Tutorial: E-Mails verschlüsseln in 30 Minuten [Alternative 1 für Windows 7 – 10]

Lernziele:
– (einmalige) Installation des Verschlüsselungsprogramms “The GNU Privacy Guard” (auch GPG, GnuPG oder OpenPGP genannt),
– (reversible) Installation des E-Mail-Programms Thunderbird und des
– Add-Ons (Zusatzprogramm) Enigmail,
– (einmaliges) Erzeugen eines Schlüsselpaares,
– Export und Import öffentlicher Schlüssel,
– Senden einer verschlüsselten E-Mail.

subtitle:firststep

Installation der Verschlüsselungssoftware (Windows)

subtitle:timeZeitaufwand: fünf Minuten (und etwas Zeit zum Downloaden des Programms)
Schwierigkeitsgrad: leicht

Für Windows-Nutzer: Wir brauchen zuerst das Verschlüsselungsprogramm Gpg4win (der Link führt zur Download-Seite). Das müssen Sie herunterladen und auf Ihrem Rechner installieren. (Nur das – nichts weiter, später könnten Sie es jederzeit wieder deinstallieren.)

Sie haben die Wahl zwischen drei Versionen des Programms Gpg4win, und es macht jetzt keinen Unterschied, welche Sie wählen: Die Vollversion [Dateiname (Stand Dezember 2013, Version 2.3.1) gpg4win-2.3.3.exe, die “Light”-Version oder die “Vanilla”-Version. Nur die Vollversion hat zum Beispiel eine grafische Benutzeroberfläche – das benötigen wir für unser Übungs-Modul aber nicht. Die verschiedenen Komponenten der Vollversion von Gpg4win brauchen uns vorerst also nicht zu interessieren. (Die Versionsnummern auf den Screenshots sind nicht unbedingt aktuell.)

Sie installieren das heruntergeladene Programm mit einem Maus-Doppelklick und folgen den selbsterklärenden Anweisungen.

gpg4win

Ignorieren Sie alle Aufforderungen des Programms, jetzt zusätzlich etwas zu tun – Gpg4win muss nur installiert sein.

Das deutschsprachige Tutorial ist nützlich, wenn man später (nicht jetzt!) nachsehen will. Man kann das Programm selbst auch in’s Deutsche übersetzen, das ist aber nicht wirklich nötig und auch ein bisschen kompliziert.

vorschau
rechner + USB-stick

subtitle:secondstep

Installation eines E-Mail-Programms auf Ihrem Rechner

subtitle:timeZeitaufwand: 2-3 Minuten für Einsteiger (und etwas Zeit zum Downloaden des Programms)
Schwierigkeitsgrad: leicht

Zum Üben brauchen wir das E-Mail-Programm Thunderbird (für alle Betriebssysteme erhältlich). Thunderbird gibt es auch in einer deutschen Version.

Die Datei heisst Thunderbird Setup 45.5.1.exe (Stand: Dezember 2016) und sollte, nachdem Sie diese huntergeladen haben, in einem Order ihres Rechners liegen, der für Downloads vorgesehen ist.

Installieren Sie das E-Mail-Programm “Thunderbird” mit einem Doppelklick per Maus.

Man braucht nicht unbedingt ein E-Mail-Programm zum Verschlüsseln. Es ist aber einfacher, das Prinzip so zu erklären. Das Zusatzprogramm (“Add-on”) Enigmail, das sie im vierten Schritt installieren werden, greift direkt auf das eigentliche Verschlüsselungsprogramm zu.

Falls Sie schon ein anderes E-Mail-Programm benutzen – wie etwa Outlook -: Lassen Sie alles, wie es ist. Sie müssen nichts ändern – man kann mehrere E-Mail-Programme gleichzeitig auf dem Computer haben.

thirdstep

Einrichten des E-Mail-Programms Thunderbird

thunderbird assistent

subtitle:timeZeitaufwand: zehn Minuten für Einsteiger
Schwierigkeitsgrad: leicht, mittel für diejenigen, die noch nie ein E-Mail-Programm genutzt haben.

