E-Mails verschlüsseln: Wie PGP den Inhalt Ihrer Nachrichten schützt

Auch wenn heute ein beträchtlicher Teil der Kommunikation im Internet über Textnachrichten in sozialen Netzwerken und Instant Messengern stattfindet, ist die E-Mail noch immer nicht wegzudenken. Vor allem, wenn es um vertrauliche Inhalte wie Vertragsdetails, Bankdaten etc. geht, werden verständlicherweise eher E-Mails statt Chat-Systeme genutzt. In vielen Unternehmen gehört der Austausch von Nachrichten via E-Mail zum ganz normalen Geschäftsalltag. Entsprechend groß ist das Interesse, vertrauliche Informationen zu schützen und so zu verhindern, dass die Inhalte verschickter Mails ausgelesen werden können. Insbesondere Kriminelle, die sensible Nutzerdaten ausspionieren wollen, aber auch Geheimdienste auf der Suche nach brauchbaren Informationen profitieren von Nachrichten im Klartext. Damit kein Unbefugter den Inhalt Ihrer Mails mitlesen kann, sollten Sie unbedingt Ihre E-Mails verschlüsseln.

PGP-Verschlüsselung – mit Schlüsselpaaren die Privatsphäre schützen

Die sogenannte PGP-Verschlüsselung bietet eine ausgezeichnete Möglichkeit, Informationen zu schützen und die Inhalte Ihrer E-Mails zu verschlüsseln. Ursprünglich wurde der Begriff PGP – eine Abkürzung für „Pretty Good Privacy“ (dt. „ziemlich gute Privatsphäre“) – für eine bereits 1991 von Phil Zimmermann entwickelte Software zur E-Mail-Verschlüsselung verwendet. Im Laufe der Jahre hat sich der Name jedoch allgemein als Bezeichnung für die von dieser Software genutzte Verschlüsselungsmethodik durchgesetzt.

Die PGP-Verschlüsselung beruht auf einem Public-Key-Verfahren, in dem man ein fest zugeordnetes Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel (Key), verwendet. Der öffentliche Schlüssel wird für potenzielle Mail-Kontakte frei verfügbar gemacht, indem man ihn direkt übermittelt oder auf einem externen Key-Server hochlädt. Mithilfe dieses Keys verschlüsseln Ihre Kontakte alle elektronischen Nachrichten, die sie Ihnen senden. Der private Schlüssel ist ausschließlich in Ihrem Besitz und für gewöhnlich zusätzlich durch ein Passwort geschützt. Mit seiner Hilfe entschlüsseln Sie erhaltene Mails, die zuvor mit dem öffentlichen Key codiert wurden. Damit Sie auf diese Weise gesichert kommunizieren können, muss auch Ihr Kommunikationspartner PGP nutzen und Ihnen seinen öffentlichen Schlüssel mitteilen. Das Public-Key-Verfahren wird auch als asymmetrisches Verfahren bezeichnet, da beide Parteien unterschiedliche Schlüssel verwenden. Mithilfe von Signaturen garantieren Sie zusätzlich die Authentizität Ihrer Nachrichten.

E-Mail-Verschlüsselung mit PGP – nur für Experten?

Die eigene E-Mail-Kommunikation mit PGP zu schützen scheint auf den ersten Eindruck ein komplexes Unterfangen zu sein: Zunächst gilt es, sich eine freie oder kostengünstige PGP-Software zu besorgen und diese zu installieren. Während der Installation wird zwar automatisch das Schlüsselpaar erzeugt, der Rest liegt jedoch in der Verantwortung des Users: Der private Schlüssel wird auf dem eigenen System archiviert, während der öffentliche auf einem externen Server, z. B. auf dem eigenen Webserver, hochgeladen oder direkt per Mail an befreundete Kontakte weitergeleitet wird. Das reicht aber noch nicht aus, denn die involvierten Kontakte müssen ihrerseits ebenfalls auf die PGP-Verschlüsselung zurückgreifen und Ihnen ihren eigenen öffentlichen Key zukommen lassen. Die Vertrauenswürdigkeit der erhaltenen Keys zu überprüfen und die eigenen Schlüssel zu verwalten, obliegt allein Ihnen, dafür gehen Sie aber auch wirklich auf Nummer sicher, wenn Sie mit PGP Ihre E-Mails verschlüsseln.

