Sicherheit

Tagebuch eines (noch) Ahnungslosen: Mein Weg zur Verschlüsselung – Teil 1: E-Mails und PGP

Tagebuch
geschrieben von Tobias Gillen

Seit einigen Wochen schon plagt es mich: das schlechte Gewissen. Jeden Tag kommen neue Dinge ans Licht, die illegalen Praktiken hinter NSA, GCHQ und BND werden immer weiter und tiefgründiger aufgedeckt. Und dennoch: Ich bin ahnungslos. PGP? SSL? Was-weiß-ich-was-für-eine-Abkürzung? Ich habe keine Ahnung von Verschlüsselung, Kryptologie und Co. Meine Daten sind ungeschützt. Bis jetzt. Denn nun wage ich mich endlich vor, raus aus der Lethargie und starte meinen Weg zur Verschlüsselung. In Teil 1 aus dem Tagebuch eines (noch) Ahnungslosen versuche ich, meine E-Mails zu verschlüsseln. Und ihr dürft in den Kommentaren gerne helfen, korrigieren, verbessern – und so auch anderen helfen.

Liebes Tagebuch,

Meine Wissensstand vor dem Versuch, meine E-Mails zu verschlüsseln, beläuft sich auf folgende Kenntnisse: Ich weiß, dass es etwas gibt, das sich PGP nennt. Und ich weiß, dass das irgendein wirrer Code ist. That’s it. Was noch? Nichts. Demnach beginnt mein Weg zu verschlüsselten E-Mails im Dunkeln. Zunächst einmal muss ich rausbekommen, was PGP eigentlich ist.

Erste Anlaufstelle: Wikipedia. Nun weiß ich immerhin, dass PGP die Abkürzung für Pretty Good Privacy ist. Irgendwie hatte ich hinter den drei Lettern mehr erwartet, aber gut. Im Wikipedia-Eintrag stehen Sachen wie

Bei PGP wird aber nicht die ganze Nachricht asymmetrisch verschlüsselt, denn dies wäre viel zu rechenintensiv. Stattdessen wird die eigentliche Nachricht symmetrisch und nur der verwendete Schlüssel asymmetrisch verschlüsselt (Hybride Verschlüsselung). Dazu wird jedes Mal ein symmetrischer Schlüssel zufällig erzeugt.

oder

PGP basiert dabei auf dem sogenannten Web of Trust, bei dem es keine zentrale Zertifizierungsinstanz gibt, sondern Vertrauen von den Benutzern selbst verwaltet wird.

Hilft das jemandem weiter, der bei Null anfängt? Eher nicht. Also schnell weg. Am liebsten würde ich jetzt schon aufgeben, wozu das alles? Ich fühle mich dumm. Eigentlich bin ich Tech-Blogger, Medienjournalist. Ich beschäftige mich den ganzen Tag mit Apple, Facebook, Twitter und Co., lese Texte über die NSA und bin jedes Mal schockiert, wenn ich sehe, was der amerikanische Geheimdienst alles mitbekommen hat in den letzten Jahren. Und dennoch verstehe ich nicht einmal den Wikipedia-Artikel zum Thema E-Mail-Verschlüsselung. Der Gedanke, dass ich damit höchstwahrscheinlich nicht alleine bin, sondern der großen Mehrheit angehöre, heitert mich auf, ich fasse neuen Mut.

public und secret keys

Irgendeiner wird bestimmt schon mal eine Anleitung „für Dumme“ geschrieben haben. Auf Metronaut.de werde ich fündig. Und verstehe: PGP-Verschlüsselung kann man sich vorstellen wie Vorhängeschlösser. Man hat ein Schloss und einen Schlüssel. Das Schloss kann jeder haben und seine Nachricht an mich damit verschließen. Den Schlüssel aber habe nur ich. Und demnach kann auch nur ich das Schloss öffnen und die Nachricht lesen. Andersrum verhält es sich genauso: Will ich jemandem eine verschlüsselte Nachricht schreiben, brauche ich sein Schloss. Ich schließe die Nachricht ab, er öffnet sie – mit seinem Schlüssel.

