Zurück zur Leitseite von/ Back to homepage of Daniel von Wachter

English instructions for encrypting emails

Der Staat spioniert seine Bürger aus

So wie man einen Brief zum Verschicken in einem Umschlag steckt undverschließt, so muß man einen E-Brief (Email) verschlüsseln, sonst können ihnviele lesen, für die er nicht gedacht ist. Viele glauben, die Geheimdienste könnten auch verschlüsselte Ebriefe ausspionieren. Das ist nicht wahr. Sie können Absender und Empfänger identifizieren, aber sie können eine Verschlüsselung mit S/MIME oder PGP praktisch nicht knacken. Um Ihre Post zu lesen, müßten sie (über das Internet oder durch Einbruch in Ihre Wohnung) aus Ihrem Rechner ihren geheimen Schlüssel stehlen.

Weitere Informationen über die stattfindende Überwachung: Bundestrojaner; Vorratsdatenspeicherung.de; „Die USA bauen geheimes Spionage-Zentrum für private Daten“; digitalcourage.de; blafusel.de.

Weitere Information und Anleitungen:

S/MIME oder OpenPGP?

S/MIME und OpenPGP sind zwei Verfahren (Standards) zum Ende-zu-Ende verschlüsseln, d.h. daß der Ebrief auf Ihrem Rechner verschlüsselt wird und erst auf dem Rechner des Empfängers wieder entschlüsselt wird. Beide Verfahren sind hinreichend sicher. OpenPGP ist eine quelloffene Version von PGP. GnuPG ist das verbreitetste Programm, welches OpenPGP umsetzt. Ein Vorteil von OpenPGP ist, daß man sich lange oder unbegrenzt gültige Schlüssel herstellen kann, während bei S/MIME die Schlüssel nur ein bis drei Jahre lang gültig sind. Außer, man stellt sie sich selbst her, aber dann müssen die Empfänger das Zertifikat als Ausstellerzertifikat installieren. Ein Vorteil von S/MIME gegenüber OpenPGP ist, daß man keine zusätzliche Software (GnuPG und die Thunderbird-Erweiterung Enigmail) installieren muß.

Erste Maßnahmen

Wer seine Email Gmail anvertraut, kann sich sicher sein, daß sie gründlich erforscht wird. Kleine deutsche Anbieter sind da schon diskreter, siehe webhostlist.de, z.B. mailbox.org, posteo.de, boerde.de .

Webmail ist nicht nur ineffizient, weil man da Emails nicht so schnell öffnen und verschieben kann, es wird auch leichter überwacht. Besser ein Emailprogramm wie Thunderbird verwenden und die Verbindung zum Server mit SSL oder dessen Nachfolger TLS verschlüsseln.

Verschlüsseln mit OpenPGP

Am einfachsten geht das mit dem Email-Programm Thunderbird und der Erweiterung Enigmail.

Anleitungen für OpenPGP: Emailselfdefense.fsf.org, Blafusel.de, kairaven.de, thunderbird-mail.de, openpgp-schulungen.de, german-privacy-fund.de (für Windows), rubin.ch, einklich.net.

Wenn Sie unter Windows arbeiten, dann installieren Sie Gpg4win oder das GnuPG-Pack, welches Plugins für Thunderbird, MS Outlook, Pegasus Mail und Firefox enthält. GnuPT enthält GnuPG und die Benutzeroberfläche für Windows WinPT.

Mein PGP-Schlüssel (ID: 77C45B76; finger print: 738C AD84 F847 5121 8C66 6880 B2D7 E354 77C4 5B76). Öffentliche Schlüssel findet man auf einem Schlüsselserver.

auf deutschAnleitung zum Verschlüsseln von Email mit S/MIME in Thunderbird

Die folgende Anleitung ist auf das Epost-Programm Thunderbird ausgerichtet. Wenn Sie unter Windows arbeiten, verwenden Sie die Software von volksverschluesselung.de, die Ihnen einige Aufgaben abnimmt.

