Mail Verschlüsselung einrichten

Egal ob es um Firmengeheimnisse oder um ein Treffen mit einem Freund/einer Freundin geht: E-Mails ohne Verschlüsselung sind wie Postkarten, die jeder ohne Probleme lesen kann.

Ein weit verbreitetes und sehr sicheres Verfahren ist das RSA-Verfahren. Damit werden wir auch im folgenden Arbeiten.

Mail Verschlüsselung verstehen

Damit man weiß, was im Hintergrund passiert, sollte man sich für diesen Artikel die Beschreibung des RSA Verfahrens anschauen. Ich habe ebenfalls eine Mathematische Beschreibung des Algorithmus‘ erstellt, was hier jedoch nicht wichtig ist.

Im Wesentlichen geht es darum zwei Schlüssel zu generieren (einer verschlüsselt, einer entschlüsselt). Der zur Verschlüsselung wird verschickt, der zur Entschlüsselung wird behalten. Danach nur noch Schlüssel vom Empfänger der Mail herunterladen (damit man diese verschlüsseln kann) und E-Mail verschicken. Fertig.

Das klingt sehr verwirrend, aber hat man die Erklärung von RSA verstanden, ist das alles kein Problem.

Vorbereitungen:

Generell wird hier nur das Prinzip hinter der Mail Verschlüsselung und das benutzen von Enigmail gezeigt, daher kann die genaue Ausführung je nach Programm und Version immer anders sein.

Im folgenden werde ich das Mailprogramm Thunderbird und das Addon Enigmail (ein OpenPGP-Interface für Thunderbird) verwenden.
Wenn sie nicht bereits Thunderbird nutzen, können sie sich die aktuelle Version hier herunterladen. das Addon Enigmail, gibt es entweder über Extras -> Addons -> nach „Enigmail“ suchen, oder auf der Addon Seite von Thunderbird.

Ich gehe davon aus, dass Sie Thunderbird und Enigmail korrekt installiert haben! Ich verwende Thunderbird 31.4.0 mit Enigmail 1.7.2 unter LinuxMint 17. Falls einige Menüpunkte anders heißen oder an anderer Position sind, so kann dies an unterschiedlichen Versionen liegen!

Einrichten eines Mailkontos

Wenn sie schon ein Mailkonto eingerichtet haben, können sie diesen Schritt überspringen.

Existierende Mail-Adresse verwenden

Es ist am einfachsten, wenn sie eine bereits existierende Mailadresse verwenden. Um mit dieser Adresse ein Konto bei Thunderbird einzurichten, klicken sie einfach auf den Button „Überspringen und meine existierende E-Mail-Adresse verwenden“.

Mail Verschlüsselung: 01_createAccount

Um ein Konto in Thunderbird ein zu richten ist es am einfachsten eine bereits vorhandene E-Mail Adresse zu verwenden.

Daten eingeben

Damit sie mit Thunderbird Mails senden und empfangen können, müssen sie zunächst ihre Daten (E-Mail Adresse und Passwort) eingeben. Zudem wird nach einem Nahmen gefragt, dort können sie ihren Vor- und Nachnamen eintragen.

Für ein neues Konto müssen sie ihre E-Mail Adresse und ihr Passwort eintragen.

Für ein neues Konto müssen sie ihre E-Mail Adresse und ihr Passwort eintragen.

IMAP Verfahren wählen

Nach dem sie auf „Weiter“ geklickt haben, wird die Verbindung zum E-Mail-Server geprüft und dann hergestellt. Anschließend können sie zwischen dem IMAP und POP3 Verfahren wählen. Standardmäßig ist das IMAP-Verfahren ausgewählt und sollte nicht verändert werden.
Wird der Dialog nicht angezeigt, so verfügen sie entweder über keine Internetverbindung, der E-Mail Server ist nicht erreichbar oder sie haben ihre Daten falsch eingegeben.

Standardmäßig ist IMAP ausgewählt, dies sollte nicht verändert werden.

Standardmäßig ist IMAP ausgewählt, dies sollte nicht verändert werden.

Fertig

Nachdem sie auf „Fertig“ geklickt haben, werden alle Mails und Informationen vom Server heruntergeladen und es erscheinen alle Ordner mit ihren Mails. Das Einrichten des Kontos ist nun fertig.

