E-Mail-Verschlüsselung – so funktionierts

Im ersten Teil dieser Serie haben wir uns mit Überwachung im Allgemeinen auseinandergesetzt und versucht, aktuelle Geschehnisse zu beleuchten. Nun wollen wir aufzeigen, wie man seine private Kommunikation mit einfachen Methoden besser schützen kann und die zugrundeliegende Technologie erläutern.

E-Mails: digitale Postkarten

E-Mails sind nicht wie oft fälschlicherweise angenommen das digitale Äquivalent zu Briefen, die im Kuvert verpackt eine gewisse Privatsphäre garantieren. Es handelt sich vielmehr um digitale Postkarten: Jeder, der eine Postkarte in die Hand bekommt, kann den Text darauf mühelos lesen. Auf allen Servern die beim Versenden einer E-Mail beteiligt sind, können die Nachrichten ebenso abgefangen werden. Bei gängigen Anbietern lassen Benutzer heutzutage meist gedankenlos mehrere GB an alten Nachrichten gespeichert, wo diese oft im Klartext zugreifbar sind. Im Sinne der Privatsphäre sollte man hier also lieber öfter alte Kommunikation rigoros ausmisten oder bei Bedarf lokal archivieren.

Ein bekanntes Programm zum Verschlüsseln und Signieren von Daten wurde bereits 1991 von Phil Zimmermann in den USA geschrieben, und nennt sich PGP – was für Pretty Good Privacysteht. Aber lassen Sie sich von dem harmlos anmutenden Namen bitte nicht täuschen. Bei PGP handelt es sich um eine sogenannte „starke Verschlüsselung“.

Was ist PGP?

Die Prozedur wurde mit dem Ziel entwickelt, dass alle Bürger verschlüsselte Nachrichten austauschen können und diese auch vor dem Zugriff der Geheimdienste geschützt sind. Nach einem mühsamen Lizenzstreit entstand die Freeware PGPi – eine international verfügbare Version von PGP, während PGP an sich mittlerweile kostenpflichtig ist.

PGP kann dazu verwendet werden, Nachrichten und Dateien zu verschlüsseln, aber auch um diese zu signieren. Es wird dafür ein sogenanntes Public-Key-Verfahren verwendet: Jeder Teilnehmer erhält ein Schlüsselpaar, wobei einer der beiden Schlüssel öffentlich und der andere privat (also geheim) ist. Der private Schlüssel befindet sich nur im eigenen Besitz und kann zusätzlich mit einem Passwort versehen werden. Damit Ihnen jemand eine verschlüsselte Nachricht senden kann, wird der öffentliche Schlüssel benötigt. Die Textnachricht wird damit unleserlich gemacht und ab diesem Zeitpunkt kann der Inhalt nur noch von demjenigen wieder lesbar gemacht werden, der auch den zugehörigen privaten Schlüssel besitzt.

Tipp: Um den privaten Schlüssel besser zu schützen, kann dieser zum Beispiel auf einem USB-Stick gespeichert werden.

Um sicherzustellen, dass eine Nachricht vom vermeintlich richtigen Absender stammt und unterwegs nicht manipuliert wurde, ist außerdem eine digitale Signatur notwendig. Um diese Art „Fingerabdruck“ zu erzeugen, wird auf die originale Nachricht (Klartext) eine sogenanntekryptologische Hashfunktion angewandt und mit Hilfe des privaten Schlüssels des Absenders sodann eine digitale Signatur erstellt.

Gewusst? Ähnlich wie der Dateiwächter in Emsisoft Anti-Malware entsprechende Malware mit Hilfe unserer Signatur-Datenbank identifizieren kann, wird bei PGP eine Signatur verwendet um den Absender der Nachricht zu garantieren.

Beim Versenden einer Nachricht wird zunächst ein Datensatz aus dem Klartext und der Signatur des Senders erstellt, und dieser anschließend mit einem weiteren (zufälligen) Schlüssel behandelt. Mithilfe dieses Schlüssels kann der Empfänger die Nachricht wieder lesbar machen. Damit die PGP-Nachricht versendet werden kann, wird zum Schluss der fertig verschlüsselte Datensatz noch in ASCII-Zeichen codiert. Selbstverständlich kann der Empfänger nur dann die Nachricht entschlüsseln, wenn er selbst auch PGP einsetzt und Zugriff auf den zufällig generierten Schlüssel hat.

Der öffentliche Schlüssel und die eigene Signatur sind also dazu gedacht, an andere Personen weitergegeben zu werden. Diese kann man im Idealfall persönlich übergeben. Praktisch erscheint die Möglichkeit, den eigenen öffentlichen Schlüssel über einen „Schlüsselserver“ zu verbreiten. Allerdings sollte man bedenken dass der Schlüssel dann auch für Spam-Roboter zugänglich ist.

Tipp: Wenn ein „Key-Server“ verwendet wird, dann sollte auf jeden Fall ein „Wiederrufs-Zertifikat“ erstellt werden, damit der eigene Schlüssel auch wieder vom jeweiligen Server entfernt werden kann.

Wie sicher ist PGP nun wirklich?