Empfehlung: Deaktivieren Sie (vgl. Abbildung unten) das Häkchen bei “Thunderbird als Standard-E-Mail-Programm einrichten”, wenn Sie schon ein anderes E-Mail-Programm nutzen oder sich nicht sicher sind. “Benutzerdefiniert” oder “Standard”: Das ist Ihre Wahl.

thunderbird assistent

Wir brauchen jetzt noch a) Ihre Zugangsdaten bei Ihrem Provider, bei dem sie bisher Ihre E-Mails abholen (Nutzername, Passwort) und b) die Rechnernamen (“Hostnamen”), die Ihr Provider anbietet, damit Sie nicht nur per Webmail, also per Browser, sondern auch per E-Mail-Programm kommunizieren können.

[Optional: Was ist der Unterschied zwischen “Webmail” und einem E-Mail-Programm? Hier wird mehr erklärt]

Sie finden diesen “Postausgangsserver” und “Posteingangserver” auf der Website ihres Providers. [Beispiele: gmx: Posteingangsserver: imap.gmx.net, Postausgangsserver: mail.gmx.net, oder T-Online: Posteingangsserver imapmail.t-online.de, Postausgangsserver smtpmail.t-online.de oder Web.de: Posteingangsserver: imap.web.de, Postausgangsserver: smtp.web.de, usw..]

Wenn Sie schon wissen, wie man ein E-Mail-Programm einrichtet, wird Ihnen dieser Schritt nichts Neues erklären. Wenn Sie ohnehin schon Thunderbird benutzen, machen Sie bitte gleich bei Schritt 4 weiter – aber achten Sie darauf, dass Sie eine neuere Version von Thunderbird installiert haben – für ältere Versionen ist das Add-on Enigmail nicht verfügbar.

thunderbird konfiguration1

Geben Sie oben Ihren Namen oder Ihr Kürzel/Pseudonym ein und deaktivieren Sie die Häkchen bei gandi.net und hover.com. Drücken Sie den Button unten links (rot markiert) – Sie wollen ja mit ihrer schon vorhandenen E-Mail-Adresse arbeiten.

Danach (Screenshot) geben Sie Ihren Namen, ihre E-Mail-Adresse und das Passwort ein (das Ihnen Ihr Provider für Ihr E-Mail-Konto gegeben hat), und drücken auf “weiter”.

Jetzt drücken Sie bitte einfach auf “manuell bearbeiten” (Screenshot) – Sie haben ja schon eine E-Mail-Adresse.

Nun der wichtigste Schritt (Screenshot). Sie müssen jetzt die Rechner eintragen, mit denen Ihr E-Mail-Programm kommunizieren soll. Auf den Schaubildern sind nur Beispiele eingetragen, bitte nutzen Sie diese nicht, sondern die, die Ihr Provider vorgibt.

Das war es schon. Zur Sicherheit überprüfen wie das, was wir gemacht haben, in den “(Konten)Einstellungen” von Thunderbird (auf das Bild zum Vergrößern klicken!). Auf dem Schaubild sind schon die “Add-ons” markiert – das brauchen wir für den nächsten Schritt. Die “Einstellungen” sind unterhalb der “Add-ons”.

thunderbird konfiguration5

In den “(Konten)Einstellungen” sehen Sie (Screenshot: Beispiel) oben die “Server-Einstellungen”, also der Rechner, der elektronische Post beim Provider Minuskel abholt, und unten links den “Postausgangsserver”, der E-Mails verschickt.