Zum Verschlüsseln brauchen Sie ein „S/Mime-Zertifikat“, das Sie, wie unten beschrieben, bei einer Zertifizierungsstelle ("Certificate Autority", CA) erhalten können. Es ist ein „Schlüssel“, der zwei Teile hat: einen geheimen, den nur Sie haben und den Sie geheimhalten müssen, und einen öffentlichen, mit dem man Ihnen verschlüsselt schreiben kann. Mit dem öffentlichen signieren Sie Ihre Ebriefe. Damit ist dem Empfänger garantiert, daß die Absenderadresse des Ebriefes stimmt. Zugleich hat der Empfänger damit Ihren öffentlichen Schlüssel. Ein Zertifikat gilt also immer nur für eine einzige Epost-Adresse.

Ein kostenloses, ein Jahr gültiges Zertifikat können Sie erhalten bei einer der folgenden Zertifizierungsstellen: CAcert, StartSSL oder Comodo. Sowohl Sie als auch die Empfänger Ihrer Ebriefe brauchen außerdem das „Ausstellerzertifikat“ der Zertifizierungsstelle („CA certificate“). Ausstellerzertifikate können auf weiteren Ausstellerzertifikaten basieren. Ein Ausstellerzertifikat, das auf keinem weiteren Ausstellerzertifikat basiert, heißt „Wurzelzertifikat“ („root certificate“). Bei CAcert können Sie sogar kostenlos Zertifikate höherer Sicherheitsstufen erhalten, Sie und jeder Empfänger muß jedoch das Ausstellerzertifikat per Hand installieren. Wenn Sie ein Zertifikat möchten, das länger als ein Jahr gültig ist, können Sie bei einer Zertifizierungsstelle ein drei Jahre gültiges erwerben oder sich wie unten beschrieben selbst ein beliebig lange gültiges ausstellen.

Wie man ein Ausstellerzertifikat installiert

Wenn Sie ein Zertifikat einer Zertifizierungsstelle haben, dessen Ausstellerzertifikat nicht im Thunderbird enthalten ist, müssen Sie dieses vor der Installation des Benutzerzertifikates installieren. Ebenso müssen Sie dieses installieren, um in erhaltenen signierten Ebriefen enthaltene öffentliche Schlüssel verwenden zu können. Das ist z.B. bei CAcert sowie bei selbst-signierten Zertifikaten und selbsthergestellen Ausstellerzertifikaten der Fall. Anleitung für CAcert:

  1. HIER mit der rechten Maustaste klicken, um das Ausstellerzertifikat von CAcert herunterzuladen und an einem beliebigen Ort zu speichern ("Ziel speichern unter"). Zum Beispiel unter "Eigene Dateien" auf der Festplatte. (Sie können auch zusätzlich gleich das Class-3-Zertifikat installieren. HIER ist mein Ausstellerzertifikat. Andere Ausstellerzertifikate können Sie bei Globaltrustpoint finden.)
  2. Dann das Ausstellerzertifikat in Thunderbird importieren:
    Zertifikatmanager öffnen (wie oben beschrieben). Auf den Reiter „Zertifizierungsstellen“ klicken, dann unten auf den Knopf „Importieren“. Den Anweisungen folgen.
    (Vielleicht werden Sie irgendwann nach einem "Master-Passwort" gefragt werden. Wenn Sie keines gesetzt haben, versuchen Sie es zuerst mit "Abbrechen"; wenn das nicht funktioniert, mit „OK“. Mit dem Setzen eines Master-Passwortes erschweren Sie die den Diebstahl Ihres geheimen Schlüssels.)
    (Import des Ausstellerzertifikats bei Microsoft Outlook Express: Extras >> Optionen >> Reiter "Sicherheit" >> "Digitale IDs" >> "Vertraute Herausgeber" (oder „vertrauenswürdige Stammzertifizierungsstellen“) >> "Importieren".)
  3. Vertrauensstatus einstellen: In Thunderbird im Zertifikatmanager unter "Zertifizierungsstellen", ziemlich weit unten im Roll-Fenster unter „Root CA“ das Ausstellerzertifikat „CA Cert Signing Authority“ anklicken, dann "Vertrauen bearbeiten", dann alle Kästchen anklicken. Mit "OK" bestätigen. (Das Ausstellerzertifikat von CAcert finden Sie unter "Root CA".)
  4. Nun können Sie ein geheimes Benutzerzertifikat von dieser CA installieren, und wenn Sie nun mit Zertifikaten von dieser CA signierte Ebriefe erhalten, werden die Zertifkate automatisch installiert.

