Verschlüsselt schreiben? Einfacher als erwartet
24.07.2017 | Petra Alm
Den Kommunikationsmethoden, die die Verschlüsselung unterstützen und somit die Privatsphäre der Nutzer schützen, widmen wir uns in unserem Magazin regelmäßig. Heute werden wir in die Vergangenheit zurückkehren und uns eine unterschriebene und verschlüsselte E-Mail mithilfe von PGP senden. Es könnte zwar scheinen, dass dieses Sicherheitstool überholt ist, aber in Wirklichkeit hat der Dienst noch viel anzubieten. Außerdem macht PGP Spaß!
Phil Zimmermann, „Vater“ von PGP. Quelle: philzimmermann.com
Warum sollte uns PGP interessieren?
Die Abkürzung PGP bedeutet Pretty Good Privacy (dies können wir als „eine ziemlich gute Privatsphäre“ übersetzen). In unserem Artikel nutzen wir der Vereinfachung halber die Abkürzung PGP als Synonym für das Protokoll OpenPGP. Das ursprüngliche PGP ist nämlich mit kommerziellen Lizenzen belastet und momentan befindet es sich im Besitz von Symantec. Zu persönlichen Zwecken muss deshalb eine von den freien Alternativen stammende Software genutzt werden, die auf OpenPGP basieren, wie GnuPG oder GPG.
Bestimmt können Sie sich an den Sicherheitsvorfall erinnern, bei dem das Internet um den Sicherheitsdienst Lavabit gekommen ist. Diesen Dienst, der verschlüsselte E-Mail-Kommunikation ermöglichte und den selbst Edward Snowden empfohlen hat, hat zu seinem Abtritt der Druck vonseiten der Agentur NSA gezwungen, die seine Daten erforderte. Erst im Januar dieses Jahres wurde Labavit wieder zum Leben gebracht und kämpft darum, sich wieder auf dem Markt durchzusetzen.
Schon an dieser Parabel können wir erraten, worin der Hauptvorteil von PGP liegt – der Dienst wird nicht von konkreten Subjekten geleistet und ist keiner Zentralisierung unterworfen. PGP ist frei und lässt sich auch von einer Regierung oder einem Geheimdienst nicht verbieten. Ein weiteres Plus (obwohl dies auch als ein Nachteil betrachtet werden könnte) stellen die Unabhängigkeit des Programms von Zertifizierungsstellen und die Ausstellung der Schlüssel auf einem Self-Signed Prinzip dar. Die Nutzer können sich ebenfalls darüber freuen, dass der Erwerb des PGP-Schlüssels mit keinen Kosten verbunden ist und dass die Menge der Schlüssel nicht beschränkt ist - für jede Ihre E-Mail können Sie also einen oder auch mehrere PGP-Schlüssel erwerben. In diesen Fällen, in welchen die Schlüssel von keiner Zertifizierungsstelle stammen, wird der Aussteller jedoch nicht überprüft. Das Vertrauen in die verwendeten PGP-Schlüssel liegt somit nur auf Ihren Schultern.
In dieser Hinsicht unterscheidet sich PGP von den S/MIME Zertifikaten fürs Signieren oder Verschlüsseln von E-Mails. Sie werden von einer Zertifizierungsstelle ausgestellt, aber von wenigen Ausnahmen abgesehen werden sie nicht verifiziert und können nur mit erheblichen Kosten erworben werden. Auch deshalb haben sich die Zertifikate fürs Signieren von E-Mails bisher massenhaft nicht verbreitet - es handelt sich ja noch immer um ein chaotisches Gebiet. Hoffentlich wird die eIDAS-Verordnung und die Vereinheitlichung der Einstellung zu der Vetrauenswürdigkeit von Zertifikaten und persönlichen IDs zu ihrem Aufschwung verhelfen. Momentan lockt jedoch die S/MIME Lösung Nutzer wirklich nicht an und wer die elektronische Signatur doch betreibt, wird dazu von einer anerkannten und qualifizierten digitalen Signatur motiviert.
