Verschlüsselung von Mails und anderen Daten unter Windows kann man so einrichten, dass die Datenkraken nicht mehr einfach alles mitlesen können. Dazu wurde das Projet PGP (Pretty Good Pivacy) unter Windows als GPG4Win portiert. Zusammen mit Thundebird als Mail Client und Enigma als Add-On in Thunderbird, kann man dann loslegen, egal welchen Mailprovider man verwendet.
Asymmetrische Verschlüsselung mit GPG4Win
Wir erinnern uns: Um eine asymetrische Verschlüsselung zu machen, braucht jeder Teilnehmer einen privaten und einen öffentlichen Schlüssel. Euer öffentlicher Schlüssel soll jedem bekannt sein, er liegt deshalb auf sogenannten Keyservern im Internet. Mit ihm kann jeder EMails an Euch verschlüsseln. Am besten ist es ein 2048 Bit oder längerer Schlüssel. Nur Ihr (hoffentlich) habt dazu einen passenden privaten Schlüssel, den Ihr in GPG4Win speichert und ansonsten vor jedem Zugriff schützt, z.B. Wer will, speichert sich eine Kopie auf einer SD Card in seinem Safe oder Portemonaise. Aber keine Angst, der ist nochmals zusätzlich mit einer Passphrase (einem Kennworrt) geschützt. Nur verlieren solltet Ihr ihn nicht, sonst könnt Ihr die an Euch versendeten verschlüsselten Mails auch nicht mehr lesen. Diesen privaten Schlüssel verwendet Ihr zusätzlich, um allen Mails von Euch an andere eine Signatur anzuhängen, egal ob sie vrschlüsselt sind oder nicht. Die Signatur erlaubt es anderen, mit Eurem öffentlichen Schlüssel zu verifizieren, dass die von Ihnen empfangene Email wirklich von Euch kam. Gut erklät hat das Microsoft Einführung in Verschlüsselung
Wo bekommt Ihr nun das alles? Nun, das zeige ich Euch jetzt.
Schritt 1: Thunderbird installieren
Als Erstes installiert Ihr Euch Thunderbird als Emailpogramm. Im Prinzip könnte man auch Outlook verwenden, aber bei Thunderbird ist einfach die Intgration von Email, Mailtransfer PGP/MIME Schlüsselverwaltung und Verschlüsselungssystem besser. Es stammt wie der Firefox Internet Browser von Mozilla. Ihr findet es deshalb unter https://www.mozilla.org/de/thunderbird/ . Ihr klickt auf Windows und ladet dort das Programm Thunderbird Setup xx.x.exe herunter und füht es danach per Doppelklick aus. So wird Thunderbird installiert. Wenn bei den folgenden Bildern alles in Englisch erscheint, dann liegt das daran, dass ich das bewusst so einichte. Ist eine Macke aus meiner Anfangszeit mit Computern, wo die deutschen Übersetzungen von Software einfach grausig waren. Euer Thunderbird wird aber in Deutsch sein.
Jetzt startet Ihr Thunderbird und legt im Wizzard Euren Mailaccount an. Startet der nicht automatisch, dann dückt Ihr die "ALT"-taste, dann erscheint ein Menü oben mit "Tools" und "Account Settings". Dort klickt Ihr unten auf "Add Account". Jetzt müsst Ihr nur noch Euren Namen (wie ihn Empfänger sehen sollen), Eure Emailadresse und das Passwort eingeben. Thundebird kennt fast alle Emailprovider und die zugehörigen Settings selbstständig. Nur noch alles Weitere bestätigen und schon sollte es gehen. Dann wird erst einmal eine lange Liste an eMails auf Euren Rechner synchronisiert.