Schloss und Schlüssel nennen sich in diesem Fall public key und secret key. Den public key kann ich jedem an die Hand geben, der mir verschlüsselte Mails schreiben möchte. Wenn ich will, kann ich ihn sogar in mein Impressum packen und möglichen Informanten so die Möglichkeiten geben, mir verschlüsselte E-Mails zu schreiben. So weit, so gut. Den secret key (oder private key) muss ich ganz sicher versteckt bei mir behalten. Weil den möchte ja nur ich haben, zum Öffnen meiner eigenen Vorhängeschlösser. Am besten brenne ich ihn auf DVD und lösche ihn von meinem Rechner. So sei es am sichersten, habe ich irgendwo gelesen.

Der GPG-Schlüsselbund

So, die Technik von PGP habe ich verstanden. War ja gar nicht so schwer. Die Idee finde ich gut, will ich haben. Nur, wie? Dafür gibt es spezielle Programme für die einzelnen Betriebssysteme. In meinem Fall, Mac-User, schaue ich bei GPGTools.org vorbei. Windows-Nutzer sollen bei GPG4Win.org ebenfalls fündig werden. Das Tool, die 23 MB große GPG Suite, lade ich in windeseile herunter und installiere sie auf meinem Mac. Nun habe ich ein Programm, das sich GPG-Schlüsselbund nennt. Was soll das sein? Keine Ahnung. Aber ich bin ja angetreten, es herauszufinden. Also los.

GPG Suite

Soweit ich es verstanden habe, ist der GPG-Schlüsselbund zweierlei: Erstens ein Tool, mit dem ich für mich PGP-Keys erstellen kann. Und zweitens eine Art Adressbuch, wo ich die öffentlichen PGP-Keys meiner E-Mail-Kontakte abspeichern kann. Schließlich brauche ich die Vorhängeschlösser ja, um ihnen eine Mail zu schreiben – ich lerne dazu.

Also los: Ich erstelle meinen ersten eigenen PGP-Key. Da ich das zum ersten Mal mache, habe ich Angst, etwas falsch zu machen. Daher richte ich mich auf viel Googleei ein, sage vorsichtshalber alle anstehenden Termine in den nächsten zwei Wochen ab, erzähle Freunden und Verwandten, dass ich kurzfristig in den Urlaub geflogen bin. Zu meiner Überraschung ist das aber gar nicht nötig: Es dauert keine 15 Sekunden, da erklärt mir der GPG-Schlüsselbund, dass ich noch eine „Passphrase“ einsetzen solle und dass er jetzt eine Menge Zufallsvariablen zu erstellen habe. Ich solle mich doch bitte mal kurz anderen Dingen zuwenden. Sehr gerne: Schließlich stellt sich mir die Frage, was eine Passphrase ist? Die Lösung: Ein cooler Ausdruck für „langes Passwort“ – aha.

Konsequenzen aus der Verschlüsselung

Weitere 15 Sekunden später finde ich einen Eintrag in der Kartei mit meinem Namen, meiner E-Mail-Adresse und dem merkwürdigen Zusatz „sec/pub“. „sec“ steht dabei für „secret“ und „pub“ für „public“. Ich verstehe: In diesem Eintrag finden sich also beide Schlüssel. Alle Einträge von Kontakten haben daher nur den Zusatz „pub“ – got it.

Nun möchte das Tool ein Add-on in meinem Mail-Programm installieren. Bei Windows-Rechnern geht das wohl dann beispielsweise im Thunderbird-Mailprogramm. Eigentlich immer der gleiche Vorgang, nur eben an das jeweilige Betriebssystem angepasst. Ich schließe Mail, GPG öffnet es wieder und siehe da: Ich habe nun zwei neue Icons – ein erster Schwung Stolz trifft mich, aber ich will mehr: Ich will PGP-verschlüsselte E-Mails senden.

PGP-Mail

Alles was jetzt folgt, ist eigentlich recht logisch – auch für jemanden, der bis vor einer halben Stunde noch keine Ahnung von der Materie hatte. Es ergeben sich nun einige Konsequenzen für die Nutzung der PGP-Verschlüsselung:

a)

    Ich kann nur mit der E-Mail-Adresse verschlüsseln, mit der ich im GPG-Schlüsselbund den Key erstellt habe. Bedeutet: Will ich mit allen meinen E-Mail-Adressen verschlüsselt schreiben, muss ich für alle einen Key erstellen.

b) Ich kann die Icons zur Verschlüsselung nur nutzen, wenn ich den public key meines Gegenübers habe. Ohne sein Vorhängeschloss geht nichts – logisch. Das muss ich erst im GPG-Schlüsselbund einfügen, importieren oder den Kontakt mit CMD + F suchen.

c) Ich kann nur verschlüsselte E-Mails empfangen, wenn mein Gegenüber mein Vorhängeschloss (also meinen public key) hat. Das kann ich ihm entweder per E-Mail schicken und er fügt es ein oder er sucht mich auf dem Keyserver.

