Ebriefe sind offen wie Postkarten
So wie man einen Brief zum Verschicken in einem Umschlag steckt undverschließt, so muß man eine Email verschlüsseln, sonst können ihnviele lesen, für die er nicht gedacht ist. Viele glauben, die Geheimdienste könnten auch verschlüsselte Ebriefe ausspionieren. Das ist nicht wahr. Sie können Absender und Empfänger identifizieren, aber sie können eine Verschlüsselung mit PGP oder S/MIME praktisch nicht knacken. Um Ihre Post zu lesen, müßten sie (über das Internet oder durch Einbruch in Ihre Wohnung) aus Ihrem Rechner ihren geheimen Schlüssel stehlen.
S/MIME oder OpenPGP?
S/MIME und OpenPGP sind zwei Verfahren zum Ende-zu-Ende-Verschlüsseln, d. h. daß der Ebrief auf Ihrem Rechner verschlüsselt wird und erst auf dem Rechner des Empfängers wieder entschlüsselt wird, dazwischen ist nur Buchstabensalat. Beide Verfahren sind hinreichend sicher. OpenPGP ist eine quelloffene Version von PGP. Bei OpenPGP stellt man sich die Schlüssel selbst her, während man ein S/MIME-Zertifikat kaufen muß (ab 7,50 € pro Jahr), das dann aber in den meisten Emailprogrammen als gültig erkannt wird.
Verschlüsseln mit OpenPGP
Wer Webmail verwendet, sollte auf ein Emailprogramm wie Thunderbird umsteigen. In Thunderbird ist seit der Version 78.2 OpenPGP integriert. Wählen Sie bei der Kontoeinrichtung das Protokoll „IMAP“, um von mehreren Rechnern aus auf die Email zugreifen zu können. Dann werden die Emailordner auf allen Rechnern automatisch synchronisiert. Im folgenden die Anleitung zum Einrichten der Verschlüsselung.
- Klicken Sie sich durch zu: Bearbeiten > Konten-Einstellungen > Ende-zu-Ende-Verschlüsselung (links bei den Einstellungen für das betreffende Emailkonto).
- Klicken Sie rechts auf „Schlüssel hinzufügen“.
- Wählen Sie „Neuen OpenPGP-Schlüssel erzeugen“ und „Weiter“
- Wählen Sie oben bei „Identität“ die Emailadresse aus, für welche Sie einen Schlüssel erzeugen möchten. Wählen Sie als Schlüsseltyp „ECC“ (oder RSA 2048). Dann klicken Sie „Schlüssel erzeugen“ und auf der nächsten Seite „Bestätigen“. Auf der nächsten Seite erscheint „OpenPGP-Schlüssel erfolgreich erstellt“. Wählen Sie darunter den gerade erzeugten Schlüssel aus. Fertig!
- Senden Sie den Kontakten, denen Sie verschlüsselt schreiben wollen, eine Email, bei der Sie auswählen: Optionen > „Meinen öffentlichen Schlüssel anhängen“. Die anderen müssen Ihnen wiederum ihre öffentlichen Schlüssel schicken. Öffentliche Schlüssel findet man auf keys.openpgp.org oder https://keyserver1.pgp.com oder pool.sks-keyservers.net.
- Fertigen Sie eine Sicherheitskopie Ihres geheimen Schlüssels an: Extras > OpenPGP-Schlüssel verwalten > Datei > Sicherheitskopie für geheime(n) Schlüssel erstellen. Verwenden Sie dann ein Passwort, das mind. 12 Stellen hat und mit einem Passwortgenerator erzeugt wurde. Exportieren Sie auch Ihren öffentlichen Schlüssel und laden Sie ihn auf keys.openpgp.org hoch.
Weitere Hinweise:
Die Schlüssel sowie alle Emails und alle Einstellungen befinden sich im Thunderbird-Profilordner. Fertigen Sie regelmäßig Sicherheitskopien von diesem an. Den Pfad finden Sie im Menü „Hilfe“ unter „Informationen zur Fehlerbehebung“. Um Thunderbird auf einem weiteren Rechner zu betreiben, kopieren Sie den Profilordner auf diesen und richten Sie im Thunderbird-Profilmanager ein Profil ein, welches diesen Profilordner verwendet.
