E-Mails mit OpenPGP verschlüsseln

openpgp headerOpenPGP ist ein standardisiertes Verfahren zur Verschlüsselung und Signierung von Daten. Grundsätzlich können mit OpenPGP auch Dateien verschlüsselt werden, jedoch haben sich für die Betriebssystem- und Benutzerdatenverschlüsselung andere Verfahren durchgesetzt. Weiterhin kommt es auch im Rahmen der Linux-Softwareverteilung zum Einsatz. Zwei primäre Einsatzgebiete von OpenPGP sind jedoch heute die Signierung und Verschlüsselung von E-Mails.

Nicht alle E-Mail Programme unterstützen OpenPGP, bei vielen lässt es sich jedoch nachträglich implementieren. Während die OpenPGP-Implementierung GnuPG unter Linux standardmäßig verfügbar ist und lediglich Schlüssel erzeugt werden müssen, benötigt Windows erst einmal eine grundlegende PGP-Installation.

Dieser Artikel bietet eine Übersicht über die verfügbaren Alternativen und ihrer Funktionweisen. Er dient nicht der Vermittlung eines tieferen Verständnisses der Verschlüsselungsmethode, noch ersetzt er detaillierte Anleitungen der einzelnen Clientsysteme.

In Konkurrenz zu OpenPGP steht das Verschlüsselungsverfahren mit S/MIME, das ebenfalls eine Signierung und Verschlüsselung von E-Mails ermöglicht.


Hintergrund

OpenPGP basiert auf einem Zwei-Schlüssel-Verfahren. Mit einem öffentlichen Schlüssel werden die Nachrichten verschlüsselt, zur Entschlüsselung muss man jedoch über einen zweiten, privaten Schlüssel verfügen. Eine reine Signatur der E-Mails ist jedoch auch möglich.

Die Schlüsselbeglaubigung basiert auf einem "Web of Trust" (Netz des Vertrauens) genannten Verfahren. Bei dieser Methode können Dritte den öffentlichen Schlüssel beglaubigen (d.h. zertifizieren, dass Schlüssel und Person zusammen gehören), dahinter steht allerdings kein hierarchisches System.

Der OpenPGP Standard ist plattformunabhängig und steht in verschiedenen Implementierungen für viele Betriebssysteme zur Verfügung. Prominent sind das seit 2010 zu Symantec gehörige kommerzielle PGP und die freie Implementierung GnuPG. Dieses wurde 2014 einer größeren Öffentlichkeit bekannt, als der Hauptentwickler mit einem dramatischen Appell auf die katastrophale Finanzierungssituation des Projekts hinwies. Im Zusammenhang mit der Heartbleed-Lücke in OpenSSL, die im Frühjahr 2014 für Furore sorgte, führte dies zu einer kritischen Diskussion über das Missverhältnis von enormen Profiten großer IT-Unternehmen durch Open Source und mangelndem Entwicklungsengagement.


Betriebssysteme 

OpenPGP für Linux

Die OpenPGP-Implementierung GnuPG bei allen nennenswerten Linux-Distributionen vorinstalliert. Viele native E-Mail Programme wie Evolution, KMail oder Claws Mail greifen auf die interne Schlüsselverwaltung zurück. Die Schlüssel werden hierbei im Homeverzeichnis des Benutzers unter ./gnupg gespeichert.

Linux - Konsole

Ein neues Schlüsselpaar (bestehend aus dem privaten und dem öffentlichen Schlüssel) lässt sich unkompliziert auf der Konsole erzeugen.

gpg --gen-key

Die Standardvorgaben sollten dabei nur in begründeten Fällen verändert werden.

Direkt auf der Konsole lässt sich auch ein Widerruf-Zertifikat (revoke-key) erzeugen, für den Fall, dass man den Schlüssel eines Tages zurückziehen möchte.

gpg --gen-revoke <Kennung des Schlüssels>

Bei der Begründung hat man die freie Auswahl, da dies auf die Funktion des Rückruf-Zertifikats keinen Einfluss hat. Bei einem vorsorglich erstellten Widerruf-Zertifikat ist die Option 1 (Schlüssel ist nicht mehr sicher) sinnvoll, da dies der wahrscheinlichste Grund eines zukünftigen Rückrufs ist. Das hierdurch erstellte Zertifikat sollte sicher aufbewahrt werden.

Linux - Native E-Mail Programme

Schlüsselverwaltung

Es gibt diverse grafische Aufsätze für GnuPG, weshalb sich Schlüssel auch ohne den direkten Zugriff auf die Konsole erzeugen und verwalten lassen. Ein gutes, desktop- und plattformübergreifend verfügbares, Programm ist Kleopatra.

Um einen neuen Schlüssel zu erzeugen wählt man in Datei / Neues Zertifikat die Option Persönliches OpenPGP-Schlüsselpaar erzeugen. Anschließend erscheint eine kurze Dialogabfolge, in diese trägt man Name und E-Mail Adresse, sowie ein optionales Kommentar ein und erzeugt den Schlüssel. Zum Schluss bietet einem das Programm an den Schlüssel zu sichern und dieses ggf. gleich per E-Mail zu versenden bzw. auf einen Schlüsselserver hochzuladen.