Die zur Einrichtung notwendigen Schritte haben weniger versierte Nutzer bisher meist davon abgehalten, diese Art der E-Mail-Verschlüsselung zu verwenden. Um die sicheren Mails auch einem breiteren Publikum verfügbar zu machen, wurden in den vergangenen Jahren Plug-ins wie das OutlookPrivacyPlugin oder Mailvelope entwickelt, die man in gängige E-Mail-Clients und Browser implementiert und die den Benutzer bei der Konfiguration unterstützen. Inzwischen messen auch viele etablierte E-Mail-Dienste dem Thema eine hohe Bedeutung bei und verknüpfen ihren Dienst mit PGP-Plug-ins und selbsterklärenden Einrichtungsassistenten. Dadurch kann deutlich einfacher als in der Vergangenheit eine PGP-Verschlüsselung für das eigene E-Mail-Konto eingerichtet werden. Auch die Speicherung der öffentlichen Keys in einer Datenbank des Anbieters ist ein gängiger Service.

PGP Tutorial: So realisieren Sie die PGP-Verschlüsselung für Ihren Nachrichtenverkehr

Viele E-Mail-Service-Anbieter warten heute mit vorbereiteten Paketen zur Einrichtung der PGP-Verschlüsselung auf und präsentieren Ihnen in der Regel auch leicht verständliche Anleitungen, die Sie dabei unterstützen. Ist dies jedoch nicht der Fall, sollten Sie die notwendigen Schritte, die oben bereits genannt worden sind, selbst in die Hand nehmen. Das folgende PGP-Tutorial setzt sich aus diesem Grund etwas genauer mit der allgemeinen Herangehensweise bei der Einrichtung der Verschlüsselung auseinander.

Schritt 1: Die passende PGP-Software wählen und installieren

An erster Stelle steht die Suche nach der geeigneten PGP-Software, die sowohl mit dem genutzten Betriebssystem als auch mit dem verwendeten E-Mail-Programm kompatibel sein muss. Linux-Verfechter treffen mit der bereits 1997 veröffentlichten Open-Source-Lösung GnuPG (GNU Privacy Guard) eine gute Wahl. Die Software läuft unter nahezu allen GNU/Linux-Distributionen und ermöglicht die Verschlüsselung nach dem OpenPGP-Standard mit allen wichtigen Mailprogrammen wie Evolution, Kmail oder Thunderbird. Die etwas ältere Version 1.4 ist auf vielen Systemen standardmäßig vorinstalliert, die jeweils neueste Variante laden Sie auf der offiziellen Homepage herunter.

Nutzer von Windows- oder OS-X-Betriebssystemen finden dort auch Binärdateien, mit denen sie die systemspezifischen Gpg4win und Mac GPG, die auf GnuPG basieren, installieren können.

Schritt 2: Schlüsselpaar erzeugen

Ist das PGP-Programm installiert, kann ein Schlüsselpaar erzeugt werden. Unter Linux öffnen Sie hierfür die Kommandozeile und nutzen den jeweiligen Befehl, den Sie den Manuals des genutzten Programms entnehmen können. Für das erwähnte GnuPG lautet dieser z. B.:

sudo gpg --gen-key

Anschließend wählen Sie die Art der Verschlüsselung, wobei Sie nur von der Standardeinstellung („RSA und RSA“) abweichen sollten, wenn Sie über das notwendige Hintergrundwissen verfügen. Im Anschluss geben Sie die Schlüssellänge in Bit an. Je höher der Wert ist, desto sicherer sind die Schlüssel, aber desto langsamer performen diese auch. Sicherheitsexperten empfehlen bei RSA-Schlüsseln eine Länge von 4096 Bit. Es folgt die Angabe der Gültigkeitsdauer der Schlüssel und schließlich die Aufforderung, Name und E-Mail-Adresse anzugeben, für die das Schlüsselpaar gelten soll. Zum Abschluss bestätigen Sie die Korrektheit der Angaben und definieren die Passphrase für Ihren privaten Schlüssel. Selbige benötigen Sie später, um Ihre elektronischen Nachrichten zu verschlüsseln bzw. zu entschlüsseln.

Unter Windows und Mac OS X starten Sie die Schlüsselerzeugung über grafische Programme. Unabhängig von PGP-Software und Plattform werden Sie häufig dazu aufgefordert, die Schlüsselgenerierung durch zufällige Tastatureingaben oder Mausbewegungen zu unterstützen.