Wie PGP entstanden ist und wie es funktioniert
Die erste Version des revolutionären Programms PGP wurde von Phil Zimmermann im Jahre 1991 herausgegeben. Die Software ist schnell beliebt geworden und unter der Bezeichnung OpenPGP wurde sie zu einem Internetstandard. Im Jahre 1997 hat der Autor das Programm PGP und die Firma PGP Inc. verkauft und sich weiterhin der Entwicklung von der Position eines Angestellten aus gewidmet. 2001 hat Zimmermann das Unternehmen verlassen und ist zu Hush Communications, dem Betreiber von Hushmail, übergewechselt. Ein Jahr später haben ein paar Angestellte von PGP Inc. das Unternehmen PGP Corporation gegründet. Sie haben das bereits früher verkaufte und von einem neuen Besitzer stillgelegte PGP gekauft und es mit der Unterstützung von dem Autor, der als Konsultant beistand, weiterentwickelt. PGP und PGP Corporation hat dann Symantec im Jahre 2010 gekauft und somit befindet sich PGP heutzutage schon in den Händen eines fünften Besitzers.
Worin besteht jedoch das Hauptprinzip der Funktion von diesem Protokoll? PGP kann eine ganze Reihe von kryptographischen Operationen durchführen, aber bei der E-Mail-Kommunikation kommt es zu einer Kombination von symmetrischen Schlüsseln und des öffentlichen Schlüssels. Der öffentliche Schlüssel ist das Objekt des Austausches zwischen den Schreibern der E-Mail und verschlüsselt den symmetrischen Schlüssel, der für die Verschlüsselung der Nachricht bestimmt ist und für jede Sitzung anders wird. Das Prinzip ähnelt somit den SSL-Zertifikaten: Der öffentliche Schlüssel wird bei ihrer Ausstellung von einer Zertifizierungsstelle unterschrieben und nach seiner Übergabe zwischen dem Client und dem Server kommt es zu dem symmetrisch verschlüsselten Datenaustausch selbst. Im Fall von PGP liegt jedoch die Distribution des öffentlichen Schlüssels in den Händen der Kommunizierenden, denn die öffentlichen Schlüssel befinden sich nicht auf ihren Domains.
Übermittlung des öffentlichen Schlüssels
Damit Ihnen Ihr Kommunikationspartner schreiben kann, muss er also über Ihren öffentlichen Schlüssel verfügen. Darin besteht auch der vielleicht einzige Nachteil von PGP - in der Notwendigkeit, die Schlüssel auszutauschen. Eine Ausnahme von der Regel, dass die Schlüssel nicht auf den Domains platziert sind, können wir aber z.B. bei Regierungsbehörden finden, deren Websites mit einem EV-Zertifikat verifiziert worden sind und deren Schlüssel online zur Verfügung stehen, damit sie die Öffentlichkeit abhörsicher kontaktieren kann. Sonst müssen sich die Nutzer die Schlüssel persönlich wechselseitig übergeben (sog. Key signing party), oder auf sog. Key server einspielen. Als die letzte erwähnen wir die Option, sich den öffentlichen Schlüssel per E-Mail im Anhang zu senden, denn diese am wenigsten sicher ist.
PGP für E-Mail-Kommunikation nutzen
Vorbereitung auf PGP besteht in der Installierung eines Tools von solchem Postclient, der PGP unterstützt. Im Fall von Thunderbird heißt dieses zweifellos Enigmail. Nach der Hinzufügung des Add-ons Enigmail werden in dem E-Mail-Client neue Optionen angezeigt, die die Verwaltung der PGP-Schlüssel und der E-Mail-Verschlüsselung ermöglichen. Zu diesen Funktionen müssen Sie sich jedoch zuerst ziemlich kompliziert über den Enigmail-Einrichtungs-Assistenten und dann über das Thunderbird- Anwendungsmenü durchklicken.
Enigmail in Thunderbird hinzufügen
Nach dem Neustart des um das neue Tool erweiterten Thunderbird öffnet sich ein Einrichtung-Assistent, in welchem Sie je nach Ihren Erfahrungen mit PGP wählen können, wie detailliert die Konfiguration sein soll. (Bei Windows-Systemen wird außerdem noch eine nachträgliche Installierung von dem Programm GnuPG benötigt, weil dieses auf den Microsoft-Servern von Default nicht vorhanden ist).