Fazit: Man kann mit einem E-Mail-Programm also bequem mehrere E-Mail-Adressen bei unterschiedlichen Providern verwalten, muss aber bei jedem neuen Konto jeweils andere Posteingangs- und Postausgangsserver eintragen.

subtitle:fourthstep

Installation des Add-ons Enigmail für Thunderbird

subtitle:timeZeitaufwand: zwei bis drei Minuten
Schwierigkeitsgrad: leicht

Wir brauchen dieses Zusatzprogramm, damit Thunderbird mit dem eigentlichen Verschlüsselungsprogramm (das sie schon installiert haben) “kommuniziert” und Daten austauschen kann. Der Vorteil von Enigmail ist, dass man direkt im E-Mail-Programm per einfachem Mausklick ver- und entschlüsseln kann. Es empfiehlt sich, Enigmail über die Add-on-Verwaltung von Thunderbird zu installieren (vgl. Screenshot unten), nicht über die Website.

Gehen Sie, wie oben schon gezeigt, in die “Einstellungen” von Thunderbird und wählen “Add-ons” (auf das Schaubild zum Vergrößern klicken). Geben Sie in das Suchfeld oben rechts enigmail ein.

enigmail konfiguration1.

Installieren (rot markiert) Sie das Add-on Enigmail (ja, sie vertrauen dem Anbieter). Danach müssen Sie Thunderbird neu starten.

Jetzt werden Sie, wenn sie eine E-Mail schreiben – an wen auch immer – im oberen Menu von Thunderbird den Button “OpenPGP” entdecken. Damit werden Sie in Zukunft per Mausklick ver- und entschlüsseln, Schlüssel erzeugen usw.. Das schon installierte Verschlüsselungsprogramm Gpg4win (OpenPGP ist ein Teil davon) nutzen Sie später nur für ganz spezielle Fälle, zum Beispiel wenn Sie Dateien separat verschlüsseln, die Sie nicht versenden wollen.

Bevor es losgeht mit dem Verschlüsseln nur noch einen Schritt: Sie müssen in den “(Konten)Einstellungen” des E-Mail-Programms Thunderbird OpenPGP-Unterstützung für diese Identität aktivieren (per Häkchen, die anderen Felder brauchen wir jetzt noch nicht).

enigmail konfiguration2.

subtitle:fifthstep

Sie haben noch ungefähr zehn Minuten vor sich.

Erzeugen eines Schlüsselpaares – eines öffentlichen und eines privaten Schlüssels.

Alice und Robert 1

subtitle:timeZeitaufwand: fünf Minuten
Schwierigkeitsgrad: leicht

Nur Verschlüsselungssysteme, die mit einem öffentlichen Schlüssel (“public key”) und einem privaten Schlüssel (“private key”) arbeiten, sind sicher.

[(Optional: Was ist “asymmetrische” Kryptografie und warum ist das sicher? Hier wird mehr erklärt.]

Klicken Sie im Menu von Thunderbird auf OpenPGP – es öffnet sich weiteres Menu – die Schlüsselverwaltung. Die ist bis jetzt leer.

enigmail konfiguration3

(Screenshot: auf Englisch heisst die Schlüsselverwaltung key management.)

enigmail konfiguration3

Im Menu Schlüsselverwaltung müssen Sie jetzt ein Schlüsselpaar erzeugen (auf dem Schaubild unten: links die englische, rechts die deutsche Version).

enigmail konfiguration5.

Der “Schlüssel” bzw. das “Schlüsselpaar” sind Dateien in einem speziellen Format, die anhand der von Ihnen beim Erzeugen gewählten E-Mail-Adresse später erkannt werden können. Sie könnten also auch einen Schlüssel mit der E-Mail-Adresse olga_kurylenko@berdyansk.ua erzeugen; das machte nur keinen Sinn. Die Leute, die später mit ihnen verschlüsselte E-Mails austauschen, wollen wissen, zu wem ein Schlüssel gehört.

Wenn das Schlüsselpaar erzeugt worden ist, werden Sie noch nach einem “Widerrufszertifikat” gefragt. Sie brauchen dieses “Rückrufzertifikat”, wenn Sie planen, Ihren öffentlichen Schlüssel später auf einen so genannten “Keyserver” hochzuladen oder diesen dort für ungültig zu erklären.

