Software: E-Mails verschlüsseln mit GnuPG und FireGPG

Der weitaus größte Teil des Mailverkehrs läuft ohne Sicherheitsvorkehrungen ab. Ab und zu landet gerade bei Geschäftskorrespondenz eine Mail im Postkasten, unter der ein hilfloses Wenn Sie diese E-Mail irrtümlich erhalten haben sollten, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail in der Signatur anzutreffen ist.

Inhaltsverzeichnis

1. 1Problemfall Verschlüsselung
2. 2Einen Schlüssel für die Liebste
3. 3Die Zutaten: GnuPG und FireGPG
4. 4Ein gutes Passwort
5. 5Firefox-Plug-In FireGPG
6. 6Mit GnuPG unterschreiben

Warnzusätze wie der obige verdeutlichen das Kernproblem: E-Mails sind wie Postkarten und können ebenso leicht ausspioniert werden. Wer eine wichtige private Nachricht auf dem Postwege versendet, würde nie das Kuvert für die Botschaft vergessen. Bei Mails nennt sich dieser Umschlag "Schlüssel" und die bekannteste Freeware dafür heißt GnuPG. Wie Sie die bewährte "Zitronentinte" komfortabel mit Firefox nutzen können, erklärt Ihnen netzwelt auf den folgenden Seiten.

Problemfall Verschlüsselung

Es gibt mehrere Gründe, warum sich Verschlüsselungstechniken noch nicht flächendeckend im Mailverkehr durchgesetzt haben. Zum einen mag es der Mensch einfach bequem. Besteht keine absolute Notwendigkeit, das Prinzip von Verschlüsselung zu begreifen, tut er es auch nicht: E-Mail funktioniert auch so. Und Lauschangriffe bekommt man in aller Regel nicht mit.

Verschlüsselte E-Mail: Was hier wohl stehen mag?

Zum anderen basiert GnuPG auf dem Prinzip von öffentlichen und privaten Schlüsseln. Das heißt in der Konsequenz, dass andere, bequeme Menschen, Ihren öffentlichen Schlüssel nutzen müssen, um Ihnen verschlüsselte Mails zu schreiben. Damit ist die flächendeckende Verbreitung von GnuPG völlig zum Scheitern verurteilt. Versuchen Sie mal Gelegenheitsanwendern klar zu machen, dass diese Ihnen bitte nur noch verschlüsselte Mails senden sollen. Sie werden nicht weit kommen.

Einen Schlüssel für die Liebste

Trotzdem spricht nichts dagegen, Ihrer Liebsten oder anderen Briefpartnern kurz das Prinzip von GnuPG zu erklären. Denken Sie nur: Im Anschluss können Ihre Briefe noch konkreter werden! Und niemand außer Ihnen ahnt die süßen Geheimnisse hinter dem kryptischen Buchstaben-Salat. Sogar die Administratoren in der Firma müssten etwaige Anfragen des Chefs mit Achselzucken quittieren. Vor verschlüsselten Mails endet ihr Einflussbereich. Doch genug der Theorie: Jetzt geht es in die Praxis.

Die Zutaten: GnuPG und FireGPG

Sie haben mindestens einen Partner in Ihrem Mail-Umfeld gefunden und wollen miteinander verschlüsselt kommunizieren. Dazu benötigen Sie zwei Downloads: zum einen GnuPG, also die eigentliche Verschlüsselungssoftware, und zum anderen die Erweiterung FireGPG, die den Umgang mit verschlüsselten Mails in Firefox erheblich vereinfacht. Der Download von GnuPG befindet sich in einem Paket mit diversen Verschlüsselungs-Tools namens Gpg4win. Der Download der Firefox-Erweiterung FireGPG ist nur 130 Kilobyte groß und stellt eine Art Schnittstelle zwischen GnuPG und Firefox her, auf die wir gleich noch genauer eingehen werden.

Bevor Sie sich FireGPG widmen, sollten Sie zunächst Gpg4win installieren. Das Projekt hat sich zum Ziel gesetzt, ein Windows-Installationspaket für die Verschlüsselungssoftware GnuPG samt aller wichtigen Anwendungen bereitzustellen und ist daher gerade für Einsteiger sehr zu empfehlen.

GPG4win: Installationsroutine

Die Installation des 9,3 Megabyte großen Downloads birgt keine besonderen Überraschungen. Im Anschluss finden Sie unter "Alle Programme" einen Eintrag namens "GnuPG for Windows", in dem Sie die Schlüsselverwaltung "WinPT" starten können. Beim ersten Start fragt Sie das Programm in einem Fenster, ob Sie ein Schlüsselpaar erzeugen wollen. Genau das wollen Sie tun. Im Folgenden müssen Sie nur Namen und Mail-Adresse eingeben.

Ein gutes Passwort

Danach werden Sie aufgefordert, ein Passwort zu wählen. Dieses sollte nicht allzu einfach gestrickt sein. Wählen Sie zum Beispiel die ersten Zeile eines Gedichts, das Sie gut kennen. Ein Beispiel: "Die Gedanken sind frei, wer kann sie erraten" wurde 1842 in den "Schlesischen Volksliedern" von Hoffmann von Fallersleben veröffentlicht. Das Lied ist nicht nur ein weltbekanntes Freiheitsbekenntnis, sondern eignet sich auch als Passphrase hervorragend. So wird aus der ersten Zeile des Textes bei Verwendung aller Anfangsbuchstaben samt Jahreszahl DGsf,wkse1842 ein dreizehn Zeichen langes, sicheres Passwort mit kleinen und großen Buchstaben, Komma und Zahlen, das man sich leicht merken, aber kaum knacken kann.

