Kryptografie: So verschlüsseln Sie Ihre E-Mails
Schutz gegen Internet-Spione So verschlüsseln Sie Ihre E-Mails
Eine E-Mail, das ist eine beliebte Bescheidwisser-Formulierung, ist nur so privat wie eine Postkarte. Weil der Text nicht durchgehend verschlüsselt über das Internet übertragen wird, lassen sich E-Mails abfangen und lesen, sei es von einem neugierigen Mitarbeiter des Mail-Anbieters oder von einem Geheimdienstanalysten. Zu abstrakt?
Na gut: Jeder, der sich das Passwort zu Ihrem Webmail-Konto verschafft, sei es ein Hacker oder der beleidigte Ex-Freund, kann alle E-Mails lesen, die darin zu finden sind. Wer also Wert darauf legt, dass seine Mails nicht gelesen werden können, sollte sie verschlüsseln - nur macht das kaum jemand.
In unserer Fotostrecke wird Schritt für Schritt erklärt, wie Sie sich - auf einem Windows-Rechner - mit dem kostenlosten E-Mail-Client Thunderbird , dem ebenfalls kostenlosen Programm GnuPG und dem kostenlosen Thunderbird-Plugin Enigmail eine eigene Verschlüsselung einrichten.
Wer verschlüsselt, macht der NSA Arbeit
Wenn Sie dieser Anleitung folgen möchten, müssen Sie zu zwei Dingen bereit sein: Erstens müssen Sie sich davon verabschieden, Web-Mail in ihrem Browser zu benutzen, also etwa Googlemail oder GMX aufzurufen und von da aus ihre Korrespondenzen zu erledigen. Zweitens sollten Sie sich etwas Zeit für die Einrichtung nehmen und nicht sofort vor neuen Begriffen zurückschrecken. Die Einrichtung nimmt etwa eine halbe Stunde bis Stunde in Anspruch. Ist sie aber erst einmal geschafft, ist es nicht mehr schwierig, verschlüsselte Mails zu verschicken und erhaltene zu entschlüsseln.
Bislang sind verschlüsselte E-Mails noch so selten, dass der US-Geheimdienst NSA sie mit Priorität behandelt - was verschlüsselt ist, interessiert die Netzüberwacher aus Fort Meade besonders. Wie schnell die NSA Mails heute entschlüsseln kann, ist unbekannt, aber wenn Sie unserer Anleitung folgen, sollten Ihre Mails auf viele Jahre hinaus ohne Schlüssel nicht lesbar sein. Garantieren kann das aber niemand.
Wenn Privatmenschen auch alltägliche Inhalte verschlüsselt senden würden, wäre das eine durchaus effektive Art des Protests: Wer mitmacht, macht der NSA also mehr Arbeit. Außerdem stellt man sicher, dass sonst niemand, der unterwegs Zugriff auf die eigene Mail haben könnte, mitliest.
Den Schlüssel hüten wie seinen Augapfel
Bei der Verschlüsselung wird lesbarer Text in unlesbaren verwandelt, in eine sinnlose Folge von Zeichen, eine Geheimsprache sozusagen. Nur derjenige, für den die Nachricht bestimmt ist, kann die Geheimsprache entschlüsseln. Dazu brauchen natürlich beide Nutzer einen Schlüssel - entweder denselben (symmetrische Verschlüsselung) oder unterschiedliche (asymmetrische Verschlüsselung).
Die gängigste und am einfachsten zu installierende Form der E-Mail-Verschlüsselung ist die asymmetrische Kryptografie. Sie basiert auf komplexen mathematischen Aufgaben, für deren Lösung selbst Großcomputer Jahre oder gar Jahrhunderte brauchen würden.
Unsere Anleitung nutzt einen Verschlüsselungsstandard namens PGP ("pretty good privacy"). Eine E-Mail oder ein beliebiger anderer Inhalt wird dabei mit Hilfe von zwei Schlüsseln chiffriert: einem öffentlichen (public key) und einem privaten (private key). Der öffentliche Schlüssel funktioniert in Wahrheit eher wie eine Art Vorhängeschloss, das man all seinen Korrespondenzpartnern zur Verfügung stellt: Wenn Nutzer A an Nutzer B eine verschlüsselte Mail schicken will, dann lässt er das Vorhängeschloss, den public key von Nutzer B, vor dem Abschicken zuschnappen. Der private key von Nutzer B ist der einzige Schlüssel, der das Vorhängeschloss wieder öffnen kann und die E-Mail entschlüsselt.
Den privaten Schlüssel sollte man deshalb hüten wie seinen Augapfel. Er darf niemandem zugänglich gemacht werden, sonst ist die eigene E-Mail genauso unsicher wie das eigene Haus, wenn der Schlüssel auf der Türschwelle herumliegt.
Erst Schlüssel tauschen, dann mailen
Verschlüsselt kommunizieren kann man mit jedem, mit dem man zuvor seinen öffentlichen Schlüssel - sein eigenes Vorhängeschloss - ausgetauscht hat. Das kann man entweder auf direktem Wege tun, indem man beispielsweise eine unverschlüsselte E-Mail verschickt, die den Schlüssel enthält - das E-Mail-Programm Thunderbird etwa bietet dafür sogar einen eigenen Menüpunkt an. Oder, indem man seinen öffentlichen Schlüssel auf einen sogenannten Schlüsselserver (keyserver) hochlädt. Das hat allerdings zur Folge, dass auch die eigene E-Mail-Adresse dort einsehbar ist, auch beispielsweise für Spammer.
Wer auf Nummer sicher gehen will, kann mit Hilfe eines sogenannten Fingerabdrucks (fingerprint) vergleichen, ob der Schlüssel auch wirklich von der Person stammt, mit der man Nachrichten austauschen möchte. Der Fingerprint ist eine einzigartige Zeichenkette aus 40 Zahlen und Buchstaben. Diesen Fingerabdruck kann man beispielsweise auf Visitenkarten oder über die eigene Homepage verteilen. So können Empfänger sicher sein, dass eine E-Mail auch wirklich vom angegebenen Absender stammt.
Nachtrag: Mac-Nutzer können zum Verschlüsseln ihrer E-Mails beispielsweise die Software GPGTools benutzen. Auf deren Website findet man auch ein - allerdings englischsprachiges - Tutorial zur Einrichtung. Auf Apple-Rechnern lässt sich aber auch, ebenso wie auf Linux-Rechnern, analog zu dem hier beschriebenen Verfahren Thunderbird in Kombination mit Enigmail einsetzen.
Anmerkung der Redaktion: Bitte beachten Sie, dass es sich bei unserer Anleitung um einen redaktionellen Service handelt. Das Netzwelt-Ressort hat sie nach bestem Wissen erstellt, übernimmt aber keinerlei Gewähr für die Anleitung und das Endprodukt. Die Einrichtung erfolgt auf eigenes Risiko, SPIEGEL ONLINE übernimmt insofern keine Haftung.
