1981105

Mails schnell verschlüsseln mit eigenem Zertifikat

13.08.2014 | 09:09 Uhr |

Mails sind eine der wichtigsten Anwendungen im Internet und dennoch vor fremden Blicken nicht besser geschützt als eine Postkarte. Wir zeigen, wie Sie das einfach, sicher und zuverlässig ändern.

Mails sind für die Geheimdienste eine der wichtigsten Informationsquellen überhaupt. Wobei es den Schlapphüten oftmals gar nicht so sehr um den Inhalt oder die angehängten Dateien geht, sondern um die Strukturen, die sich aus den Empfängerlisten ableiten lassen. Die NSA speichert diese Daten für mindestens ein Jahr und gleicht sie außerdem mit den Daten der Telefonverbindungen ab, die sie von den gleichen Personen erhoben hat. So lassen sich recht genaue Beziehungsgeflechte ermitteln, die verraten, wer mit wem wie eng zusammenarbeitet oder befreundet ist und wann sich diese Personen wo getroffen haben.

Die Inhalte geschäftlicher Nachrichten wiederum sind für konkurrierende Unternehmen von höchstem Interesse. Zukunftspläne, Absprachen, Strategien, neue Produkte: Zahlreiche Dokumente, die sich mit dem geheimsten Wissen einer Firma beschäftigen, werden einfach per Mail verschickt. Es fehlt hier oft das Bewusstsein, wie einfach es für einen Hacker ist, aus dem internen Netzwerkverkehr relevante Informationen herauszufischen. Sobald es ihm gelingt, etwa über einen Virus oder eine infizierte Website, Zugriff auf das Netzwerk zu bekommen, kann er mithilfe entsprechender Tools den Datenverkehr quasi mitlesen. Last but not least haben es natürlich auch viele Privatpersonen nicht gern, wenn andere ihre Mails lesen, ganz gleich, wie deren Inhalt ist. Eine Überwachung des Mailverkehrs funktioniert nur, solange die Daten unverschlüsselt übertragen werden. Das ist bei den meisten Mails immer noch der Standard. Das Simple Mail Transfer Protocol (SMTP), auf dem die Mailkommunikation basiert, wurde konzipiert für den schnellen und einfachen Informationsaustausch unter Wissenschaftlern. Eine Verschlüsselung war nicht vorgesehen.

Zum Anlegen des Zertifikats genügt die Eingabe Ihres Namens und der E-Mail-Adresse.
Vergrößern Zum Anlegen des Zertifikats genügt die Eingabe Ihres Namens und der E-Mail-Adresse.

Verschlüsseln mit PGP

Wenn Sie Ihre Nachrichten vor fremden Blicken schützen wollen, benötigen Sie also Zusatzprogramme. Das am weitesten verbreitete Tool dieser Art ist Pretty Good Privacy , das meistens einfach als PGP bezeichnet wird. Die dahinterstehende Firma wurde 2010 von Symantec gekauft, PGP als Einzelprodukt ist mittlerweile nur noch für die Kommandozeile erhältlich. Schon 1998 entstand aber mit Open- PGP eine offene und kostenlose Version des PGP-Formats. Sie wird von der Open-Source-Software Gnupg verwendet, die es unter der Bezeichnung Gpg4win (für Windows XP, Vista, 7, 8, gratis) auch für Windows gibt. Diese wiederum wurde im Auftrag des Bundesamts für Sicherheit in der Informationstechnik entwickelt. Open-PGP gilt genauso wie PGP und Gpg4win aufgrund des Funktionsprinzips und des verwendeten Verschlüsselungsalgorithmus als sicher und verlässlich.

