22.07.2019
Postgeheimnis

Die E-Mail behauptet sich weiter als eine der ältesten elektronischen Methoden um Informationen auszutauschen. Wie bei modernen Messengern stellt sich auch hier die Frage nach dem Postgeheimnis.

In der Standard-Konfiguration wird eine E-Mail als unverschlüsselter Text gespeichert. Seit einigen Jahren sind die Betreiber von E-Mail-Diensten dazu übergegangen, die Übertragung der E-Mails nur noch verschlüsselt zu ermöglichen. Man spricht dabei von der Transportverschlüsselung die lediglich verhindern soll, dass E-Mails bei der Übertragung "mitgelesen" werden. Anbieter, die E-Mails auch verschlüsselt auf ihren Servern speichern sind jedoch immer noch die Ausnahme. E-Mails werden bis heute in der Regel als Klartext gespeichert und sind damit vor dem Zugriff Unbefugter nicht sicher. Im Gegensatz zum ähnlichen Problem beim Chat, gibt es aber für E-Mails schon fast zwei Jahrzehnte lang eine Lösung.

Verschickt man einen Brief per Post, dann verschließt man den Umschlag. Auch beim Versenden von E-Mails mit vertraulichen Informationen sollte man tätig werden! Das einfachste Mittel ist die sog. Ende-zu-Ende-Verschlüsselung. In diesem Beitrag sollen einige Informationen zur Funktionsweise und eine Anregung gegeben werden, diese Funktionalität einzurichten und zu nutzen.

Die Verschlüsselungsmethode wird "Pretty good Privacy, kurz PGP genannt. Trotz ihres Alters gilt sie nach wie vor als sicher. Nach derzeitigem Kenntnisstand ist eine PGP-Verschlüsselte Nachricht nicht unter normalen Bedingungen (Polynomialzeit) entschlüsselbar, d.h. man müsste Großrechner für mehr oder weniger lange Zeit arbeiten lassen, um eine Nachricht zu entschlüsseln.

PGP arbeitet mit einer asymmetrischen Verschlüsselung. Dazu wird ein Schlüsselpaar aus öffentlichen und geheimen Schlüssel verwendet. Die Funktionsweise ist in diesem Video sehr schön beschrieben. Dem Partner, von dem man eine verschlüsselte Nachricht erhalten möchte, schickt man den eigenen öffentlichen Schlüssel. Dieser Schlüssel könnte mit einem geöffneten Vorhängeschnappschloss verglichen werden. Der Partner schreibt seine Nachricht, packt sie in ein Kästchen und verschließt dieses mit dem Vorhängeschloss (öffentlicher Schlüssel des Empfängers) welches er jetzt zudrückt. Das Kästchen kann nun von den dubiosesten Unternehmen transportiert werden, in den windigsten Lagern herumstehen, bis es schließlich beim Empfänger ankommt. Nur der Besitzer des geheimen Schlüssels kann das Vorhängeschloß entriegeln, das Kästchen sozusagen öffnen und die Mail lesen.

Verantwortungsvoller Umgang mit E-Mails beginnt schon bei der Auswahl des Programmes oder E-Mail-Clients. Kann man solchen, deren Quellcode nicht offen zugänglich ist vertrauen? Thunderbird für den Desktop und K-9 für das Smartphone, um nur zwei Beispiele zu nennen, legen den Code offen, sodass nachprüfbar ist was die Programme tun. Wie ist das z.B. bei AppleMail, G-Mail oder Outlook?

Es gibt unzählige Anleitungen zur Einrichtung der E-Mail-Verschlüsselung. Weit verbreitet ist die Nutzung des E-Mail-Programms "Thunderbird". Dafür installiert man das AddOn Enigmail. Im Hauptmenü ist der Punkt [Add-ons/Add-ons] aufzurufen. In das Suchfeld oben links gibt man [Enigmail] ein. In der Suchergebnisliste findet sich neben dem Eintrag die Schaltfläche [Zu Thunderbird hinzufügen]. Das AddOn wird ebenfalls mit einer Art Erweiterung namens "PeP Security" installiert (Stand III/2019), welches die Einrichtung der Schlüssel selbständig vornimmt. Das war es eigentlich schon!

