Erstaunlich: In E-Mails wird munter über intime und sensible Themen geplaudert. Und das, obwohl die elektronischen Nachrichten nicht mehr sind als digitale Postkarten. E-Mails wandern auf ihrem Weg zum Empfänger über Dutzende Postverteiler und können dort von jedermann gelesen werden. Es gibt keinen Briefumschlag, der vor neugierigen Blicken schützt. Wer in E-Mails vertrauliche Daten und Informationen auf die Reise schicken möchte, sollte sie verschlüsseln. Das geht am sichersten mit dem PGP-Verfahren. Wie das Schritt für Schritt für Webmailer wie Google Mail funktioniert, zeigt unser Workshop.
E-Mails sicher verschlüsseln
Für jede per E-Mail verschickte Nachricht gilt das Postkartenprinzip: Jede Mailstation kann den Inhalt der Nachricht im Klartext lesen. Wenn Sie E-Mails für Unbefugte unlesbar verschicken möchten, können Sie die Nachrichten verschlüsseln. Die Nachricht wird dabei vor dem Versenden chiffriert und erst beim Empfänger wieder entschlüsselt. Damit spielt es keine Rolle, ob die Nachricht unterwegs abgefangen wird; ohne die Schlüssel und das zugehörige Kennwort lässt sich der Inhalt nicht entziffern.
PGP, das sicherste Verschlüsselungsverfahren
Zum sicheren Verschlüsseln reichen einfache Verfahren mit Kennwörtern nicht aus. Zwar können sich Absender und Empfänger auf ein gemeinsames Kennwort einigen und damit alle Nachrichten damit verschlüsseln. Damit tauchen allerdings zwei wichtige Fragen auf: Über welchen sicheren Kanal tauschen Absender und Empfänger das Kennwort aus und was passiert, wenn E-Mails mit zwei, fünf oder zehn Empfängern verschlüsselt werden sollen? Alleine die Frage, wie das Kennwort ausgetauscht werden soll – per E-Mail im Klartext, per Telefon, per Brief? – stellt ein Sicherheitsrisiko dar. Wer das Kennwort belauscht, kann alle damit chiffrierten Nachrichten entziffern.
Das normale Kennwortverfahren fällt damit für eine sichere Verschlüsselung aus. Mit dem PGP-Verfahren (Pretty Good Pricacy) gibt es aber eine Methode, die beide Probleme elegant löst. Die Verschlüsselung per PGP funktioniert im Prinzip folgendermaßen:
- Beide Kommunikationspartner erzeugen mit einem speziellen Programm je zwei Schlüssel, einen privaten und einen öffentlichen Schlüssel. Die Schlüssel bestehen aus einer langen Folge von Zahlen und Buchstaben.
- Beide Kommunikationspartner tauschen die öffentlichen Schlüssel aus. Das Praktische am PGP-Verfahren: Es keine Rolle, ob die öffentlichen Schlüssel abgehört werden; der öffentliche Schlüssel kann sogar auf einer Webseite veröffentlicht oder im Klartext per E-Mail verteilt werden. Mit dem öffentlichen Schlüssel alleine können Angreifer nichts anfangen. Lediglich die privaten Schlüssel bleiben geheim und beim ursprünglichen Besitzer.
- Der öffentliche Schlüssel hat eine wichtige Aufgabe: er dient der Verschlüsselung von Nachrichten an den Besitzer des öffentlichen Schlüssels. Die E-Mail wird also mit dem öffentlichen Schlüssel des Empfängers kodiert.
- Nur der richtige Empfänger kann die E-Mail wieder entschlüsseln. Er verwendet dazu seinen eigenen privaten Schlüssel. Grundsätzlich gilt: Mit dem privaten Schlüssel lassen sich alle E-Mails entschlüsseln, die mit dem eigenen öffentlichen Schlüssel kodiert wurden.
Das Prinzip der öffentlichen und privaten Schlüssel ist im Grunde simpel. Auf jeder Seite gibt es je einen öffentlichen und privaten Schlüssel (1). Die öffentlichen Schlüssel werden untereinander ausgetauscht (2). Verschlüsselt wird mit dem öffentlichen Schlüssel des Empfängers (3), entschlüsselt mit dem eigenen privaten Schlüssel (4).
