Verteidigung gegen die dunklen Künste, Lektion Eins: Emailverschlüsselung

*German version of this post.*

 

In meinem Post vom 27. April hatte ich versprochen, mich eingehender mit Verschlüsselung zu befassen – laut Edward Snowden die „Verteidigung gegen die dunklen Künste des Internets“.

Tatsächlich schützt uns Verschlüsselung vor allen möglichen Übeltätern, die im Internet herumschleichen und hinter unseren Passwörtern, Bankdaten, Metadaten, Inhalten und was nicht sonst noch allem her sind.

Verschlüsselung erschwert zudem Massenüberwachung im Stile der NSA und macht sie wesentlich kostenuneffizienter als sie es momentan ist. Der Spiegel nennt Verschlüsselung „eine durchaus effektive Art des Protests“.

Und protestieren sollte man ja – mit Händen, Füssen, Megaphonen, Plakaten, Blogs, Artikeln…und eben Verschlüsselung.

Ich dachte mir also Folgendes: „Bis…nutzerfreundlichere Lösungen im Internet angeboten werden, bis HTTPS weiter verbreitet ist, sollten wir vielleicht alle ein paar Nachhilfestunden in Verteidigung gegen die Dunklen Künste nehmen um uns vor den Dementoren und Voldemorts des Internets zu schützen.“

Ich versprach, mir „Verschlüsselung Schritt für Schritt anzueignen“.

Bisher habe ich Wort gehalten. Da – laut einer gewissen Anekdote – eins der ersten Hindernisse, die Edward Snowden auf seinem Weg zum Whistleblower begegneten Glenn Greenwalds Widerwille war, Emailverschlüsselung einzurichten, dachte ich mir, ich beginne damit.

Ich habe nicht vor, in diesem Post zu erklären, wie Emailverschlüsselung geht. Es gibt eine Menge großartiger Webseiten, die das bereits tun und zwar wesentlich besser als ich es jemals könnte – einige davon sind hinter den Links in diesem Post zu finden.

Jedoch wurde mir bei meinen Versuchen, mir selbst Emailverschlüsslung beizubringen, schnell klar, dass ich mir das Ganze zu Recht ziemlich schwierig für Otto Normalnutzer vorgestellt hatte.

Daher möchte ich in diesem Post von meinen Erfahrungen berichten, in der Hoffnung, anderen Anfängern wir mir Mut zur Verschlüsselung zu machen. Cool ist die Sache dann am Ende nämlich schon. Und wichtig ist sie außerdem. Also.

 

Dementoren und Voldemort: Die Gefahren unverschlüsselter Emails

Warnung! Der Versand unverschlüsselter Emails ist mit Gefahren verbunden:

Ihre E-Mails sind angreifbar, sobald sie den Server des Mail-Anbieters verlassen und sich auf den Weg durchs Internet machen. Cyber-Kriminelle können eine solche Nachricht abfangen, während Sie im Netz von Server zu Server wandert. Wer seine E-Mail vor dem Verschicken verschlüsselt, macht ihren Inhalt für solche Schnüffler unlesbar.

Email wird gerne mit dem Versand von Postkarten verglichen: da kein Umschlag darum ist, kann im Grunde jeder, ganz sicher aber der Postbote, die Email lesen.

Man könnte argumentieren, dass vermutlich nicht viele Leute am Inhalt fremder Urlaubskarten interessiert sind. Gleichsam kümmern sich 007 und Co. vermutlich auch nicht sonderlich um unsere Emails.

Aber ich bin mir ziemlich sicher, dass eine ganze Menge Leute sensible Informationen, wie etwa Bankdaten, per Email hin und her schicken. Schlicht weil es nicht unbedingt offensichtlich ist, wie unsicher Email wirklich ist.

Und

selbst wenn [man] niemals sensible Daten wie Ihre Kontoinformationen oder Geschäftsgeheimnisse per E-Mail austausch[t], lohnt sich die Verschlüsselung… Denn nicht nur können sonst E-Mail-Inhalte und Anhänge in die falschen Hände geraten; ein Netz-Gauner könnte auch [den] kompletten Account hacken…

Außerdem: nur weil James Bond nicht unsere Emails liest, ist deswegen Massenüberwachung, wie NSA und GCHQ sie betreiben, noch lange nicht in Ordnung. Es geht hier, wie man so schön sagt, ums Prinzip.

Emails vor dem Versenden zu verschlüsseln macht sie unlesbar von dem Moment an, wo sie ihre Reise durchs Netz beginnen, bis zu dem Moment, in dem der Empfänger sie öffnet.

Dann mal los.

 

Komplikation #1: Verschlüsselung hängt sowohl vom Sender, als auch vom Empfänger ab

Schon haben wir den Salat.

Ich erwähnte bereits, dass der Spiegel eine Reihe von Artikeln zum Thema Verschlüsselung veröffentlich hat, die ich als Ausgangspunkt verwenden wollte. Der Artikel zum Thema Emailverschlüsselung ist hier und er eignet sich in der Tat als Ausgangspunkt. Darin gibt es Links zu grundlegender Software, die man zum Einrichten von Emailverschlüsselung braucht. Wie man die Software dann genau einrichtet und benutzt ist dagegen eine andere – wesentlich kompliziertere – Geschichte.

Es wundert mich daher nicht im Geringsten, dass Edward Snowden und Christopher Soghoian sich für nutzerfreundlichere Verschlüsselung ausgesprochen haben.

Lee Whitfield schreibt dazu (frei übersetzt, Link auf Englisch):

Während es für uns Geeks relativ einfach ist, [Verschlüsselung] einzurichten, wird sie sich kaum durchsetzen, da sich der gewöhnliche Nutzer einfach nicht damit auseinander setzen mag.

