B. Brandel
Bereits in mehreren Ausgaben der (1/1999, 1/2000, 2/2000 und 1/2002) war die Verschlüsselung elektronischer Post mit PGP ein wichtiges Thema. In diesem Artikel wird eine neue Software-Kombination (Mozilla Thunderbird mit GnuPT/GnuPG und Enigmail) beschrieben und empfohlen, da die bisher verwendete Verschlüsselungssoftware PGP in Version 8 für den allgemeinen Einsatz in Universitäten nicht mehr kostenfrei verfügbar ist und auch PegasusMail als IMAP-Mail-Client Schwächen aufweist.
Dieser Artikel beschreibt die Nutzung von GnuPG 1.4.1 mit Enigmail 0.91.0 unter Thunderbird 1.0.2, während die Installation und Konfiguration dieser Softwareprodukte aus Platzgründen hier nicht dargestellt werden kann. Eine ausführliche Installations- und Konfigurationsanleitung wird deshalb unter dem URL http://www1.ku-eichstaett.de/urz/install/enigmail.pdf veröffentlicht.
Schlüsselverwaltung: Import von vorhandenen PGP- oder GnuPG-Schlüsseln
Zur verschlüsselten Kommunikation benötigen Sie öffentliche und private Schlüssel, die in den GPG-Schlüsselbund aufgenommen werden können.
Wenn Sie noch keine PGP- oder GnuPG-Schlüssel besitzen, überspringen Sie bitte diesen Abschnitt. Wenn Sie jedoch Ihre alten öffentlichen und privaten Schlüsselringe (PGP-Keys oder GPG-Keys) weiter verwenden wollen, können Sie diese auf folgende Art importieren, und zwar zuerst den öffentlichen Schlüsselring pubring.pkr (oder .gpg) und dann erst den geheimen Schlüsselring secring.skr (oder .gpg):
Öffnen Sie bitte in Thunderbird das Menü Enigmail → OpenPGP-Schlüsselverwaltung und dort das Menü Datei → Importieren. Importieren Sie Ihren bisherigen PGP-Keyring (z.B. aus C:\keys\pubring.pkr - Dateityp: alle Dateien!) und danach analog Ihren privaten Keyring.
Enigmail meldet dann den erfolgreichen Import:
Anschließend müssen Sie nun noch das Vertrauen in Ihr eigenes Schlüsselpaar und in alle von Ihnen benötigten fremden öffentlichen Schlüsseln auf absolutes Vertrauen hochsetzen. Dazu markieren Sie zuerst Ihr eigenes Schlüsselpaar und öffnen das Menü Bearbeiten→ Vertrauenswürdigkeit festlegen, wählen Ich vertraue ihm absolut und klicken anschließend zweimal auf OK.
Dieses Procedere wiederholen Sie mit allen weiteren benötigten Schlüsseln. Das Ergebnis der Aktion wird schließlich in der OpenPGP-Schlüsselverwaltung in der Spalte Besitzer-Vertrauen angezeigt:
Der Import weiterer Schlüssel funktioniert in gleicher Weise.
Schlüsselverwaltung: Erzeugung eines neuen Schlüsselpaares
Wenn Sie ein neues Schlüsselpaar erzeugen möchten, gehen Sie wie folgt vor (siehe http://enigmail.equipmente.de/Hilfe/helpset.htm, Abschnitt Schlüsselpaar erzeugen):
Im Hauptfenster des Thunderbird erreichen Sie über Enigmail→ OpenPGP-Schlüsselverwaltung... → Erzeugen → Neues Schlüsselpaar das Enigmail-Fenster zur Erzeugung eines OpenPGP-Schlüsselpaares:
Machen Sie dort folgende Eintragungen:
Unter Benutzer-ID wählen Sie aus, zu welcher E-Mail-Adresse der Schlüssel generiert werden soll.
Wählen Sie Schlüssel zum Unterschreiben verwenden, wenn Enigmail diesen Schlüssel direkt unter den OpenPGP-Optionen des richtigen Kontos eintragen soll.
Keine Passphrase erzeugt einen Schlüssel ohne gesichertes Passwort (nicht zu empfehlen!).
Unter Passphrase (wiederholen) geben Sie eine Zeichenkette als gewähltes Mantra ein (mindestens 8 Zeichen, besser deutlich mehr!).
Sie können dem Schlüsselpaar zusätzlich einen Kommentar zuweisen, um es leichter erkennen zu können.
Unter Schlüssel läuft ab geben Sie ein Ablaufdatum für den zu erzeugenden Schlüssel an oder wählen Schlüssel läuft nie ab, um einen unbegrenzt gültigen Schlüssel zu erstellen.
Unter Schlüsselstärke wählen Sie eine Schlüsselstärke für den zu erzeugenden Schlüssel aus - belassen Sie hier im Zweifelsfalle einfach den Standard (2048 Bit).
