Kryptografie So verschlüsseln Sie Ihre E-Mails
E-Mail-Verschlüsselung: Mit vielen Mail-Programmen - auch auf Apple- und selbstverständlich auf Linux-Rechnern - lässt sich die eigene Korrespondenz verschlüsseln. Wir zeigen, wie das geht, hier am Beispiel eines Windows-Rechners mit dem kostenlosen E-Mail-Client Thunderbird von den Firefox-Machern, der Mozilla Foundation.
Schritt 1: Installieren Sie das E-Mail-Programm Thunderbird und führen Sie die notwendigen Einstellungen zum Empfang von Nachrichten durch. Die meisten Webmail-Anbieter bieten dazu einen IMAP- und SMTP-Service an, über die Sie E-Mails empfangen und senden können. Verschlüsselte Nachrichten können nur Text und keine HTML-Auszeichnungen enthalten. Um den Versand von HTML zu deaktivieren, wählen Sie im Menü "Einstellungen > Konten-Einstellungen" ihren E-Mail-Account aus. Dort können Sie unter dem Menüpunkt "Verfassen & Adressieren" die Option "Nachrichten im HTML-Format verfassen" deaktivieren.
Schritt 2: Bevor Sie die Nachrichten-Verschlüsselung aktivieren können, müssen Sie das Hilfsprogramm Gnu Privacy Guard (GnuPG) installieren. GnuPG übernimmt im Hintergrund die eigentliche Verschlüsselung für Thunderbird. Eine Installationsdatei für Windows finden Sie auf der Webseite GPGWin, eine Mac-Version ist unter GPGTools verfügbar. Installieren Sie GPGWin auf ihrem Computer, die Anweisungen zum Einrichten von Wurzelzertifikaten können Sie überspringen.
Schritt 3: Im nächsten Schritt wählen Sie im Hauptmenü die Option "Add-ons" aus, um das Enigmail-Add-on zu installieren.
Schritt 4: Enigmail erweitert Thunderbird um die notwendigen Funktionen zur sicheren Kommunikation. Im Add-on-Manager können Sie nach Enigmail suchen. Nach der Installation müssen Sie Thunderbird neu starten.
Schritt 5: Wenn das Add-on erfolgreich installiert wurde, taucht nach dem Neustart im Thunderbird-Menü eine "OpenPGP"-Option auf. Als nächstes müssen Sie die Schlüssel zum Chiffrieren und Dechiffrieren von Nachrichten anlegen. Enigmail verwendet dabei zwei unterschiedliche Schlüssel: Der öffentliche Schlüssel dient zum Verschlüsseln von Botschaften, diese Datei können Sie später an Kollegen und Freunde weitergeben, die Ihnen sicher Nachrichten senden sollen. Der private Schlüssel hat die umgekehrte Funktion, er dient zur Entschlüsselung von E-Mails. Diesen Schlüssel müssen Sie vor fremdem Zugriff schützen: Bewahren Sie ihn sicher auf und geben Sie ihn niemals an andere weiter.
Schritt 6: Wählen Sie dazu zunächst die E-Mail-Adresse aus, für die der Schlüssel gelten soll. Anschließend sollten Sie eine Passphrase festlegen, also ein Kennwort, das ihren Schlüssel vor fremden Zugriff schützt. Im Untermenü "Erweitert" können Sie zudem die Stärke des Schlüssels festlegen. Wählen Sie "4096 Bit", um den Großcomputern der NSA ein wenig zusätzliche Arbeit zu machen. Nach derzeitigem Kenntnisstand sollte sich dieser Schlüssel auch mit den mächtigsten momentan verfügbaren Rechnern in Ihrer Lebenszeit nicht knacken lassen.
Schritt 7:
Nachdem der Schlüssel generiert wurde, werden Sie aufgefordert, ein Wiederrufszertifikat anzulegen. Dieses Zertifikat sollten Sie an einem sicheren Ort (z.B. auf einem USB-Stick in Ihrer Wohnung) aufbewahren. Falls Sie ihrem Schlüssel zu einem späteren Zeitpunkt nicht mehr vertrauen können - zum Beispiel weil Ihr privater Schlüssel anderen bekannt geworden ist - können Sie das Schlüsselpaar jederzeit mit dem Zertifikat für ungültig erklären.