Eine weitere mögliche grafische Schlüsselverwaltungen ist Seahorse (für GNOME), dies eignet sich vor allem für Gtk-basierte Desktopumgebungen wie Unity 7, GNOME, MATE und Xfce, da es keine KDE/Qt-Abhängigkeiten besitzt.

Viele grafische Aufsätze unterstützen jedoch nicht alle Funktionen von GnuPG. Einen Revoke-Key muss man deshalb oft trotzdem auf der Konsole erzeugen.

E-Mailprogramme

Zusätzlich benötigt man ein E-Mail Programm, dass mit Zertifikaten im GnuPG Speichersystem umgehen kann. Das sind beispielsweise:

Mozilla Thunderbird

Mozilla Thunderbird bietet, obwohl es ein weit verbreitetes Open Source Programm ist, keine integrierte PGP-Verschlüsselung. Diese kann über das Addon Enigmail nachgerüstet werden. Enigmail basiert auf GnuPG und funktioniert plattformunabhängig auf Windows und Linux.


OpenPGP für Microsoft Windows

OpenPGP ist bei Windows keine vorinstallierte Komponente. Das Verfahren zur Implementierung der OpenPGP-Funktionalität steht in direkter Verbindung zum gewählten E-Mail-Programm.

Microsoft Outlook

Microsoft Outlook kann standardmäßig nicht mit PGP umgehen. Es gibt jedoch verschiedene - kostenlose wie kostenpflichtige - Möglichkeiten diese Funktionalität über ein so genanntes AddIn nachträglich zu implementieren.

Eine Möglichkeit ist Gpg4win, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Auftrag gegeben wurde. Gpg4win besteht im Prinzip aus einer Zusammenstellung freier Softwareprodukte. Die zentrale Schlüsselverwaltung übernimmt dabei das bereits vorgestellte Kleopatra. Über das AddIn GpgOL wird die Verschlüsselungsfunktionalität in Outlook eingebunden. In der Ribbonleiste finden sich dann die Optionen für das signieren und verschlüsseln der Nachrichten.

Eine weitere Möglichkeit stellt die Software gpg4o bereit. Dabei handelt es sich um eine kostenpflichtige Software, die sich ebenfalls als AddIn in Outlook integriert.

Grundsätzlich ermöglichen beide Optionen eine per OpenPGP verschlüsselte Kommunikation via E-Mail. Das kommerzielle gpg4o ist dabei in der Bedienung verständlicher und kann eine lohnende Investition darstellen.

Windows - Mozilla Thunderbird

Mozilla Thunderbird bietet - wie auch Microsoft Outlook - keine integrierte PGP-Verschlüsselung. Diese kann über das Addon Enigmail nachgerüstet werden. Enigmail basiert auf GnuPG und funktioniert plattformunabhängig auf Windows und Linux. Während bei Linux-Distributioen GnuPG bereits vorinstalliert ist, muss für Windows zuerst eine GnuPG-Installation vorgenommen werden, damit Enigmail funktioniert. Dazu eignet sich das bereits erwähnte gpg4win, in dessen Installationsroutine sich eine angepasste minimale GnuPG-Installation auswählen lässt.


OpenPGP für macOS

GPGTools

gpgtools schluesselverwaltungGPGTools ist eine Softwaresammlung, die GnuPG in macOS integriert. Die Softwareversammlung bietet die beiden am häufigsten genutzten Funktionen von OpenPGP Mailverschlüsselung und Dateiverschlüsselung.

Die Suite besteht aus dem Addon für Apple Mail, genannt GPGMail, dem GPG Keychain über den sich die Schlüssel verwalten lassen, sowie einem Modul für die Systemeinstellungen. In diesem lassen sich unter anderem Schlüsselserver festlegen. Hinzu kommt eine Erweiterung für den Dateimanager Finder. Darüber lassen sich sich leicht Dateien ver- und entschlüsseln.

Die Schlüsselveraltung ist eine simple Benutzeroberfläche, über die sich Schlüssel im- und exportieren lassen, sowie neue Schlüssel von hinterlegten Servern bezogen werden können. Intern werden die Schlüssel im versteckten Verzeichnis .gnupg gespeichert.

Seit Version 3.0 kostet das Addon für Apple Mail eine kleine Gebühr um die Entwicklung zu unterstützen.

NouveauPG

Eine weitere Methode ist NouveauPG, das im Mac App Store zu finden ist. Im Gegensatz zu den GPG Tools integriert es sich nicht in die verschiedenen Bestandteile, sondern ermöglicht lediglich die Zertifikatsverwaltung, sowie Ver- und Entschlüsselung von Textbausteinen, die sich dann mit einem beliebigen Mailprogramm verschicken lassen. Diese Lösung ist vor allem für Gelegenheitsnutzer interessant.