Ein Klick auf Schlüsselpaar erzeugen erzeugt Ihr neues Schlüsselpaar. Klicken Sie zweimal auf Ja (auch das Widerrufszertifikat soll erzeugt werden), geben dann Ihre Passphrase ein und Sie sehen im OpenGPG-Fenster schließlich Ihren neuen Schlüssel.
Wenn Sie von diversen Kommunikationspartnern öffentliche Schlüssel importieren möchten, tun Sie dies bitte und legen Sie deren Vertrauenswürdigkeit fest, wie im vorigen Abschnitt beschrieben.
Hinweis: Erstellen Sie nach der Schlüsselerzeugung unbedingt eine Sicherung Ihres Schlüsselpaares (pubring.gpg und secring.gpg) auf Diskette oder CD! Unabhängig davon sollten Sie zusätzlich noch im Original-Verzeichnis beide Dateien nochmals als pubring.gpg.orig und secring.gpg.orig abspeichern, da es in seltenen Fällen vorkommen kann, dass GnuPG die Originaldateien verhunzt und unbrauchbar macht. Der Autor hat diese Erfahrung zweimal in den letzten sechs Monaten machen müssen. Falls GnuPG irgendwann die Schlüssel nicht mehr findet oder als unbrauchbar angibt, können Sie dann einfach die *.gpg.orig-Dateien nach *.gpg umbenennen.
Schlüsselverwaltung: Schlüsselaustausch
Wenn Sie Ihren öffentlichen Schlüssel an Ihre Kommunikationspartner weitergeben möchten, können Sie das ebenfalls über das Menü Enigmail → OpenPGP-Schlüsselverwaltung tun:
Klicken Sie Ihr Schlüsselpaar an und öffnen per Rechtsklick das Kontextmenü In Datei exportieren. Ihren privaten Schlüssel sollten Sie natürlich in keinem Fall mit exportieren (unbedingt Antwort Nein anklicken!).
Nun können Sie Ihren exportierten öffentlichen Schlüssel z.B. unter dem vorgeschlagenen Namen abspeichern. Zum Schlüsseltausch können Sie Ihrem Kommunikationspartner diese Datei nun persönlich übergeben oder ihm die Datei per E-Mail zusenden und den Fingerprint Ihres Keys per Telefon mitteilen. Ihr Partner kann dann den Schlüssel in seinen Schlüsselring importieren und im Menü OpenPGP-Schlüsselverwaltung per Rechtsklick über die Schlüsseleigenschaften den Fingerabdruck überprüfen.
Signieren und/oder Verschlüsseln von Mails
Um eine E-Mail-Nachricht zu signieren und/oder zu verschlüsseln gibt es mehrere Möglichkeiten. Am besten gehen Sie folgendermaßen vor:
Starten Sie Thunderbird und verfassen Sie wie gewohnt eine neue E-Mail-Nachricht.
Anschließend öffnen Sie das Enigmail-Menü und wählen die gewünschten Optionen aus.
Wählen Sie Unterschrieben versenden, um die Nachricht zu signieren.
Wählen Sie Verschlüsselt versenden, um die Nachricht zu verschlüsseln.
Wählen Sie PGP/MIME verwenden, um die Nachricht mit Hilfe von PGP/MIME zu signieren/verschlüsseln.
Wenn Sie eine HTML-Nachricht schreiben, deutsche Umlaute benutzen oder möchten, dass Anhänge auch
verschlüsselt werden, sollten Sie unbedingt PGP/MIME verwenden. Stellen Sie aber
vorher sicher, dass der E-Mail-Client des Adressaten dieses auch unterstützt.
Wählen Sie OpenPGP-Empfänger-Regeln ignorieren, um evtl. konfigurierte
Empfängerregeln nicht auszuführen. Das ist insbesondere dann interessant,
wenn Sie die E-Mail an mehrere Empfänger senden.
Verschlüsselung rückgängig machen entschlüsselt eine versehentlich
verschlüsselte E-Mail wieder.
Öffentlichen Schlüssel einfügen fügt den öffentlichen Schlüssel der Absender-Adresse ein.
Mit Passphrase aus Cache löschen löschen Sie das zwischengespeicherte Mantra (Passphrase/Passwort).
Dieses sollten Sie tun, wenn Sie mehrere Schlüssel besitzen und mit verschiedenen Schlüsseln
innerhalb kurzer Zeit verschlüsselte/signierte E-Mails versenden/öffnen.
Über OpenPGP-Empfänger-Regeln... kommen Sie zu dem Dialog, in dem Sie
die Empfänger-Regeln bearbeiten können.
Wenn Sie E-Mail-Nachrichten an einen bestimmten Empfänger immer auf die gleiche Art
signieren/verschlüsseln möchten, dann erstellen Sie am besten eine OpenPGP-Empfänger-Regel.
