Zurück zur Leitseite von/ Back to homepage of Daniel von Wachter

Der Staat spioniert seine Bürger aus

So wie man einen Brief zum Verschicken in einem Umschlag steckt undverschließt, so muß man einen E-Brief (Email) verschlüsseln, sonst können ihnviele lesen, für die er nicht gedacht ist. Durch Edward Snowdons Enthüllungen wurde der Verdacht zu Gewißheit, daß der NSA auch in Europa Epost ausspioniert. Die größten bekannten Abhörsysteme sind: Echelon, Enfopol, TIAS, Utah Data Center („Stellar Wind“). Viele glauben, die Geheimdienste könnten auch verschlüsselte Ebriefe ausspionieren. Das ist nicht wahr. Sie können Absender und Empfänger identifizieren, aber sie können eine Verschlüsselung mit S/MIME oder PGP praktisch nicht knacken. Um Ihre Post zu lesen, müßten sie (über das Internet oder durch Einbruch in Ihre Wohnung) aus Ihrem Rechner ihren geheimen Schlüssel stehlen.

Weitere Informationen über die stattfindende Überwachung: Bundestrojaner; Vorratsdatenspeicherung.de; S. Lendmann: „Praktisch jeder wird elektronisch überwacht“; „Die USA bauen geheimes Spionage-Zentrum für private Daten“; digitalcourage.de, stopwatchingus.org.

Weitere Information und Anleitungen: hp.kairaven.de, blog.kairaven.de, wiki.kairaven.de, Blafusel.de, E-Mail-Selbstverteidigung, thunderbird-mail.de: S/MIME, GnuPG, FAQs; openpgp-schulungen.de, Aktion Überwach, verbraucher-sicher-online.de, jpberlin.de, kellergeist.net, sicher-im-netz.de, verbraucher-sicher-online.de; german-privacy-fund.de (für Windows), cryptocd.org; rubin.ch, webuni.de; selfhtml.org); einklich.net.

S/MIME oder OpenPGP?

S/MIME und OpenPGP sind zwei Verfahren (Standards) zum Ende-zu-Ende verschlüsseln, d.h. daß der Ebrief auf Ihrem Rechner verschlüsselt wird und erst auf dem Rechner des Empfängers wieder entschlüsselt wird. Beide Verfahren sind hinreichend sicher. OpenPGP ist eine quelloffene Version von PGP. GnuPG ist das verbreitetste Programm, welches OpenPGP umsetzt. Ein Vorteil von OpenPGP ist, daß man sich lange oder unbegrenzt gültige Schlüssel herstellen kann, während bei S/MIME die Schlüssel nur ein bis drei Jahre lang gültig sind. Außer, man stellt sie sich selbst

her, aber dann müssen die Empfänger das Zertifikat als Ausstellerzertifikat installieren. Ein Vorteil von S/MIME gegenüber OpenPGP ist, daß man keine zusätzliche Software (GnuPG und die Thunderbird-Erweiterung Enigmail) installieren muß.

Erste Maßnahmen

Wer seine Email Gmail anvertraut, kann sich sicher sein, daß sie gründlich erforscht wird. Kleine deutsche Anbieter sind da schon diskreter, siehe webhostlist.de, z.B. mailbox.org, posteo.de, boerde.de .

Webmail ist nicht nur ineffizient, weil man da Emails nicht so schnell öffnen und verschieben kann, es wird auch leichter überwacht. Besser ein Emailprogramm wie Thunderbird verwenden und die Verbindung zum Server mit SSL oder dessen Nachfolger TLS verschlüsseln.

auf deutschSchnellanleitung zum Verschlüsseln von Epost (Email) mit S/Mime

Die folgende Anleitung ist auf das Epost-Programm Thunderbird ausgerichtet, aber auch auf andere Programme (z.B. Outlook Express) übertragbar. Webmail zu verwenden, ist sowieso nicht zu empfehlen, da die Bedienung viel langsamer und umständlicher ist, abgesehen davon, daß dabei die Post und die Adreßbücher noch viel leichter ausspioniert werden.

