Transkript des Vortrags "Mail Verschlüsselung mit PGP"

Einen schönen guten Tag! Mein Name ist Rainer von Aktion Freiheit statt Angst und wir wollen heute mal wieder für eine halbe Stunde uns mit Verschlüsselung unserer Kommunikation beschäftigen. Andernfalls kann die sonst von allen möglichen mitgelesen werden. Wer das alles ist, das haben wir Ihnen ja schon erzählt mit den beiden Beiträgen,

•  Überwachung durch Unternehmen , Google und ähnliche und
• Überwachung durch den Staat , also Vorratsdatenspeicherung u.v.m. wie die Enthüllung die unser Ehrenmitglied Edward Snowden 2013 aufgedeckt hat.

Gut, um welches Produkt geht es?
Wir fangen mit einem ganz alten Produkt an nämlich mit der elektronischen Mail, die es schon seit na ja ja mehr als 40 Jahren gibt. Das ist ein standardisiertes Produkt, das heißt, es funktioniert für alle Betriebssysteme und sollte auch auf allen Geräten laufen und sich ähnlich verhalten. Das ist der große Vorteil gegenüber den ganzen Messengern, die wir ja schon in einer anderen Sendung untersucht hatten.

Wie gesagt Mail gibt's also mindestens seit Anfang der 80er Jahre. Da ist dann der Phil Zimmermann, wir sehen hier sein Bild, auf den Gedanken gekommen, man müsste den Nachrichtenaustausch auch verschlüsselt anbieten, damit nicht jeder Admin an jedem Knoten im Netz das mitlesen kann und na ja die Bewussten über die wir ja schon gesprochen haben, Staat und Unternehmen.

Das heißt, wir wollen eine Verschlüsselung die Ende zu Ende ist. Einem Sender Alice, wir sehen hier die Beiden, will nämlich mit Bob kommunizieren und das würde sie gern verschlüsselt tun. Nun kann sie die Nachricht natürlich auf Ihrem Gerät verschlüsseln und der Bob als Empfänger muss das wieder entschlüsseln. Das Problem dabei ist, sie muss vorher Ihren Schlüssel ihm mitgeteilt haben und das kann natürlich auch wieder abgehört werden oder ist es zumindest umständlich.

Und da kommt wieder unser Phil Zimmermann ins Spiel der eben entwickelt hat, wie man asymmetrisch verschlüsselt. Wir sehen das hier auf dem Bild. Jeder Mensch besitzt ein Schlüsselpaar, einen öffentlichen Public Key und einen geheimen Privat Key. Wir können dann auch irgendwo einen Server haben, auf dem sich die öffentlichen Schlüssel für alle Menschen befinden. Wenn sie sich da nicht befinden, dann muss ich den öffentlichen Schlüssel einfach mit einer unverschlüsselten Mail verschicken und das macht gar nichts, weil mit dem öffentlichen Schlüssel kann man nichts weiter tun als eine Mail an einen den Besitzer des öffentlichen Schlüssels als Empfänger verschicken. Und diese Mail ist dann wirklich Ende zu Ende verschlüsselt, weil nur er als Besitzer des privaten Schlüssels die Mail lesen kann.

Umgekehrt, wenn der Bob jetzt an Alice schreiben will, dann braucht er ihren öffentlichen Schlüssel. Wie gesagt, die öffentlichen Schlüssel können alle auf irgendwelchen Servern liegen oder die hat man vorher ausgetauscht. Das ist problemlos möglich und schon kann der Bob mit der Alice kommunizieren. So einfach ist es.

Sie kennen ja die Mozilla Foundation die auch den Firefox Browser rausgibt. Die hat auch ein sehr leistungsstarkes Mailprogramm, was zusätzlich Kalender und Chat und Terminvereinbarung ermöglicht. Und auch dieses Programm ist Open Source. Das heißt, da haben also Tausende von Entwickler drauf geschaut und gefunden, dass es keine Hintertüren gibt. Auch die Software von Phil Zimmermann ist bis heute nicht geknackt. Das heißt, das Verschlüsseln mit asymmetrischer Verschlüsselung, also öffentlichem und privaten Schlüssel ist bis heute noch sicher.

