Datenschutz im digitalen Alltag

Damit Privates privat bleibt

E-Mails mit OpenPGP verschlüsseln

OpenPGP ist ein standardisiertes Verfahren zur Verschlüsselung und Signierung von Daten. Grundsätzlich können mit OpenPGP auch Dateien verschlüsselt werden, jedoch haben sich für die Betriebssystem- und Benutzerdatenverschlüsselung andere Verfahren durchgesetzt. Weiterhin kommt es auch im Rahmen der Linux-Softwareverteilung zum Einsatz. Zwei primäre Einsatzgebiete von OpenPGP sind jedoch heute die Signierung und Verschlüsselung von E-Mails.

Nicht alle E-Mail Programme unterstützen OpenPGP, bei vielen lässt es sich jedoch nachträglich implementieren. Während die OpenPGP-Implementierung GnuPG unter Linux standardmäßig verfügbar ist und lediglich Schlüssel erzeugt werden müssen, benötigt Windows erst einmal eine grundlegende PGP-Installation.

Dieser Artikel bietet eine Übersicht über die verfügbaren Alternativen und ihrer Funktionweisen. Er dient nicht der Vermittlung eines tieferen Verständnisses der Verschlüsselungsmethode, noch ersetzt er detaillierte Anleitungen der einzelnen Clientsysteme.

In Konkurrenz zu OpenPGP steht das Verschlüsselungsverfahren mit S/MIME, das ebenfalls eine Signierung und Verschlüsselung von E-Mails ermöglicht.


Hintergrund

OpenPGP basiert auf einem Zwei-Schlüssel-Verfahren. Mit einem öffentlichen Schlüssel werden die Nachrichten verschlüsselt, zur Entschlüsselung muss man jedoch über einen zweiten, privaten Schlüssel verfügen. Eine reine Signatur der E-Mails ist jedoch auch möglich.

Die Schlüsselbeglaubigung basiert auf einem "Web of Trust" (Netz des Vertrauens) genannten Verfahren. Bei dieser Methode können Dritte den öffentlichen Schlüssel beglaubigen (d.h. zertifizieren, dass Schlüssel und Person zusammen gehören), dahinter steht allerdings kein hierarchisches System.

Der OpenPGP Standard ist plattformunabhängig und steht in verschiedenen Implementierungen für viele Betriebssysteme zur Verfügung. Prominent sind das seit 2010 zu Symantec gehörige kommerzielle PGP und die freie Implementierung GnuPG. Dieses wurde 2014 einer größeren Öffentlichkeit bekannt, als der Hauptentwickler mit einem dramatischen Appell auf die katastrophale Finanzierungssituation des Projekts hinwies. Im Zusammenhang mit der Heartbleed-Lücke in OpenSSL, die im Frühjahr 2014 für Furore sorgte, führte dies zu einer kritischen Diskussion über das Missverhältnis von enormen Profiten großer IT-Unternehmen durch Open Source und mangelndem Entwicklungsengagement.


Betriebssysteme

Die Einrichtung von OpenPGP unterscheidet sich je nach Betriebssystem. Die folgenden Unterartikel bieten detaillierte Informationen für die am weitesten verbreiteten Betriebssysteme.

Linux

Die OpenPGP-Implementierung GnuPG bei allen nennenswerten Linux-Distributionen vorinstalliert. OpenPGP dient bei den meisten Linux-Distributionen auch nicht nur zur E-Mail Verschlüsselung, sondern auch zur Signierung und Verifizierung der integrierten Paketverwaltung. Es ist daher sehr gut unterstützt.

Weiterlesen: OpenPGP unter Linux

Windows

OpenPGP ist bei Windows keine vorinstallierte Komponente. Das Verfahren zur Implementierung der OpenPGP-Funktionalität steht in direkter Verbindung zum gewählten E-Mail-Programm, ist aber grundsätzlich für alle gängigen Programme möglich.

Weiterlesen: OpenPGP unter Windows

macOS

OpenPGP ist bei macOS keine vorinstallierte Komponente. Es lässt sich aber auf systemebene einrichten und steht dann in diversen Programmen wie Apple Mail oder Finder zur Verfügung.

Weiterlesen: OpenPGP unter macOS 

Mobile Systeme

OpenPGP hat sich im mobilen Bereich bisher nicht vollständig durchsetzen können. Das weit verbreitete Android kann allerdings mittels einer Kombination aus K9-Mail und OpenKeychain E-Mails ver- und entschlüsseln. Für iOS gibt es keine App, die PGP in die Mail-App integriert, das gleiche gilt für Windows Phone. Allerdings gibt es separate PGP-Apps für diese Plattformen, durch die eine manuell Ent- und Verschlüsselung von Text möglich ist, der dann mit der Mail-App verschickt werden kann.


