Tutorial: E-Mails verschlüsseln in 30 Minuten [Alternative 2 für Windows]

Lernziele:
– (einmalige) Installation des Verschlüsselungsprogramms “The GNU Privacy Guard” (auch GPG, GnuPG oder OpenPGP genannt) auf einem USB-Stick,
– (reversible) Installation des E-Mail-Programms “Thunderbird Portable” und des
– Add-Ons (Zusatzprogramm) Enigmail auf einem USB-Stick,
– (einmaliges) Erzeugen eines Schlüsselpaares,
– Export und Import öffentlicher Schlüssel,
– Senden einer verschlüsselten E-Mail.

subtitle:firststep

Installation der Verschlüsselungssoftware (Windows)

subtitle:timeZeitaufwand: fünf Minuten (und etwas Zeit zum Downloaden des Programms)
Schwierigkeitsgrad: leicht

Für Windows-Nutzer: Wir brauchen zuerst das Verschlüsselungsprogramm “GNU Privacy Guard” (GPG oder auch OpenPGP), hier aber unbedingt die “portable” Version Gpg4usb (der Link führt zur Download-Seite). die datei müssen müssen Sie herunterladen, entpacken (z.B. mit Winzip für Windows, vgl. Screenshot unten) und auf Ihrem USB-Stick installieren (nur das – nichts weiter, später könnten Sie es jederzeit wieder deinstallieren.)

[Suche nach “Gpg4win Portable” oder Gpg4usb” via Google]

Sie extrahieren das heruntergeladene Programm auf Ihrem USB-Stick – in diesem Beispiel hat der USB-Stick den Laufwerksbuchstaben L (rot markiert).

gpg4usb1

Dann installieren sie das Programm, hier: mit einem Doppelklick der Maus auf die start_windows.exe.

gpg4usb2

Viel mehr ist nicht zu tun. Ignorieren Sie alle Aufforderungen des Programms, jetzt zusätzlich etwas zu tun – Gpg4usb muss nur installiert sein.

gpg4usb3

Wenn Sie das Schaubild unten sehen, ist das Programm schon installiert und Sie können abbrechen.

gpg4usb4

Wir könnten auch mit “The GNU Privacy Guard” direkt ein Schlüsselpaar erzeugen (vgl. 5. Schritt); es ist aber verständlicher und bequemer, das später mit dem Thunderbird-Add-on Enigmail zu tun.

vorschau
rechner + USB-stick

subtitle:secondstep

Installation eines E-Mail-Programms auf Ihrem USB-Stick

subtitle:timeZeitaufwand: 2-3 Minuten für Einsteiger (und etwas Zeit zum Downloaden des Programms)
Schwierigkeitsgrad: leicht

Zum Üben brauchen wir das E-Mail-Programm Thunderbird Portable (hier: in deutscher Sprache, für alle Betriebssysteme erhältlich).

[Link zum Download der deutschen Version]
[Suche per Google nach “Thunderbird Portable” Enigmail]

Die Datei heisst ThunderbirdPortable_31.0_German.paf.exe (Stand: Juli 2014, die Screenshots sind von älteren Versionen gemacht worden) und müsste, nachdem Sie diese heruntergeladen haben, in einem Order ihres Rechners liegen, der für Downloads vorgesehen ist. Kopieren Sie die Datei und schieben Sie diese auf einen USB-Stick. Das sieht dann zum Beispiel – per Dateimanager – so aus (“PENDRIVE” ist in diesem Beispiel ein USB-Stick, der den Laufwerksbuchstaben “I” bekommen hat):

thunderbird portable usb-stick

Installieren Sie das Programm “Thunderbird Portable” auf ihrem USB-Stick mit einem Doppelklick per Maus.

Man braucht nicht unbedingt ein E-Mail-Programm zum Verschlüsseln. Es ist aber einfacher, das Prinzip so zu erklären. Falls Sie schon ein anderes E-Mail-Programm benutzen wie etwas Outlook: Lassen Sie alles, wie es ist. Sie müssen nichts ändern – man kann mehrere E-Mail-Programme gleichzeitig auf dem Computer haben.