Und läuft!

Bevor ich meine E-Mail absenden kann, muss ich meine Passphrase eingeben. Mir fällt auf, dass es ein paar Momente länger dauert, bis die E-Mail versendet wird und bis sie ankommt – ob das normal ist weiß ich nicht. Jedenfalls finde ich es logisch, schließlich muss mein Computer nun den ein oder anderen zusätzlichen Schritt gehen.

Ist die Antwort dann da, werde ich wieder aufgefordert, meine Passphrase einzugeben. Eine Sekunde später finde ich dann die lesbare E-Mail. So schwer war das doch gar nicht. Ich merke aber schon jetzt, dass es noch viel gibt, was es zu verstehen gilt. Außerdem muss ich mich erst daran gewöhnen, das kleine Schloss-Icon vor dem Absenden einer E-Mail zu drücken. Und stoße auch schon auf ein erstes Problem: Wie genau öffne ich eine PGP-verschlüsselte E-Mail noch gleich am iPhone? Richtig, mit einer passenden App – aber dazu dann mehr in einem der nächsten Teile.

Dein Tobias

Hinweis: Zu Teil 2.

Hinweis in eigener Sache: Das Tagebuch gibt es nun mit vielen weiteren nützlichen Tipps und Tricks als günstiges E-Book!

Bilder: Screenshots

Über den Autor

Tobias Gillen

Tobias Gillen ist seit August 2014 Chefredakteur und seit Mai 2015 Geschäftsführer von BASIC thinking. Erreichen kann man ihn immer per E-Mail oder in den Netzwerken.

21 Kommentare

  • „Und dennoch verstehe ich nicht einmal den Wikipedia-Artikel zum Thema E-Mail-Verschlüsselung.“

    Ein Punkt, den ich auch an der Wikipedia kritisiere. Ich erinnere mich noch an Zeiten, in denen ich als Schüler Artikel zur theoretischen Informatik oder zu Mathematik-Themen durchstöbern konnte. Nun bin ich älter geworden, studiere an einer Universität und das Niveau der Wikipedia hat sich mit meinem erhöht. Informatik-Artikel enthalten plötzlich weniger Laienbegriffe und viel mehr theoretische, formalmathematische Grundlagen. Das ist schön und gut, wenn man die Wikipedia für seinen eigenen Bereich nutzt (wozu man im wissenschaftlichen Bereich eigentlich Papers nutzen sollte; und wozu man für einfache Probleme oft doch die Suchmaschine anwirft und Tutorials sucht), aber es taugt einfach nichts, wenn man in einen fremden Bereich reinlesen will – wozu eine Enzyklopädie eigentlich da sein sollte.

    Aber zu deinem Problem:

    „Außerdem muss ich mich erst daran gewöhnen, das kleine Schloss-Icon vor dem Absenden einer E-Mail zu drücken.“

    Du kannst im Thunderbird unter „Kontoeinstellungen“ nun zu jedem Konto OpenPGP-Einstellungen treffen (da gibts jeweils einen neuen Menüpunkt). Dort kannst du anwählen, ob Nachrichten standardmäßig unterschrieben (der Empfänger kann sicher sein, dass die Nachricht von dir kommt und nicht verändert wurde) oder verschlüsselt (nur der Empfänger kann die Nachricht lesen) werden sollen. Dann musst du den Knopf zum Verschlüsseln nicht mehr anklicken, wenn du verschlüsseln willst. Dafür aber, wenn du nicht verschlüsseln willst.

    Leider gibt es meines Wissens keine Möglichkeit im Thunderbird „Verschlüssle, wenn ich bereits einen öffentlichen Schlüssel des Empfängers besitze“. Eventuell auch mit Zusatz „Suche bei jedem Versand nach einem Schlüssel auf einem Keyserver“. Dann wäre jede e-Mail zwar wesentlich langsamer, aber ein gutes Maß an Benutzerfreundlichkeit erreicht.