Schritt 3: Den öffentlichen Key mit Kontakten teilen

Die erzeugten Schlüssel verwalten Sie unter Linux entweder ebenfalls über das Terminal oder mithilfe eines grafischen Programms wie Seahorse (für Gnome/Unity) oder KGpg (für KDE). Die für das in diesem PGP-Tutorial vorgestellte GnuPG passenden Kommandozeilenbefehle lauten beispielsweise

sudo gpg --list-secret-keys
sudo -K

für die privaten Schlüssel sowie

sudo gpg --list-keys
sudo -K

für eine Auflistung aller erzeugten öffentlichen Schlüssel. Die aufgelisteten Schlüssel können Sie hier natürlich nicht nur einsehen, sondern auch direkt exportieren. Auf diese Weise erzeugen Sie eine .asc-Datei, die im Anschluss direkt per Mail (im Anhang) an die gewünschten Kontakte geschickt, auf einen Zertifikatsserver hochgeladen oder per USB-Stick übermittelt werden kann. Hat ein Kontakt Ihren öffentlichen Key erhalten und besitzt auch ein Programm zur Schlüsselverwaltung, kann er Ihnen fortan verschlüsselte Nachrichten schicken, die Sie mit dem dazugehörigen Private Key inklusive Passphrase entschlüsseln. Wollen Sie diesem Kontakt ebenfalls verschlüsselte E-Mails zukommen lassen, benötigen Sie wiederum dessen öffentlichen Key.

Tools: Online-PGP-Verschlüsselung und -Entschlüsselung

Anstelle von Programmen, die Sie auf dem eigenen System installieren, können Sie auch auf Online-PGP-Tools zurückgreifen, um Schlüsselpaare zu erstellen oder Ihre elektronischen Nachrichten zu verschlüsseln bzw. erhaltene Mails zu entschlüsseln. Exemplarisch wollen wir an dieser Stelle den Webservice PGP Key Generator und das Online-Verschlüsselungstool sela anführen.

PGP Key Generator

Bei dem Webtool PGP Key Generator handelt es sich um ein JavaScript-Programm, das in gewöhnlichen Webbrowsern ausgeführt werden kann und die Generierung eines Schlüsselpaars ermöglicht. Sie können den Open-Source-Dienst kostenfrei und ohne Anmeldung nutzen. Im ersten Schritt geben Sie dazu einfach im „Options“-Formular die gewünschten Spezifikationen für die Keys an: Ihren Namen, die E-Mail-Adresse, den gewünschten Verschlüsselungsalgorithmus (RSA/ECC), die Schlüssellänge (bis 4096 Bit), die Gültigkeitsdauer (bis acht Jahre) sowie eine Passphrase. Mit einem Klick auf „Generate Keys“ starten Sie die Key-Generierung, die etwas Zeit in Anspruch nimmt. Ist der Vorgang abgeschlossen, sehen Sie den Public Key sowie Ihren Private Key in den gleichnamigen Fenstern. Über den jeweiligen Download-Button laden Sie beide im .asc-Format herunter.  

Sowohl die Eingabe der Daten als auch die Generierung des Schlüsselpaars findet auf Seiten des Clients, also des Browsers, via TLS-Verbindung statt. Dabei nutzt das Tool ein TLS-Zertifikat, das durch Amazon verifiziert ist. Die Verantwortlichen des Webdienstes speichern weder die Angaben über Ihre Person oder die E-Mail-Adresse noch die erzeugten Keys auf den eigenen Servern (Amazon S3 und CloudFront). Einzig Google Analytics zeichnet Informationen zu Zwecken der Webanalyse auf. Wie bei allen anderen JavaScript-Anwendungen auch, können Kriminelle im PGP Key Generator allerdings Sicherheitslücken finden, über die sie Angriffe auf Ihr System starten und an sensible Daten – wie den gerade erzeugten Private Key inklusive Passphrase – gelangen können.

sela – Einfache Online-PGP-Verschlüsselung

Der Webdienst sela bietet Ihnen die Möglichkeit, Mails online zu ver- und entschlüsseln. Dazu benötigen Sie nur den jeweils relevanten Key sowie die Passphrase (beim Entschlüsseln). Wenn Sie eine Nachricht verschlüsseln möchten, fügen Sie den öffentlichen Key Ihres Kontaktes sowie den Mail-Inhalt in die entsprechenden Felder ein und klicken auf „Nachricht verschlüsseln“. Sie erhalten im Anschluss den Fingerprint des Public Keys sowie die verschlüsselte Nachricht, die Sie sich einfach per Copy-and-Paste herauskopieren können.

Wollen Sie eine erhaltene Nachricht entschlüsseln, kopieren Sie Ihren privaten Schlüssel, die entsprechende Passphrase und die zu entschlüsselnde Nachricht in die drei passenden Felder und klicken anschließend auf „Nachricht entschlüsseln“, woraufhin sela den Inhalt der Mail im Klartext präsentiert. Für den Service verantwortlich ist der Designer Stefan Dosdal, der allerdings keinerlei Angaben darüber macht, ob er Analyse-Tools wie Google Analytics nutzt. Die Verbindung zu dem Tool ist TLS-zertifiziert (durch GeoTrust Inc.), birgt dennoch das bereits erwähnte Risiko von JavaScript-Anwendungen. Außerdem schickt es den geheimen Key beim Entschlüsseln an den Server, was im starken Gegensatz zu dem eigentlichen PGP-Grundsatz steht.