Ein kleiner Nachtrag noch:  diese Verschlüsselung für PGP oder wie es inzwischen heißt GnuPG, also PGP steht für pretty good privacy steht inzwischen in allen Betriebssystemen drin. Das gibt's also auch für Windows GnuPG for Wwin müssen Sie installiert haben, dann läuft’s auch mit der Verschlüsselung. Die Verschlüsselung in Thunderbird lief früher mit einem Zusatzprogramm Enigmail. Das ist inzwischen nicht mehr nötig. Sie können jetzt einfach mit dem Thunderbird Programm automatisch Ihre Mails verschlüsseln.

Schauen wir also jetzt einmal rein in die Installation von Thunderbird. Hier haben wir jetzt unseren Bildschirm und laden über das Internet Thunderbird herunter. Nach der Installation des Programms starten wir Thunderbird. Es ist zwar installiert, aber wir haben natürlich noch keine eigenen Konten.

Schauen wir uns in dem Programm etwas um, so sehen wir, dass wir neben der Bearbeitung von E-Mails ein Adressbuch haben, einen Kalender, um unsere Aufgaben dort zu speichern und wenn wir wollen, können wir darüber sogar einen Chat durchführen. Das wollen wir natürlich jetzt nicht machen. Wir schließen diese anderen Reiter.

Interessant ist vielleicht vor der Installation der Mailkonten noch die Sache, dass wir über Einstellung das ganze Programm noch ein bisschen schöner machen können. Genau wie beim Firefox Browser haben wir auch hier allgemeine Einstellung und dann eben spezifische für die Mails, für die Sicherheit und wie gesagt das Chatprogramm was wir gar nicht weiter anschauen wollen. Die Standard Suchmaschine würde ich natürlich schon mal sofort löschen und eine andere wählen. Ich würde empfehlen startpage.com. Die st in der Liste nicht dabei,  die kann man aber hinzufügen über diesen Button. Das wollen wir uns aber jetzt ersparen, da wir nicht so viel Zeit haben. Dann ist vielleicht noch Datenschutz eine wichtige Einstellung, die wir beachten sollten. Was das Programm hier beachten soll, können wir hier einstellen, ob wir Cookies akzeptieren oder lieber nicht und ob wir grundsätzlich sagen, sobald hier Internetaktivitäten erfolgen, dass wir nicht verfolgt werden wollen.

Das wäre eine sinnvolle Einstellung. Das mit dem Master Passwort ist Geschmackssache, ob man möchte, dass man mit einem Master Passwort sich weitere Anmelde-Passwörter hier im Thunderbird merken lässt. Wie schon mal in der anderen Sendung gesagt, diese Verschlüsselung ist zwar vorhanden aber sie ist nicht das Gelbe vom Ei. Das heißt also, wenn wir wirklich auf Sicherheit Wert legen, sollten wir hier Passwörter nicht unter einem Master Passwort speichern. Wenn wir das wollen, müssten wir das hier ankreuzen und dann natürlich ein Passwort angeben. Dann geht's hier noch darum, wie mit Spammails umgegangen wird.

Danach müssen wirm weil das System ja neu ist, erstmal ein ein paar E-Mailkonten erzeugen und zwar wollen wir zwei Leute anlegen. Das eine ist die Alice und das andere wäre dann nachher der Bob also A und B sind unsere beiden Kommunikationspartner, die wir eben schon in der Theorie gesehen haben.

Die Alice hat die Adresse alice@a-fsa.de und wir fügen das Passwort ein für Alice. Dann könnten wir jetzt das Konto hier manuell einrichten, wenn wir wissen, wie die IP-Adresse des Servers ist und weiteres. Wir lassen das mal hier von dem Programm einrichten. Da wird erstmal im Netz geguckt und es wurden Einstellungen gefunden.

Beim Anbieter unseres E-Maildienstes, was natürlich in diesem Fall unser eigener ist. Jetzt können wir das Konto mit IMAP oder mit POP3 anlegen. Eine kurze Erklärung dazu: IMAP empfiehlt sich, wenn wir viel auf Reisen sind und unsere Mails von verschiedenen Hotels oder auch aus Büro und vom Privat-Laptop und sonst was abrufen wollen. Das heißt, die E-Mails bleiben immer auf dem Server und wir haben lokal nur eine Ansicht davon. In dem anderen Fall, was wir hier jetzt machen wollen, POP3, werden unsere E-Mails auf dem hiesigen Computer gespeichert und dann, wenn wir das hier Ankreuzen auf dem Server auch gelöscht.