    • Hallo Stefan,

      vielen Dank für deinen Zuspruch! (-:
      Bzgl. meines Problems: Ich nutze Thunderbird ja gar nicht, bin ja ein Mac-Nutzer. Aber vielleicht hilft dein Kommentar ja dem ein oder anderen Windows-User!

      Danke und Grüße,
      Tobias

  • „Ich beschäftige mich den ganzen Tag mit Apple, Facebook, Twitter und Co., lese Texte über die NSA und bin jedes Mal schockiert[…]“

    Und natürlich Google. Sei mir nicht böse, aber das schmerzt regelrecht beim Lesen und ich höre ähnliches in den letzten Wochen immer wieder. Dabei ist seit Gründung all dieser Firmen jedem bekannt, womit sie ihr Geld verdienen.
    Surf- und Kaufverhalten werden analysiert, Mails gelesen und ausgewertet, Daten verkauft usw. Jetzt plötzlich, wo der NSA-Skandal in den Medien breit getreten wird, sind die Menschen plötzlich „schockiert“. Kannst du nachvollziehen, warum ich bei solchen Aussagen wie oben nur fassungslos den Kopf schütteln kann? Wie gesagt, ist wirklich nicht böse oder persönlich gemeint.

    Davon ab, die Idee des Tagebuchs finde ich klasse! Ich werde es verfolgen und bin gespannt auf das Ergebnis des Praxistests. 🙂

    PS: Stefan Koch kann ich bezgl. Wikipedia nur zustimmen. Wenn man bei Wiki etwas nachschlägt, wird man mit Fachbegriffen bombardiert, die einen Laien nur noch ratloser dastehen lassen. Nach spätestens dem 3. weiterführenden Link, die alle wieder im puren Fachchinesisch verfasst sind, gibt man auf und holt sich die Informationen woanders.

    • Hallo Ben,

      na klar, das ist mir ja auch bekannt. Ich bin auch nicht ob des Datenverkaufs schockiert, sondern eher, dass sich die NSA die Daten auf illegalen Wegen beschafft, dazu Merkelphone und Co. – das ist es, was mich schockiert. Ich kann das gut nachvollziehen, aber so wie ich es gemeint habe, ist es in dem Fall leider nicht angekommen.

      Danke dir, das freut mich! Wenn du Tipps und Tricks für mich hast, immer her damit! 🙂

      Liebe Grüße, Tobias

  • Das liegt in der Natur von Geheimdiensten, dass sie sich ihre Informationen auf Wegen beschaffen, die in anderen Staaten illegal sind. Das macht nicht nur die NSA so.

    Unabhängig davon:

    Ich nutze PGP und S/MIME. Persönlich finde ich S/MIME besser, da es einfach viel besser in iOS (und Outlook) integriert ist, PGP ist auf Mobilgeräten ein echter Krampf.

    Prinzipiell ist es das gleiche wie PGP, nur dass es hier einen Server gibt, der Zertifikate authentifiziert.

    P.S. Thunderbird kann man durchaus auch auf Mac nutzen. Das ist kein Windows-only Programm

    • Ich finde PGP mit einer App gar nicht soooo „krampfig“, um ehrlich zu sein – läuft bei mir eigentlich ziemlich rund und geht fix.
      S/MIME muss ich mir mal näher anschauen, dazu dann mehr in einem der weiteren Teile.
      P.S.: Ich weiß, ich wollte nur sagen: Ich nutze das Mail-Programm von Apple.

      Liebe Grüße und Danke,
      Tobias

  • Also PGP sieht bei mir so aus: Ich bekomme eine Mail, muss entweder den Anhang anklicken, dann dort öffnen in z.B: IPGMail , dort wieder das Passwort eingeben, und dann noch einmal die entschlüsselte Textdatei auswählen.

    Alternativ, den PGP-Text auswählen, die App öffnen, dort importieren, Key eingeben usw.

    Versenden ist ähnlich frickelig. Klar, es funktioniert, aber es ist halt nicht das Nonplusultra.

    Bei S/MIME importiert man das Zertifikat. Dann wird, wenn ich z.B. an dich eine Mail schreiben würde, automatisch die Mail verschlüsselt in der Mail.app, ich bekomme davon rein gar nichts mit, außer dass ein Haken angezeigt wird. Beim Entschlüsseln ähnlich, es wird sofort automatisch entschlüsselt im Hintergrund.