Die Möglichkeiten des in Thunderbird eingebauten OpenPGP sind begrenzt, z.B. kann man nicht zu einem Schlüssel eine weitere Emailadresse hinzufügen. Dafür muß man den Schlüssel in GnuPG (oder einer Oberfläche wie Kleopatra oder Seahorse) importieren, dort die Emailadresse hinzufügen, dann den Schlüssel exportieren, um ihn im Thunderbird zu importieren.
Wer seine Email Gmail oder anderen kostenlosen Anbietern anvertraut, kann sich sicher sein, daß sie gründlich erforscht wird. Kleine Anbieter sind da schon diskreter, siehe webhostlist.de, z.B. mailbox.org, posteo.de, boerde.de. Das kostet nicht viel.
Weitere Informationen zur Sicherheit, z.B. zum Verschlüsseln von Dateien: privacy-handbuch.de.
Andere Anleitungen für OpenPGP: Blafusel.de, gpg4win.de für MS Outlook, mozilla.org, thunderbird-mail.de, heise.de, Emailselfdefense.fsf.org, jpberlin.de, german-privacy-fund.de (für Windows).
Mein PGP-Schlüssel (ID: 77C45B76; finger print: 738C AD84 F847 5121 8C66 6880 B2D7 E354 77C4 5B76).
Die Verschlüsselung ist so lange sicher, wie niemand den geheimen Schlüssel aus dem Zertifikat Thunderbird auf IhremRechner stiehlt. Dies könnte zum Beispiel der Staat mit dem Bundestrojaner versuchen.
Textdateien mit Paßwörtern oder anderem geheimen Inhalten können Sie im Writer oder in Word mit einem Kennwort sichern. Oder legen Sie einen verschlüsselten und versteckten VeraCrypt-Container an. Außerdem ist es sinnvoll, alle Festplatten bzw. Partitionen mit eigenen Dateien zu verschlüsseln. Unter Linux geht das einfach mit LUKS.
In Thunderbird können Sie ein Masterpaßwort einrichten, das Sie jedes Mal eingeben müssen, wenn Sie Thunderbird öffnen. Bearbeiten > Einstellungen > Datenschutz
Wenn Sie das Betriebssystem Microsoft Windows verwenden, ist die Gefahr einer Infizierung und Ausspionierung durch Viren, Trojaner und Würmer besonders groß. Linux ist sicherer, in vieler Hinsicht besser, kostenlos und inzwischen auch einfach und komfortabel.
Für das Smartphone gibt es etliche Messenger mit Ende-zu-Ende-Verschlüsselung: Signal (dafür gibt es auch eine Desktopversion), Threema, TeleGuard, Wire. WhatsApp ist unsicher.
Anleitung zum Verschlüsseln von Email mit S/MIME in Thunderbird
Wer Webmail verwendet, sollte auf ein Emailprogramm wie Thunderbird umsteigen. Wählen Sie beim Einrichten das Protokoll IMAP, das ist praktisch, wenn Sie mit mehreren Rechnern auf Ihre Email zugreifen.
Zum Verschlüsseln und Signieren brauchen Sie ein „S/Mime-Zertifikat“, das Sie wie unten beschrieben bei einer Zertifizierungsstelle ("Certificate Authority", CA) erhalten können. Dazu gehört ein Schlüsselpaar aus einem privaten Schlüssel, den nur Sie haben und geheim halten müssen, und einem öffentlichen Schlüssel, mit dem man Ihnen verschlüsselt schreiben kann oder Ihre digitale Unterschrift prüfen kann. Für den öffentlichen Schlüssel wird von einer Zertifizierungsstelle die Verbindung mit Ihrer Epostadresse oder auch mit Ihrer Identität in einem X.509-Zertifikat beglaubigt. Ein solches Zertifikat kann für ein oder auch für mehrere Ihrer Epost-Adressen gleichzeitig ausgestellt werden (letzteres bieten aber manche Zertifizierungsstellen nicht an). Mit dem privaten Schlüssel entschlüsseln Sie vertraulich an Sie gesendete Nachrichten und können Sie Ihre Ebriefe signieren. Damit können die Empfänger prüfen, ob Sie wirklich der Absender waren und ob die Inhalte nicht verändert wurden. Auf diesem Wege erhalten Empfänger auch sehr bequem Ihr Zertifikat mit Ihrem öffentlichen Schlüssel.