Dabei gehen wir davon aus, dass wir nicht irgendwie plötzlich in einem anderen Hotel sind und von da aus auf unsere Mails zugreifen wollen, die dann nicht mehr auf dem Server wären. Gut, dann probieren wir das mal und es scheint geklappt zu haben. Jetzt sehen wir hier unser E-Mailkonto Posteingang und den Papierkorb. Wir können weitere Ordner hinzufügen für Spam und sonst was. Das wollen wir jetzt nicht machen.

Wir müssten uns jetzt darum kümmern, dass wir hier Mails verschlüsseln wollen. Das heißt, wir müssen auf Kontoeinstellungen gehen und Ende zu Ende Verschlüsselung auswählen. Hier haben wir die Ende zu Ende Verschlüsselung und einen Schlüssel für alice@a-fsa.de. Jetzt können wir uns den Schlüssel noch angucken. Das ist seine Schlüssel ID und der läuft in 3 Jahren ab. So haben wir ihn ausgewählt. Wir hätten auch einen anderen Schlüssel, einen neuen Schlüssel jetzt erzeugen können. Das machen wir gleich beim beim Bob. Hier können wir sehen, was vorhin auch in der Theorie angesprochen wurde. Unser Schlüssel ist also ein PGP Schlüssel. Wir hätten aber auch einen S-Mime Schlüssel nehmen können, wenn wir irgendwo einen Schlüsseldienst hätten. Diesen müssten wir natürlich bezahlen.

Gut, das heißt also die Alice kann verschlüsseln wir können es einfach ausprobieren indem wir jetzt in den Posteingang gehen und eine Mail an uns selbst schicken. Sagen wir, das ist der Test Nummer 1 und wir schreiben uns ein schönes bla bla hier in den Nachrichtentext. Und wir wollen natürlich verschlüsseln. Das ist verfügbar, wie man sieht. Das heißt, wir können sagen, wir wollen verschlüsseln. Dann können wir das Absenden und hoffentlich auch wieder zurückerhalten. Schauen wir mal nach ob es Mails für uns, für Alice gibt. Da ist eine Mail und wie Sie sehen hat diese keinen Betreff. Erst wenn wir drauf gehen wird die Mail entschlüsselt und dann sehen wir erstens, sie war verschlüsselt und zwar richtig verschlüsselt. Wir können uns den Schlüssel hier theoretisch auch angucken unter Nachrichten-Sicherheit. Schauen wir doch mal was er uns sagt. Wir haben mit unserem eigenen Schlüssel  unterschrieben und verschlüsselt und damit sind wir erstmal zufrieden.

Dann brauchen wir jetzt einen zweiten Menschen, also ein zweites Postfach, das heißt wir müssen ein neues erzeugen. Dazu gehen wir wieder in die Kontoeinstellungen. Da sehen wir die Einstellung für Alice. Wir wollen ein neue E-Mailkonto hinzufügen und das soll der Bob sein, der dann die Mailadresse hat bob@a-fsa.de und der hat natürlich auch ein Passwort, was streng geheim ist. Wenn wir das eingegeben haben, müssen wir wieder überlegen, ob man das Passwort hier speichert im Mailprogramm oder ob man das jedes Mal beim Mail abrufen eingeben möchte. Für unseren Test ist das im Augenblick wurscht. Wir wollen wieder kein IMAP Konto, sondern wir wollen ein POP3.

Es scheint geklappt zu haben. Adressbuch und Kalender haben wir alles noch nicht. Aber da gibt's auch schöne Sachen, die man machen kann, was aber für heute zu weit führen würde. Uns geht's ja um die Verschlüsselung, das heißt, wir wollen jetzt für Bob eine Ende zu Ende Verschlüsselung einrichten und es gibt noch keinen Schlüssel. Also wollen wir einen Schlüssel hinzufügen. Falls Bob bereits einen hat, könnten wir den natürlich importieren. Haben wir nicht, also wir könnten den auch GnuPG in einem Terminal Fenster erzeugen und dann hier importieren. Auch das wollen nicht, sondern wir lassen das alles von Thunderbird machen. Auch dieser Schlüssel soll für 3 Jahre gelten. Genau wie wir es für Alice gemacht haben. Wir lassen einen Schlüssel erzeugen. Unter weitere Einstellungen hätten wir die Möglichkeit den Schlüsseltyp auszuwählen. Wir sehen noch eine andere Methode die aber auch schon vor 10 Jahren nicht mehr so ganz sicher war und  bleiben deshalb beim RSA und hier können wir bei der Schlüsselgröße auf 4096 gehen. Dann sind wir auf der sicheren Seite, "sichereren" sagen wir mal.