Ein paar Einstellungen in Thunderbird, die ich anschließend unter "ALT" - "Tools" - "Options" empfehle:
- Security: "Use a Master Password" . Da Ihr wahrscheinlich wollt, dass sich Thunderbird Euer Mailpasswort merkt und so selbstständig neue Mails abholt, solltet Ihr dass hinterlegte hier schützen. Ihr müsst es dann je ein Mal beim Starten von Thunderbird eingeben, öfter nicht.
- Privacy: "Accept Cookies from Sites" entweder ganz ausschalten oder aber bei "Keep until I close Thundebird" einstellen.
- Advanced - Update: "Check for updates but let me choose whether to install them" gibt Euch die Möglichkeit, den Zeitpunkt des Updates auf eine neue Version zu bestimmen.
Sobald Euer Thunderbird fertig synchronisiert hat, ist er fertig installiert. Ihr könnt jetzt schon unverschlüsselte Mails wie bisher versenden. Wer wie ich die Reihenfolge von zitiertem Text und neuem Text in Antwortmails nicht mag, kann das unter Account Settings - Composition $ Addressing - Automatically quote the original message when replying - Start my reply above the quote einstellen. Unter Account Settings - Signature kann man auch ein Signatur einstellen, die automatisch unter jeder email stehen soll.
Schritt 2: Das Verschlüsselungssystem GPG4Win
GPG4Win erzeugt, verwaltet und verteilt die Schlüssel. Es kann neben Mails und deren Anhängen auch Dateien oder Directories auf Eurem PC mit dem Schlüssel ver- oder entschlüsseln. Ihr ladet GPG4Win von www.gpg4win.de herunter. Die Datei gpg4winx.x.x.exe müsst Ihr nach dem Herunterladen pe Doppelklick ausführen und die Standardeinstellungen behalten. Dabei wird in Thunderbird eine Erweiterung GPG4Win installiert und die Schlüsselverwaltung Kleopatra auf Eurem Rechner installiert. Anschließend öffnet Ihr Kleopatra (ich glaub da hat beim Verschlüsseln jemand an die Rätsel der Sphynx gedacht und so Kleopatra als Namen gewählt). Danach startet Ihr Kleopatra.und erzeugt Euch unter Datei - Neu - Ein persönliches OpenPGP Schlüsselpaar erzeugen Euren privaten und öffentlichen Schlüssel (siehe Bild). Dann müsst Ihr 4 Dinge tun:
- Eine Passphrase doppelt eingeben. Nehmt auf keinen Fall Euer Standardpasswort und es sollte mindestens 10 Zeichen lang sein. Kleopatra zeigt Euch im Qualitätsbalken an, wie gut das gewählte Passwort ist.
- Jetzt führt das Fenster mit der Maus wild auf dem Bildschimg hin und her, daraus wird eine Zufallszahl emittelt und schließlich wird ein RSA 2048 Bit Schlüsselpaar erzeugt.
- Ändert das Ablaufdatum von unendlich auf 5 Jahre. Ih könnt das jederzeit später ändern, es ist aber schwierig, ein einmal erzeugtes öffentliches Zertifikat zu widerrufen. Jetzt merkt Euch die Key-ID in der Anzeige
- Um einen Widerruf später einleiten zu können, erzeugen wir uns dafür ein Zertifikat. Öffnet ein CMD-Fenster und gebt ein gpg --output revoke.asc --gen-revoke <key-ID>, key-ID ist durch den Wert aus der Anzeige vorher zu ersetzen.So erzeugt Ihr eine revoke.asc Datei auf Eurem PC.
- Jetzt sichert Ihr das Schlüsselpaar und das Revoke-Zetifikat auf einer CD. einem USB stick oder am besten der SD Card im Tresor mit "Make a Backup of Your Key Pair". Im Tresor könnt Ihr auch die Passphrase in einem versiegelten Umschlag dazu legen.
- Jetzt erst exportiert Ihr den öffentlichen Schlüssel auf den Server keys.gnupg.net . Dazu Einfach Datei - Export Zertifikate auf Server anwählen. Jetzt kann jeder Euren öffentlichen Schlüssel sehen und nutzen.