Mit sogenannten „Brute Force“–Attacken könnte man durch simples ausprobieren („trial and error“) versuchen einen unbekannten Schlüssel herauszufinden. Bei einem Fahrradschloss mit dreistelliger Kombination (mit den Zahlen 0-9), würde man beispielsweise nach spätestens 1000 Versuchen – im Mittel jedoch bereits nach 500 Versuchen – den richtigen Code geknackt haben. Erhöht man die Anzahl der Stellen entsprechend, so kann man statistischen Auswertungen zufolge selbst mit den schnellsten Rechenmaschinen nicht an den Geheimtext gelangen. Schlüssel mit einer Stärke von 4096 Bit können derzeit selbst von der NSA nicht geknackt werden. Leider nur rein statistisch gesehen. Denn selbst bei einer unendlichen Schlüssellänge wird die Wahrscheinlichkeit nie ganz auf Null sinken. Rein theoretisch könnte es immer vorkommen, dass ein Schlüssel ganz zufällig bei einem der ersten Versuche erraten wird.

Gut zu wissen: Edward Snowden bestätigte in einer „Fragen und Antwort“-Runde für „The Guardian“, dass man sich auf richtig implementierte starke Verschlüsselungsmethoden tatsächlich verlassen könnte.

Wie kann ich meine Nachrichten mit PGP nun verschlüsseln und welche Voraussetzungen gibt es?

Für viele E-Mail-Clients wie Thunderbird oder Outlook gibt es bereits vorgefertigte Plugins, die den Einsatz von PGP maßgeblich erleichtern. Einen Client sollte man jedenfalls vorziehen, wenn das vorhandene Webinterface nur unverschlüsselten Zugriff auf die Mailbox gewährt. Selbstverständlich können Sie auch Ihre Chatnachrichten manuell mit PGP in einem Texteditor verschlüsseln und diese unkenntliche Nachricht dann in das Nachrichtenfenster von Skype, ICQ etc. kopieren.

Konkrete Anleitungen zum Einrichten von PGP sind im Internet zahlreich vorhanden, auch eine Fotostrecke zum Einsatz von OpenPGP in Thunderbird können Sie beispielsweise in einem Artikel vom Spiegel Online abrufen.

Tipp: Sollten Sie keinen E-Mail-Client benutzen wollen oder können, stellt Mailvelope eventuell eine alternative Möglichkeit dar. Es ließe sich sogar eine portable Lösung mit GPG4USB finden.

Alternativen zu PGP

Als kostenfreie Alternative benutzen sehr viele Menschen OpenPGP um ihre Daten zu verschlüsseln. OpenPGP kann man beispielsweise mit einem lizenzfreien Programm namensGPG4Win nutzen, welches mit „Kleopatra“ bereits einen Zertifikatsmanager zum Erstellen eines neuen Schlüsselpaares mitbringt. Unterstützung für Mircosoft Outlook 2003 und 2007 ist mit PGP4Win gewährleistet, solange bei der Installation die Komponente „GpgOL“ nicht deaktiviert wurde. Outlook 2010 kann jedoch nur eingeschränkt und mit Hilfe der aktuelle Beta-Version verwendet werden.

Wer lieber mit Mozilla Thunderbird arbeitet, sollte sich Enigmail OpenPGP etwas näher ansehen. Der Spiegel hat dazu eine gute bebilderte Anleitung im Internet veröffentlich.

Der eigene Rechner als Schwachstelle

Oft lauern viele Gefahren bereits am eigenen Computer. Ein hohes Sicherheitsrisiko geht von sogenannten „Trojanern“ aus, wobei es sich entweder um ein eigenständiges Schadprogramm handelt das irgendwann versehentlich den Weg auf den eigenen Rechner gefunden hat, oder auch um ein scheinbar nützliches Programm welches aber zusätzlich schädlichen Programm-Code enthält. Schadsoftware kann sich auf einem System so einnisten, dass schädliche Programm-Routinen beim Starten des Betriebssystems unbemerkt aktiviert werden. So können unter anderem entschlüsselte E-Mails mitprotokolliert oder das Passwort für den privaten Schlüssel ausgelesen werden – und damit den vermeintlichen Schutz durch den Einsatz von PGP oder OpenPGP wieder zunichte machen.

Tipp: Einige interessante Artikel zum Thema „Trojaner“ können Sie in unserer Wissensdatenbankfinden.

Es ist einfach unabdinglich, den eigenen Rechner immer mit einem entsprechend umfassenden Sicherheitsprogramm – wie Emsisoft Anti-Malware – zu schützen. Durch regelmäßige Updates bleibt der Rundumschutz auch gegen neuartige Malware erhalten.

Die Privatsphäre unserer Nutzer ist und bleibt uns auch in Zukunft sehr wichtig. Es ist für uns daher selbstverständlich, dass keinerlei Daten an Geheimdienste oder anderen Organisationen weitergeben werden.

Welch wichtigen Beitrag Sie auf Ihren Wegen im Netzwerk selbst leisten können, damit Ihre persönlichen Daten nicht unerlaubt oder versehentlich an Unbefugte geraten, können Sie unter anderem in unserem Beitrag zum Thema „Gefahren im Netzwerk: So nutzen Sie WLAN daheim und unterwegs sicher und effizient“ nachlesen.

Wir wünschen einen guten (Malware-freien) Tag!