So, jetzt kann das dauern, ... so dann haben wir den PGP Schlüssel erfolgreich erstellt. Bob hat seine Kontoeinrichtung abgeschlossen. Wir schließen das Fenster und was wir jetzt sehen ist, dass wir in diesem schönen E-Mailprogramm zwei User haben, nämlich Alice und Bob.

Wir hätten das auch mit zwei Computern machen können. Das wäre ein bisschen mehr technischen Aufwand. Nun haben wir die Beiden hier im selben Programm. Für unsere Demonstration ist das unerheblich. Wir können jetzt in den Posteingang gehen. Da ist noch nichts zu sehen und Bob hat auch noch keine Nachrichten. Er kann aber mal eine Mail schreiben an Alice, was wie wir sehen ja auch ein Vorteil davon ist, dass der Rechner hier die Alice schon kennt.

Wir schreiben ihr mal "Hallo Alice" mit dem großen A wäre vielleicht sinnvoller und ja bla bla ist ein bisschen langweilig aber gut und wir schicken es ab. Die Nachricht wird verschickt der Bob hat immer noch keine Mails bekommen aber gucken wir mal bei Alice nach. Die hat außer ihrer eigenen Testmail nichts weiter aber wenn wir mit "Mails abrufen" nachschauen, hat die doch tatsächlich eine Mail bekommen und zwar von Bob. Aber wir sehen, dass sie nicht verschlüsselt ist. Das heißt, wir haben beim Absenden der Mail den Fehler gemacht gar nicht zu gucken ob wir verschlüsseln.

Deshalb antworten wir doch jetzt einfach mal als Alice auf diese Mail und sagen, wir möchten gerne an den Bob verschlüsseln. Wir schreiben dann "Hallo Bob, du hast mir eine unverschlüsselte Mail geschickt , pfui."

Wir wollen ihm das natürlich verschlüsselt schicken. Mit diesem Klick würden wir die Verschlüsselung ausschalten, also wieder angemacht. Und wir schicken die Mail an Bob. Dann gehen wir in Bob’s Konto. Der hat noch keine Mails und muss sie abrufen.

Ein Vorteil bei IMAP wäre, dass wir sofort sehen ob da Mails sind, weil das Programm ständig nachschaut. Wir sehen bei Bob nun da ist eine verschlüsselte Mail. Das sehen wir daran, das sie keinen sichtbaren Betreff hat. Wenn sie entschlüsselt wird hat sie ein Betreff, nämlich die Antwort von Alice "Hallo Bob du hast mir eine unverschlüsselte Mail geschickt."

Die Mail ist verschlüsselt und zwar mit diesem Schlüssel. Das ist der von Alice. Den hatten wir vorhin nämlich auch gesehen mit dem BED hinten am Schluss der ID. Wir könnten antworten, noch einmal zurück, "sorry das wollten wir natürlich nicht.

Verschlüsselt ist angeschaltet. Also wenn wir eine verschlüsselte Mail bekommen und darauf antworten, dann bleibt automatisch verschlüsselt angeschaltet. Man kann in den Einstellungen auch noch ein paar Optionen wählen, um das sinnvoll voreinzustellen. So damit haben wir eigentlich alles gezeigt, was es mit der Verschlüsselung von Mail zu sagen gibt.

Eine Sache vielleicht noch: wir können natürlich an eine Mail immer Bilder, Dateien sonst was ranhängen und die werden natürlich mit verschlüsselt.
Damit haben wir also gesehen, wie praktisch das geht. Hier sehen wir noch mal, wie die Mail für die Leute aussieht, die neugierig unterwegs sind. Sie ist zwar "lesbar" aber unverständlich. Hier auch noch mal der Hinweis, dass die Betreffzeile inzwischen auch mit verschlüsselt wird. Das war ein bisschen schwierig, weil die Betreffzeile von Mail nach den Vereinbarungen aus den 80er Jahren zum Mail Header gehört. Da mussten Änderungen vorgenommen werden, damit man auch da verschlüsseln darf. Das ist jetzt auch der Fall, wie wir es gerade in der Praxis gesehen haben erscheint das Betreff eben nur als drei Pünktchen.