Das einrichten des Kontos ist nun fertig.

Das einrichten des Kontos ist nun fertig.

Menüleiste anzeigen

Standardmäßig gibt es in Thunderbird keine Menüleiste, doch das arbeiten mit einer solchen ist wesentlich einfacher.
Um die Menüleiste an zu zeigen klicken sie auf die drei waagerechten Striche am oberen rechten Rand des Fensters, dann auf „Einstellungen“ → „Menüleiste“.

Menüleiste in Thunderbird anzeigen.

Menüleiste in Thunderbird anzeigen.

Schlüsselpaar erstellen

Für die Verschlüsselung und Entschlüsselung wird jeweils ein Schlüssel benötigt (man spricht daher vom Schlüsselpaar).

Um ein neues Schlüsselpaar zu erzeugen klicken sie auf „Enigmail“ → „Schlüssel verwalten“ → „Erzeugen“→ „Neues Schlüsselpaar“. Man erinnere sich an meinen Artikel über das RSA-Verfahren, dort ist ebenfalls die Rede von einem Schlüsselpaar.

Das Prinzip hinter der Verschlüsselung mit Enigmail ist eigentlich ganz einfach: Es gibt einen privaten Schlüssel, der liegt NUR (!) beim Empfänger, denn er ist für die Entschlüsselung einer Mail zuständig.
Der zweite Schlüssel ist öffentlich und dient zur Verschlüsselung einer Mail, man kann diesen also seinen Freunden, Bekannten und Kollegen geben.

Schlüsselpaar für Verschlüsselung erzeugen.

Mit Enigmail kann man gleich neue Schlüssel erzeugen.

Die richtigen Einstellungen wählen

Danach erscheint ein Dialog, bei dem man diverse Einstellungen treffen kann:

  • Benutzerkennung: Die E-Mail-Adresse, für die der Schlüssel gelten soll.
  • Schlüssel zum Unterschreiben verwenden: Dient dazu, zu beweisen, dass die Mail von dem Absender kommt, von dem man es erwartet.
  • Passphrase: Eine Art Passwort zum Schutz vor Missbrauch der Schlüssel.
  • Kommentar: Kann angegeben werden, muss aber nicht.
  • Ablaufdatum: Ein Schlüssel kann nach bestimmter zeit ungültig werden. Dies ist nützlich, wenn der private Schlüssel z.B. entwendet wurde oder verloren gegangen ist. Ein guter Zeitraum ist 1 Jahr. Schlüssel können nach Ablaufen des Zeitraumes verlängert werden.
  • Schlüsselstärke: Die Anzahl an Bits, die der Schlüssel lang ist. Je mehr, desto sicherer (doch Achtung: Die Generierung des Schlüssels kann dadurch seeehr lange dauern). Es sollte jedoch 2048 oder 4096 für eine wirklich sichere Verschlüsselung gewählt werden.
  • Algorithmus: Gibt an. nach welchem Verfahren die Schlüssel generiert und verwendet werden. Benutzt wird hier das RSA Verfahren.
In diesem Dialog werden alle nötigen Einstellungen getroffen.

In diesem Dialog werden alle nötigen Einstellungen getroffen.

Generieren des Schlüssels

Nach dem sie alle Einstellungen getroffen haben, klicken sie auf „Schlüsselpaar erzeugen“ und müssen mit „Schlüssel erzeugen“ die Erzeugung bestätigen.

Erzeugen des Schlüsselpaares bestätigen.

Erzeugen des Schlüsselpaares bestätigen.

Das erzeugen des Schlüssel kann unter Umständen sehr lange dauern. Bei einem 2048-Bit starken Key rund 2-3 Minuten, bei 4096-Bit auch mal 15-20 Minuten. Um des Prozess zu beschleunigen, sollten sie sich z.B. Katzenvideos anschauen, die Maus bewegen oder Text in einen Editor schreiben. Das klingt zwar seltsam, dient aber dazu den Zufallsgenerator beim erzeugen von gigantisch großen Primzahlen (s. RSA-Verfahren) zu unterstützen.

Wiederrufzertifikat erstellen

Wenn der Schlüssel fertig ist, werden sie gefragt, ob sie ein Wiederrufzetifikat erstellen möchten. Dieses sollten sie auf jeden Fall erstellen, da sie somit einen verloren gegangenen oder gestohlenen Schlüssel für ungültig erklären können.