Auch wenn es auf den ersten Blick ungewöhnlich anmutet, dass aus dem öffentlichen Schlüssel kein Geheimnis gemacht wird und er sogar auf Webseiten veröffentlicht werden darf; die Kombination aus öffentlichem und privatem Schlüssel macht das Verfahren sicher. Bislang gibt es kein praktikables Verfahren, um die PGP-Verschlüsselung ohne den privaten Schlüssel zu knacken.
OpenPGP für GMail, Yahoo, GMX, Outlook & Co.
Das sichere PGP-Verfahren können Sie auch für Ihren Rechner nutzen. Die passende Software gibt es kostenlos im Internet. Im ersten Schritt müssen Sie die PGP-Erweiterung „Mailvelope“ für den Browser installieren und die Schlüssel generieren – das müssen Sie nur einmalig durchführen. Für Google Mail und den Chrome-Browser funktioniert das zum Beispiel folgendermaßen:
1. Rufen Sie die Webseite
chrome.google.com/webstore/detail/mailvelope/kajibbejlbohfaggdiogboambcijhkke
auf, und installieren Sie die kostenlose Erweiterung „Mailvelope“.
2. Dann generieren Sie Ihr persönliches Schlüsselpaar aus öffentlichem und privatem Schlüssel, indem Sie oben rechts auf das Schlosssymbol sowie „Options“ klicken.
3. Klicken Sie auf „Generate Keys“, und füllen Sie das Formular aus. Die „Passphrase“ ist das Kennwort, mit dem Sie Ihren privaten Schlüssel schützen. Wählen Sie hier ein möglichst sicheres Kennwort. Wie sichere Passwörter aussehen, steht zum Beispiel in unserem Tipp „Unknackbare und sichere Passwörter„.
4. Nach einem Klick auf „Submit“ werden die beiden Schlüssel generiert und in den digitalen Schlüsselbund des Mailvelope-Add-Ons eingebunden.
5. Die beiden Schlüssel sind enorm wichtig. Alle damit verschlüsselten E-Mails können Sie später nur noch mit diesem Schlüssel entschlüsseln. Sie sollten daher unbedingt eine Sicherheitskopie anlegen, indem Sie auf „Display Keys“ klicken, das Schlüssel markieren und dann auf „Export“ sowie „Display key pair“ klicken.
6. Dann klicken Sie auf „Create file“ sowie „Download key“, um das Schlüsselpaar herunterzuladen. Speichern Sie das Backup zum Beispiel auf einen USB-Stick, und verwahren Sie ihn sicher auf. Speichern Sie die Sicherheitskopie nicht auf der Festplatte des Rechners, da ansonsten im Falle eines Hackerangriffs oder Rechnerdiebstahls die Schlüssel in falsche Hände gelangen können. Mit dem Backup können Sie die Schlüssel weiterverwenden, falls Sie den Rechner neu installieren oder die Verschlüsselung auf einem anderen PC nutzen möchten.
Die Einrichtung der beiden Schlüssel ist damit abgeschlossen. Sie besitzen jetzt einen einmaligen und sicheren digitalen Schlüssel. Die Schlüsselgenerierung müssen Sie nur einmal durchführen; die beiden Schlüssel sind praktisch lebenslang gültig.
Öffentliche Schlüssel austauschen
Im nächsten Schritt müssen Sie allen E-Mail-Partnern, mit denen Sie verschlüsselt kommunizieren möchten, Ihren eigenen öffentlichen Schlüssel mitteilen. Nur dann können Ihnen die E-Mail-Partner verschlüsselte Nachrichten schicken. Umgekehrt benötigen Sie die öffentlichen Schlüssel der E-Mail-Partner, um selbst Nachrichten an diese verschlüsseln zu können. Erst der gegenseitige Austausch der öffentlichen Schlüssel ermöglicht einen sicheren E-Mail-Verkehr. Wichtig: Ausgestauscht wird nur der öffentliche Schlüssel; der private Schlüssel bleibt geheim und gehört nur in Ihre Hände.
