Eine E-Mail ist per Se nicht verschlüsselt. Ähnlich einer Postkarte. Überall wo das E-Mail durchgeht, kann alles Klartext gelesen werden. Eine E-Mail durchquert von A nach B viele Knoten, an welchen man dieses lesen kann. Auch vor dem Hintergrund des vom 25. September 2016 angenommenen Nachrichtendienstgesetzes möchte man vielleicht seinen Mailverkehr etwas sicherer und nicht so leicht einsehbar machen. Selbst wenn man nichts zu „verbergen“ hat, holen einem solche Datensammelaktionen wahrscheinlich irgendwann ein. Leider ist es dann zu spät. Und die Unschuldsvermutung ist längst einer Schuldvermutung gewichen.
Wie dem auch sei, davon handelt dieser Artikel nicht. Es soll vielmehr eine Anleitung sein, wie man E-Mail Verschlüsslung machen kann. Auf der Suche nach Informationen zur Verschlüsselung muss man sich einiges zusammensuchen und probieren bis man einen gangbaren Weg findet. Aus diesem Grund habe ich diesen Leitfaden geschrieben um einen möglichen relativ einfachen Weg, Schritt für Schritt zu beschreiben.
Als erstes muss man ein klein wenig über die Verschlüsselungstechnik erfahren, damit man die nachfolgenden Schritte besser verstehen kann. Ich möchte hier nicht zu tief gehen, daher ein anschauliches Beispiel. Ich habe zwei Schmuckschatullen. Die eine Schmuckschatulle kann man einfach öffnen, die andere ist abgeschlossen. In der geschlossenen Schatulle befindet sich das verschlüsselte Mail, und der anderen das unverschlüsselte «normale» Mail. Um nun die geschlossene Schatulle zu öffnen, benötige ich einen Schlüssel und eine Visitenkarte von mir. Die Visitenkarte ist öffentlich, die kann ich jedem geben.
Um nun eine Mail zu verschlüsseln, benötigt der Sender von mir meine Visitenkarte. Mit dieser Visitenkarte verschlüsselt er dann die Mail. Sie ist also nicht mehr lesbar wie eine Postkarte. Die Mail ist jetzt quasi in der verschlossenen Schmuckschatulle. Ich (der Empfänger der Mail) kann sie nur lesen, wenn ich die Visitenkarte UND den Schlüssel zur Schatulle besitze.
Dies macht im Umkehrschluss auch gleich auf etwas aufmerksam. Die verschlüsselte Mail, kann ich also nur mit dem Schlüssel lesen. Das heisst auf die Informatik gemünzt: Nur wenn der Schlüssel auf dem jeweiligen Gerät vorhanden ist (PC, Tablet, Smartphone) kann ich das Mail lesen. Ansonsten nicht. Macht ja auch Sinn, sonst kann ich gleich eine Postkarte versenden, die jeder lesen kann.
Für Technik versierte: Verschlüsselung geschieht mittels öffentlichem und privaten Schlüssel. Als Analogon ist der Schlüssel zur Schatulle der private Schlüssel, die Visitenkarte der öffentliche Schlüssel.
Für Technik versierte II: Es gibt verschiedene Arten der Verschlüsselung, welche alle ihre Vor- und Nachteile haben. Die hier vorgestellte Variante basiert auf S/MIME, eine andere Variante wäre PGP.
Als erstes muss ich ein Zertifikat (das ist die Visitenkarte und Schlüssel in einem) lösen.
Als Beispiel ein gratis Zertifikat von COMODO:
https://www.comodo.com/home/email-security/free-email-certificate.php
ACHTUNG: Ein Zertifikat bei Comodo kann nur mit Internet Explorer oder Firefox generiert werden!!!
Schlüsselgenerierung bestätigen:
Die entsprechenden Felder ausfüllen. Achtung, bei COMODO kann man keine Umlaute registrieren. Wichtig ist «Revocation Password», das brauchen wir später noch und auch, falls jemand unser Zertifikat stiehlt, um es bei COMODO zurückzusetzen. Achtung, hier bitte nicht dasselbe Passwort wie beim E-Mail nutzen, sondern ein separates vergeben, welches man nur für das Zertifikat braucht. (Tipp, um Passwörter zu speichern, nutzt man am besten ein entsprechendes Tool, z.B. http://keepass.info/)
Dann gehen wir weiter und lösen so unser Zertifikat aus. Ich bekomme an die definierte Mailadresse eine E-Mail mit einem Link, welchen ich (WICHTIG!) wieder im Internet Explorer oder Firefox (wo man das Formular ausgefüllt hat) öffnen muss.
Der Browser fragt dann beim Öffnen, ob er das Zertifikat installieren soll, was wir bestätigen.
Jetzt haben wir unseren Schlüssel.
Den Schlüssel müssen wir jetzt speichern, um ihn einerseits auf anderen Geräten zu nutzen (z.B. Smartphone) oder auch als Backup. Das Zertifikat finden wir in der «Systemsteuerung» -> «Benutzerzertifikate». Und dort unter «Eigene Zertifikate» -> «Zertifikate.