Browserbasierte Schlüsselverwaltung

E-Mails nur noch im Webclient zu lesen und zu verfassen ist seit einigen Jahren eine verbreitete Methode. Ein separates E-Mail Programm gehört deshalb nicht mehr zwangsläufig zum Standardumfang eines Betriebssystems. Das Addon Mailvelope ermöglicht es dennoch eine PGP-Verschlüsselung zu nutzen. Mailvelope ist als Addon für Mozilla Firefox und Google Chrome bzw. Chromium verfügbar.

Die Schlüsselverwaltung erfolgt im Mailvelope-Addon, welches nach seiner Installation die Internetseiten der Mailanbieter um Schaltflächen zur Ver- und Entschlüsselung ergänzt. Die Nachricht wird in einem separaten Mailvelope-Fenster verfasst und anschließend automatisch verschlüsselt in den Texteditor des Mailclienten übertragen. Zwar gibt es die Möglichkeit bei einigen Dienstanbietern direkt im Texteditor des Anbieters zu schreiben, dies gefährdet aber möglicherweise die Sicherheit des Verfahrens, weshalb davon abzuraten ist.

Grundsätzlich erfolgt die Schlüsselverwaltung, sowie die Ver- und Entschlüsselung lokal im Browser und nicht beim E-Mail Anbieter, auch wenn diese Trennung durch die geschickte Verzahnung nicht ganz so deutlich ist wie bei den E-Mail Prograammen. 


OpenPGP im Alltag nutzen

Sobald PGP auf dem eigenen System eingerichtet ist und die Schlüssel erzeugt sind, steht man vor dem Problem Verschlüsselung in den eigenen Alltag zu integrieren. Ein erster Schritt besteht darin den eigenen öffentlichen Schlüssel gegenwärtigen und potenziellen Kommunikationspartnern zugänglich zu machen.

Eine Möglichkeit hierzu sind Schlüsselserver (auch Keyserver). Dabei handelt es sich um einen - teilweise synchronisierten - Ring von Servern auf denen die öffentlichen Schlüssel zu vielen Mailadressen hinterlegt sind (z.B. der MIT PGP Server). Viele (grafische) Programme wie Enigmail oder Kleopatra greifen zumindest teilweise automatisch auf diese Server zu. Problematisch an den Schlüsselservern sind zwei Aspekte: Erstens präsentiert man auf diesen die Mail-Adresse im Netz und macht sie so z.B. für Spambots verfügbar, zweitens lässt sich die Identität der Schlüsselinhaber nicht zweifelsfrei sicherstellen. Sofern man den öffentlichen Schlüssel auf einem Schlüsselserver hinterlegt, sollte man auf jeden Fall ein Widerruf-Zertifikat erstellen. Durch dieses kann man den Schlüssel zurückziehen, sofern man fürchtet er könnte kompromittiert sein. Falls man dies nicht macht, kann man einen einmal verbreiteten Schlüssel nicht zurückziehen, sobald man die Kontrolle (z.B. durch Datenverlust) verloren hat.

Eine relativ einfache Möglichkeit den eigenen Schlüssel zu verbreiten, besteht darin ausgehende E-Mails automatisch zu signieren. Empfänger mit einer eingerichteten PGP-Funktion können hierdurch verschlüsselte Antworten verfassen und zukünftige Nachrichten verschlüsseln. Andere Empfänger sehen jede nach E-Mail Programm, dass die Nachricht signiert ist oder lediglich eine kleine Anhangdatei.


Zusammengefasst

OpenPGP bietet ein hohes Maß an Sicherheit. Das Verfahren ist nicht gebrochen und Mailinhalte werden zuverlässig geschützt, die Metadaten liegen jedoch dennoch offen. Die Einrichtung ist bei Betriebssystemen, die bereits über eine native PGP-Integration verfügen einfacher, als bei nachträglich eingerichteten Komponenten. Insbesondere im mobilen Bereich konnte sich PGP bisher nicht etablieren. Grundsätzlich machen zudem herkömmliche E-Mail Programme mit eingebauter PGP-Unterstützung wie z.B. Evolution oder KMail den langfristigen Gebrauch einfacher, als Programme mit nachträglich per Addon/AddIn implementierter Verschlüsselungsoption, sowie Browser-Addons. Dennoch lässt sich OpenPGP auf allen Plattformen und mit allen Programmen zuverlässig benutzen.

Tags: E-Mail, Verschlüsselung, OpenPGP, PGP, GnuPG, GPG, gpg4o, gpg4win, Enigmail

  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Systemen Weiterlesen
  • 1