Das Open-PGP-Verfahren ist jedoch nur eine Möglichkeit zum Verschlüsseln von Mails. Gpg 4win beherrscht darüber hinaus das Verschlüsselungs- und Signaturverfahren S/MIME (Secure/ Multipurpose Internet Mail Extensions). Beide Verfahren basieren auf einer asymmetrischen Verschlüsselung. Dabei werden mit einem Zufallsalgorithmus zwei Schlüssel erzeugt – ein geheimer, privater, der in Ihrem Besitz bleibt, und ein öffentlicher, den Sie an andere weitergeben. Der öffentliche Schlüssel dient zum Verschlüsseln einer Nachricht, die man im Anschluss daran nur mit dem privaten Schlüssel wieder entschlüsseln kann. Um selber eine Nachricht zu verschlüsseln, benötigen Sie also den öffentlichen Schlüssel der Person, an die die Nachricht gehen soll.

So verschlüsseln Sie E-Mail-Nachrichten

Der Fingerabdruck und damit auch das Zertifikat selbst sind weltweit einmalig.
Vergrößern Der Fingerabdruck und damit auch das Zertifikat selbst sind weltweit einmalig.

Gpg4win installieren

Laden Sie sich Gpg4win herunter und starten Sie die EXE-Datei. Beachten Sie, dass Sie für die Installation Administratorrechte brauchen. Die Voreinstellungen des Setup-Programms können Sie einfach übernehmen. Danach erzeugen Sie in einem ersten Schritt Ihr Schlüsselpaar. In Gpg4win dient dazu das Tool Kleopatra. Rufen Sie kleopatra.exe auf, Sie finden die Datei nach einer Standardinstallation im Ordner „%ProgramData%\ GNU\GnuPG“. Kleopatra ist die Zertifikatsverwaltung von Gpg4win.

Zertifikate bilden neben der Verschlüsselung eine weitere Sicherheitsfunktion beim Absichern der Mailkommunikation. Damit lässt sich überprüfen, dass eine Mail tatsächlich von der Person stammt, die als Absender angegeben ist. Ein Zertifikat ist vergleichbar mit dem Personalausweis, über den eine Behörde bestätigt, dass es sich bei dem Inhaber tatsächlich um die Person dieses Namens handelt. Dieses Zertifikatsverfahren spiegelt sich in S/MIME wieder, seine Zertifikate entsprechen einem Standard namens X.509. Dieses Verfahren benötigt also eine übergeordnete, legitimierte Zertifizierungsstelle. Open-PGP hingegen arbeitet mit einem Web of Trust, einem Verfahren, bei dem die Teilnehmer untereinander ein Netz des gegenseitigen Vertrauens bilden. Es kommt ohne übergeordnete Zertifizierungsstelle aus und ist deshalb in der Praxis etwas einfacher zu verwenden. Im Folgenden werden beide Verfahren beschrieben.

Kompatibilitätsprobleme

Gpg4win funktioniert einwandfrei mit Outlook 2003 und 2007, hat jedoch Probleme mit den Versionen 2010 und 2013. Für diesen Workshop wurde die Version 2.2.1 verwendet, die ihrem Changelog zufolge eine „rudimentäre Unterstützung“ für die beiden neueren Ausgaben von Outlook bietet. Im Test stürzt das Mailprogramm allerdings trotzdem mehrfach ab und deaktiviert daraufhin selbstständig das Gpgol-Add-on. Teilweise produziert das Programm bereits direkt nach dem Start von Windows Fehlermeldungen, da es verschiedene Dateien, darunter kleopatra.exe, nicht finden kann. Hilfreich ist in diesem Fall, zuerst Kleopatra zu starten und anschließend Outlook. Bis zum Erscheinen dieses Schwerpunkts ist zudem hoffentlich eine überarbeitete Version der Software verfügbar. Eine Alternative bietet sich mit Gpg4o der deutschen Firma Giegerich & Partner an (für Windows XP, Vista, 7,8), dessen Funktionsumfang im Wesentlichen dem von Gpg4win entspricht und das ebenfalls auf Open-PGP basiert. Die Schlüssel sind also kompatibel zu denen von Gpg4win. Eine Lizenz von Gpg4o kostet rund 94 Euro, hat allerdings den Vorteil, dass sie im Test mit Outlook 2013 fehlerfrei läuft. Auf der Herstellerseite gibt es eine 45 Tage lauffähige, eingeschränkte Demoversion. Schließlich können Sie noch auf das Mailprogramm Thunderbird ausweichen. Tipps zur Verschlüsselung damit finden Sie hier .