Sobald man jetzt einem Partner eine E-Mail noch unverschlüsslet sendet, sorgt das AddOn dafür, dass dem Empfänger der öffentliche Schlüssel mitgeschickt wird. Antwortet der Partner nun auf diese E-Mail, und hat er ein gleiches oder ähnliches System installiert, so wird seine Antwort-Mail verschlüsselt. Beim Empfang dieser Mail übernimmt dann das AddOn die Entschlüsselung und zeigt dies im Mail-Programm an, der Benutzer muss zur Entschlüsselung nicht tätig werden.

Beim Versenden von Mails werden durch das AddOn nun alle Mails automatisch verschlüsselt, wenn vom Empfänger der öffentliche Schlüssel vorliegt.

Die Einrichtung ist sehr vereinfacht worden. Durch Vereinfachung erkauft man sich aber nicht selten Nachteile. So werden die automatisch erzeugten Schlüssel nicht mit einem Passwort geschützt, dies sollte man aber unbedingt manuell nachholen! Weiterhin wird durch die automatische Einrichtung verborgen, was zum Verständnis der Funktionsweise beitragen könnte. Deshalb hier ein kleiner Überblick.

Was ist mit der Einrichtung des Enigmai-AddOns mit PeP Security passiert?

 * Installation der nötigen Programmteile zur Ver- und Entschlüsselung
 * Dazu gehört auch ein Verwaltungsprogramm für PGP-Schlüssel
 * Installation und Aktivierung der Erweiterung PEP Security
 * Erzeugung eines Schlüsselpaares für jede E-Mail-Adresse, die mit Thunderbird verwaltet wird

In diesem Beitrag ist das Thema sichere E-Mail nur sehr oberflächlich behandelt worden. Es ist ratsam, sich mit den Grundlagen näher zu befassen. Unerfahrene Benutzer sollten z.B. die Voreinstellungen zunächst so beibehalten, aber überlegen ob sie später PeP Security deaktivieren und die PGP-Einstellungen manuell vornehmen. Dem Umgang mit den Schlüsseln, welche nicht nur zur E-Mail-Verschlüsselung benutzt werden können, und deren Sicherung sollte man Beachtung schenken. Weiterhin gilt es zu prüfen, wie man Mails extern sichert und den Zugang zu verschlüsselten Mails im Backup regelt.

Das Verschlüsselungsverfahren selbst gilt bis zum heutigen Zeitpunkt als sicher. Berechtigte Kritik gab und gibt es an der Implementierung des Verfahrens in Mail-Programme sowie an der Speicherung von öffentlichen Schlüsseln auf sog. Key-Servern.

Schlussbemerkung

Kirchen wird in unserer Gesellschaft kein besonders großes Vertrauen mehr entgegengebracht. Ist es nicht umso wichtiger im kirchlichen Bereich für sichere elektronische Kommunikationsmöglichkeiten zu sorgen? Kirchliche Stellen und Pfarrämter werden wegen Amtshandlungen und Seelsorge kontaktiert. Es geht dabei um sehr sensible persönliche Daten. Sollte es heute nicht selbstverständlich sein, dies PGP-Verschlüsselt zu tun? Denn das System ist nahezu für jedermann, der ein elektronisches Gerät benutzen kann, kostenfrei und mit überschaubarem Aufwand nutzbar.

Weiterführende Informationen
* Motionengsemble: Sicher kommunizieren einfach erklärt
* FocusOnline: E-Mail-Verschlüsselung erklärt
* Wikipedia zu PGP
* Enigmail AddOn
* PeP Security Erweiterung
* Golem: Kritik an PeP Security
* Heise: Angriff auf Key-Server

Der Autor des Beitrages, Jörg Sorge, kann für Fragen rund um PGP unter Linux unter dieser Adresse kontaktiert werden:

joerg Punkt Sorge at onlinekirche Punkt net

Gern auch verschlüsselt mit diesem Schlüssel.

 

Grafik Gerd Altmann from Pixabay


Mehr Fotos

Enigmail Symbole Symbole zur Verschlüsselung und Signierung, die von Enigmail bereitgestellt werden J.Sorge Enigmail Einstellungen PGP Einstellungen für jedes Konto J.Sorge Thunderbird Enigmail Schluesselverwaltung Anzeige und Auswahl eigener Schlüssel und die von Partnern J.Sorge