Der Export geht dann so:
Es empfiehlt sich sehr, hier ein Passwort zu vergeben, sonst kann jeder, der an das Zertifikat rankommt es nutzen! Entweder nimmt man dasselbe Passwort bei der Registrierung bei COMODO, oder wenn etwas paranoider ist nimmt man dafür ein anderes.
Jetzt hat man eine .pfx Datei welches unser persönlicher Schlüssel ist. Der nächste Schritt ist nun, den Schlüssel an das Mailprogramm und auch Geräte wie Smartphone/Tablet zu verteilen.
«Extras» -> «Konten-Einstellungen bearbeiten»
Bei der gewünschten Mailadresse auf «S/MIME-Sicherheit» klicken und dort auf den Knopf «Zertifikate verwalten».
Nun klicke ich den Knopf «Importieren» an, und wähle meine .pfx Datei aus vorhergehendem Schritt aus. Ich muss das definierte Passwort eintippen und schon ist das Zertifikat im Speicher von Thunderbird vorhanden.
Nun wähle ich das Zertifikat noch aus und setzte entsprechende Einstellungen.
Digitale Unterschrift: das ist quasi unsere Visitenkarte. Mit dem Haken «Nachrichten digital unterschreiben» sende ich mit jeder E-Mail nun meine Visitenkarte mit. Sodass mein Gegenüber dann die Mail verschlüsseln kann.
Verschlüsselung: das ist unser Schlüssel zur Schmuckschatulle. Mit der Auswahl «Notwenig» wählen wir aus, dass jede Mail automatisch verschlüsselt werden soll. Das führt Anfangs zu etwas Problemen, weil wenn ich die «Visitenkarte» meines Mailempfängers nicht habe, kann ich auch nicht verschlüsseln. Wenn ich hier «Nie» einstelle, dann wähle ich auf jeder Mail separat aus, wenn ich verschlüsseln will.
Ich kann unabhängig obiger Einstellung sowieso auf jeder Mail, die ich schreibe definieren, ob ich Verschlüsseln oder unterschreiben (Visitenkarte senden) will:
Auf dem Smartphone möchte ich ja auch verschlüsselte Mails lesen und senden können, also muss ich auch hier den Schlüssel hinterlegen.
Als erstes muss ich den Schlüssel (Zertifikat) auf das Smartphone oder Tablet kopieren. Am besten geschieht das, indem ich das Gerät via Kabel an den PC anschliesse. Es wäre natürlich einfacher das Zertifikat auf Dropbox zu laden, dann hätte ich es auch auf dem Smartphone/Tablet. Damit gäben wir aber den Schlüssel in eine unkontrollierbare weitere Hand, was wir vermeiden sollten. Also dringend empfohlen: Kopieren via Kabel.
Auf dem Smartphone/Tablet muss ich eine Mail App haben, welche «S/MIME» versteht. Die Standard Sony Mail-App kann dies von Haus aus. Wenn die Mail App dies nicht kann, muss man entweder eine Alternative suchen, oder aber man nutzt «CipherMail Email Encryption».
https://play.google.com/store/apps/details?id=com.djigzo.android.application
Mit CipherMail kann man eine verschlüsselte Mail (wird als Mail-Anhang empfangen) öffnen, und CipherMail entschlüsselt diese.
Als langjähriger K-9 Mail Nutzer musste ich hier eine Alternative suchen, da K-9 Mail aktuell kein S/MIME kann. Das zusätzliche Öffnen durch eine zweite App empfand ich etwas umständlich, weshalb ich aktuell bei R2Mail2 gelandet sind (der Name ist vermutliche eine Anlehnung an R2D2 von Star Wars). Das Mailprogramm finde ich recht anwenderfreundlich mit hohem Sicherheitsstandard und dennoch hübsch gemacht. Nach einer Testphase mit der gratis Version (welche nur die neusten 10 Mails anzeigt), habe ich die App nun gekauft.
https://play.google.com/store/apps/details?id=at.rundquadrat.android.r2mail2
Da das Einrichten des Zertifikats für jede App individuell aussieht, gehe ich hier nicht weiter darauf ein. Die Logik ist überall dieselbe: das Zertifikat muss in den Zertifikatsspeicher der App importiert werden (dazu braucht es dann das Passwort, welches wir oben definiert haben), und danach wird das Mailkonto mit demjenigen Zertifikat verknüpft. Das Vorgehen gleicht also dem vom oben beschriebenen Mozilla Thunderbird.
So, nun haben wir alles beieinander um möglichst allen Mailverkehr verschlüsseln zu können! Wenn man den Einstieg gefunden hat, ist verschlüsseln ganz einfach. Und je mehr Leute es machen, desto grösser wird das Wissen über das «wie», desto mehr Mails können verschlüsselt versendet werden.
Noch ein Hinweis zum Zertifikat. Verschlüsselte Mails können nur noch mit diesem Zertifikat gelesen werden. Eine andere Möglichkeit besteht nicht. Wichtig ist also, das Zertifikat zu sichern. Denn ohne das Zertifikat haben wir keine Möglichkeit mehr das Mail zu lesen. Also sichert das Zertifikat lieber doppelt und dreifach, aber achtet darauf wohin (also nicht auf Dropbox oder ähnliche «Cloud» Dienste).
Veröffentlicht am: 30. Oktober 2016
Dies und das | >> Der Weihnachtskugelbaum