E-Mail verschlüsseln: Einfache Anleitung für Windows-PC

Marco Kratzenberg

Wenn man es einmal verstanden und richtig eingerichtet hat, ist die Emailverschlüsselung mit PGP eine einfache Sache. Hier eine Erklärung und Anleitung zur Emailsicherheit in Thunderbird.

E-Mail verschlüsseln: Einfache Anleitung für Windows-PC

Um mit Thunderbird verschlüsselte E-Mails versenden zu können, braucht man natürlich Thunderbird. Außerdem das Addon Enigmail, Das PGP-Programm Gpg4win und ein PGP-Schlüsselpaar. Dieses könnt Ihr Euch relativ unkompliziert in Thunderbird anlegen, wenn das Addon installiert ist.

E-Mails  verschlüsseln: Wie läuft das ab?

Wenn alle ihre E-Mails verschlüsseln würden, dann hätte jeder von all seinen E-Mailkontakten die “Öffentlichen Schlüssel” vorrätig. Diese Schlüssel werden, anders als oft angenommen, aber nicht zum Aufschließen benutzt. Vielmehr nutzt man den Schlüssel, den man von seinem Mailpartner bekommen hat, zum Zuschließen. Man muss sich das so vorstellen:

Gabi und Hans wollen sich gegenseitig verschlüsselte E-Mails schreiben. Also geben sie sich gegenseitig ihre öffentlichen Schlüssel. Nun kann Hans eine E-Mail  an Gabi senden. Ihren öffentlichen Schlüssel hat er ja in seiner Schlüsselsammlung. Hat er die Mail geschrieben, so klickt er auf das Verschlüsselungs-Icon und wenn Thunderbird den Schlüssel auch findet, der zu dieser E-Mailadresse gehört, dann geht sie gesichert raus. Hans muss dazu kein Passwort eingeben und auch sonst nichts vom Empfänger wissen.

Bei Gabi kommt die Mail dann an. Sie sieht in Ihrem Mailprogramm, dass es sich um eine verschlüsselte Nachricht handelt. Um sie lesen zu können, muss sie nun ihr eigenes Passwort eingeben, mit dem sie ihre Schlüssel gesichert hat. Außerdem muss auch bei Ihr ein entsprechendes PGP-Programm eingebunden sein, so dass auch ihr Privater Schlüssel herangezogen werden kann. Wenn Sie die Nachricht von Hans irgendwo empfängt, wo sie den Rechner und das Mailprogramm nicht entsprechend konfiguriert hat, sieht sie nur den unlesbaren, verschlüsselten Text. Davon hat sie, ohne das notwendige Schlüsselpaar zu Ihrer E-Mail , ebenso wenig, wie CIA, NSA oder FBI – nix! Bis dato ist die PGP-Verschlüsselung noch nicht geknackt worden. Den öffentlichen Schlüssel kann ruhig jeder bekommen. Der ist eh nur zum Abschließen. Wer das Passwort nicht kennt, kommt nicht an den Mailinhalt. So einfach ist das.

E-Mails verschlüsseln: wie funktioniert es? – Schritt für Schritt

Den erste Schritt stellt der Download und die Installation von Gpg4win dar. Dieses Programmpaket übernimmt die eigentliche Verschlüsselung. Wir müssen nur an zwei Stellen in die Installation eingreifen. Im Auswahlfenster während der Installation gibt es u.a. die Setup-Option ” GpgOL”. Sie bezieht sich auf die Verschlüsselung mit Microsoft Outlook und kann in unserem Fall getrost abgewählt werden.

Nun geht es weiter und in den folgenden Fenstern ist keine Aktion notwendig. Allerdings werden wir am Ende gefragt, ob wir eine Liste von Wurzelzertifikaten zur S/Mime-Verschlüsselung festlegen wollen. Das können wir mit einem Haken verneinen und die Installation abschließen.

Damit ist die Installation der PGP-Hauptkomponente abgeschlossen. Diese Anwendung brauchen wir später nicht mehr extra aufzurufen. Thunderbird kommuniziert über das Enigmail Addon mit dem Programm.

Enigmail installieren und konfigurieren

Enigmail heißt eine Erweiterung für Thunderbird und Seamonkey, die sich als Schnittstelle zwischen PGP-Programm und der Mailanwendung installiert. Sie reichtet im Menü einen weiteren Menüpunkt namens OpenPGP ein, unter dem alle Aktionen, wie etwa die Erzeugung und Verwaltung der Schlüssel oder die Suche nach öffentlichen Schlüsseln zu finden sind.