Eine englische Schritt-für-Schritt-Anleitung gibt es bei cacert.org.

Schritt für Schritt

Wenn sie das Ausstellerzertifikat installiert haben (oder es schon installiert ist), gehen Sie wie folgt vor.

  1. Kostenloses Zertifikat beantragen bei StartSSL, CAcert oder Comodo. Wenn Sie die Anweisungen befolgen, ist Ihr Zertifikat in Ihrem Internetnavigator, z.B. Firefox installiert. Sie müssen es nun aus Firefox exportieren und dann in Thunderbird importieren. (Zur Beruhigung: Die Ausgabestelle hat Ihren geheimen Schlüssel nicht, denn er wird auf Ihrem Rechner erzeugt.)
  2. In Firefox klicken auf:
    Extras >> Einstellungen >> ganz oben rechts: "Erweitert" >> erster Reiter von rechts: "Verschlüsselung" >> Knopf links: "Zertifikate anzeigen" (damit öffnen Sie den Zertifikat-Manager) >> Markieren Sie Ihr Zertifikat durch Draufklicken >> Drücken Sie unten auf den Knopf "Sichern" >> wählen Sie einen Speicherort aus (erstellen Sie z.B. einen Ordner "SMIME" in "Eigene Dateien"), geben Sie einen Dateinamen an und drücken Sie auf "Speichern" (Dateityp: "PKCS12 Dateien"), geben Sie ein Passwort Ihrer Wahl ein.
    (Wenn Sie die empfehlenswerte Erweiterung Cert Viewer Plus installieren, finden Sie den Zertifikat-Manager auch direkt unter Extras >> Zertifikat-Manager.)
    (Beim Internet Explorer: Extras >> Internetoptionen >> Inhalte >> Zertifikate >> Eigene Zertifikate >> Exportieren, einschließlich priv. Schlüssel >> als PKCS# 12 (*.pfx), verstärkte Sicherheit.)
  3. Das so abgespeicherte Zertifikat in Thunderbird importieren: Öffnen Sie den Zertifikatmanager, wie oben beschrieben. Klicken Sie oben links auf „Ihre Zertifikate“. Klicken Sie unten auf „Importieren“ und importieren Sie Ihr eben abgespeichertes Zertifikat.
  4. Gehen Sie in Thunderbird zu: Extras >> Konten-Einstellungen >> (linke Spalte) S/Mime-Sicherheit; wählen Sie Ihr Zertifikat aus, für "Digitale Unterschrift" und "Verschlüsselung". (Nicht „Nachrichen digital unterschreiben (als Standard)“ anklicken.)
  5. Bei einer neuen Nachricht können Sie nun unter Einstellungen > S/MIME-Sicherheit (oder im Menü unter dem Knopf mit dem Schloß und der Aufschrift "S/MIME") „Nachricht unterschreiben“ und „Nachricht verschlüsseln“ markieren. Sie können aber nur an jemanden verschlüsselt schreiben, dessen öffentlichen Schlüssel Sie haben. Beim Empfänger einer unterschriebenen Nachricht wird das öffentliche Zertifkat automatisch in Thunderbird installiert – vorausgesetzt das Ausstellerzertifikat ist installiert.

Lösung eines Fehlers: Manchmal meldet Thunderbird beim Absenden „Kann kein Verschlüsselungszertifikat für ... finden“. Dieses Problem wird HIER im Thunderbird-Forum besprochen.
Ursache: Das passiert manchmal, wenn im Zertifikatmanager mehrere Zertifikate für eine Anschrift gespeichert sind.
Lösung: Löschen Sie alle Zertifikate für diese Anschrift. (Sehen Sie auch unter "Server" nach.) Auch die abgelaufenen. Sichern Sie diese aber vorher oder heben Sie damit unterschriebene Ebriefe auf, damit Sie Ihre alten an diese Anschrift geschickten Ebriefe noch lesen können. Beenden Sie Thunderbird und starten Sie es neu. Öffnen Sie einen mit dem neuesten Zertifikat signierten Ebrief; dann wird der öffentliche Schlüssel automatisch importiert. Nötigenfalls können Sie jetzt wieder die alten Schlüssel importieren.