PGP-Verschlüsselung für Webmail-Dienste: Browser-Erweiterung Mailvelope

Wer bevorzugt über Webmail-Dienste wie Gmail, Yahoo, GMX, Web.de oder Outlook.com kommuniziert, macht mit der Browser-Erweiterung Mailvelope alles richtig. Das Add-on basiert auf OpenPGP.js, einer JavaScript-Implementierung des OpenPGP-Standards, und ist sowohl für Google Chrome als auch Mozilla Firefox verfügbar – auf der Mailvelope-Homepage finden Sie entsprechende Links zu den Downloadmöglichkeiten. Sobald Sie die Erweiterung installiert haben, erscheint in der Symbolleiste Ihres Browsers das Mailvelope-Icon, über das Sie die Nutzeroberfläche aufrufen können. Hier erstellen, importieren und verwalten Sie Ihre Schlüssel sowie die öffentlichen Schlüssel Ihrer Gesprächspartner oder laden erstellte Public Keys auf einen öffentlichen Schlüssel-Server hoch.

Wenn Sie Mailvelope installiert haben und im Browser Ihr Webmail-Postfach aufrufen, scannt das Add-on selbiges nach PGP-Nachrichten. Auf diese Weise kann es spezifische Elemente für die Verschlüsselung bzw. Entschlüsselung anzeigen, insofern eine entsprechende E-Mail vorhanden ist. In den Optionen können Sie die PGP-Verschlüsselung für Gmail, Outlook und Co. aktivieren bzw. deaktivieren: Sie wählen einfach den jeweiligen Dienst aus der Liste der unterstützten Webmail-Anbieter aus und regulieren den Status über den On/Off-Schalter. Standardmäßig ist Mailvelope für alle aufgelisteten Anbieter aktiviert.

So nutzen Sie PGP-Schlüssel auf Ihrem Android-Gerät

Um die PGP-Verschlüsselung auf Android-Geräten einsetzen zu können, benötigen Sie einen E-Mail-Client, der die Verschlüsselungsart unterstützt, und eine Schlüssel-Management-Software. Zwei Apps haben sich hierbei als besonders nützlich erwiesen – das kostenfreie E-Mail-Programm Squeaky Mail und die kostenpflichtige Anwendung PGP KeyRing, die auch als Testversion (auf einen Private Key und zwei Public Keys beschränkt) erhältlich ist.

Zunächst installieren Sie Squeaky Mail und richten mithilfe des Assistenten ein Postfach mit Ihrer E-Mail-Adresse ein. Im Anschluss können Sie mit PGP KeyRing Ihr Schlüsselpaar importieren und den öffentlichen Key mit Ihren Kommunikationspartnern teilen. Schicken diese Ihnen nun eine verschlüsselte E-Mail, fragt Squeaky Mail Ihre Passphrase ab und zeigt den Inhalt der Mail erst, wenn Sie selbige korrekt eingegeben haben. Damit Sie ebenfalls verschlüsselte Nachrichten schicken können, importieren Sie anschließend auch die Public Keys Ihrer Kontakte. Nun können Sie beim Versenden ein Häkchen bei „Verschlüsseln“ setzen und den jeweiligen Key auswählen.

Verschlüsselte Inhalte vs. verschlüsselte Verbindungen

Viele Benutzer glauben, dass sie bereits via SSL-/TLS-Zertifikaten verschlüsselte E-Mails mit ihren Kontakten auszutauschen – das ist aber nur die halbe Wahrheit. Denn durch Nutzung von SSL-/TLS-Zertifikaten wird nur der Übertragungsweg der elektronischen Nachrichten codiert. Das hat den Nachteil, dass diese währenddessen von Dritten abgefangen und im Klartext gelesen werden können. Andererseits ermöglichen SSL-/TLS-Zertifikate auch die Verschlüsselung von Mail-Bestandteilen, die durch PGP unverschlüsselt bleiben – beispielsweise Informationen über Absender, Empfänger oder Betreff. Eine Kombination aus PGP-Verschlüsselung und SSL-/TLS-Verschlüsselung stellt in der Praxis daher die optimale Lösung dar, um Ihre E-Mail-Inhalte zu schützen. Weitere Informationen über die verschlüsselte Übertragung finden Sie in unserem Ratgeber über SSL-/TLS-Verschlüsselung.