Open-PGP-Zertifikat anlegen

Klicken Sie in Kleopatra auf „Datei > Neues Zertifikat“. Im folgenden Fenster entscheiden Sie sich für ein Open-PGP- oder X.509-Zertifikat nach dem S/MIME-Verfahren. Klicken Sie zunächst auf „Persönliches Open-PGP-Schlüsselpaar erzeugen“. Anschließend geben Sie Ihren Namen und Ihre Mailadresse ein, beide sind später öffentlich sichtbar. Optional lässt sich zudem ein kurzer Kommentar hinzufügen. Die erweiterten Einstellungen können Sie so belassen, wie sie sind. Im folgenden Fenster werden die Einstellungen noch einmal zusammengefasst. Wenn alles stimmt, dann klicken Sie auf „Schlüssel erzeugen“.

Die Schlüssel werden mithilfe eines Kennworts geschützt, das hier Passphrase genannt wird. Geben Sie ein möglichst komplexes Passwort ein, das aus mindestens zehn Zeichen bestehen sollte, darunter Buchstaben, Zahlen und Sonderzeichen. Achten Sie darauf, dass Sie die Passphrase zweimal eintippen müssen – oft wird das Fenster auf dem Desktop von einem anderen überdeckt. Danach generiert das Programm mit einem Zufallsverfahren Ihr OpenPGP- Zertifikat. Darüber hinaus wird der zugehörige Fingerabdruck angezeigt. Dieser besteht aus 40 Zeichen und ist weltweit einmalig, jedes Zertifikat gibt es nur einmal.

Das Zertifikat enthält Ihr Schlüsselpaar, also den öffentlichen und den geheimen Schlüssel. Kleopatra verwaltet es für Sie. Damit es auch im Falle eines Festplatten-Crashs oder bei einer Neuinstallation von Windows erhalten bleibt, sollten Sie eine Kopie anfertigen und beispielsweise auf einem USB-Stick speichern. Klicken Sie hierzu auf „Sicherheitskopie Ihres Schlüsselpaares erstellen“.

Cacert ist eine der wenigen Stellen, die kostenlose X.509-Zertifikate für die Verschlüsselung mit S/MIME ausstellt.
Vergrößern Cacert ist eine der wenigen Stellen, die kostenlose X.509-Zertifikate für die Verschlüsselung mit S/MIME ausstellt.

X.509-Zertifikat anlegen

Zertifikate nach dem X.509-Standard werden lediglich von Zertifizierungsstellen ausgestellt. Zwar können Sie mit Kleopatra auch diesen Typ erzeugen, anschließend muss das Zertifikat jedoch noch beglaubigt werden. Die meisten Zertifizierungsstellen verlangen dafür Geld. Es gibt allerdings auch einen kostenlosen Service dieser Art, den Sie über die Webseite www.cacert.org erreichen.

Dort müssen Sie der Cacert-Gemeinschaft beitreten, was im Wesentlichen einer einfachen Registrierung entspricht. Klicken Sie dazu einfach rechts oben auf „Beitreten“ und füllen Sie auf der nächsten Seite das Formular aus. Nachdem Sie unten auf „Weiter“ geklickt haben, schickt Ihnen Cacert eine Mail an die angegebene Adresse. Sobald Sie dem Link in dieser Nachricht gefolgt sind, können Sie sich rechts oben auf der Website über „Anmelden mit Kennwort“ einloggen.

