Stefan.Waidele.info

Verschlüsselte E-Mails – Enigmail Tutorial

Mit Mozilla Thunderbird, Enigmail und GnuPG ist es ein leichtes, signierte und/oder verschlüsselte E-Mails zu versenden. Dieser Artikel entstand als Antwort auf einen Artikel beim „PCBeirat“ über Verschlüsselung von Bildern. Das hier (also GnuPG/Enigmail) zugrundeliegende Public-Key Verfahren zur Verschlüsselung und Signierung von Daten wird hier nicht erklärt. Siehe dazu die Links ganz am Ende.

  1. Installation:
    • Unter Linux lassen sich alle benötigten Pakete bequem mit der jeweiligen Paketverwaltung installieren (also z.B. sudo apt-get install enigmail enigmail-locale-de thunderbird gnupg2 bei Debian, Knoppix, Ubuntu, etc.)
    • Wer kann mir was über das ganze bei MacOS erzählen? Hab‘ keinen, also müsst ihr selbst ran. (Oder mir einen schenken 🙂
    • Für Windows findet sich die notwendige Software auf den folgenden Seiten:
  2. Nach dem Neustart von Thunderbird hat dieser ein neues Menü: „OpenPGP“. Dort wählen wir „Schlüssel verwalten“ und folgen dem Assistenten, der vernünftige Voreinstellungen bietet.

    Diese sind:

    • Alle Nachrichten unterschreiben → Sinnvoll, da es eine gute Angewohnheit ist. Die Empfänger, die mit „normalen“ E-Mail Clients die Mails empfangen sehen zwar die Signatur, diese stört jedoch nicht zu sehr.
    • Verschlüsselung nur auf Wunsch → Sinnvoll, da wir zumindest am Anfang noch nicht sehr viele Schlüssel am „Keyring“ haben.
    • Automatische Anpassungen der Konfiguration → Sinnvolle Einstellungen (siehe Bild)
    • Anschließend wird das Schlüsselpaar erzeugt. Es besteht aus einem öffentlichen Schlüssel, der frei weitergegeben werden wird, sowie einem privaten Schlüssel, der unter keinen Umständen in fremde Hände gelangen darf. Wer den privaten Schlüssel und die Passphrase besitzt, kann unsere Identität annehmen!
      Zur Erzeugung der Schlüssel werden „gute Zufallszahlen“ benötigt, welche am schnellsten der Computer am besten generieren kann, wenn man an ihm interaktiv arbeitet (Tastatur, Maus, Netzwerk, etc.)
    • Für den Schlüssel muss noch eine Passphrase festgelegt werden. „Passphrase“ ist ein anderer Begriff für Passwort, der die Wichtigkeit unterstreichen soll. Da von Schlüssel + Passphrase der gesammte Schutz des Systems abhängt, sollte man hier Sorgfalt walten lassen.
    • Wiederrufszertifikat – Dieses wird benötigt, wenn man das Schlüsselpaar irgendwann für ungültig erklären lassen will. Dies ist z.B. der Fall, wenn man die Passphrase vergessen hat. Deshalb sollte dieses Zertifikat jetzt erzeugt und an einem Platz aufbewart werden, an dem man es auch nach einiger Zeit wieder findet.)
  3. Als nächstes sollte man den öffentlicher Schlüssel verteilen. Dies kann geschehen, indem man per Klick mit der rechten Maustaste diesen
    • per E-Mail an Bekannte versendet.
    • in die Zwischenablage kopiert und auf der eigenen Webseite veröffentlicht
    • auf einen Schlüsselserver hochlädt, wo ihn jeder bei Bedarf holen kann.
    • Schlüssel, die man selbst per Anhang erhält, kann man mit einem Klick auf die rechte Maustaste in den eigenen Schlüsselbund übernehmen:
  4. Nun ist alles vorbereitet. Nachrichten können nun unterschrieben und bei Bedarf verschlüsselt werden, in dem man die entsprechenden Häkchen im Menü setzt.

