einem längeren Schlüssel zurecht. Sie können daher den Vorschlag von GnuPG übernehmen und 1024 Bit für das Schlüsselpaar wählen. Das Verfallsdatum der Schlüssel ist ein wichtiges Sicherheitskriterium. Für Testschlüssel ist dies allerdings nicht von Belang. Wählen Sie daher die Voreinstellung »Schlüssel verfällt nie«, dann können Sie ohne Zeitdruck mit GnuPG spielen.


Wichtige Daten festlegen

Ungestört mailen

Es folgt die Eingabe Ihres Namens. Hier können Sie noch Ihre Fantasie spielen lassen und einen Künstlernamen verwenden. Für ein Schlüsselpaar, das tatsächlich in Umlauf kommt, müssen Sie natürlich Ihren richtigen Namen verwenden. Wir benutzen einfach Max Muster als Namen. Dasselbe gilt für die E-Mail- Adresse. Um das Programm allerdings zu testen, sollten Sie sich selbst E-Mails schicken können. Benutzen Sie daher funktionstüchtige E-Mail-Adressen. Falls Sie keine zwei Postfächer zur Hand haben, legen Sie sich Accounts bei zwei verschiedenen Freemailern wie GMX oder Web.de zu. Danach geben Sie noch einen Kommentar ein. Das Feld hat beispielsweise bei der geschäftlichen Kommunikation Sinn, wo die Berufsbezeichnung eventuell eine Rolle spielt. Unbedingt nötig ist der Kommentar jedoch nicht. Damit ist die Konfiguration bereits so gut wie abgeschlossen. GnuPG lässt den Nutzer noch einmal alle Daten prüfen und eventuelle Fehler korrigieren. Mit »F« beenden Sie diesen Teil der Konfiguration.

Sichern des geheimen Schlüssels
Zum Schluss kommt noch ein enorm wichtiger Punkt. Der Anwender muss den geheimen Schlüssel mit einer so genannten Passphrase sichern. Diese besteht aus einem Satz oder mehreren durch Leerzeichen getrennten Wörtern. Machen Sie es sich in der Testphase nicht zu schwer und benutzen Sie einen ganz einfachen Satz, der sich schnell eingeben lässt. Bei der Eingabe der Passphrase liefert die Shell kein Echo zurück. Sie sehen also nicht einmal, wie viele Zeichen Sie eingeben. Dabei schleichen sich leicht Fehler ein. Zudem verlangt GnuPG, dass der Anwender den Satz wiederholt. Verzweifeln Sie also nicht, wenn die Prüfung der Passphrase einige Male fehlschlägt, weil Sie sich irgendwo vertippt haben.

Schlüssel aus Zufallszahlen
Ist die Passphrase eingegeben, erzeugt GnuPG die Schlüssel. Dazu benutzt es Zufallszahlen, die es aus Aktivitäten wie Tastatureingaben gewinnt. Manchmal hält GnuPG bei der Schlüsselgenerierung an und moniert, es wären zu wenige Zufallszahlen vorhanden. Schreiben Sie dann einen beliebigen Text in ein weiteres Terminal. Damit erhält die Routine genügend Zahlen, um die Schlüssel zu erzeugen und die Konfiguration damit abzuschließen.


