Tools und Tipps
E-Mail Verschlüsselung: OpenPGP und die besten Alternativen
Eine Reihe neuer Tools macht die Verschlüsselung von Dateien und E-Mails auch für Laien praktikabel. Wir geben einen Überblick zu OpenPGP und den besten Alternativen.
Seit den Enthüllungen von Edward Snowden zu den Machenschaften von NSA, GCHQ und anderen Geheimdiensten ist die Absicherung der persönlichen Kommunikation per E-Mail deutlich populärer geworden. Plötzlich erinnerte man sich wieder an Software wie Pretty Good Privacy (PGP), an dem sich laut den Dokumenten von Snowden sogar die NSA die Zähne ausgebissen haben soll. Doch seit die PGP Corporation 2010 von Symantec übernommen wurde, ist der PGP Desktop nicht mehr verfügbar, geschweige denn, dass es die alte Freeware noch gäbe. Stattdessen ist die Technologie laut Symantec in einer Reihe ihrer eigenen Programme aufgegangen.
Zum Glück wurde auf Basis von PGP 5 das OpenPGP-Format entwickelt und standardisiert. Es kommt heute in mehreren Verschlüsselungsprogrammen zum Einsatz, das bekannteste darunter ist die Open-Source-Software GnuPG (GNU Privacy Guard). In Form von Gpg4win ist sie auch für Windows erhältlich und integriert sich als Plugin in Outlook.
S/MIME als OpenPGP-Alternative
Die wichtigste Alternative zu PGP beziehungsweise OpenPGP ist S/MIME (Secure/Multipurpose Internet Mail Extensions). Der Unterschied zwischen den beiden Verfahren ist im Wesentlichen, dass PGP das Schlüsselpaar für die asymmetrische Verschlüsselung auf dem lokalen Rechner mithilfe eines Web of Trust erzeugt, bei dem im Prinzip ein anderer Benutzer für Sie bürgt. Um den Vorgang zu vereinfachen, bringt Gpg4win das Programm Kleopatra mit, in dem Sie über Datei/Neues Zertifikat einen entsprechenden Assistenten erreichen.
S/MIME arbeitet zwar auch mit Schlüsselpaaren, greift zum Erzeugen jedoch auf ein Zertifikat nach dem Standard X.509 zurück, das von einer offiziellen Zertifizierungsstelle (Certification Authority, CA) ausgestellt wird. Organisationen wie CAcert, StartSSL oder StartCom vergeben einfache, ein Jahr gültige E-Mail-Zertifikate kostenlos.
Der Assistent von Kleopatra kann Ihnen auch beim Beantragen eines X.509-Zertifikats helfen. OpenPGP wird vor allem von Privatpersonen zum Verschlüsseln von E-Mails verwendet, Unternehmen bevorzugen meist S/MIME. Die Sicherheit ist bei beiden Verfahren identisch, da sie weitgehend die gleichen Verschlüsselungstechniken verwenden.
Um E-Mails mit OpenPGP zu verschlüsseln, benötigen Sie den Public Key, also den öffentlichen Schlüssel des Adressaten. Damit verschlüsseln Sie den Inhalt der Nachricht, den anschließend nur er mit seinem Private Key wieder entschlüsseln kann. Ähnlich funktioniert S/MIME, bei dem Ihnen der Adressat Ihrer Nachricht nach der Installation des Zertifikats eine signierte E-Mail schickt. Anschließend können Sie ihm verschlüsselt antworten.
GnuPG zur E-Mail-Verschlüsselung
Wie oben bereits erwähnt, ist GnuPG die am häufigsten verwendete Software für die Verschlüsselung mit OpenPGP. Das hat auch damit zu tun, dass das Programm für alle wichtigen Plattformen verfügbar ist, nämlich für GNU/Linux, Mac OS X und mit Gpg4win auch für Windows. Zudem werden auch alle wichtigen E-Mail-Clients unterstützt, neben Outlook ab Version 2003 beispielsweise auch Thunderbird und KMail/Kontact.
Während es mit neueren Versionen von Outlook in der Vergangenheit immer mal wieder Kompatibilitätsprobleme gab, lief die aktuelle Version 2.3.2 in unserem Test stabil und ohne Beanstandungen mit Outlook 2016. Gpg4win integriert sich bei der Installation als Plugin und bietet anschließend in einem eigenen Ribbon die Befehle zum Ver- und Entschlüsseln sowie zum Signieren an.
Auch die Zertifikatsverwaltung Kleopatra ist im Installationspaket enthalten. Auf der gpg4win-Website ist unter eine hervorragende, detaillierte Anleitung für die Software erhältlich, die auch für Laien gut verständlich ist. Die Portierung von GnuPG auf Windows wurde ursprünglich vom Bundesministerium für Wirtschaft und Arbeit und vom Bundesministerium des Inneren gefördert, um eine sichere E-Mail-Verschlüsselung für jedermann zur Verfügung stellen zu können. 2006 entstand daraus mit Unterstützung des Bundesamts für Sicherheit in der Informationstechnik Gpg4win.
Der Nachteil von Gpg4win ist wie bei allen Lösungen mit asymmetrischer Verschlüsselung das erklärungsbedürftige Verfahren mit dem Austausch der öffentlichen Schlüssel. Neuere Programme bieten teilweise einfachere Ansätze an.