Klicken Sie nun auf „Client-Zertifikate > Neu“. Markieren Sie im Formular Ihre Mailadresse sowie die Zustimmung zur Vereinbarung der Cacert-Gemeinschaft. Klicken Sie auf „Weiter“, belassen Sie es bei der voreingestellten Schlüsselgröße von 2048 Bit und klicken Sie auf „Erstellen einer Zertifikat-Anfrage (CSR)“. Nach wenigen Sekunden wird das Zertifikat angezeigt. Sie können es jetzt direkt in Ihren Browser installieren. Besser ist es allerdings, wenn Sie es zentral in Kleopatra verwalten. Laden Sie das Zertifikat aus diesem Grund im PEM-Format herunter und übernehmen Sie die Daten daraufhin über „Datei > Zertifikate importieren“ in Kleopatra. Unter Umständen dauert dieser Vorgang einige Sekunden.

Jetzt brauchen Sie noch das Root-Zertifikat von Cacert, also sozusagen das Zertifikat der übergeordneten Behörde. Achten Sie darauf, dass Sie bei Cacert noch angemeldet sind, und geben Sie die Adresse www.Cacert.org/certs/root.crt in den Browser ein. Speichern Sie die Datei root.crt auf der Festplatte und importieren Sie sie daraufhin ebenfalls in Kleopatra.

Android endlich abhörsicher - so geht's

Nach dem Doppelklick auf ein Zertifikat zeigt Ihnen Kleopatra die Details an. Dazu zählt die ausstellende Behörde ebenso wie die Gültigkeitsdauer des Zertifikats.
Vergrößern Nach dem Doppelklick auf ein Zertifikat zeigt Ihnen Kleopatra die Details an. Dazu zählt die ausstellende Behörde ebenso wie die Gültigkeitsdauer des Zertifikats.

Mails verschlüsseln und entschlüsseln

Nun kann es losgehen: In einem ersten Schritt versorgen Sie Ihren Mailadressaten mit Ihrem öffentlichen Schlüssel. Falls Sie das noch nicht getan haben, exportieren Sie hierzu ein Open-PGP-Zertifikat in eine Datei. Markieren Sie das Zertifikat in Kleopatra und klicken Sie auf „Zertifikate exportieren“. Wählen Sie dann als Format asc, also eine ASCII-Textdatei, und speichern Sie das File auf der Festplatte.

Diese Datei lässt sich nun auf einem Webserver zum Download bereitstellen. So kann jeder, der Ihnen eine verschlüsselte Nachricht schicken möchte, sie einfach herunterladen und in seine Schlüsselverwaltung einbauen. Oder Sie schicken das File direkt an Ihren Mailpartner. Dabei haben Sie die Wahl, es als Anhang einzufügen oder es mit einem Texteditor zu öffnen und den Inhalt in das Nachrichtenfeld von Outlook zu kopieren. Wenn Sie statt Open-PGP lieber S/MIME nutzen wollen, brauchen Sie die Nachricht übrigens nur zu signieren, um dem Empfänger der Mail Ihren öffentlichen Schlüssel zu übermitteln. Wie das funktioniert, erfahren Sie weiter unten.

Damit auch Sie Ihre Mails verschlüsseln können, muss Ihnen der Adressat seinen öffentlichen Schlüssel zur Verfügung stellen. Handelt es sich um einen Dateianhang oder um einen Download, laden Sie ihn über „Zertifikate importieren“ in Kleopatra. Hat er den Code in eine Mail kopiert, markieren Sie ihn von „BEGIN PGP PUBLIC KEY BLOCK“ bis „END PGP PUBLIC KEY BLOCK“, übertragen ihn in einen Texteditor und speichern ihn mit der Endung „asc“ (bei Open-PGP-Schlüsseln) oder „pem“ (bei S/ MIME-Schlüsseln) in einer Datei. Dann importieren Sie ihn wie oben gezeigt in Kleopatra.

Nach der Verschlüsselung mit dem Outlook-Add-in sieht man nur noch Zeichensalat. Erst nach der Eingabe des Passworts kann der Empfänger die Mail mit seinem privaten Schlüssel lesbar machen.
Vergrößern Nach der Verschlüsselung mit dem Outlook-Add-in sieht man nur noch Zeichensalat. Erst nach der Eingabe des Passworts kann der Empfänger die Mail mit seinem privaten Schlüssel lesbar machen.