Das Addon ist notwendig für Versand und Entschlüsselung von PGP-verschlüsselten E-Mails. Die Installation ist sehr einfach: Es reicht aus, unter “Extras – Add-ons” rechts oben nach Enigmail zu suchen und dann auf “Zu Thunderbird hinzufügen” zu klicken. Nach der Installation sollte man im Menü OpenPGP den Punkt Einstellungen wählen und dort den Pfad zur PGP-Anwendung ändern.

Das Addon Enigmail setzt nämlich eigentlich das Verschlüsselungspaket GnuPG voraus. Da wir aber Gpg4win nutzen, müssen wir uns hier zum richtigen Ordner durchklicken. Für Windows 7 lautet der Pfad exemplarisch:

C:\Program Files (x86)\GNU\GnuPG\pub\gpg.exe

Jetzt ist ein großer Teil bereits erledigt. Es fehlt lediglich noch ein eigenes Schlüsselpaar zu Verschlüsselung sowie mindestens ein öffentlicher Schlüssel eines Empfängers.

Schlüsselpaar zur E-Mail-Verschlüsselung erzeugen

Wie bereits oben erklärt, benötigen wir ein Schlüsselpaar, bestehend aus öffentlichem Schlüssel zum Weitergeben und einem privaten Schlüssel für die eigentlichen Verschlüsselungsaufgaben. Beides zusammen wird auf dem Rechner verwaltet, auf dem sie angelegt wurden. Man kann also nicht “von unterwegs” E-Mails ver- oder entschlüsseln.

Die Herstellung dieses Schlüssels ist im Programm schnell erledigt. Zuerst öffnen wir in Thunderbird den Menüpunkt OpenPGP und dort den Punkt “Schlüssel verwalten”. Daraufhin öffnet sich ein Fenster (siehe Bild), in welchem es einen Punkt namens “Erzeugen” gibt. Wir wählen dort “Neues Schlüsselpaar”. Wenn man in Thunderbird mit mehreren E-Mail-Adressen arbeitet, ist für jede Adresse ein eigenes Schlüsselpaar notwendig, denn diese Schlüssel sind immer nur für eine E-Mailadresse gültig.

In diesem Fenster sind mehrere Angaben nötig, andere möglich. Ganz oben sucht man die richtige Emailadresse heraus. Bei “Passphrase” wird ein sicheres Passwort erwartet. Hier sollte man einen brauchbaren Weg zwischen Sicherheit und Komfort gehen. Denn wir müssen dieses Passwort jedes Mal dann eingeben, wenn wir eine verschlüsselte E-Mail  an unser Konto erhalten und die Mail lesen wollen. Passwortsätze wie “Ich war bis 2007 Im Hamburg-Harburger Tennisverein – dann wurde ich schulreif” sind zwar sicherlich nicht zu knacken, aber lästig bei der Passwortabfrage. Und “swordfish” ist definitiv zu einfach und zu kurz.

Beim “Ablaufdatum” kann man festlegen, ob der Schlüssel lieber nur eine begrenzte Haltbarkeit haben soll. Dass er nie abläuft, ist zwar bequem, aber ein überflüssiges Sicherheitsrisiko. Sucht man spaßeshalber mal nach Schlüsseln auf einem Schlüsselserver, dann bekommt man dort auch die Erstellungszeit angezeigt. Manche der Schlüssel sind 15 Jahre alt und sicher schon lange ungültig. Zwei Jahre sind ein guter Wert. Dann sollte man seine Schlüssel ruhig mal erneuern.

Nun kann man das Schlüsselpaar herstellen. Im Abschluss erfolgt noch die wichtige Frage, ob man ein Widerrufszertifikat anlegen will. Diese Frage sollte man unbedingt bejahen. Denn dann kann man – sofern man das nötige Passwort kennt – einen Schlüssel auch löschen und von den Schlüsselservern entfernen.

Die erste E-Mail verschlüsseln

Wir haben als bis jetzt: Ein Mailprogramm (Thunderbird), das PGP-Paket (Gpg4win), Ein Verschlüsselungs-Addon (Enigmail) und ein eigenes Paar aus öffentlichem und privatem Schlüssel. Was fehlt also noch?

Um jemandem eine verschlüsselte E-Mail  senden zu können, braucht man dessen öffentlichen Schlüssel. Andernfalls fragt Enigmail danach und wenn man ihn nicht hat, kann die Mail nicht verschlüsselt gesendet werden. Man kann dann in einem Fenster auf den bekannten Schlüssel-Servern nach der Emailadresse oder dem Namen des Empfängers suchen und mit etwas Glück findet man den öffentlichen Schlüssel dort.