Starten Sie das Programm mit einem Doppelklick auf die ThunderbirdPortable.exe auf Ihrem USB-Stick.

thunderbird portable usb-stick

thirdstep

Einrichten des E-Mail-Programms Thunderbird (portable)

thunderbird assistent

subtitle:timeZeitaufwand: zehn Minuten für Einsteiger
Schwierigkeitsgrad: leicht, mittel für diejenigen, die noch nie ein E-Mail-Programm genutzt haben.

Wir brauchen jetzt noch a) Ihre Zugangsdaten bei Ihrem Provider, bei dem sie bisher Ihre E-Mails abholen (Nutzername, Passwort) und b) die Rechnernamen (“Hostnamen”), die Ihr Provider anbietet, damit Sie nicht nur per Webmail, also per Browser, sondern auch per E-Mail-Programm kommunizieren können.

[(Optional: Was ist der Unterschied zwischen “Webmail” und einem E-Mail-Programm? Hier wird mehr erklärt]

Sie finden diesen “Postausgangsserver” und “Posteingangserver” auf der Website ihres Providers. [Beispiele: gmx: Posteingangsserver: imap.gmx.net, Postausgangsserver: mail.gmx.net, oder T-Online: Posteingangsserver imapmail.t-online.de, Postausgangsserver smtpmail.t-online.de oder Web.de: Posteingangsserver: imap.web.de, Postausgangsserver: smtp.web.de, usw..]

Wenn Sie schon wissen, wie man ein E-Mail-Programm einrichtet, wird Ihnen dieser Schritt nichts Neues erklären.

thunderbird konfiguration1

Geben Sie oben Ihren Namen oder Ihr Kürzel/Pseudonym ein und deaktivieren Sie die Häkchen bei gandi.net und hover.com. Drücken Sie den Button unten links (rot markiert) – Sie wollen ja mit ihrer schon vorhandenen E-Mail-Adresse arbeiten.

Danach (Screenshot) geben Sie Ihren Namen, ihre E-Mail-Adresse und das Passwort ein (das Ihnen Ihr Provider für Ihr E-Mail-Konto gegeben hat), und drücken auf “weiter”.

Jetzt drücken Sie bitte einfach auf “manuell bearbeiten” (Screenshot) – Sie haben ja schon eine E-Mail-Adresse.

Nun der wichtigste Schritt (Screenshot). Sie müssen jetzt die Rechner eintragen, mit denen Ihr E-Mail-Programm kommunizieren soll. Auf den Schaubildern sind nur Beispiele eingetragen, bitte nutzen Sie diese nicht, sondern die, die Ihr Provider vorgibt.

Das war es schon. Zur Sicherheit überprüfen wie das, was wir gemacht haben, in den “(Konten)Einstellungen” von Thunderbird (auf das Bild zum Vergrößern klicken!). Der Button ist etwas versteckt oben rechts. Auf dem Schaubild sind schon die “Add-ons” markiert – das brauchen wir für den nächsten Schritt. Die “Einstellungen” sind unterhalb der “Add-ons”.

thunderbird konfiguration5

In den “(Konten)Einstellungen” sehen Sie (Screenshot: Beispiel) oben die “Server-Einstellungen”, also der Rechner, der elektronische Post beim Provider Minuskel abholt, und unten links den “Postausgangsserver”, der E-Mails verschickt.

Fazit: Man kann mit einem E-Mail-Programm also bequem mehrere E-Mail-Adressen bei unterschiedlichen Providern verwalten, muss aber bei jedem neuen Konto jeweils andere Posteingangs- und Postausgangsserver eintragen.

