Anonym Nachrichten austauschen: E-Mails sicher verschlüsseln

E-Mails verschlüsseln zählt zu den wichtigsten Bausteinen der persönlichen Internet-Sichheitsarchitektur
E-Mails verschlüsseln zählt zu den wichtigsten Bausteinen der persönlichen Internet-Sichheitsarchitektur

Die Menschen sind nach der Veröffentlichung der Snowden-Dokumente hinsichtlich des Schutzes eigener Daten wesentlich sensibler geworden. Die Angst vor Ausspähung ist in den letzten Jahren deutlich gestiegen. Es gibt verschiedene Wege, um anonym zu surfen und seine Daten — ob lokal auf der Festplatte oder auf dem Weg durchs Internet — zu schützen:

Insbesondere der Transfer und Austausch von E-Mails erfordert eine konsequente Verschlüsselungsstrategie. Wer eine E-Mail-Adresse bei Google und Yahoo besitzt, sollte wissen, dass die E-Mail-Server in den Vereinigten Staaten stehen und von den Geheimdiensten gefiltert und ggf. mitgelesen werden können. Bestmöglichen Ausspähschutz bieten verschlüsselte E-Mail-Verbindungen. Verschlüsselungssysteme wie Perfect Forward Secrecy (PFS) und GNU Privacy Guard (GPG) bieten einen guten Schutz. Wer diese nutzt, muss sich allerdings von bisherigen E-Mail-Gewohnheiten verabschieden.

Asymmetrische Verschlüsselung: Standardstrategie für E-Mails

Effektive Verschlüsselung bietet maximal wirksamen Schutz. Im Mittelpunkt der Strategie steht das Konzept der asymmetrischen kryptographischen Verschlüsselung. Die E-Mail bzw. deren Inhalt werden digital signiert und verschlüsselt an einen Empfänger geschickt.

Das Grundprinzip:

  • Absender (A) und Empfänger (E) besitzen jeweils zwei unterschiedliche Schlüssel — einen privaten sowie einen öffentlichen Schlüssel.
  • Wenn A an E eine vertrauliche E-Mail schreibt und verschickt, so verwendet A den öffentlichen E-Mail-Schlüssel von E.
  • E als Empfänger der E-Mail öffnet diese jedoch mit seinem privaten Schlüssel, dem persönlichem Passwort und signiert damit die E-Mail.

Schlussfolgerung: Die öffentlichen Schlüssel können zugänglich sein, auf Datenträgern gespeichert sein und zum Aufbau von Kommunikation genutzt werden, falls der zweite, private Sitzungsschlüssel geheim bleibt. Den privaten Schlüssel sollte niemandem gegeben werden — ansonsten ist die Nachricht eines E-Mail-Absenders so sicher wie ein Zettel mit dem geschriebenen Passwort in der Hosentasche.

E-Mails verschlüsseln mit Gpg4win (Gnu Privacy Guard) und dem E-Mail-Client Thunderbird

Ein geeignetes Tool zum Verschlüsseln und  Signieren von E-Mails unter Windows ist das Open-Source-Tool Gpg4win (GNU Privacy Guard). Weiterentwickelt und gepflegt wird das Sicherheits-Tool von der Gpg4win-Initiative.

Gpg4win enthält verschiedene Komponenten:

  • GnuPG: Das „Systemherz“ des Kryptographiesystems mit dem Standard OpenPGP nach RFC 4880, auf DOS-Ebene basierend.
  • Kleopatra: Front-End für GnuPG
  • GPA: Zertifikationsmanager für OpenPGP
  • GpgOL: Verschlüsselungs-Plug-In für Outlook 2003, 2007, 2010 und 2013
  • GpgEX: Verschlüsselungs-Erweiterung für den Windows Explorer, allerdings nicht bei 64-bit-Systemen.

Zum Download von Gpg4win

Tipps zur Installation von Gpg4win:

  • Achten Sie darauf den Download des Programms unter Windows mit dem Admin-Konto durchzuführen oder alternativ ein eingeschränktes Konto zu verwenden, das die Benutzer-Profildaten schützt.
  • Ihren persönlichen Schlüssel erstellen Sie über Kleopatra: Datei > Neue Zertifikat > Assistent zur Schlüssel-Erstellung > Persönliches OpenPGP-Schlüsselpaar.
  • Installieren Sie, falls noch nicht geschehen Thunderbird und richten Sie dort Ihren E-Mail-Account mit Ihrer persönlichen E-Mail-Adresse und dem zugehörigen Passwort ein.
  • Enigmail wird mit Thunderbird integriert über den Pfad: Extras > Add-ons. Enigmail suchen, bestätigen, installieren.
  • Nach dem Neustart führt der Enigmail-Assistent zur „bequemen automatischen Verschlüsselung“.

Langfristiger Verschlüsselungsschutz mit Perfect Forward Secrecy

Problematisch bei der asymmetrischen Verschlüsselung ist der private Schlüssel. Falls dieser im Nachhinein öffentlich wird, können Geheimdienste, Cyber-Kriminelle oder andere unbefugte Dritte auch noch Jahre später auf die entsprechenden E-Mail-Inhalte zugreifen. Weiteres Risiko: Möglicherweise sind Rechner in nicht allzu ferner Zukunft in der Lage Schlüssel zu errechnen und nachträglich zu bestimmen.

Das Tool Perfect Forward Secrecy (PFS), oder auch kurz „Forward Secrecy“ genannt, bietet effektiven Schutz vor einer nachträglichen Entschlüsselung. In diesem Verfahren wird der geheime Sitzungsschlüssel zwischen den E-Mail-Partnern nicht übertragen, sondern jedes Mal zufällig neu ausgehandelt. Nach der Beendigung der E-Mail-Kommunikation wird der Schlüssel vernichtet.

Voraussetzung für die Nutzung von PFS ist, dass die verwendeten Webserver als auch Mailserver die SSL-Verschlüsselung nach dem Diffie-Hellman-Verfahren unterstützen. Dieses Verfahren wurde von Martin Hellmann und Whitfield Diffie an der Standford-Universität in Kalifornien entwickelt. Die Browser Firefox, Chrome, Opera und Safari unterstützen beispielsweise im Gegensatz zum Internet Explorer den Schlüsselaustausch nach Diffie-Hellman. Für einen SSL-Test des eigenen Servers auf PFS-Fähigkeit lohnt sich ein Besuch bei Qualys SSL Labs.

Wer seine E-Mails über web.de und gmx.de — Anbieter der Initiative „E-Mail made in Germany“ verwaltet, ist relativ gut gesichert. Hier ist das SSL-Profil mit PFS sogar standardmäßig vorkonfiguriert. Die Verschlüsselung ist bequem in nur drei Schritten umgesetzt. Auch Microsoft hat PFS seit 2014 standardmäßig in Outlook.com integriert.

Tipp für Apple-Nutzer!

Wer wissen möchte, wie E-Mail-Verschlüsselung unter iOS und Mac funktioniert, wird beim Apple-Support in diesem Apple-Forum fündig.

Zurück

oben