Wenn Sie die gewünschten Einstellungen vorgenommen haben, können Sie durch Betätigen des Schaltknopfs Senden die Nachricht schließlich absenden. Die nachfolgende Warnung nehmen Sie zur Kenntnis, geben anschließend Ihre Passphrase ein und erhalten von Enigmail eine Verschlüsselungsbestätigung:
Entschlüsseln von Mails/Signaturprüfung
Am besten aktivieren Sie im Enigmail-Menü die Option Automatisch entschlüsseln/überprüfen. Dann wird Enigmail bei jeder verschlüsselten bzw. signierten Mail die Entschlüsselung/Signaturprüfung ohne weitere Rückfrage vornehmen.
In der Symbolleiste der geöffneten E-Mail (oder in der E-Mail-Vorschau - F8) haben Sie nun je nachdem ob die E-Mail signiert und/oder verschlüsselt war, bis zu zwei Symbole, nämlich einen Stift und einen Schlüssel.
Der Stift zeigt an, dass die E-Mail signiert wurde. Der Stift trägt ein Fragezeichen, wenn Sie entweder nicht über den öffentlichen Schlüssel des Absenders verfügen oder aber dem Absender nicht vertrauen. Der Schlüssel zeigt an, dass die E-Mail verschlüsselt wurde. Ein Linksklick auf den Stift oder den Schlüssel zeigt Ihnen die OpenPGP-Informationen zu der erhaltenen E-Mail an.
Wenn Sie nicht im Besitz des öffentlichen Schlüssels sind, weist Enigmail Sie mit einem Dialog darauf hin. Nach einem Klick auf Ja bestätigen Sie den Schlüsselserver-Dialog. Nach einem OK versucht Enigmail den Schlüssel vom Schlüsselserver herunterzuladen. Wenn der Schlüssel auf dem Schlüsselserver verfügbar ist, importiert Enigmail diesen in Ihren Schlüsselbund. Sollte der Schlüssel nicht auf dem Schlüsselserver gefunden werden, so informiert Enigmail Sie darüber. In diesem Fall sollten Sie den Schlüssel von Ihrem E-Mail-Partner anfordern.
Vergleich mit PGP/QDPGP/Pegasus Mail
Wenn man die Kombination Thunderbird mit Enigmail und GnuPG mit der bisherigen Lösung PGP/QDPGP/Pegasus Mail vergleicht, ergeben sich eindeutige Vorteile der neuen Lösung:
Thunderbird ist der deutlich schnellere und stabilere Mailclient.
Thunderbird/GnuPG/Enigmail ist leichter zu installieren und zu bedienen.
Die Unterstützung von PGP/MIME macht die Verschlüsselung und Signatur von Mails mit Attachments deutlich komfortabler.
Die fehlende IDEA-Kompatibilität lässt sich durch die Installation des IDEA-Plugins recht einfach beheben.
Nach vier Jahren immer noch nicht behobene Sicherheitslücken wie bei PegasusMail (Klartextabspeicherung der Passphrase in Drafts) kann sich der Autor bei Thunderbird, Enigmail und GnuPT nicht vorstellen. Das einzige kleine Manko ist der auch beim Autor eingetretene Bug (zerstörter Public Key). Dessen Folgen lassen sich aber durch Sicherheitskopien der Schlüsseldateien problemlos umgehen.
Daher ist diese Kombination allen, die eine leistungsfähige und komfortable E-Mail-Verschlüsselungs-Lösung suchen, wärmstens zu empfehlen - zumal Thunderbird mit Enigmail und GnuPG auch unter Linux gut funktioniert.
Nutzung von Mozilla Thunderbird, Enigmail und GnuPG in den Computerpools der KU
In den Computer-Pools der KU werden alle drei Softwareprodukte in den beschriebenen aktuellen Versionen mit dem nächsten PC-Software-Klon installiert und vorkonfiguriert. Sie können dann dort diese Software direkt nutzen. Dann steht einer sicheren Kommunikation per E-Mail nichts mehr im Wege.
Eine noch detailliertere Beschreibung der Nutzung von GnuPG mit Enigmail unter Thunderbird würde aufgrund der Vielzahl aller Features den Rahmen dieses Artikels völlig sprengen. Wenn Sie noch mehr darüber erfahren wollen, möchte ich Sie auf die Security-Kurse des Universitätsrechenzentrums hinweisen, die alljährlich im Wintersemester in Ingolstadt (diesmal am 21. und 28. Oktober 2005) angeboten werden.
Literatur:
Probleme, Wünsche und Anregungen zu GnuPT:
http://www.equipmente.de/viewforum.php?f=21
Ausführliche Dokumentationen zu Thunderbird, Enigmail und GnuPG:
http://enigmail.equipmente.de/Hilfe/helpset.htm
http://www.equipmente.de/viewtopic.php?t=437 (mit Download-Möglichkeit)
Ansprechpartner im URZ: | Zimmer: | Telefon: | Mail: |
Bernhard Brandel | IN: HB-204 | -1888 | bernhard.brandel |
Tomasz Partyka | EI: eO-107 | -1668 | tomasz.partyka |
Dr. Wolfgang A. Slaby | EI: eO-109a | -1214/-1462/-1670 | wolfgang.slaby |