KMail konfigurieren

Ungestört mailen

Das Mailprogramm KMail kann Nachrichten auf Knopfdruck verschlüsseln. Der Client ist bereits installiert, sofern Sie das KDE installiert haben. Bei Suse Professional 9.1 ist dies standardmäßig der Fall. KMail kommt mit mehreren Verschlüsselungstools zurecht. Sie teilen dem Programm daher erst mit, dass Sie GnuPG verwenden. Starten Sie den Mailclient und wählen Einstellungen/KMail einrichten. Holen Sie den Reiter OpenPGP in den Vordergrund und klicken im Menü links auf die Option Sicherheit. Wählen Sie als Verschlüsselungsprogramm aus dem Dropdown- Menü GnuPG ? GNU Privacy Guard. Wechseln Sie nun in den Einstellungen auf Identitäten und weisen Sie Ihrer E-Mail-Adresse den vorher erzeugten Schlüssel zu. Holen Sie dazu den Reiter Erweitert in den Vordergrund und klicken Sie auf Ändern. Im folgenden Fenster markieren Sie einfach den Schlüssel und bestätigen mit OK. KMail übernimmt die Änderung sofort. Damit ist das Programm bereit für den ersten Test. Schreiben Sie sich eine neue E-Mail. Betrachten Sie die Buttonleiste, so sind nun zwei weitere Optionen hinzugekommen. Mit einem Klick auf das Federsymbol signier
en Sie die Nachricht. Der Schloss-Button verschlüsselt die E-Mail. Um Ihren öffentlichen Schlüssel an andere Personen zu senden, verwenden Sie einfach die Anhängen-Funktion.

Anhänge verschlüsseln

KMail ist nun zwar fit für die Verschlüsselung, leider fehlt der in Suse 9.1 enthaltenen Version 1.6.2 ein wichtiges Detail: Diese kann Nachrichten nicht mit dem üblichen Verfahren »OpenPGP/MIME« kodieren, das auch Anhänge verschlüsselt. Es beherrscht nur das Inline-Verfahren, das lediglich den Mailtext kodiert. Problematisch ist dies bei der Kommunikation mit einem Programm, das E-Mails nach dem OpenPGP/MIME-Standard erzeugt. Die Anhänge kann KMail dann nicht dekodieren. Allerdings lässt sich diese Funktion nachrüsten. Da das Problem schon länger besteht, hat sich das Ägypten-Projekt (www. gnupg.org/aegypten) gebildet, um KMail entsprechend nachzurüsten. Suse 9.1 installiert das entsprechende Paket »cryptplug« automatisch, wenn Sie GnuPG installieren. Nutzen Sie eine andere Distribution, müssen Sie sich das Plug-in als Quelltext von der Website besorgen und selbst übersetzen. Eine elegante Methode, an die Open- PGP/MIME-Unterstützung zu kommen, ist die Aktualisierung von KMail auf die Version 1.7. Diese enthält bereits alle notwendigen Funktionen. Als andere Möglichkeit benutzen Sie ein alternatives Mailprogramm wie Thunderbird oder Evolution, die bereits beide entsprechend ausgestattet sind.


Thunderbird fit machen

Ungestört mailen

Auch der Mailer des Mozilla-Projekts fordert ein wenig Handarbeit, bis Sie damit Nachrichten verschlüsseln können. Thunderbird benötigt dazu das Plug-in »Enigmail« (http://enigmail.mozdev.org). Laden Sie dieses von der Website herunter und installieren es über Extras /Erweiterungen. Nutzen Sie eine deutsche Thunderbird- Version, holen Sie sich zusätzlich das Sprachpaket. Nachdem das Plugin installiert ist, erscheint das neue Menü Enigmail. Zuerst versorgen Sie dann Thunderbird mit dem Pfad zum GnuPG-Programm, das sich unter »/usr/bin/gpg« befindet. Diesen tragen Sie unter Enigmail/ Einstellungen ein. Der Rest funktioniert weitgehend analog wie bei KMail. Teilen Sie Enigmail mit, welchen Schlüssel es benutzen soll. Dazu öffnen Sie den Reiter OpenPGP Sicherheit unter Extras/Konten. Aktivieren Sie mit einem Häkchen bei Enable OpenPGP support (Enigmail) for this identity die Unterstützung für GnuPG. Thunderbird wählt automatisch den passenden Schlüssel, falls Sie dieselbe E-Mail- Adresse für das Konto und den Schlüssel verwenden. Sind die Adressen verschieden, setzen Sie den richtigen Schlüssel über die Option Spezielle OpenPGP Schlüssel-ID verwenden ein. Das Fenster, in dem Sie neue E-Mails schreiben, weist nun die neue Schaltfläche OpenPGP auf. Im Pull-down-Menü wählen Sie, ob Sie die Nachricht verschlüsseln oder nur signieren möchten.