Um mit dem E-Mail-Partner die öffentlichen Schlüssel auszutauschen, gehen Sie folgendermaßen vor:
1. Klicken Sie in Chrome oben rechts auf das Schlosssymbol und auf „Options“.
2. In der linken Spalte klicken Sie auf „Display Keys“.
3. Markieren Sie Ihr Schlüsselpaar, klicken Sie auf „Export“ und dann auf „Send public key by mail“.
4. Damit wird automatisch eine neue E-Mail erzeugt und der öffentliche Schlüssel (den ruhig jedermann sehen und haben kann) eingefügt. Sollte es nicht funktionieren, können Sie mit dem Befehl „Display private key“ den Schlüssel auch in einem Extrafenster anzeigen. Von hier aus können Sie ihn dann mit „Copy to clipboard“ in die Zwischenablage einfügen und mit [Strg][V] manuell in eine E-Mail einfügen.
5. Mit einem Klick auf „Senden“ schicken Sie den öffentlichen Schlüssel an den Empfänger. Diese Schritte sollte auch Ihr E-Mail-Partner wiederholen, damit Sie dessen öffentlichen Schlüssel erhalten.
Öffentliche Schlüssel von Freunden importieren
Sobald Sie von Ihrem E-Mail-Partner dessen öffentlichen Schlüssel erhalten, müssen Sie ihn ebenfalls in Ihren Schlüsselbund einbinden.
1. Dazu markieren Sie in der E-Mail den Part zwischen „BEGIN PGP PRIVATE KEY BLOCK“ und „END PGP PRIVATE KEY BLOG“. Dann klicken Sie mit der rechten Maustaste auf den markierten Bereich und rufen den Befehl „Kopieren“ auf.
2. Dann klicken Sie oben rechts auf das Schlosssymbol und „Options“.
3. Wechseln Sie zu „Import Key“, klicken Sie ins Eingabefeld, und fügen Sie mit [Strg][V] den kopierten öffentlichen Schlüssel ein. Bestätigen Sie den Import mit „Submit“.
Dieselben Schritte sollte Ihr E-Mail-Partner mit Ihrem öffentlichen Schlüssel durchführen. Der Austausch der öffentlichen Schlüssel ist nur einmal notwendig. Sobald beide Seiten über die jeweils anderen öffentlichen Schlüssel verfügen, kann die verschlüsselte Kommunikation beginnen.
E-Mails verschlüsseln
Nachdem die öffentlichen Schlüssel ausgetauscht wurden und jeder im Besitz der öffentlichen Schlüssel der Kommunikationspartner ist, kann die verschlüsselte Kommunikation beginnen. Um zum Beispiel mit Google Mail eine verschlüsselte Mail zu verschicken, gehen Sie folgendermaßen vor:
1. Schreiben Sie wie gewohnt mit Google Mail eine neue E-Mail, klicken Sie aber noch nicht auf „Senden“.
2. Um die Nachricht zu verschlüsseln, klicken Sie im Nachrichtenfenster auf das gelbe Schloss-Symbol.
3. Es erscheint ein kleines Fenster, aus dem Sie den Empfänger (und damit den richtigen Schlüssel zum Verschlüsseln) auswählen. Markieren Sie den Empfänger aus der Liste, und klicken Sie auf „Add“. Bestätigen Sie die Auswahl mit OK.
4. Die Nachricht wird daraufhin mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Zu sehen ist nur noch ein unlesbarer Zahlen- und Buchstabensalat. Standardmäßig kann nur der Empfänger die Nachricht wieder entschlüsseln.
5. Klicken Sie auf „Senden“, um die verschlüsselte Nachricht auf die Reise zu schicken. Jetzt spielt es keine Rolle, ob die E-Mail unterwegs abgefangen wird. Nur der Empfänger kann aus dem Buchstabensalat wieder die lesbare Nachricht machen.
Verschlüsselte E-Mails wieder entschlüsseln
Sobald Ihr E-Mail-Partner die verschlüsselte Nachricht erhält, kann er sie nur mit seinem eigenen privaten Schlüssel wieder entschlüsseln. Das geht zum Beispiel bei Google Mail folgendermaßen:
1. Öffnen Sie die verschlüsselte E-Mail.
2. Im Nachrichtenfenster erscheint die verschlüsselte E-Mail, über die ein Briefumschlag mit Schloss gelegt wurde; der Mauszeiger nimmt die Form eines Schlüssels an. Klicken Sie damit auf den Briefumschlag.
3. Geben Sie das Kennwort für Ihren eigenen privaten Schlüssel ein, und bestätigen Sie mit OK. Sofern Sie das richtige Kennwort eingegeben haben, erscheint die Mail in entschlüsselter Form.