Mobile Systeme

OpenPGP hat sich im mobilen Bereich bisher nicht vollständig durchsetzen können. Das weit verbreitete Android kann allerdings mittels einer Kombination aus K9-Mail und OpenKeychain E-Mails ver- und entschlüsseln. Für iOS gibt es keine App, die PGP in die Mail-App integriert, das gleiche gilt für Windows Phone. Allerdings gibt es separate PGP-Apps für diese Plattformen, durch die eine manuell Ent- und Verschlüsselung von Text möglich ist, der dann mit der Mail-App verschickt werden kann.


Browserbasierte Schlüsselverwaltung

E-Mails nur noch im Webclient zu lesen und zu verfassen ist seit einigen Jahren eine verbreitete Methode. Ein separates E-Mail Programm gehört deshalb nicht mehr zwangsläufig zum Standardumfang eines Betriebssystems. Das Addon Mailvelope ermöglicht es dennoch eine PGP-Verschlüsselung zu nutzen. Mailvelope ist als Addon für Mozilla Firefox und Google Chrome bzw. Chromium verfügbar.

Die Schlüsselverwaltung erfolgt im Mailvelope-Addon, welches nach seiner Installation die Internetseiten der Mailanbieter um Schaltflächen zur Ver- und Entschlüsselung ergänzt. Die Nachricht wird in einem separaten Mailvelope-Fenster verfasst und anschließend automatisch verschlüsselt in den Texteditor des Mailclienten übertragen. Zwar gibt es die Möglichkeit bei einigen Dienstanbietern direkt im Texteditor des Anbieters zu schreiben, dies gefährdet aber möglicherweise die Sicherheit des Verfahrens, weshalb davon abzuraten ist.

Grundsätzlich erfolgt die Schlüsselverwaltung, sowie die Ver- und Entschlüsselung lokal im Browser und nicht beim E-Mail Anbieter, auch wenn diese Trennung durch die geschickte Verzahnung nicht ganz so deutlich ist wie bei den E-Mail Prograammen. 


OpenPGP im Alltag nutzen

Sobald PGP auf dem eigenen System eingerichtet ist und die Schlüssel erzeugt sind, steht man vor dem Problem Verschlüsselung in den eigenen Alltag zu integrieren. Ein erster Schritt besteht darin den eigenen öffentlichen Schlüssel gegenwärtigen und potenziellen Kommunikationspartnern zugänglich zu machen.

Eine Möglichkeit hierzu sind Schlüsselserver (auch Keyserver). Dabei handelt es sich um einen - teilweise synchronisierten - Ring von Servern auf denen die öffentlichen Schlüssel zu vielen Mailadressen hinterlegt sind (z.B. der MIT PGP Server). Viele (grafische) Programme wie Enigmail oder Kleopatra greifen zumindest teilweise automatisch auf diese Server zu. Problematisch an den Schlüsselservern sind zwei Aspekte: Erstens präsentiert man auf diesen die Mail-Adresse im Netz und macht sie so z.B. für Spambots verfügbar, zweitens lässt sich die Identität der Schlüsselinhaber nicht zweifelsfrei sicherstellen. Sofern man den öffentlichen Schlüssel auf einem Schlüsselserver hinterlegt, sollte man auf jeden Fall ein Widerruf-Zertifikat erstellen. Durch dieses kann man den Schlüssel zurückziehen, sofern man fürchtet er könnte kompromittiert sein. Falls man dies nicht macht, kann man einen einmal verbreiteten Schlüssel nicht zurückziehen, sobald man die Kontrolle (z.B. durch Datenverlust) verloren hat.

Eine relativ einfache Möglichkeit den eigenen Schlüssel zu verbreiten, besteht darin ausgehende E-Mails automatisch zu signieren. Empfänger mit einer eingerichteten PGP-Funktion können hierdurch verschlüsselte Antworten verfassen und zukünftige Nachrichten verschlüsseln. Andere Empfänger sehen jede nach E-Mail Programm, dass die Nachricht signiert ist oder lediglich eine kleine Anhangdatei.


Zusammengefasst

OpenPGP bietet ein hohes Maß an Sicherheit. Das Verfahren ist nicht gebrochen und Mailinhalte werden zuverlässig geschützt, die Metadaten liegen jedoch dennoch offen. Die Einrichtung ist bei Betriebssystemen, die bereits über eine native PGP-Integration verfügen einfacher, als bei nachträglich eingerichteten Komponenten. Insbesondere im mobilen Bereich konnte sich PGP bisher nicht etablieren. Grundsätzlich machen zudem herkömmliche E-Mail Programme mit eingebauter PGP-Unterstützung wie z.B. Evolution oder KMail den langfristigen Gebrauch einfacher, als Programme mit nachträglich per Addon/AddIn implementierter Verschlüsselungsoption, sowie Browser-Addons. Dennoch lässt sich OpenPGP auf allen Plattformen und mit allen Programmen zuverlässig benutzen.

Über

[Mer]Curius bietet Informationen zur technischen Dimension des Datenschutz im digitalen Bereich. Neben permanent aktualisierten Artikeln zu Betriebssystemen, Verschlüsselung und Kommunikationsabsicherung werden im Blog aktuelle Trends präsentiert und kommentiert.

Top