Über den Menüpunkt "OpenPGP-> Schlüssel verwalten -> Datei -> exportieren" können Sie eine Textdatei mit Ihrem öffentlichen und Ihrem privaten Schlüssel anlegen. Speichern Sie sie an einem sicheren Ort, am besten auf einem USB-Stick, den sie wiederum an einem sicheren Ort aufbewahren.
Schritt 8: Ihr Thunderbird ist nun so eingerichtet, dass Sie Nachrichten verschlüsselt empfangen und versenden können. Dazu brauchen Sie den öffentlichen Schlüssel des Nachrichtenempfängers. Falls Sie vorerst keinen passenden Partner zum Austausch verschlüsselter Mails haben, gibt es einen freundlichen E-Mail-Roboter, an dem Sie Ihre neugewonnenen Kryptografie-Fähigkeiten ausprobieren können.
Schritt 9: Um die Software zu testen, können Sie den Krypto-Mail-Roboter "Adele" nutzen. Der Dienst antwortet auf verschlüsselte E-Mails und prüft, ob die Nachricht korrekt gesichert wurde. Um mit "Adele" zu kommunizieren, können Sie in der Schlüsselverwaltung unter dem Menüpunkt "Schlüssel-Server > Schlüssel suchen..." die öffentliche Kennung des Testdienstes herunterladen. Dazu suchen Sie nach dem Begirff "adele-de@gnupp.de" und importieren den erscheinenden Eintrag. Schlüssel-Server sind Verzeichnisse öffentlicher Schlüssel, eine Art Krypto-Adressbuch. Im gleichen Menü können Sie auch Ihre eigene Kennung für andere bereitstellen. Das ist nicht gefährlich: Wer Ihren öffentlichen Schlüssel hat, kann Ihnen nur E-Mails schicken, zum Entschlüsseln bräuchte er Ihren privaten Schlüssel. Allerdings wird Ihre E-Mail auf einem Schlüsselserver für jedermann einsehbar - auch für Spam-Roboter.
Schritt 10:
Nun haben Sie "Adeles" Schlüssel Ihrem privaten Schlüsselbund hinzugefügt. Der wird später die öffentlichen Schlüssel all Ihrer Kontakte enthalten.
Nun sollten Sie dem Dienst eine E-Mail schicken, an die Ihr öffentlicher Schlüssel angehängt ist. So kann "Adele" Ihnen mit einer verschlüsselten Nachricht antworten. Dazu wählen Sie in der Schlüsselverwaltung Ihren eigenen Schlüssel aus und wählen im Kontextmenü (rechte Maustaste) die Option
"Öffentliche Schlüssel per E-Mail senden".
Schritt 11: Anschließend können Sie "Adele" eine Nachricht an adele-de@gnupp.de schicken. Nachdem Sie einen kurzen Text eingegeben haben, wählen Sie in der Menüleiste die Option "OpenPGP > Nachricht verschlüsseln" aus. Ihre Nachricht hat einen Anhang, der Ihren öffentlichen Schlüssel enthält.
Schritt 12: Nach einigen Minuten sollten Sie eine Antwort von "Adele" erhalten. Wenn alles geklappt hat, dann enthält die Antwort den Text Ihrer ursprünglichen Botschaft. Ein kleines Schloss deutet an, dass Sie einen sicheren Kommunikationsweg hergestellt haben. Falls Sie bei der Installation Probleme hatten, lohnt der Blick in die Hilfeseiten der deutschen Thundebird-Nutzergruppe.
Rundruf: Wenn Sie mit Ihren Freunden, Verwandten, Bekannten und Kollegen nun bevorzugt verschlüsselt E-Mails austauschen wollen, sollten Sie einen Aufruf zum Schlüsseltausch starten. Am besten fügen Sie einen Weblink zu dieser Anleitung bei, falls Ihre Kommunikationspartner Ihre E-Mails bislang nicht verschlüsseln.