    • Unterschreiben kann man ohne Bedenken alle E-Mails. Der Empfänger benötigt zur Überprüfung der Unterschrift den öffentlichen Schlüssel des Senders.
    • Zum Verschlüsseln benötigt man den öffentlichen Schlüssel des Empfängers
    • Zum Entschlüsseln benötigt man den öffentlichen Schlüssel des Senders
  5. Ausprobieren!
    • Über die Zwischenablage kann man Schlüssel in seinen „Keyring“ importieren.
    • Meinen findet ihr unter http://stefan.waidele.info/Stefan@Waidele.info_pub.txt
    • Wer dieses Tutorial bis hier hin durchgearbeitet hat, darf mir gerne eine verschlüsselte Test-Mail senden. (Betreff: „Enigmail-Text“, an Stefan AT Waidele D0T info) Wenn ihr Euren öffentlichen Schlüssel mitschickt (oder auf einem Keyserver habt), dann gebe ich Euch verschlüsselt Antwort. Aber erwartet keine literarischen Meisterwerke 🙂

Eine Verschlüsselte E-Mail sieht – für Unbefugte – zum Beispiel so aus:

Message-ID: <47963DF7.2040805@Waidele.info>
Date: Tue, 22 Jan 2008 20:03:19 +0100
From: Stefan Waidele <Stefan@Waidele.info>
User-Agent: Thunderbird 2.0.0.6 (X11/20071022)
MIME-Version: 1.0
To: Hotel Krone <Info@Krone-Neuenburg.de>
Subject: Eine =?ISO-8859-15?Q?Verschl=FCsselte_Nachricht_an_Hotel_?=
=?ISO-8859-15?Q?Krone?=
X-Enigmail-Version: 0.95.0
Content-Type: multipart/encrypted;
protocol="application/pgp-encrypted";
boundary="————enigBCD83F307E87093E41DB2DB5"

This is an OpenPGP/MIME encrypted message (RFC 2440 and 3156)
————–enigBCD83F307E87093E41DB2DB5
Content-Type: application/pgp-encrypted
Content-Description: PGP/MIME version identification

Version: 1

————–enigBCD83F307E87093E41DB2DB5
Content-Type: application/octet-stream; name="encrypted.asc"
Content-Description: OpenPGP encrypted message
Content-Disposition: inline; filename="encrypted.asc"

—–BEGIN PGP MESSAGE—–
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla – http://enigmail.mozdev.org
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=Y/p5
—–END PGP MESSAGE—–

————–enigBCD83F307E87093E41DB2DB5–

Und für den rechtmäßigen Empfänger zeigt sich der Inhalt in seiner ganzen Schönheit:

This entry was posted in Freedom, Tech-Stuff. Bookmark the permalink. Follow any comments here with the RSS feed for this post. Both comments and trackbacks are currently closed.

2 Comments

  1. Posted 23. Januar 2008 at 6:30 | Permalink

    Hi Stefan! Ein sehr ausführliche und interessante Anleitung! Find die Methode eigentlich ziemlich gut nur leider ist sie etwas „Geeklastig“ oder meinst du nicht?

    Ich stell mir gerade vor, wie ich ein paar bestimmten Personen erklären soll, dass sie sich meinem public key von der Webseite holen sollen, bevor sie meine E-Mail lesen können.

    Es wäre doch schön wenn es da Entwicklungen geben würde, die das vereinfachen.

    Schönen Tag noch!

    Markus

  2. Posted 23. Januar 2008 at 9:04 | Permalink

    Geeklastig – ja. Aber so ist Verschlüsselung eben 🙂

    Auch wenn ich mich gegen „das war schon immer so“ wehre: Ich denke, daran wird sich auch in naher Zukunft nicht so viel ändern.

    Wenn wir solche Dinge wie „Vertrauen“ im Computer abbilden wollen wird es nun mal kompliziert. (Vom Signieren fremder Schlüssel und Key-Signing-Parties habe ich ja noch nicht einmal angefangen).

    Habe gerade gesehen: In den Enigmail-Optionen gibt es die Möglichkeit, die Schlüssel automatisch vom Keyserver holen zu lassen, wenn eine signierte Mail reinkommt. Erleichtert die Sache natürlich sehr.

    Dort wo es drauf ankommt, werden sich die Leute das vom Admin einstellen lassen.