WICHTIG: Wenn Ihr die Passphrase verliert, könnt Ihr den Schlüssel nicht mehr anwenden. Ohne Schlüssel könnt Ihr keine Euch zugesandte verschlüsselte Mail mehr entschlüsseln. Die beiden Schlüssel sind jetzt zwar in Kleopatra (und damit auch für GPG4Win und Thunderbird) gespeichert. wenn aber der Rechner abstürzt, könnten sie weg sein. Wenn Ihr ein Smartphone besitzt, könnt Ihr sie dort nochmals zusätzlich installieren. Dann habt Ihr eine Kopie, braucht aber immer noch die Passphrase. Nicht jammern, dass das mit der Passphrase und den Schlüsseln so kompliziert ist, Ihr wollt es doch auch sicher haben!
3. Schritt: Enigmail in Thunderbird installieren und konfigurieren
Jetzt müssen wir Thundebird die vorhandenen Schlüssel noch beibringen. Dazu installieren wir mit ALT - Tools - AddOn den Zusatz "Enigmail". Dieses startet einen WIzzard und konfigurieren wie folgt:
- Bequeme Autoverschlüsselung: Eure Mails werden automatisch verschlüsselt, wenn ein öffentlicher Schlüssel des Empfänges gefunden wird.
- Alle Mails digital signieren: Das ist nicht die Unterschrift, sondern zeigt dem Empfänger an, dass die Mail wirklich von Euch stammt.
- Lasst Enigmail die Settings an Euren Computer anpassen
- Wählt jetzt den bereits in Kleopatra erzeugten Schlüssel als Standard für Eure Mailverschlüsselung
Jetzt sind wir schon fast fertig! Unter ALT - Tools - Account Settings findet Ihr jetzt einen Eintrag OpenPGP Security. Hier setzt Ihr noch einen Haken bei "Use PGP/MIME by default". Dies ist der Transport für mit GPG4Win veschlüsselte und signierte Mails.
Kontinuierlich: Öffentliche Schlüssel anderer in Thunderbird/GPG4Win und Vertrauenswürdigkeit setzen
Wenn Ihr jetzt von jemanden eine eMail mit SIgnatur erhaltet, könnt Ihr diese sofort in GPG4Win aufnehmen. Ihr erhaltet über der Mail einen gelben Kopf, wo der Empfänger als unbekannt und nicht vertrauenswürdig gekennzeichnet ist. Rechts ist ein Knopf "Detail" . Dort klickt Ihr auf Importieren des Zertifikats. Es wird dann vom Server keys.gpg.net heruntergeladen. Ab diesem Moment werdet Ihr dem Sender dann Mails zurück verschlüsselt senden. Wenn Ihr dem Sender traut, könnt Ihr dort auch "Ultimately trust" einsetzen, danach wird die Kopfzeile grün, um aufzuzeigen, dass dies ein vertrauenswürdiger Sender ist.
Dateien unter Windows verschlüsseln
Nach der Installation von GPG4Win ist jetzt auch im Explorer (Dateimanager) die Möglichkeit gegeben, beliebige Dateien oder Verzeichnisse zu entschlüsseln und wieder zu veschlüsseln. Mit einem Rechtsklick auf die Datei öffnet Ihr das GPG4Win Menü und könnt dort alles vornehmen.
Und was ist mit meinem Smartphone?
Die Schlüssel aus GPG4Win kann man mitKleopatra extrahieren und in das Smartphone verschieben. Wichtig ist, dass man sie nicht über eMail, Clouds, DropBox oder Ähnliches verschickt. Das geht am Besten über USB direkt. Wie das mit Eurem Android Smartphone geht, beschreibe ich unter Mailverschlüsselung unter Android einrichten.
So und jetzt freue ich mich darauf, von euch viele verschlüselte Mails zu erhalten.
Volker