Zum Verschlüsseln brauchen Sie ein „S/Mime-Zertifikat“, das Sie, wie unten beschrieben, bei einer Zertifizierungsstelle ("Certificate Autority", CA) erhalten können. Es ist ein „Schlüssel“, der zwei Teile hat: einen geheimen, den nur Sie haben und den Sie schützen müssen, und einen öffentlichen, mit dem man Ihnen verschlüsselt schreiben kann. Mit dem öffentlichen signieren Sie Ihre Ebriefe. Damit ist dem Empfänger garantiert, daß die Absenderadresse des Ebriefes stimmt. Zugleich hat der Empfänger damit Ihren öffentlichen Schlüssel. Ein Zertifikat gilt also immer nur für eine einzige Epost-Adresse. Die Sicherheit dieser Verschlüsselungsmethode ist schon sehr groß. Wichtig ist, daß Sie den geheimen Schlüssel auf Ihrem Rechner vor Diebstahl schützen.

Ein kostenloses, ein Jahr gültiges Zertifikat können Sie erhalten bei einer der folgenden Zertifizierungsstellen: CAcert, StartSSL oder Comodo. Sowohl Sie als auch die Empfänger Ihrer Ebriefe brauchen außerdem das Zertifikat der Zertifizierungsstelle (auch „Root certificate“, „CA certificate, „Ausstellerzertifikat oder „Wurzelzertifikat“ genannt, im Gegensatz zum „Benutzerzertifikat“ oder "client certificate"). Bei CAcert können Sie sogar kostenlos Zertifikate höherer Sicherheitsstufen erhalten, Sie und jeder Empfänger muß jedoch das Ausstellerzertifikat per Hand installieren, wie unten beschrieben. Ausstellerzertifikate und Zertifikate anderer Personen finden Sie auf globaltrustpoint.com. Wenn Sie ein Zertifikat möchten, das länger als ein Jahr gültig ist, können Sie bei einer Zertifizierungsstelle ein drei Jahre gültiges erwerben oder sich wie unten beschrieben selbst ein beliebig lange gültiges ausstellen.

Schritt für Schritt

  1. Diese Kurzanleitung ausdrucken und haargenau befolgen.
  2. Kostenloses Zertifikat beantragen bei StartSSL, CAcert oder Comodo. Wenn Sie die Anweisungen befolgen, ist Ihr Zertifikat in Ihrem Internetnavigator, z.B. Firefox installiert. Sie müssen es nun aus Firefox exportieren und dann in Thunderbird importieren. (Zur Beruhigung: Die Ausgabestelle hat Ihren geheimen Schlüssel nicht, denn er wird auf Ihrem Rechner erzeugt.)
  3. In Firefox klicken auf:
    Extras >> Einstellungen >> ganz oben rechts: "Erweitert" >> erster Reiter von rechts: "Verschlüsselung" >> Knopf links: "Zertifikate anzeigen" (damit öffnen Sie den Zertifikat-Manager) >> Markieren Sie Ihr Zertifikat durch Draufklicken >> Drücken Sie unten auf den Knopf "Sichern" >> wählen Sie einen Speicherort aus (erstellen Sie z.B. einen Ordner "SMIME" in "Eigene Dateien"), geben Sie einen Dateinamen an und drücken Sie auf "Speichern" (Dateityp: "PKCS12 Dateien"), geben Sie ein Passwort Ihrer Wahl ein.
    (Wenn Sie die empfehlenswerte Erweiterung Cert Viewer Plus installieren, finden Sie den Zertifikat-Manager auch direkt unter Extras >> Zertifikat-Manager.)
    (Beim Internet Explorer: Extras >> Internetoptionen >> Inhalte >> Zertifikate >> Eigene Zertifikate >> Exportieren, einschließlich priv. Schlüssel >> als PKCS# 12 (*.pfx), verstärkte Sicherheit.)
  4. Das so abgespeicherte Zertifikat in Thunderbird importieren: Öffnen Sie den Zertifikatmanager, wie oben beschrieben. Klicken Sie oben links auf „Ihre Zertifikate“. Klicken Sie unten auf „Importieren“ und importieren Sie Ihr eben abgespeichertes Zertifikat.
  5. Gehen Sie in Thunderbird zu: Extras >> Konten-Einstellungen >> (linke Spalte) S/Mime-Sicherheit; wählen Sie Ihr Zertifikat aus, für "Digitale Unterschrift" und "Verschlüsselung". (Nicht „Nachrichen digital unterschreiben (als Standard)“ anklicken.)
  6. Bei einer neuen Nachricht können Sie nun unter Einstellungen > S/MIME-Sicherheit (oder im Menü unter dem Knopf mit dem Schloß und der Aufschrift "S/MIME") „Nachricht unterschreiben“ und „Nachricht verschlüsseln“ markieren. Sie können aber nur an jemanden verschlüsselt schreiben, dessen öffentlichen Schlüssel Sie haben. Beim Empfänger einer unterschriebenen Nachricht wird das öffentliche Zertifkat automatisch in Thunderbird installiert – vorausgesetzt das Ausstellerzertifikat ist installiert.