Das heißt, das Verschlüsseln ist seit sagen wir 40 Jahren theoretisch möglich, praktisch wirklich seit mehr als 20 Jahren ohne Probleme. Trotzdem wird es nur zu etwa 10% bei  beim Mailverkehr angewendet. Das ist traurig.

Wir haben vor 10 Jahren mal eine größere Aktion gestartet, nämlich die Online Verschlüsselung beim Bestellen. Also Jede/r, der eben mit irgendeinem Unternehmen einen Bestellvorgang ausführen will und nicht will, dass seine Kundendaten überall im Internetverkehr lesbar sind, der kann ganz einfach, wenn dieses Unternehmen das anbietet, was leider bisher immer noch wenige tun, auch die Online Bestellung verschlüsselt durchführen.

Noch ein paar Zusätze: Wie finde ich Schlüssel, wenn ich zwar weiß mit wem ich kommunizieren will aber den nicht direkt persönlich kenne. Dann kann ich erstmal suchen auf einem Keyserver. Da gibt's also beliebig viele im Internet, hier als Beispiel, der Keyserver von heise.de und da muss man einfach nur nach der Mailadresse suchen und schon findet man entweder einen Schlüssel oder der Mensch hat (dort) keinen.

Ein anderes Problem: ich möchte meine Mail nicht mit Thunderbird lesen, sondern tue das unterwegs aus dem Hotel über einen Browser. Dann kann ich trotzdem Verschlüsselung anwenden. Vielleicht will ich grundsätzlich meine Mail im Browser lesen, z.B über web.de gmx.net oder sonstwas. Dann nutze ich die Erweiterung (add on) Mailvelope für den Mozilla Firefox Browser. Es gibt vielleicht auch ähnliche für andere Browser. Diese Erweiterung muss ich hinzufügen. Dies funktioniert dann für diese ganzen Mailanbieter also gmx, web.de und so weiter, wie hier in der Liste zu sehen. Dann funktioniert die Verschlüsselung genauso, also das Verschlüsselungsverfahren ist das gleiche mit öffentlichen und privatem Schlüssel, wie wir es gelernt haben.

Vielleicht noch ein Sonderfall für Experten oder Leute die eben wirklich gerne möchten dass niemand in ihre Mails guckt. Die können sich bei Protonmail anmelden. Das wäre dann wieder eine Erweiterung zur Erweiterung. Hier funktioniert der normale Mailverkehr ein bisschen anders. Es ist anzuraten für Leute, wo beide Kommunikationspartner über Protonmail kommunizieren. Dann ist automatisch jede Mail in diesem Verbund verschlüsselt.

Ich hoffe, wir haben Sie nicht total verwirrt, eher animiert, das mal auszuprobieren und natürlich empfehlen wir Thunderbird als Mailprogramm und für alle die mit Mail, weil es ja so alt ist, nichts mehr zu tun haben wollen, da verweisen wir auf unsere Sendung "Sichere Messenger" (und auch als Video). Die haben wir schon vor einigen Monaten untersucht und dieser Beitrag folgt jetzt unmittelbar.

Einen schönen Abend noch
…  und viel Erfolg beim Ausprobieren

Das Video mit dem Vortrag gibt es hier:Mail Verschlüsselung mit PGP 352MB, 29min
https://www.aktion-freiheitstattangst.org/images/videos/MailPGPVerschluesselung29min.mp4 und bei Youtube https://youtu.be/Fu6zwhAxUmY

Kommentar

Für eine weitere vertrauliche Kommunikation empfehlen wir, unter dem Kommentartext einen Verweis auf einen sicheren Messenger, wie Session, Bitmessage, o.ä. anzugeben.

Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots zu verhindern.

CC Lizenz   Mitglied im European Civil Liberties Network   Bundesfreiwilligendienst   Wir speichern nicht   World Beyond War   Tor nutzen   HTTPS nutzen   Kein Java   Transparenz in der Zivilgesellschaft