Anmerkung: Ein oft auftretendes Problem ist, dass das neu installierte E-Mail-Programm auf dem USB-Stick beim ersten Mal sehr lange braucht, um Ihre E-Mails herunterzuladen. Sie müssen einfach Geduld haben. Sie können unter Windows auch nicht gleichzeitig mehrere Versionen von Thunderbird geöffnet haben.

subtitle:fourthstep

Installation des Add-ons Enigmail für Thunderbird

subtitle:timeZeitaufwand: eine Minute
Schwierigkeitsgrad: leicht

Wir brauchen dieses Zusatzprogramm, damit Thunderbird mit dem eigentlichen Verschlüsselungsprogramm (das sie schon installiert haben) “kommuniziert” und Daten austauschen kann. Der Vorteil von Enigmail ist, dass man direkt im E-Mail-Programm per einfachem Mausklick ver- und entschlüsseln kann. Es empfiehlt sich, Enigmail über die Add-on-Verwaltung von Thunderbird zu installieren (vgl. Screenshot unten), nicht über die Website.

Gehen Sie, wie oben schon gezeigt, in die “Einstellungen” von Thunderbird und wählen “Add-ons” (auf das Schaubild zum Vergrößern klicken). Geben Sie in das Suchfeld oben rechts enigmail ein.

enigmail konfiguration1.

Die aktuelle Version von Enigmail (Juli 2014) ist 1.6, auf dem Sceenshot ist eine ältere Version zu sehen.

Installieren (rot markiert) Sie das Add-on Enigmail (ja, sie vertrauen dem Anbieter). Danach müssen Sie Thunderbird neu starten.

Jetzt werden Sie, wenn sie eine E-Mail schreiben – an wen auch immer – im oberen Menu von Thunderbird den Button “OpenPGP” entdecken. Damit werden Sie in Zukunft per Mausklick ver- und entschlüsseln, Schlüssel erzeugen usw.. Das schon installierte Verschlüsselungsprogramm Gpg4win (OpenPGP ist ein Teil davon – und auf dem USB-Stickj haben Sie die “portable” Version Gpg4usb installiert) nutzen Sie später nur für ganz spezielle Fälle – etwas um Dateien zu verschlüsseln, die Sie gar nicht verschicken wollen.)

Bevor es losgeht mit dem Verschlüsseln nur noch ein Schritt: Sie müssen in den “(KontenEinstellungen” des E-Mail-Programms Thunderbird (Portable) OpenPGP-Unterstützung für diese Identität aktivieren (per Häkchen, die anderen Felder brauchen wir jetzt noch nicht).

enigmail konfiguration2.

subtitle:fifthstep

Sie haben noch zehn Minuten vor sich.

Erzeugen eines Schlüsselpaares – eines öffentlichen und eines privaten Schlüssels.

Klicken Sie im Menu von Thunderbird auf OpenPGP – es öffnet sich weiteres Menu – die Schlüsselverwaltung. Die ist bis jetzt leer.

enigmail konfiguration3

(Screenshot: auf Englisch heisst die Schlüsselverwaltung key management.)

enigmail konfiguration3

Im Menu Schlüsselverwaltung müssen Sie jetzt ein Schlüsselpaar erzeugen (auf dem Schaubild unten: links die englische, rechts die deutsche Version).

enigmail konfiguration5.

Der “Schlüssel” bzw. das “Schlüsselpaar” sind Dateien in einem speziellen Format, die anhand der von Ihnen beim Erzeugen gewählten E-Mail-Adresse später erkannt werden können. Sie könnten also auch einen Schlüssel mit der E-Mail-Adresse olga_kurylenko@berdyansk.ua erzeugen; das machte nur keinen Sinn. Die Leute, die später mit ihnen verschlüsselte E-Mails austauschen, wollen wissen, zu wem ein Schlüssel gehört.

Wenn das Schlüsselpaar erzeugt worden ist, werden Sie noch nach einem “Widerrufszertifikat” gefragt. Sie brauchen dieses “Rückrufzertifikat”, wenn Sie planen, Ihren öffentlichen Schlüssel später auf einen so genannten “Keyserver” hochzuladen oder diesen dort für ungültig zu erklären.