Nach Abschluss der Eingabe benötigt GnuPG je nach Prozessorleistung einige Sekunden, bis der öffentliche Schlüssel zum Verschlüsseln und der private Schlüssel zum Entschlüsseln kryptischer Mails erzeugt wurde. Ein Warnhinweis mit der dringenden Empfehlung die Schlüssel zu sichern, beendet den Einrichtungsassistenten. Dieses Backup sollten Sie unbedingt anlegen, schon weil Sie nicht nur den wichtigen privaten Schlüssel namens "secring_bak.gpg" abspeichern, sondern auch den öffentlichen "pubring_bak.gpg" sichern.

Schlüsselerzeugung mit WinPT

Wenn Sie diese Datei in einem Texteditor öffnen, können Sie die lange Passphrasen deutlich erkennen. Sie können diese nun zum Beispiel in Ihre Mail-Signatur aufnehmen oder als Anhang direkt an ausgewählte Mail-Empfänger schicken, die mit Ihnen verschlüsselt kommunizieren wollen. Vielleicht finden Sie auch direkt jemanden, der ebenfalls Lust hat eine abgeschirmte Kommunikation auszuprobieren. Denn für das Verschicken einer verschlüsselten Mail benötigen Sie einen Partner, der Ihnen seinen öffentlichen Schlüssel zur Verfügung stellt.

Firefox-Plug-In FireGPG

Mit der Firefox-Extension FireGPG integrieren Sie eine Erweiterung in Ihren Browser, mit der Sie Nachrichten in Formularfelder, wie sie bei Web-Mailern üblich sind, verschlüsseln können. Nach der Installation der XPI-Datei als AddOn im Browser und dem anschließenden Neustart, sollten Sie die Extension zunächst mit der "gpg.exe" auf Ihrem Rechner bekannt machen. Dazu wählen Sie im Menü Extras den Eintrag "FireGPG aus und gehen hier auf Optionen. Ein Konfigurationsfenster mit mehreren Tabs öffnet sich. Im ersten Tab "Start" sollte sich Ihr mit "WinPT" erstellter Schlüssel befinden. Falls FireGPG nicht erkannt haben sollte, wo die "gpg.exe" liegt, können Sie den Pfad zur Exe im Tab "GPG" hinzufügen. Die Pfadangabe lautet C > Programme > GNU > GnuPG > gpg.exe. Sie weisen den kompletten Pfad automatisch zu, wenn Sie sich, wie unter Windows üblich, über "Durchsuchen" zur Exe-Datei "durchhangeln".

FireGPG mit eingetragenem Schlüssel

Ihr frisch erzeugtes Schlüsselpaar befindet sich nun an Ort und Stelle. Wenn Sie nun aber eine verschlüsselte Nachricht versenden wollen, müssen Sie den öffentlichen Schlüssel Ihres Mail-Partners in die Schlüsselverwaltung importieren. Sie erinnern sich: Nur derjenige, der den öffentlichen Schlüssel eines anderen Mailers besitzt, kann ihn nutzen, um selbst verschlüsselte Nachrichten zu versenden. Das ist das zugleich faszinierende, aber auch etwas schwierig zu vermittelnde Prinzip der "asynchronen GnuPG-Verschlüsselung".

FireGPG verschlüsselt eine Nachricht im Textfeld eines Web-Mailers.

Wenn Sie nun also einen externen, öffentlichen Schlüssel empfangen und importiert haben, müssen Sie nur noch den Text Ihrer Mail-Nachricht markieren und mit der rechten Maustaste auf FireGPG > Verschlüsseln gehen und schon wird der Text mit dem öffentlichen Schlüssel des Briefpartners verschlüsselt. Wenn Sie die Nachricht nun versenden, kann die Gegenstelle die Krypto-Mail mit dem privaten Schlüssel wieder öffnen.

Mit GnuPG unterschreiben

Falls Sie niemanden finden können, der bereit ist, mit Ihnen die Schlüssel zu tauschen, ist das zwar bedauerlich. Trotzdem können Sie GnuPG und FireGPG nutzen, um Ihre eigenen Mails zu unterschreiben. Dies hat den Vorteil, dass der Inhalt der Nachricht durch Ihren Schlüssel verifiziert ist. Ein Beispiel: Sie schicken einen ausgearbeiteten Vertragstext an einen Partner. Durch die digitale Signatur wird sichergestellt, dass der Text von keiner anderen Instanz verändert werden kann. Sollte nun doch jemand den Text abändern und anschließend behaupten, dass er von Ihnen stammt, können Sie durch die Prüfung des Schlüssels jederzeit belegen, dass der Vertrag manipuliert wurde. Die digitale Unterschrift ist also im täglichen geschäftlichen Umgang ein Versicherung für den Fall der Fälle.

Vielleicht haben Sie auch schon einmal eine signierte Nachricht von einem Geschäftspartner erhalten und sich über das -----BEGIN PGP SIGNATURE----- gewundert. Nach der Lektüre unseres Workshops wissen Sie nicht nur mehr, sondern können im Sinne des Datenschutzes etwas Überzeugungsarbeit für die Verwendung von Verschlüsslung leisten.

• Freenigma: Verschlüsselung für Webmail-Plattformen
• Download: FireGPG
• Download: Gpg4win
• Enigmail: E-Mail-Verschlüsselung für Thunderbird
• Gpg4win: E-Mail-Verschlüsselung für Outlook

Links zum Thema

• Homepage: Gnupg
• Download von Gpg4win