Email Encryption

Das Thema Email-Verschlüsselung kommt ja immer mal wieder zur Sprache, und deswegen denke ich, es ist nun Zeit hierzu ein leichtverständliches Tutorial zur Einrichtung zu schreiben.
Um die Sache nicht zu kompliziert zu machen, möchte ich mich auf ein ganz einfaches Szenario beschränken, nämlich:

  • Thunderbird als Mail-Client
  • Verschlüsselung mit GnuPG / Open PGP
  • Tips zur Einrichtung auf Linux, Windoze und Android

Einleitung:

Vorab empfehle ich, etwas über Asymetrische Verschlüsselung, z.B. hier oder hier nachzulesen - das ist nicht zwingend notwendig, erleichtert aber wesentlich das Verständnis für das was man mit der folgenden Anleitung dann macht.

Voraussetzungen:

  • Installation des Email-Clients Thunderbird - im Folgenden als TB abgekürzt
  • Installation des GNU Privacy Guard Gnupg - optional, aber unbedingt zu empfehlen
  • Installation eines grafischen Frontends zur Schlüsselverwaltung, z.B. Kleopatra - optional

Konfiguration:

Im einfachsten Fall, wenn also noch kein Schlüsselpaar (privat/öffentlich) vorhanden ist, lässt sich alles direkt in TB erledigen, siehe z.B. diese Anleitung - die Einrichtung einer gültigen Email-Adresse in TB wird hier bereits vorausgesetzt.
Nach Abschluss aller Punkte aus der Anleitung sollte es bereits möglich sein, verschlüsselte Emails zu senden und zu empfangen !

Allerdings muss man sich darüber im Klaren sein, dass das damit erzeugte Setup NUR für TB gilt und auch nur mit diesem funktioniert !
Universeller und portabler ist deswegen die Erstellung bzw. Verwaltung von Schlüsseln mit Gnupg - die dort erstellten bzw. bearbeiteten Schlüssel können dann auch problemlos mit anderen Mail-Clients (z.B. Claws-Mail, Evolution, Kmail usw.) und natürlich auch TB (siehe in der Anleitung oben den Schlüssel-Import) verwendet werden, sowie für andere Aufgaben, z.B. Datei-Verschlüsselung. Anzumerken ist hier noch, dass es je nach verwendetem OS auch sehr komfortable und funktionsreiche Schlüsselverwaltungsprogramme gibt, z.B. Kleopatra (s.o.).
Ein weiterer Vorteil dieser Vorgehensweise ist, dass die mit Gnupg erzeugte Konfiguration leicht gefunden und gesichert werden kann.
Ganz wichtig ist in jedem Fall, den privaten Schlüssel NIEMALS herauszugeben, genauso wie die zugehörige Passphrase !
Im Gegensatz dazu sollte der öffentliche Schlüssel allen Kommunikationspartnern leicht zugänglich gemacht werden, im einfachsten Fall durch Senden per Mail bzw. einfaches Signieren (TB sendet dabei automatisch den öffentlichen Schlüssel als Anhang mit), oder auch als Download von einer privaten Webseite bzw. Cloud (mein public Key findet sich z.B. hier ).
Eine weitere Möglichkeit ist die Veröffentlichung auf einem Keyserver - hier sollte man sich allerdings auch im Klaren darüber sein, dass SPAM-Bots dort auch die eigene Mailadresse finden können.

Kommunikationspartner:

Wenn das nun alles funktioniert, ist das schön, aber das Problem in der realen Welt ist meistens, dass die überwiegende Mehrzahl der Kommunikationspartner nach wie vor nicht in der Lage ist, Mail-Verschlüsselung einzurichten bzw. zu nutzen.
An dieser Stelle möchte ich deswegen auf Protonmail hinweisen, das ist m.E. eine N00B - geeignete Alternative (wer einen Web.de oder GMX Account einrichten kann, schafft auch das, zumal es hier auch eine App gibt).

Tips:

Die o.g. Vorgehensweise funktioniert grundsätzlich auf allen gängigen Betriebssystemen, am besten allerdings auf Linux .
TB läuft auch gut und problemlos auf Windows, statt Gnupg kann man hier Gpg4win verwenden.
Etwas komplizierter wird es im mobilen Bereich, hier kann ich für Android K9-Mail empfehlen, das in Kombination mit OpenPGP auch Email-Verschlüsselung unterstützt - beide Programme erfordern aber vorab die Installation von F-Droid .

Und noch eine Anmerkung: Email Verschlüsselung geht wohl auch im Web-Browser, z.B. für Firefox mit dem Plugin Mailvelope - dazu habe ich keine Erfahrung, aber für manche Web.de / gmx und sonstige ‘Free-Mailer’ ist das evtl. eine Alternative…