Ein Zertifikat können Sie erweben bei Certum (ab 7,25 € pro Jahr), Digicert (ab 13 € pro Jahr), Sectigo (ab 11 € pro Jahr) oder Swisssign (ab 25 € pro Jahr). Für etwas mehr Geld bekommen Sie ein Zertifikat, das dem Empfänger nicht nur die Richtigkeit der Emailadresse, sondern auch die Richtigkeit des Namens bestätigt. Bei Certum für 25 € pro Jahr. Ein kostenloses Zertifikat können Sie erhalten bei CAcert oder volksverschluesselung.de. Diese Zertifikate werden allerdings von den Emailprogrammen erst dann anerkannt, wenn das Ausstellerzertifikat installiert wurde. Ausstellerzertifikate können auf weiteren Ausstellerzertifikaten basieren. Ein Ausstellerzertifikat, das auf keinem weiteren Ausstellerzertifikat basiert, heißt „Wurzelzertifikat“ („root certificate“).
Am besten ist es, wenn der Schlüssel auf Ihrem Rechner erzeugt wird und die Zertifizierungsstelle dann den öffentlichen Schlüssel signiert. Dazu muß man einen Zertifikatsantrag (Certificate Signing Request, CSR) herstellen. Die Zertifizierungsstelle wird Ihnen ein Anleitung geben. Unter Linux kann man Schlüssel und Zertifikatsantrag mit XCA herstellen. Da die meisten Zertifizierungsstellen den Schlüsseltyp EC noch nicht unterstützen, muß man RSA mit 2048 bit wählen. Die (unsauberere) Alternative ist, die Zertifizierungsstelle den Schlüssel erzeugen zu lassen. Einige Zertifizierungsstellen (z.B. Certum Tools) bieten kleine Programme an, mit dem Sie den CSR und den Schlüssel auf Ihrem Rechner herstellen können.
Nachdem Sie das CSR erzeugt haben, müssen Sie dieses bei der Zertifizierungsstelle hochladen. Die wird daraufhin Ihr signiertes öffentliches Zertifikat erzeugen. Laden Sie dieses herunter. Dann laden Sie dieses in XCA oder Certum Tools. Exportieren Sie eine PFX-Datei (Endung .p12), die ihren geheimen Schlüssel und das Zertifikat enthält. Bei Certum Tools müssen Sie den geheimen Schlüssel, den Sie bei der CSR-Herstellung erzeugt haben, abspeichern und dann unter „PFX-Generator“ hochladen. Verwenden Sie ein sicheres, mit einem Passwortgenerator erzeugtes Paßwort. Schreiben Sie sich dieses auf, z.B. in eine verschlüsselte Writer-Datei, deren Paßwort Sie in ein Buch schreiben.
Nun müssen Sie den Schlüssel in Thunderbird importieren. Wenn Sie sich nicht sicher sind, ob die notwendigen Ausstellerzertifikate (CA, Root) in Thunderbird vorhanden sind, installieren Sie diese vorher, wie unten beschrieben. Manchmal sind es mehrere, die eine Kette bilden.
- So öffnen Sie in Thunderbird den Zertifikatmanager: Bearbeiten > Konto-Einstellungen > Ende-zu-Ende-Verschlüsselung > S/Mime-Zertifikate verwalten.
- Um Ihr Zertifikat zu installieren, klicken Sie auf „Ihre Zertifikate“, dann auf „Importieren“. Wählen Sie die .p12-Datei und geben Sie das Paßwort ein.
- Gehen Sie zu: Bearbeiten > Konto-Einstellungen > Ende-zu-Ende-Verschlüsselung; dort wähle unter „S/MIME“ das Zertifikat für Unterschrift und Verschlüsselung aus und aktiviere „Eigene digitale Unterschrift standardmäßig hinzufügen“. Starten Sie Thunderbird neu.
Zertifikate sind ein bis drei Jahre gültig. Bei der Zertifikatserneuerung empfiehlt es sich aus Sicherheitsgründen (ihr alter Schlüssel könnte ja gestohlen worden sein), ein neues Schlüsselpaar zu verwenden.
Wie man ein Ausstellerzertifikat installiert
Wenn Sie ein Zertifikat einer Zertifizierungsstelle haben, deren Ausstellerzertifikat nicht im Thunderbird enthalten ist, müssen Sie dieses vor der Installation des Benutzerzertifikates installieren. Ebenso müssen Sie dieses installieren, um in erhaltenen signierten Ebriefen enthaltene öffentliche Schlüssel verwenden zu können. Das ist z.B. bei CAcert sowie bei selbst-signierten Zertifikaten und selbsthergestellen Ausstellerzertifikaten der Fall. Nachfolgend die Anleitung für CAcert.