[(Optional: Was ist ein Keyserver und wozu brauche ich das? Hier wird mehr erklärt.]

widerrufszertifikat1

Beispiel: So sieht ein “Widerrufszertifikat” aus – eine Datei im Format .asc (ASCII – “American Standard Code for Information Interchange”)

widerrufszertifikat3

subtitle:fifthstep

Exportieren des eigenen öffentlichen Schlüssels

subtitle:timeZeitaufwand: eine Minute
Schwierigkeitsgrad: leicht

Die Pointe bei “public-key”-Verfahren ist: Die Leute, die miteinander per E-Mail kommunizieren wollen, müssen zunächst ihre öffentlichen Schlüssel (also Dateien) einmalig (!) austauschen. Das kann man per E-Mail tun oder den eigenen öffentlichen Schlüssel zum Download auf der eigenen Website anbieten. [Beispiele: Albrecht Ude, Burkhard Schröder, German Privacy Fund]

Beispiel: Alice schickt Robert ihren öffentlichen Schlüssel per offener E-Mail. Robert schreibt als Antwort einen Text (zum Beispiel mit einem E-Mail-Programm) und verschlüsselt den mit dem öffentlichen Schlüsseln von Alice. Wer könnte die Nachricht lesen? Nur die Person, die den passenden privaten Schlüssel hat – das ist Alice und sonst niemand. Deshalb erzeugt man einmalig ein Schlüsselpaar – einen öffentlichen (public) und privaten (secret). Aus dem öffentlichen Schlüssel, den jeder haben darf, kann aus mathematischen Gründen der geheime nicht errechnet werden – es geht nur theoretisch, aber die Zahl der Rechenoperationen müsste die Zahl der Teilchen im Universum übertreffen. Deswegen ist das Verfahren sicher.

Alice und Robert 1

Was jetzt also noch zu tun ist: Sie müssen den öffentlichen Schlüssel desjenigen (einmalig) importieren, mit dem Sie E-Mails verschlüsselt austauschen wollen. Und Sie müssen Ihren öffentlichen Schlüssel (zum Beispiel per Enigmail) in eine Datei exportieren und dann verschicken, damit jemand anderes Ihnen eine verschlüsselte E-Mail schicken kann. Beides geht mit einem oder zwei Mausklicks.

Am einfachsten exportieren Sie Ihren öffentlichen Schlüssel mit der Schlüsselverwaltung von Enigmail. Wenn Sie eine E-Mail an jemanden schreiben und dann das Menu von OpenPGP (also Enigmail) aufrufen, haben sie die Möglichkeit, ihren öffentlichen Schlüssel als Attachment anzuhängen (vgl. Abbildung der englischen Version, rot unterlegt). Der Schlüssel muss nicht verschlüsselt werden: Deswegen ist er ja “öffentlich”. (Thunderbird wird beim Abschicken fragen, ob das Attachment mit verschlüsselt werden soll; die Antwort ist hier also “nein”.)

attach public key

Eine weitere Methode – vielleicht um später Ihren öffentlichen Schlüssel auf ihrer Website zum Download anzubieten – :
Benutzen Sie mit Thunderbird im Menu wieder OpenPGP, wählen Sie dann Schlüsselverwaltung (“key management”). Mit der rechten Maustauste klicken Sie Ihren öffentlichen Schlüssel an, der dort zu sehen ist (da sie noch keine anderen Schlüssel importiert haben). Ihren privaten bzw. geheimen Schlüssel sehen Sie dort nicht, obwohl Sie den auch exportieren könnten, etwa für ein Backup. Niemand außer Ihnen darf aber den privaten Schlüssel in die Hände bekommen oder darauf zugreifen können.

Sie können nun Ihren öffentlichen Schlüssel in eine Datei exportieren und speichern, deren Namen Sie selbst bestimmen. Es empfiehlt sich, die Dateiendung .asc nicht zu verändern. Beispiel für unseren Schlüssel: info@german-privacy-fund.de(0x0454C2A2)pub.asc. Danach verschicken Sie ihren Schlüssel einfach als Attachment einer E-Mail. Wer mit Ihnen verschlüsselt kommunizieren will, müsste den importieren. Man kann die Sammlung aller Schlüssel auch einfach “digitales Schlüsselbund” nennen.