[(Optional: Was ist ein Keyserver und wozu brauche ich das? Hier wird mehr erklärt.]

widerrufszertifikat1

Beispiel: So sieht ein “Widerrufszertifikat” aus – eine Datei im Format .asc (ASCII – “American Standard Code for Information Interchange”)

widerrufszertifikat3

subtitle:fifthstep

Exportieren des eigenen öffentlichen Schlüssels

subtitle:timeZeitaufwand: eine Minute
Schwierigkeitsgrad: leicht

Die Pointe bei “public-key”-Verfahren ist: Die Leute, die miteinander per E-Mail kommunizieren wollen, müssen zunächst ihre öffentlichen Schlüssel (also Dateien) einmalig (!) austauschen. Das kann man per E-Mail tun oder den eigenen öffentlichen Schlüssel zum Download auf der eigenen Website anbieten. [Beispiele: Albrecht Ude, Burkhard Schröder, GPF.

Beispiel: Alice schickt Robert ihren öffentlichen Schlüssel per offener E-Mail. Robert schreibt als Antwort einen Text (zum Beispiel mit einem E-Mail-Programm) und verschlüsselt den mit dem öffentlichen Schlüsseln von Alice. Wer könnte die Nachricht lesen? Nur die Person, die den passenden privaten Schlüssel hat – das ist Alice und sonst niemand. Deshalb erzeugt man einmalig ein Schlüsselpaar – einen öffentlichen (public) und privaten (secret). Aus dem öffentlichen Schlüssel, den jeder haben darf, kann aus mathematischen Gründen der geheime nicht errechnet werden – es geht nur theoretisch, aber die Zahl der Rechenoperationen müsste die Zahl der Teilchen im Universum übertreffen. Deswegen ist das Verfahren sicher.

Alice und Robert 1

Was jetzt also noch zu tun ist: Sie müssen den öffentlichen Schlüssel desjenigen (einmalig) importieren, mit dem Sie E-Mails verschlüsselt austauschen wollen. Und Sie müssen Ihren öffentlichen Schlüssel (zum Beispiel per Enigmail) in eine Datei exportieren und dann verschicken, damit jemand anderes Ihnen eine verschlüsselte E-Mail schicken kann. Beides geht mit einem oder zwei Mausklicks.

Am einfachsten exportieren Sie Ihren öffentlichen Schlüssel mit der Schlüsselverwaltung von Enigmail. Wenn Sie eine E-Mail an jemanden schreiben und dann das Menu von OpenPGP (also Enigmail) aufrufen, haben sie die Möglichkeit, ihren öffentlichen Schlüssel als Attachment anzuhängen (vgl. Abbildung der englischen Version, rot unterlegt). Der Schlüssel muss nicht verschlüsselt werden: Deswegen ist er ja “öffentlich”. (Thunderbird wird beim Abschicken fragen, ob das Attachment mit verschlüsselt werden soll; die Antwort ist hier also “nein”.)

attach public key

Eine weitere Methode – vielleicht um später Ihren öffentlichen Schlüssel auf ihrer Website zum Download anzubieten – :
Benutzen Sie mit Thunderbird im Menu wieder OpenPGP, wählen Sie dann Schlüsselverwaltung (“key management”). Mit der rechten Maustauste klicken Sie Ihren öffentlichen Schlüssel an, der dort zu sehen ist (da sie noch keine anderen Schlüssel importiert haben). Ihren privaten bzw. geheimen Schlüssel sehen Sie dort nicht, obwohl Sie den auch exportieren könnten, etwa für ein Backup. Niemand außer Ihnen darf aber den privaten Schlüssel in die Hände bekommen oder darauf zugreifen können.

Sie können nun Ihren öffentlichen Schlüssel in eine Datei exportieren und speichern, deren Namen Sie selbst bestimmen. Es empfiehlt sich, die Dateiendung .asc nicht zu verändern. Beispiel für unseren Schlüssel: GPF info@german-privacy-fund.de (0x038490EB) pub.asc. Danach verschicken Sie ihren Schlüssel einfach als Attachment einer E-Mail. Wer mit Ihnen verschlüsselt kommunizieren will, müsste den importieren. Man kann die Sammlung aller Schlüssel auch einfach “digitales Schlüsselbund” nennen.