Weitere Anmerkungen:

Meinen öffentlichen S/Mime-Schlüssel finden Sie HIER. Sie können ihn herunterladen und in Thunderbird im Zertifikatmanager importieren. Davor müssen Sie das Ausstellerzertifikat wie oben beschrieben installieren. Dann können Sie mir an die Adresse epost@ABC.de – dabei "ABC" durch "von-wachter" ersetzen – verschlüsselt schreiben. Sie können mir auch nur zum Ausprobieren des Verschlüsselns schreiben.

Die Verschlüsselung ist so lange sicher, wie niemand den geheimenSchlüssel aus dem Zertifikat-Manager von Thunderbirdauf IhremRechner stiehlt! Dies könnte zum Beispiel der Staat mit dem Bundestrojaner tun. Maßnahmen zur Sicherheit:

S/MIME-Zertifikate selbst herstellen

Statt eine Ausgabestelle zu verwenden, kann man S/MIME Zertifikate auch selbst herstellen, z.B. mit der Thunderbird-Erweiterung "Key Manager" oder dem kostenlosen Programm XCA, das für Linux und Windows erhältlich ist. Dafür erstellen Sie am besten zuerst ein Ausstellerzertifikat. Damit können Sie dann nicht nur für sich selbst, sondern auch für andere Leute Benutzerzertifikate zum Signieren und Verschlüsseln von Ebriefen (Typ "End-Instanz") herstellen. HIER und HIER sind Erläuterungen dazu. Hilfreich ist ferner die Erläuterung der "Erweiterungen" auf Cryptoshop.com. Weitere Verweise. Eine andere Möglichkeit ist es, ein selbstsigniertes Benutzerzertifikat ohne Ausstellerzertifikat zu erstellen. Dieses muß dann sowohl als Ausstellerzertifikat als auch als Benutzerzertifikat importiert werden.

Hinweise zum Verschlüsseln mit S/MIME in MS Outlook

Bei MS Outlook werden die Zertifikate nicht wie bei Thunderbird in einem Zertifikatspeicher des Epostprogramms, sondern in der zentralen Zertifikatverwaltung aufgehoben. Anleitung zum Importieren:

Dann muß man noch Outlook anweisen, dieses Zertifikat zu verwenden. Zwei Anleitungen für Outlook 2010: intertech.de, wiki.cacert.org.

Anleitung für Outlook 2007: microsoft.com:

Anleitung für Outlook 365: ishir.com, acontech.de.

Anleitung für Outlook 2016: uni-osnabrueck.de

Hinweise zum Verschlüsseln mit S/MIME in Apple Mail

Apple Mail verwendet eine zentrale Zertifikatverwaltung, die „Schlüsselbundverwaltung“. Auf das Ausstellerzertifikat klicken, dann öffnet sich die Schlüsselbundverwaltung. Den Anweisungen zur Installation folgen. Das Vertrauen aussprechen. Dann auf die Datei mit dem Zertifikat klicken und installieren. Beim Erstellen eines Ebriefes die Schaltflächen oben rechts mit dem Schloß und dem Haken aktivieren.

Zumindest manchmal muß man dann noch folgendes durchführen: Unter: Einstellungen->Mail, Kontakte, Kalender den entsprechenden Account auswählen. Dann “Account->Erweitert” wählen. Zuunterst steht da der Eintrag “S/MIME”, welche wir nun aktivieren. Wichtig dabei ist, dass nun S/MIME zwar aktiviert ist, es aber noch nicht fürs “Signieren” und “Verschlüsseln” verwendet wird. Unter dem Kontrollkästchen “S/MIME” sehen wir jetzt diese zwei Einträge, welche wir auch aktivieren müssen. (Quelle)

Wenn Sie trotz der Installation nicht signieren oder verschlüsseln können: Stellen Sie sicher, dass die Schreibweise der Epost-Adresse im Zertifikat und in Ebrief tatsächlich übereinstimmen. Auch Groß- und Kleinschreibung sind wichtig, also schreiben Sie alles klein.

Anleitungen: Apfelwiki.de, t3n.de (auch für Iphone), mactechnews.de, heise.de (auch für Iphone), richardet-design.com.

Weitere Sicherheitshinweise:

Zurück zur Leitseite von Daniel von Wachter

Validated by HTML Validator (based on Tidy)