Die Abbildung unten zeigt den Export des öffentlichen Schlüssels der E-Mail-Adresse info@german-privacy-fund.de mit einer englischen Version des E-Mail-Programms Thunderbird.

key management

Optional: Sie können den Import und Export von Schlüsseln übrigens später auch auf Ihrem Rechner mit der Vollversion des Verschlüsselungsprogramms direkt regeln ((vgl. Tutorial 1); da das Add-on Enigmail von Thunderbird darauf zugreift, ist der Datenbestand (die Schlüssel) identisch. Beispiel: Export eines Schlüssels mit GNU Privacy Guard (GPG, der wesentliche Teil des Software-Pakets Gpg4win, vgl. 1. Schritt) (englisch).

subtitle:fifthstep

Importieren eines fremden öffentlichen Schlüssels

subtitle:timeZeitaufwand: zwei bis drei Minuten
Schwierigkeitsgrad: leicht bis mittel

Da Sie mit uns noch nicht in Kontakt gestanden haben, ist der Import des öffentlichen Schlüssels des Vereins German Privacy Fund etwas umständlicher, als hätten wir Ihnen unseren Schlüssel einfach per Attachment einer E-Mail zu geschickt. Mit dem E-Mail-Programm Thunderbird hätten Sie nur auf das Attachment klicken müssen und das wäre als ein solches erkannt worden. Sie wären dann gefragt worden: “Soll dieser öffentliche Schlüssel importiert werden?” Bei “ja” ist dann der importierte Schlüssel sofort in Ihrer Schlüsselverwaltung zu finden.

Mit der rechten Maustaste klicken Sie auf info@german-privacy-fund.de(0x0454C2A2)pub.asc. Sie speichern den Link (die Schlüsseldatei) auf Ihrem Rechner (wo Sie die schnell wiederfinden). Alternativ können Sie auf unserer Website unter “Impressum” unseren öffentlichen Schlüssel finden.

Wie schon beim Export: Benutzen Sie mit Thunderbird im Menu OpenPGP, wählen Sie dann Schlüsselverwaltung (“key management”). Dann wählen Sie im Menu der Schlüsselverwaltung “Datei importieren” (links oben) und importieren unseren Schlüssel – die Datei, die Sie soeben gespeichert hatten. In Ihrer Schlüsselverwaltung sollten Sie jetzt schon zwei öffentliche Schlüssel sehen – Ihren und unseren.

subtitle:fifthstep

Sie schreiben Ihre erste verschlüsselte E-Mail an uns!

subtitle:timeZeitaufwand: eine Minute
Schwierigkeitsgrad: leicht

Schreiben Sie mit dem E-Mail-Programm Thunderbird eine E-Mail mit einem beliebigen Betreff und Text an uns – E-Mail-Adresse: .

Bevor Sie die losschicken, aktivieren Sie im Menu von OpenPGP "Nachricht verschlüsseln". Enigmail sucht sich automatisch anhand des Empfängers den passenden öffentlichen Schlüssel in Ihrem "Schlüsselbund". (Wenn das nicht funktionieren sollte, können Sie den Schlüssel des Empfängers auch per Hand auswählen).

Alice und Robert 1

Wenn Sie keine Regeln definieren wollen (dazu ein anderes Tutorial), können Sie sich also von Fall zu Fall entscheiden, ob Sie verschlüsseln wollen oder nicht.

Wenn wir Ihnen auch verschlüsselt antworten sollten, fügen Sie bitte Ihren öffentlichen Schlüssel als Attachment hinzu.

Dann verschicken Sie Ihre erste verschlüsselte E-Mail! Wir werden bestimmt sobald wie möglich verschlüsselt antworten!

Alice und Robert 1

Eine weitere gute Nachricht: Wenn Sie den USB-Stick nutzen, haben Sie Ihr E-Mail immer bei sich und können Ihre E-Mails auch von anderen Rechnern aus abrufen.

Last update: 26.07.2014