Die Abbildung unten zeigt den Export des öffentlichen Schlüssels der E-Mail-Adresse info@german-privacy-fund.de mit einer englischen Version des E-Mail-Programms Thunderbird.

key management

Optional: Sie können den Import und Export von Schlüsseln übrigens später auch mit der Vollversion des Verschlüsselungsprogramms direkt regeln, da das Add-on Enigmail von Thunderbird darauf zugreift, ist der Datenbestand (die Schlüssel) identisch. Beispiel: Export eines Schlüssels mit GNU Privacy Guard (GPG, der wesentliche Teil des Software-Pakets Gpg4win, vgl. 1. Schritt) (englisch).

subtitle:fifthstep

Importieren eines fremden öffentlichen Schlüssels

subtitle:timeZeitaufwand: zwei bis drei Minuten
Schwierigkeitsgrad: leicht bis mittel

Da Sie mit uns noch nicht in Kontakt gestanden haben, ist der Import des öffentlichen Schlüssels des Vereins German Privacy Fund etwas umständlicher, als hätten wir Ihnen unseren Schlüssel einfach per Attachment einer E-Mail zu geschickt. Mit dem E-Mail-Programm Thunderbird hätten Sie nur auf das Attachment klicken müssen und das wäre als ein solches erkannt worden. Sie wären dann gefragt worden: “Soll dieser öffentliche Schlüssel importiert werden?” Bei “ja” ist dann der importierte Schlüssel sofort in Ihrer Schlüsselverwaltung zu finden.

Mit der rechten Maustaste klicken Sie auf GPF info@german-privacy-fund.de (0x038490EB) pub.asc Sie speichern den Link (die Schlüsseldatei) auf Ihrem Rechner (wo Sie die schnell wiederfinden). Alternativ können Sie auf unserer Website unter “Impressum” unseren öffentlichen Schlüssel finden.

Wie schon beim Export: Benutzen Sie mit Thunderbird im Menu OpenPGP, wählen Sie dann Schlüsselverwaltung (“key management”). Dann wählen Sie im Menu der Schlüsselverwaltung “Datei importieren” (links oben) und importieren unseren Schlüssel – die Datei, die Sie soeben gespeichert hatten. In Ihrer Schlüsselverwaltung sollten Sie jetzt schon zwei öffentliche Schlüssel sehen – Ihren und unseren.

subtitle:fifthstep

Sie schreiben Ihre erste verschlüsselte E-Mail an uns!

subtitle:timeZeitaufwand: eine Minute
Schwierigkeitsgrad: leicht

Schreiben Sie mit dem E-Mail-Programm Thunderbird eine E-Mail mit einem beliebigen Betreff und Text an uns – E-Mail-Adresse: info@german-privacy-fund.de.

Bevor Sie die losschicken, aktivieren Sie im Menu von OpenPGP “Nachricht verschlüsseln”. Enigmail sucht sich automatisch anhand des Empfängers den passenden öffentlichen Schlüssel in Ihrem “Schlüsselbund”. (Wenn das nicht funktionieren sollte, können Sie den Schlüssel des Empfängers auch per Hand auswählen).

Alice und Robert 1

Wenn Sie keine Regeln definieren wollen (dazu ein anderes Tutorial), können Sie sich also von Fall zu Fall entscheiden, ob Sie verschlüsseln wollen oder nicht.

Wenn wir Ihnen auch verschlüsselt antworten sollten, fügen Sie bitte Ihren öffentlichen Schlüssel als Attachment hinzu.

Dann verschicken Sie Ihre erste verschlüsselte E-Mail! Wir werden bestimmt sobald wie möglich verschlüsselt antworten!

Alice und Robert 1

Eine ausführliche Anleitung in deutscher Sprache finden Sie auch auf der Thunderbird-Website.

Last update: 06.12.2016