Das Outlook-Add-in verwenden

Zum Verschlüsseln von Nachrichten installiert Gpg4win in Outlook ein Add-in, es erscheint unter der Menübezeichnung „Gpgo“. Verfassen Sie eine Mail und klicken Sie unter „Gpgol“ auf „Verschlüsseln“. Kleopatra blendet danach ein Auswahlfenster ein, in dem Sie die Verschlüsselungsmethode markieren und darunter in den beiden Drop-down-Listen das gewünschte Zertifikat, also den öffentlichen Schlüssel des Empfängers, auswählen. Nach der Bestätigung mit „OK“ wird die Nachricht verschlüsselt, daraufhin ist nur noch ein Zeichensalat zu sehen. Klicken Sie nun auf „Senden“. Beim Entschlüsseln einer Mail wählt Kleopatra automatisch Ihren geheimen Schlüssel aus. Es genügt nun ein Klick auf „Entschlüsseln“, um den Text der Nachricht lesbar zu machen.

Damit der Empfänger auch sicher weiß, dass eine Nachricht tatsächlich von Ihnen stammt, können Sie diese über den Button „Signieren“ gewissermaßen unterschreiben. Dabei fügt Gpgol der Mail Ihren privaten Schlüssel hinzu. Da nur dieser zu Ihrem öffentlichen Schlüssel beim Empfänger passt, ist Ihre Identität hiermit eindeutig bestätigt. Dazu genügt ein Klick auf „Signatur prüfen“.

Über die Buttons „Verschlüsselte Datei“ wie auch „Verschlüsselte Datei mit Signatur“ ist es schließlich möglich, Dateianhänge zu verschlüsseln und zu signieren, ohne die gesamte Mail unleserlich zu machen.

In Punkto Messenger: Wie sicher ist Skype?

Microsoft Skype ist vor allem wegen der kostenlosen Videochats übers Internet populär. Benutzer sollten sich jedoch darüber im Klaren sein, dass Skype-Gespräche nicht nur von der NSA, sondern auch von europäischen Polizeibehörden und von Microsoft selbst überwacht werden. Bereits in den Datenschutzrichtlinien weist die Firma darauf hin, dass Skype „personenbezogene Daten, Kommunikationsinhalte oder Verkehrsdaten“ auf Anfrage an Behörden weitergibt – und das, obwohl die Kommunikation über Skype prinzipiell verschlüsselt ist. Zwar verrät Microsoft nicht, mit welcher Verschlüsselungstechnik Skype arbeitet, doch es existiert offensichtlich ein Nachschlüssel. Das Unternehmen wertet damit routinemäßig die Chat-Kommunikation über Skype aus. Seit den Enthüllungen von Edward Snowden ist zudem bekannt, dass die NSA in den USA direkten Zugriff auf die Skype-Server hat und auf diese Weise die Verschlüsselung umgeht.

Sichere Alternativen zu Whatsapp

Seit der Messenger und SMS-Ersatz Whatsapp von Facebook übernommen wurde, suchen viele Anwender nach einer Alternative, auf deren Daten der Social-Media-Riese keinen Zugriff hat. Ein weiterer Grund, sich von dem Dienst zu verabschieden, ist der unsichere RC4-Algorithmus, den er verwendet. Besser sind Programme, die wie Open-PGP mit einer asymmetrischen Ende-zu-Ende-Verschlüsselung arbeiten, bei denen eine Nachricht also über alle Server hinweg verschlüsselt übertragen wird. Favorit der Benutzer ist derzeit Threema , das eine gute Schlüsselverwaltung und moderne Oberfläche hat und sich sowohl in iTunes als auch im Google Play Store findet. Der einzige Kritikpunkt an dem Programm ist, dass der Quelltext nicht einsehbar ist. Als gute Open-Source-Alternative bietet sich Textsecure an, das die Nachrichtenlänge allerdings auf 160 Zeichen beschränkt. Das Programm ist derzeit nur für Android erhältlich, eine Version fürs iPhone ist allerdings bereits angekündigt.

0 Kommentare zu diesem Artikel
1981105