Lösung eines Fehlers: Manchmal meldet Thunderbird beim Absenden „Kann kein Verschlüsselungszertifikat für ... finden“. Dieses Problem wird HIER im Thunderbird-Forum besprochen.
Ursache: Das passiert manchmal, wenn im Zertifikatmanager mehrere Zertifikate für eine Anschrift gespeichert sind.
Lösung: Löschen Sie alle Zertifikate für diese Anschrift. (Sehen Sie auch unter "Server" nach.) Auch die abgelaufenen. Sichern Sie diese aber vorher oder heben Sie damit unterschriebene Ebriefe auf, damit Sie Ihre alten an diese Anschrift geschickten Ebriefe noch lesen können. Beenden Sie Thunderbird und starten Sie es neu. Öffnen Sie einen mit dem neuesten Zertifikat signierten Ebrief; dann wird der öffentliche Schlüssel automatisch importiert. Nötigenfalls können Sie jetzt wieder die alten Schlüssel importieren.

Wie man ein Ausstellerzertifikat installiert

Wenn Sie ein Zertifikat bei einer Zertifizierungsstelle beantragen möchten, dessen Ausstellerzertifikat nicht im Thunderbird enthalten ist, müssen Sie dieses vor der Installation des Benutzerzertifikates installieren. Ebenso müssen Sie dieses installieren, um in erhaltenen signierten Ebriefen enthaltene öffentliche Schlüssel verwenden zu können. Das ist z.B. bei CAcert sowie bei selbst-signierten Zertifikaten und selbsthergestellen Ausstellerzertifikaten der Fall. Anleitung für CAcert:

  1. HIER mit der rechten Maustaste klicken, um das Ausstellerzertifikat von CAcert herunterzuladen und an einem beliebigen Ort zu speichern ("Ziel speichern unter"). Zum Beispiel unter "Eigene Dateien" auf der Festplatte. (Sie können auch zusätzlich gleich das Class-3-Zertifikat installieren. HIER ist mein Ausstellerzertifikat. Andere Ausstellerzertifikate können Sie bei Globaltrustpoint finden.)
  2. Dann das Ausstellerzertifikat in Thunderbird importieren:
    Zertifikatmanager öffnen (wie oben beschrieben). Auf den Reiter „Zertifizierungsstellen“ klicken, dann unten auf den Knopf „Importieren“. Den Anweisungen folgen.
    (Vielleicht werden Sie irgendwann nach einem "Master-Passwort" gefragt werden. Wenn Sie keines gesetzt haben, versuchen Sie es zuerst mit "Abbrechen"; wenn das nicht funktioniert, mit „OK“. Mit dem Setzen eines Master-Passwortes erschweren Sie die den Diebstahl Ihres geheimen Schlüssels.)
    (Import des Ausstellerzertifikats bei Microsoft Outlook Express: Extras >> Optionen >> Reiter "Sicherheit" >> "Digitale IDs" >> "Vertraute Herausgeber" (oder „vertrauenswürdige Stammzertifizierungsstellen“) >> "Importieren".)
  3. Vertrauensstatus einstellen: In Thunderbird im Zertifikatmanager unter "Zertifizierungsstellen", ziemlich weit unten im Roll-Fenster unter „Root CA“ das Ausstellerzertifikat „CA Cert Signing Authority“ anklicken, dann "Vertrauen bearbeiten", dann alle Kästchen anklicken. Mit "OK" bestätigen. (Das Ausstellerzertifikat von CAcert finden Sie unter "Root CA".)
  4. Nun können Sie ein geheimes Benutzerzertifikat von dieser CA installieren, und wenn Sie nun mit Zertifikaten von dieser CA signierte Ebriefe erhalten, werden die Zertifkate automatisch installiert.

Weitere Anmerkungen:

Meinen öffentlichen S/Mime-Schlüssel finden Sie HIER. Sie können ihn herunterladen und in Thunderbird im Zertifikatmanager importieren. Davor müssen Sie das Ausstellerzertifikat wie oben beschrieben installieren. Dann können Sie mir an die Adresse epost@ABC.de – dabei "ABC" durch "von-wachter" ersetzen – verschlüsselt schreiben. Sie können mir auch nur zum Ausprobieren des Verschlüsselns schreiben.