Bei Certum finden Sie die Ausstellerzertifikate auf der Seite Ihres Zertifikats unten unter der Überschrift „Subordinate certificates“. Bei CAcert finden Sie das Ausstellerzertifikat HIER. Andere Ausstellerzertifikate finden Sie bei Globaltrustpoint. Speichern Sie es ab.
- Importieren Sie das Ausstellerzertifikat in Thunderbird: Zertifikatmanager öffnen: Bearbeiten > Konto-Einstellungen > Ende-zu-Ende-Verschlüsselung > S/Mime-Zertifikate verwalten. Auf den Reiter „Zertifizierungsstellen“ klicken, dann unten auf den Knopf „Importieren“. Den Anweisungen folgen. (Vielleicht werden Sie irgendwann nach einem "Master-Passwort" gefragt werden. Wenn Sie keines gesetzt haben, versuchen Sie es zuerst mit "Abbrechen"; wenn das nicht funktioniert, mit „OK“. Mit dem Setzen eines Master-Passwortes erschweren Sie die den Diebstahl Ihres geheimen Schlüssels.)
(Import des Ausstellerzertifikats bei Microsoft Outlook Express: Extras >> Optionen >> Reiter "Sicherheit" >> "Digitale IDs" >> "Vertraute Herausgeber" (oder „vertrauenswürdige Stammzertifizierungsstellen“) >> "Importieren".) - Vertrauensstatus einstellen: In Thunderbird im Zertifikatmanager unter „Zertifizierungsstellen“ das Ausstellerzertifikat anklicken, dann „Vertrauen bearbeiten“, dann alle Kästchen anklicken. Mit "OK" bestätigen. (Das Ausstellerzertifikat von CAcert finden Sie unter "Root CA".)
- Starten Sie Thunderbird neu. Nun können Sie ein geheimes Benutzerzertifikat von dieser CA installieren, und wenn Sie nun mit Zertifikaten von dieser CA signierte Ebriefe erhalten, werden die Zertifkate automatisch installiert.
Eine englische Schritt-für-Schritt-Anleitung gibt es bei cacert.org.
Hinweise zum Verschlüsseln mit S/MIME in MS Outlook
Bei MS Outlook werden die Zertifikate nicht wie bei Thunderbird in einem Zertifikatspeicher des Epostprogramms, sondern in der zentralen Zertifikatverwaltung aufgehoben. Anleitung zum Importieren:
- Wenn Sie Ihr S/MIME-Zertifikat z.B. von CAcert.org haben oder wenn es ein selbstgemachtes ist, dann müssen Sie als erstes das Ausstellerzertifikat, auf dem Ihr S/MIME-Zertifikat basiert, installieren und ihm das Vertrauen aussprechen. Auch die Empfänger der Emails müssen das tun. Viele kommerzielle Ausstellerzertifikate sind schon in der Zertifikatverwaltung enthalten.
- Hier finden Sie die Ausstellerzertifikate: CAcert Klasse 1, CAcert Klasse 2, mein Ausstellerzertifikat.
- Installieren Sie das Ausstellerzertifikat wie folgt: Speichern Sie das Ausstellerzertifikat auf Ihrer Festplatte. Rechtsklick auf das Ausstellerzertifikat (oder probieren Sie es mit Doppelklick), „Zertifikat installieren“ > „Alle Zertifikate in folgendem Speicher speichern“ > „Vertrauenswürdige Stammzertifizierungsstellen“ > „OK“.
- Gehen Sie im Internetexplorer auf Extras > Internetoptionen > Inhalt > Zertifikate > Karteikarte „Vertrauenswürdige Stammzertifizierungsstellen“ > Markieren das neu importierte Ausstellerzertifikat und klicken Sie auf „Erweitert“ > Wählen Sie in der erscheinenden Liste zusätzlich „Sichere Email“ aus > OK. (Dieses Vorgehen ist auch in der Anleitung von CAcert.org auf Seite 2 beschrieben.)
- Dann das geheime Benutzerzertifikat (es hat die Endung .p12) installieren: Rechtsklick auf das Zertifikat, installieren.
- Die öffentlichen Zertifikate von anderen, installieren sich automatisch beim Öffnen eines signierten Ebriefes, wenn das Ausstellerzertifikat wie beschrieben installiert wurde. Damit Outlook das Zertifikat findet, muß der Empfänger in den Outlook-Kontakten eingetragen sein!