Sie sollten unbedingt ein Wiederrufszertifikat erstellen!

Sie sollten unbedingt ein Wiederrufzertifikat erstellen!

Dies speichern sie an einen sicheren Ort. Sie können das Zertifikat auch jederzeit erneut generieren – solange sie das Schlüsselpaar noch besitzen.

Das erzeugte Zertifikat können sie dann speichern.

Das erzeugte Zertifikat können sie dann speichern.

Nach dem sie auf „Speichern“ geklickt haben müssen sie ihre Passphrase eingeben, dann wird das Zertifikat erzeugt und gespeichert.

Das erzeugen der Schlüssel ist nun abgeschlossen. Im Prinzip war es das auch schon, sie können nun verschlüsselte Mails entschlüsseln, sofern der Sender ihren öffentlichen Schlüssel hat (dazu gleich mehr).

OpenPGP einrichten

Falls sie Einstellungen ändern möchten, können sie auf ihre Thunderbird-Konto rechts Klicken und dann unter „Einstellungen“ → „OpenPGP-Sicherheit“ diverse Einstellungen anpassen.

Einstellungen zur Verschlüsselung finden

Unter Rechtsklick → Einstellungen → OpenPGP-Sicherheit erreichen sie die Einstellungen.

Den öffentlichen Schlüssel verteilen

Um den öffentlichen Schlüssel an Freunde, Bekannte oder Kollegen zu verteilen, können sie diesen exportieren. Dazu gehen sie einfach in die Schlüsselverwaltung („Enigmail“ → „Schlüssel verwalten“), klicken auf ihren Schlüssel rechts und können zwischen „In Datei exportieren…“ und „per E-Mail senden“ wählen. Wenn die „per E-Mail senden“ auswählen können sie den öffentlichen Schlüssel bequem per E-Mail an Personen verteilen. Als Schlüsseldatei können sie diese z.B. auf einen Schlüsselserver hochladen oder ihn per USB-Stick verteilen.

Es gibt mehrere Wege einen Schlüssel zu verbreiten.

Es gibt mehrere Wege einen Schlüssel zu verbreiten.

Achtung: Den privaten Schlüssel NIEMALS an jemanden schicken, auch nicht an Freunde, Verwandte, Kollegen, oder sonstige Personen!

Schlüssel importieren

Um verschlüsselt Nachrichten zu senden, müssen sie zunächst den Schlüssel von jemand anderen importieren. Dazu gehen sie wie beim exportieren in die Schlüsselverwaltung („Enigmail“ → „Schlüssel verwalten“) und wählen unter „Datei“ den Menüpunkt „Importieren“ aus. Danach können sie eine Schlüsseldatei auswählen und importieren. Diese erscheint dann in der Liste neben ihrem eigenen Schlüssel.

Key zur Verschlüsselung importieren

Um verschlüsselte Mails zu senden, müssen sie einen Key importieren.

E-Mails Verschlüsselt senden

Wenn sie von jemand anderem einen Schlüssel bekommen haben, können sie ihm verschlüsselte Nachrichten senden. Dazu fangen sie unter „Verfassen“ einfach an eine E-Mail zu schreiben. Wenn sie einen Schlüssel vom Empfänger haben, schließt Enigmail daraus, dass dieser die Mail entschlüsseln kann und die Verschlüsselung wird automatisch eingeschaltet. Falls sie keinen Schlüssel vom Empfänger haben, so wird die Mail nicht verschlüsselt.

Nachrichten kann man ohne Aufwand verschlüsseln.

Nachrichten kann man ohne Aufwand verschlüsseln.

Mails entschlüsseln

Um Mails zu entschlüsseln muss man einfach auf die E-Mail klicken und dann seine Passphrase eingeben (wenn keine gesetzt wurde, entfällt das natürlich). Die zunächst nur verschlüsselt sichtbare Nachricht, wird nun entschlüsselt angezeigt.

Zum entschlüsseln muss die Passphrase eingegeben werden.

Zum entschlüsseln muss die Passphrase eingegeben werden.

Die Nachricht wird entschlüsselt angezeigt.

Die Nachricht wird entschlüsselt angezeigt.