Die Verschlüsselung ist so lange sicher, wie niemand den geheimenSchlüssel aus dem Zertifikat-Manager von Thunderbirdauf IhremRechner stiehlt! Dies könnte zum Beispiel der Staat mit dem Bundestrojaner tun. Maßnahmen zur Sicherheit:

S/MIME-Zertifikate selbst herstellen

Statt eine Ausgabestelle zu verwenden, kann man S/MIME Zertifikate auch selbst herstellen, z.B. mit der Thunderbird-Erweiterung "Key Manager" oder dem kostenlosen Programm XCA, das für Linux und Windows erhältlich ist. Dafür erstellen Sie am besten zuerst ein Ausstellerzertifikat. Damit können Sie dann nicht nur für sich selbst, sondern auch für andere Leute Benutzerzertifikate zum Signieren und Verschlüsseln von Ebriefen (Typ "End-Instanz") herstellen. HIER und HIER sind Erläuterungen dazu. Hilfreich ist ferner die Erläuterung der "Erweiterungen" auf Cryptoshop.com. Weitere Verweise. Eine andere Möglichkeit ist es, ein selbstsigniertes Benutzerzertifikat ohne Ausstellerzertifikat zu erstellen. Dieses muß dann sowohl als Ausstellerzertifikat als auch als Benutzerzertifikat importiert werden.

Anleitung für MS Outlook

Bei MS Outlook werden die Zertifikate nicht wie bei Thunderbird in einem Zertifikatspeicher des Epostprogramms, sondern in einem zentralen Zertifikatspeicher aufgehoben. Anleitung zum Importieren:

Dann muß man noch Outlook anweisen, dieses Zertifikat zu verwenden: Anleitung für Outlook 2010:

Anleitung für Outlook 2007 (Quelle):

Anleitung für Apple Mail bei Mac OS X

Mac verwendet eine zentrale Zertifikatverwaltung, die „Schlüsselbundverwaltung“. Auf das Ausstellerzertifikat klicken, dann öffnet sich die Schlüsselbundverwaltung. Den Anweisungen zur Installation folgen. Das Vertrauen aussprechen. Dann auf die Datei mit dem Zertifikat klicken und installieren. Beim Erstellen eines Ebriefes die Schaltflächen oben rechts mit dem Schloß und dem Haken aktivieren.

Zumindest manchmal muß man dann noch folgendes durchführen: Unter: Einstellungen->Mail, Kontakte, Kalender den entsprechenden Account auswählen. Dann “Account->Erweitert” wählen. Zuunterst steht da der Eintrag “S/MIME”, welche wir nun aktivieren. Wichtig dabei ist, dass nun S/MIME zwar aktiviert ist, es aber noch nicht fürs “Signieren” und “Verschlüsseln” verwendet wird. Unter dem Kontrollkästchen “S/MIME” sehen wir jetzt diese zwei Einträge, welche wir auch aktivieren müssen. (Quelle)

Wenn Sie trotz der Installation nicht signieren oder verschlüsseln können: Stellen Sie sicher, dass die Schreibweise der Epost-Adresse im Zertifikat und in Ebrief tatsächlich übereinstimmen. Auch Groß- und Kleinschreibung sind wichtig, also schreiben Sie alles klein.

Anleitungen: Apfelwiki.de, t3n.de (auch für Iphone), mactechnews.de, heise.de (auch für Iphone), richardet-design.com.

OpenPGP

Alternative zu S/MIME (X.509): Verschlüsselung mit dem dem OpenPGP-Standard entsprechenden Programm GnuPG. Am einfachsten geht das mit dem Email-Programm Thunderbird und der Erweiterung Enigmail.

Anleitungen für OpenPGP: Emailselfdefense.fsf.org, Blafusel.de, kairaven.de. Weitere Anleitungen finden Sie oben.

Wenn Sie unter Windows arbeiten, dann installieren Sie Gpg4win oder das GnuPG-Pack, welches Plugins für Thunderbird, MS Outlook, Pegasus Mail und Firefox enthält. GnuPT enthält GnuPG und die Benutzeroberfläche für Windows WinPT.

Instructions for OpenPGP: Emailselfdefense.fsf.org; mozillamessaging.com, lifehacker.com, securityinabox.org, The Guardian Project for Androide phones and tablets.

Mein PGP-Schlüssel (ID: 77C45B76; finger print: 738C AD84 F847 5121 8C66 6880 B2D7 E354 77C4 5B76). Öffentliche Schlüssel findet man auf einem Schlüsselserver.

Weitere Sicherheitshinweise:

Zurück zur Leitseite von Daniel von Wachter

Validated by HTML Validator (based on Tidy)