Dann muß man noch Outlook anweisen, dieses Zertifikat zu verwenden. Zwei Anleitungen für Outlook 2010: intertech.de, wiki.cacert.org.
Anleitung für Outlook 2007: microsoft.com:
Anleitung für Outlook 365: ishir.com, acontech.de.
Anleitung für Outlook 2016: uni-osnabrueck.de
Hinweise zum Verschlüsseln mit S/MIME in Apple Mail
Apple Mail verwendet eine zentrale Zertifikatverwaltung, die „Schlüsselbundverwaltung“. Auf das Ausstellerzertifikat klicken, dann öffnet sich die Schlüsselbundverwaltung. Den Anweisungen zur Installation folgen. Das Vertrauen aussprechen. Dann auf die Datei mit dem Zertifikat klicken und installieren. Beim Erstellen eines Ebriefes die Schaltflächen oben rechts mit dem Schloß und dem Haken aktivieren.
Zumindest manchmal muß man dann noch folgendes durchführen: Unter: Einstellungen->Mail, Kontakte, Kalender den entsprechenden Account auswählen. Dann “Account->Erweitert” wählen. Zuunterst steht da der Eintrag “S/MIME”, welche wir nun aktivieren. Wichtig dabei ist, dass nun S/MIME zwar aktiviert ist, es aber noch nicht fürs “Signieren” und “Verschlüsseln” verwendet wird. Unter dem Kontrollkästchen “S/MIME” sehen wir jetzt diese zwei Einträge, welche wir auch aktivieren müssen. (Quelle)
Wenn Sie trotz der Installation nicht signieren oder verschlüsseln können: Stellen Sie sicher, dass die Schreibweise der Epost-Adresse im Zertifikat und in Ebrief tatsächlich übereinstimmen. Auch Groß- und Kleinschreibung sind wichtig, also schreiben Sie alles klein.
Anleitungen: Apfelwiki.de, t3n.de (auch für Iphone), mactechnews.de, heise.de (auch für Iphone), richardet-design.com.
So schützen Sie Ihren Rechner vor Pornografie
Pornografiesucht und Schwächung der Kinder und Jugendlichen durch Pornografie sind weit verbreitet. (Dazu: Artikel, Vortrag) Tischrechner können Sie vor Zugriff auf Pornografie schützen durch den OpenDNS Family Shield. Geben Sie dazu in Ihrem Router, z.B. Fritz!box, als DNSv4-Server ein: 208.67.222.123 und 208.67.220.123. Als DNSv6-Server geben Sie ein: 2620:119:35::123 und 2620:119:53::123. In der Fritzbox finden Sie das unter Internet > Zugangsdaten > DNS-Server. Starten Sie den Router neu.
Geben Sie den zu schützenden Kindern nicht das Administratorpaßwort des Rechners!
Weisen Sie im Router jedem Rechner nur die benötigten Rechte zu, z. B. nur „Surfen und Mailen“. Anleitung für die Fritzbox: Internet > Filter > Zugangsprofile. Klicken Sie beim Profil „Standard“ auf den Stift, um es zu bearbeiten. Recht weit unten klicken Sie auf Erweiterte Einstellungen. Dort können Sie „Alles außer Surfen und Mailen“ sperren. Rechnern, die mehr können sollen, z.B. FTP, müssen Sie ein anderes Profil zuordnen. Es ist nützlich, ein Profil anzulegen, in dem nur bestimmte, in der Liste „Erlaubte Internetseiten“ zugänglich sind. Damit kann man sich und die Kinder vor Ablenkung schützen.
Ferner kann man in einer Fritz!Box einen Jugendschutzfilter anschalten, wenn im System als Einsatzland "Deutschland" eingestellt ist: Internet > Filter > Zugangsprofile > Profil „Standard“ ändern (Stiftsymbol klicken). Auf der dann erscheinenden Seite unter „Filter für Internetseiten“ das Häkchen bei „Internetseiten filtern“ setzen und darauf achten, daß in den dann erscheinenden Optionen „jugendgefährdende Internetseiten sperren (BPjM-Modul)“ aktiviert ist.
Smartphones sind schwieriger zu schützen. Am besten ist es, gar keines zu haben, sondern statt dessen nur ein Mobiltelefon ohne Internet. Wenn Sie ihrem Kind dennoch ein Smartphone geben wollen, verwenden Sie eine Kinderschutz-App.