Schlüssel verwalten
Mit der Zeit sammeln sich diverse Schlüssel an. Manchmal zieht auch ein Kommunikationspartner einen Schlüssel zurück oder Sie selbst erstellen einen neuen Schlüssel. Zudem möchten Sie Ihren öffentlichen Schlüssel auch in Umlauf bringen. Dann kommt der sogenannte Keyserver ins Spiel. Um die ganzen Schlüssel an ihrem Schlüsselbund zu verwalten sowie um weitere Funktionen zu nutzen, enthält GnuPG diverse Optionen. Meist reicht es, eine E-Mail nur zu signieren statt gleich den ganzen Inhalt zu verschlüsseln. Um sicherzustellen, dass eine empfangene Nachricht tatsächlich vom Absender stammt, prüfen Sie den so genannten Fingerabdruck (Fingerprint) des Schlüssels. Um einen Fingerprint für ihre ID zu erzeugen, benutzen Sie die Option »–fingerprint«.

gpg –fingerprint Schluessel-ID

Die Schluessel-ID samt Fingerabdruck liefert der Befehl

gpg –list-keys –fingerprint

Nun lässt sich beispielsweise telefonisch prüfen, ob der Fingerprint korrekt ist. Anschließend übertragen Sie den Schlüssel in Ihren Schlüsselbund: gpg –import Da Sie allerdings nicht die Telefonnummer alle Menschen kennen, mit denen Sie sicher kommunizieren wollen, hält GnuPG ein weiteres Verifizierungsverfahren bereit. Dabei signieren Sie einen Schlüssel, falls Sie dem Empfänger trauen. Im Falle eines unbekannten Partners hat wahrscheinlich schon jemand dessen Schlüssel signiert. Sie müssen dann entscheiden, ob auch Sie dieser Person vertrauen wollen. Somit entsteht nach und nach ein Vertrauensnetz, das so genannte Web of Trust.

gpg –sign-key Schluessel-ID


Keyserver verwenden

Ungestört mailen

Öffentliche Schlüssel lassen sich auch aus dem Internet beziehen. Dafür stehen so genannte Keyserver bereit. Diese tauschen sich regelmäßig untereinander aus und gleichen die Datenbanken der öffentlichen Schlüssel ab. Laden Sie Ihren Schlüssel auf den Keyserver:

gpg –send-keys

Praktischerweise aktualisiert dies auch die Schlüssel Dritter, die Sie signiert haben. Das ganze funktioniert auch in die andere Richtung, wodurch sich leicht Schlüssel von bekannten Personen importieren lassen. Dazu verwenden Sie den folgenden Befehl:

gpg –recv-keys Schluessel-ID

Schließlich aktualisieren Sie noch alle Schlüssel auf Ihrem System, um alle neuen Signaturen verwenden zu können:

gpg –refresh-keys

Falls Sie einen Schlüssel aus dem Verkehr ziehen wollen, müssen Sie dies dem Keyserver mitteilen. Dazu benutzen Sie ein Rückrufzertifikat (revocation certificate). Dieses sollten Sie gleich im Anschluss an die Schlüsselerstellung generieren:

gpg –output revoke.asc
–gen-revoke Schlussel-ID

Statt der Schlüssel-ID können Sie auch die E-Mail-Adresse verwenden. Bestätigen Sie anschließend mit »j« und geben Sie einen Grund für den Rückruf an. Den Kommentar brauchen Sie hingegen nicht auszufüllen. Die Datei »revoke.asc« müssen Sie gut aufbewahren. Am besten speichern Sie die Datei auf eine CD und löschen das File vom System.