Um auch gefunden zu werden, sollte man seinen Schlüssel auf einen Schlüsselserver hochladen. Parallel kann man seine Schlüssel auch exportieren, um sie als Datei weitergeben zu können. Diese kann dann nämlich vom Gegenüber problemlos importiert werden. Diese Vorgehensweise empfiehlt sich vor allem dann, wenn man seinen Schlüssel nicht öffentlich bloßlegen will.

Diese Datei kann man all seinen Freunden per E-Mail  zusenden oder ihn sogar zum Download online stellen. Darin liegt keine Gefahr, denn er wird nur verwendet, um E-Mails an mich zu verschlüsseln und funktioniert zum Entschlüsseln nur zusammen mit dem privaten Schlüssel. Um zu exportieren, ruft man im Menü OpenPGP die Schlüsselverwaltung auf und wählt dann dort unter “Datei” den Punkt “Exportieren”. Nun wird man noch gefragt, ob man nur den privaten oder auch den öffentlichen Schlüssel exportieren will. Selbst wenn jemand über beide verfügt, kann er ohne das dazugehörige Passwort immer noch keine der Mails entschlüsseln. Unter “Schlüssel-Server” kann man seinen Schlüssel hochladen, damit er für andere leichter zu finden ist.

Aber erst wenn man den öffentlichen Schlüssel eines Empfängers besitzt, kann man ihm eine codierte Mail schreiben. Eine Möglichkeit Freunde mit PGP-Schlüsseln zu finden, bietet sich unter “OpenPGP – Schlüssel verwalten – Schlüssel-Server – Schlüssel suchen”. Ansonsten muss man eben einfach mal seine Freunde nach vorhandenen PGP-Schlüsseln fragen und kann seinen auch gleich verteilen.

Eine Mail verschlüsseln

Nachdem man aber endlich den öffentlichen Schlüssel einer Person hat, kann es losgehen. Erst Mail schreiben, dann unten rechts im Fenster der Mail die beiden Icons zum Verschlüsseln und Signieren anklicken. Dann die E-Mail  absenden. Wenn der öffentliche Schlüssel in der Sammlung gefunden wurde, wird die Mail verschlüsselt und erreicht den Empfänger im richtigen Format.

Wie sicher ist sicher?

Nach allem was behauptet wird, wurde die PGP-Verschlüsselung einer Mail noch nie geknackt. Andererseits würde das auch kein Geheimdienst an die Öffentlichkeit dringen lassen. Die Schlagzeile “PGP-Verschlüsselung geknackt – E-Mails offen lesbar!” wird man sicher auch dann nicht lesen, wenn es wahr ist. Insofern ist diese ganze Verschlüsselungstechnik eine Sache des Vertrauens. Und letztlich ist es damit genauso wie mit passwortgeschützen ZIP-Dateien oder TrueCrypt-Containern: Wenn mir jemand eine riesengroße Pistole an den Kopf hält und so aussieht, als würde er sie benutzen, dann braucht er nach meinem Passwort nur einmal zu fragen.

Doch wenn jemand zufällig an mein Schlüsselpaar kommt, dann wird er (vermutlich) damit nichts anfangen können – außer mir eine verschlüsselte Mail zu schicken. Denn erst mit dem richtigen, und hoffentlich klug gewähltem Passwort wird daraus ein Werkzeug, das alle E-Mails auf meinem Rechner entschlüsselt.

Weitere Themen: PGP Desktop

Neue Artikel von GIGA SOFTWARE

  • WordPress-Backup anlegen –...

    WordPress-Backup anlegen – Datenbank &...

    Ihr solltet vor jeder wichtigen Änderung und vor jedem Update ein WordPress-Backup anlegen, damit ihr nicht wichtige Daten verliert. Der eingebaute WordPress-Export... mehr

  • ExifTool

    ExifTool

    Das Freewareprogramm ExifTool von Phil Harvey zeigt extrem ausführlich alle Exif-Informationen zu Fotos an. Ihr könnt mit dem ExifTool diese Daten aber... mehr

  • Tablacus Explorer

    Tablacus Explorer

    Gelungene Freeware-Alternative zum Windows Explorer, die u.a. mit Tabs und gleichzeitiger Darstellung von vier Fenstern aufwarten kann. Sehr weitgehende... mehr