Einrichtungs-Assistent von Enigmail in Thunderbird
Damit Sie PGP nutzen können, müssen Sie zuerst Ihr eigenes Schlüsselpaar erzeugen. In Enigmail stehen Ihnen mehrere Möglichkeiten zur Verfügung, aber eigentlich genügt es, die Default-Einstellung zu wählen. In dem Dialog der Schlüsselerzeugung werden Sie dazu aufgefordert, ein Passwort (Passphrase) einzugeben, welches das Zertifikat (resp. den privaten Schlüssel) schützen wird. Nachdem Sie den Assistenten beenden, wird Ihr privater Schlüssel, den Sie für die Verschlüsselung und Signieren von Nachrichten benötigen, gespeichert: Das Schlüsselpaar wird erzeugt.
Dialog, in welchem die PGP-Schlüssel erzeugt werden
Nun ist also unser privater PGP Schlüssel angelegt und falls wir auch den öffentlichen PGP-Schlüssel von dem Empfänger der Nachricht haben, können wir zu der Absendung der unterschriebenen und verschlüsselten E-Mail fortschreiten. Die Verschlüsselung und Unterschreibung selbst ist eine triviale Aufgabe – es genügt die Schaltflächen mit dem Icon des Schlüssels und der Bleistift beim Verfassen einer neuen Nachricht anzuklicken.
Absendung einer verschlüsselten Nachricht in Thunderbird
Die Verschlüsselung von Nachrichten wird automatisch eingeschaltet, falls der Client den Schlüssel des Empfängers kennt – eine mehr als angenehme Funktion. Enigmail kann ebenfalls an die verschlüsselte Kommunikation anschließen und eliminiert somit das Risiko, dass Sie vergessen, die Antwort zu unterschreiben.
Möchten Sie in Cloud ohne PGP chiffrieren?
Die Mehrheit von uns wird PGP auf einer eigenen Workstation und mit einem eigenen E-Mail-Client nutzen. Dies ist jedoch nicht die einzige Weise, wie Ihre Post abgesichert werden kann. Am Anfang unseres Artikels haben wir die Dienste der „sicheren E-Mail“ erwähnt; von diesen Produkten gibt es immer eine große Auswahl und nach dem Lavabit-Vorfall hat sich ihre Anzahl noch erhöht. Falls Sie also per E-Mail sicher kommunizieren und gleichzeitig PGP ausweichen möchten, empfehlen wir Ihnen Anbieter wie Protonmail oder Hushmail. Mehr über diese Methoden erfahren Sie in dem Artikel 6 Best Services for Secure Email.
Das Wort Sicherheit setzen wir oben in Anführunszeichen, weil nur Sie selbst bestimmen können, ob für Sie der Dienst ausreichend sicher ist oder nicht. Die Daten liegen nicht in Ihrer Reichweite und somit sind Sie der Ehrlichkeit des Providers ausgeliefert. Ihre Aufmerksamkeit sollten Sie ebenfalls den Sicherheits- und Funktionsprinzipien des Dienstes widmen – beide sollten transparent veröffentlicht sein. Das Risiko, dass der Provider den Markt verlassen wird, können Sie jedoch nicht vermindern.
Verschlüsseln Sie, für Ihre Privatsphäre ist es gesund
Hoffentlich haben Sie unseren Artikel optimistisch bis zu Ende gelesen und nun erwägen Sie, PGP zu aktivieren. Zögern Sie nicht. Die Verschlüsselung ist nicht ein Privileg von Mafiosi, korrupten Politikern oder Verbrechern, wie man ab und zu von den USA oder Großbritannien hören kann. Es handelt sich um unser Recht, privat zu kommunizieren und um die Prävention von Informationenmissbrauch. Und außerdem entstehen Ihnen für die Probe keine Kosten.
Weitere Quellen
Im Internet können Sie viele Anleitungen finden, die sich PGP widmen, die Mehrheit ist jedoch akademisch langweilig. Zu de gelungenen gehört die Anleitung Beginners’ Guide To PGP oder How to: Use PGP for Windows.
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de