    Allerdings sollte man hierbei natürlich dringend eine Zugriffssperre für das Gerät einrichten bzw. das Gerät auch nicht aus der Hand geben, an Personen denen ich nicht vertraue.

  • @Hendrik, ich habe auch versucht das viel elegantere S/MIMI auf Mac und iPhone zum laufen zu bringen, leider bisher ohne Erfolg. Das knifflige dabei sind die Zertifikate, wo je nach iOS Version ein Zertifikat akzeptiert wird oder eben nicht…

  • Lieber Tobias,
    vielen Dank für deine verschlüsselte Nachricht(en) :-)!

    Du bist damit jetzt Mitglied im exklusiven NSA-Terroverdächtigen-Club :-)!

    Um dir unseren vollen Service bieten zu können haben wir vollautomatisch und ganz ohne daß du etwas dafür tun musste schon mal deinen Computer übernommen und auch die Computer aller deiner Kontakte und der Kontakte deiner Kontakte usw. bis in’s siebte Kontaktglied.

    Schließlich ist jeder, der jemand kennt, der jemand kennt, der jemand kennt, der jemand kennt der Daten verschlüsselt ebenfalls ein potentieler Raubmord-Terrorismusverdächtiger und damit ebenso unser besonderer Freund, wie du :-).

    Wir kennen jetzt also schon dein komplettes Leben und wissen mehr über dich als du selber :-).

    Aber mach ruhig weiter… Daten können wir ja bekanntlich nie genug haben :-)!

    Mit spionigen Grüßen

    Dein NSArsch

    P.S: Kennst du schon unser Bonusprogramm für unsere Premium-Kunden?

    Da gibt es Reisen nach Kuba oder persönlichen Service von unseren freundlichen Befragungs-Animateuren und vieles mehr :-).

    • Lieber NSArsch,

      ich freue mich, endlich Mitglied in eurem exklusiven Club zu sein und freue mich auf viele gemeinsame Stunden mit den Mitgliedern von NSArsch 😉

      Liebe Grüße,

      Euer neues Mitglied

  • Meine Erfahrung zum Thema Mails und PGP: Thunderbird + Enigmail Plugin am Rechner, K-9 Mai + APG unter Android. Beides lässt sich ohne Probleme so konfigurieren, das bei bei vorhandenen Keys automatisch verschlüsselt und/oder signiert wird. Bis aufs Passwort völlig transparent. Außerdem können die Keys auch anderen Mailadressen zugeordnet werden 🙂

    unpraktisch wird es dann, wenn man an seiner alten Software festhalten möchte 🙁

  • Mich verwirrt das Thema „Schlüssel“ immer beim verschlüsseln.

    Der Mailempfänger muss doch ebenfalls den Schlüssel zum Entschlüsseln der Mails haben:

    Aber wenn man den Schlüssel unverschlüsselt an den Empfänger schickt und diese Mail abgefangen wird, können doch erneut alle Mails mitgelesen werden, oder?

    Muss nicht zudem der Mailempfänger auch alle Plugins und Zusatzdienste installiert haben, um die Mail zu lesen?

    Das ganze System würde also nur funktionieren, wenn alle an einem Strang ziehen. Behördenmails kann man so also wieder vergessen?

  • Du verschlüsselst die E-Mail ja mit dem Schloss des Empfängers, damit er es mit seinem Schlüssel öffnen kann. Du verschickst also wenn nur das öffentliche Schloss, nicht aber deinen privaten Schlüssel.

    Zu deiner zweiten Frage: Jap, der Gegenüber muss natürlich auch eine PGP-Verschlüsselung anbieten. Ohne sein Schloss kannst du die Mail nicht verschlüsseln. Leider nutzen bislang noch zu wenig Menschen PGP…

  • Hallo
    so alles eingerichtet …. Danke für deine Infos….. was ist nun eigentlich mit dem Iphone kund Ipad ?

  • […] Mein Weg zur Verschlüsselung Im nächsten Artikel geht es um das Thema “Verschlüsselungen”. Warum ich der Überzeugung bin, dass man sich ausreichend verschlüsseln sollte, habe ich mal vor Kurzem in einem Artikel geschrieben. Tobias von Basic thinking hat sich auch mit der Thematik befasst und beschreibt seine Erfahrungen in einer Artikelserie. […]

Kommentieren