Pretty Easy privacy als einfachere Alternative
Um die Verwendung von OpenPGP zu vereinfachen, entwickelt die Schweizer PEP-Stiftung seit 2012 die Open-Source-Software pretty Easy privacy (pEp). Das Programm legt automatisch ein Schlüsselpaar an und sendet den öffentlichen Schlüssel als Anhang an den Empfänger der E-Mail.
Falls bereits ein PGP-Schlüssel vorhanden ist, kann pEp ihn auch importieren. Die Software ist für Android und Apple iOS kostenlos in den jeweiligen Stores erhältlich, ein Plugin für Outlook 2010, 2013 und 2016 kostete bei Redaktionsschluss als Einführungspreis rund 20 Euro über die Website prettyeasyprivacy.com.
Ende 2015 wurde zudem die Entwicklung einer speziellen pEp-Version der Thunderbird-Erweiterung Enigmail angekündigt. Die beiden Mobilversionen bringen ihren eigenen, einfachen E-Mail-Client mit, der auf die vorhandene Kontaktliste zugreift, ansonsten jedoch keinerlei erweiterte Funktionalität bietet.
Die S/MIME-Alternative: SecurePIM
Das größte Problem beim Einrichten einer Verschlüsselung mit S/MIME ist das Zertifikat, das von einer offiziellen Stelle ausgestellt werden muss. Anfang dieses Jahres stellte die deutsche Firma Virtual Solution mit SecurePIM eine Software vor, die ein von der Schweizer Zertifizierungsstelle SwissSign ausgestelltes Zertifikat bereits mitbringt. In einem aufwendigen, jedoch komplett im Hintergrund ablaufenden Verfahren baut das Programm während der Installation eine Verbindung zu SwissSign auf, beantragt ein Zertifikat für die genutzte E-Mail-Adresse, installiert es auf dem lokalen Gerät und erzeugt damit ein Schlüsselpaar. Über eine vorformulierte Nachricht kann der Benutzer dann eine signierte E-Mail an die Person schicken, mit der er verschlüsselt kommunizieren möchte.
Die Software ist für Android und Apple iOS erhältlich und umfasst einen einfachen E-Mail-Client für IMAP-Postfächer. Er lässt sich durch eine vierstellige PIN gegen unberechtigte Zugriffe schützen und unterstützt das Einfügen von Textbausteinen und einer Signatur.
Das Programm greift auf die lokalen Kontaktdaten und in der aktuellen Version auch auf die Kamera des Smartphones oder Tablets zu. Der Benutzer kann damit Fotos direkt aus der App heraus schießen, sie in einem verschlüsselten Speicherbereich ablegen oder auch gleich verschlüsselt als E-Mail-Anhang verschicken. Eine Anbindung von SecurePIM an Desktop-Clients wie Outlook ist bereits angekündigt, war allerdings bis Redaktionsschluss noch nicht erhältlich.
SecurePIM lässt sich drei Monate lang kostenlos ausprobieren, danach kostet die Software 24 Euro pro Mail-Adresse plus 25 Euro für das Zertifikat.
S/MIME mit Outlook einrichten
Die wichtigste Funktion von Programmen wie pEp oder SecurePIM ist der höhere Komfort beim Erzeugen und Installieren der Schlüsselpaare. S/MIME wird heute jedoch von praktisch jedem E-Mail-Client standardmäßig unterstützt und kann auch manuell eingerichtet werden.
Für die Kombi aus Google Chrome und Outlook gehen Sie so vor:
- Bei StartCom bekommen Sie ein kostenloses Zertifikat. Klicken Sie dazu auf StartSSL PKI, wählen Sie StartSSL Free aus und melden Sie sich über Sign-up an.
- Lassen Sie sich den Bestätigungscode zuschicken, geben Sie ihn ein und wählen Sie als Stärke für den privaten Schlüssel 2048 (High Grade).
- Nach Continue und Install wird der Schlüssel im Browser installiert. In Chrome rufen Sie nun Einstellungen/Erweiterte Einstellungen anzeigen auf und klicken auf Zertifikate verwalten.
- Weiter geht's im Assistenten mit Ja/privaten Schlüssel exportieren/Alle erweiterten Eigenschaften exportieren und der Eingabe eines Kennworts.
- Merken Sie sich zum Schluss, wo Sie den Schlüssel gespeichert haben.
Weiter geht's in Outlook:
- Gehen Sie auf Datei/Optionen/Trust Center/Einstellungen für das Trust Center/E-Mail-Sicherheit.
- Klicken Sie auf Importieren/Exportieren, wählen Sie das Zertifikat aus und geben Sie das Passwort ein.
- Nach dem OK markieren Sie Ausgehenden Nachrichten digitale Signatur hinzufügen und Signierte Nachrichten als Klartext senden und klicken auf Einstellungen.
- Stellen Sie bei Hashalgorithmus die Auswahl SHA512 und bei Verschlüsselungsalgorithmus die Option AES (256-bit) ein.
Nach der Bestätigung mit OK können Sie bei jeder neuen Mail unter Optionen angeben, ob sie digital signiert werden soll. Genauso können Sie auch mit Firefox und dem Internet Explorer (nicht mit Edge) sowie mit anderen Mail-Clients wie Thunderbird eine S/MIME-Verschlüsselung einrichten.