Und das ist noch nicht alles: ein weiteres Hindernis ist, dass Verschlüsselung nicht nur von einem selbst, sondern auch von demjenigen abhängt, mit dem man verschlüsselt Emailen möchte.

Sie können und sollten Ihre individuellen Nachrichten verschlüsseln – doch sowohl der Sender als auch der Empfänger der Nachricht müssen zuvor etwas Arbeit investieren, um den Schutz zu gewährleisten.

Tatsächlich kann man seine Emails so gut verschlüsseln, wie man will. Solange der Empfänger nicht selbst Verschlüsselung und damit auch Entschlüsselung eingerichtet hat, kann man ihm oder ihr ebenso gut irgendwelches Kauderwelsch schreiben. Denn eigentlich tut Verschlüsselung ja genau das: sie verwandelt lesbaren Text in Kauderwelsch und macht ihn so für jeden unlesbar, der nicht die richtigen Teile eines bestimmten Schlüsselpaares besitzt.

Es gibt nun immer zwei Schlüssel: einen öffentlichen und einen privaten.

Beide Schlüssel arbeiten zusammen, sodass man sie immer beide braucht um etwas zu entschlüsseln. Um eine verschlüsselte Nachricht zu versenden, muss man die Nachricht mit dem öffentlichen Schlüssel des Empfängers abschließen. Der Empfänger kann sie dann mit dem passenden privaten Schlüssel wieder aufschließen. (The two keys work together so that you need both to decrypt anything. To send an encrypted message to someone you lock the message with their public key and when they get it, they can unlock it with their private key.)

Umgekehrt funktioniert der Vorgang genauso. Will man jemandem eine verschlüsselte Email schicken, braucht man dazu also zunächst deren öffentlichen Schlüssel.

Somit muss man sich nicht nur selbst die Mühe machen, Emailverschlüsselung einzurichten – der Empfänger muss dies ebenfalls tun. Sofern er oder sie das nicht schon getan hat natürlich.

 

Verschlüsselung einrichten

Ich habe Emailverschlüsselung auf zwei Arten versucht:

Erstens, wie im Spiegel vorgeschlagen, verwendete ich den Email Client Thunderbird, mit einer Erweiterung namens Enigmail und der Software Gpg4win. Diese sind alle kostenfrei im Internet umsonst.

Es ist sicherlich die Mühe wert, wann man Verschlüsselung halbwegs ernst nimmt, aber ich fand die Einrichtung ganz schön mühsam. Ich würde jedem an Herz legen, sich auf jeden Fall eine visuelle Einführung, wie die Bildergalerie im Spiegel, anzusehen, damit man genau versteht, was verlangt wird.

Was mir daran nicht gefällt ist, dass ich an einen Emailclient gebunden bin. Was, wenn ich nun Webmail benutzen möchte?

Dessen eingedenk habe ich also, zweitens, das Chrome Add-on Mailvelope ausprobiert, das “kostenfreie, OpenPGP Verschlüsselung für die beliebtesten Webmail-Dienste anbietet und einfach einzurichten ist.” (Frei übersetzt, Link auf English.)  Naja, mit der der schrittweisen Anleitung auf deren Webseite ist das wirklich nicht so schwer.

Die Software hatte wohl anfänglich ein paar Sicherheitslücken, die man hier auf Englisch nachlesen kann. Inzwischen sind diese aber wohl behoben.

Da man das Add-on im Browser installiert ist man natürlich auch hier an den eigenen PC gebunden.

Schließlich gibt es noch eine Option:

Am schnellsten und einfachsten ist die Benutzung von Web-basierten, verschlüsselten E-Mail-Diensten wie Sendinc oder JumbleMe – das erfordert allerdings, dass Sie einer Dritthersteller-Firma komplett vertrauen.”

Und:

Zum Verschlüsseln einzelner Email ist wohl Infoencrypt die einfachste Lösung. Man muss lediglich die Seite besuchen, die zu verschlüsselnde Email angeben, ein Passwort wählen (und diesen verifizieren) und „verschlüsseln“ anklicken. Die Seite verschlüsselt den Text, man kann ihn in eine Email kopieren und versenden. Der Empfänger kann dann auf derselben Seite mit dem Passwort die Email entschlüsseln.

Mir kommt das nicht sonderlich sicher vor, aber ich erwähne es, weil es für die faulsten Nutzer vielleicht immer noch besser ist mit dieser Methode, als ganz ohne Verschlüsselung zu arbeiten. Man möge mich korrigieren, wenn ich mich irre.

 

Komplikation #2 – Die Suche nach dem geheimnisvollen Schlüsselpaar

Nachdem ich nun meine Software installiert hatte, freute ich mich darauf, mein erstes Schlüsselpaar zu generieren. Dabei hilft der Enigmail Setup Wizard beim Einrichten der Software, also ist es für das erste Emailkonto einfach.

Sobald ich aber damit fertig war, ging die Fragerei los:

Ich habe Schlüssel für eines meiner Emailkonten – wie generiere ich Schlüssel für die Anderen?

Die Antwort darauf ist im Grunde recht einfach, wenn man sich erst einmal mit dem Programm näher bekannt gemacht hat. Spoiler: aus dem Thunderbird-Menü (obere rechte Ecke) „OpenPGP“ und „Keymanagement“ wählen.

Danach ist die Sache recht einfach und ich hatte einigen Spaß dabei, damit herumzuspielen und mir die öffentlichen Schlüssel einiger Bekannter aus dem Keyserver herauszusuchen.

Für Mailvelope ist das Einrichten ebenso einfach: auf das Vorhängeschloss (auch wieder oben rechts) klicken und dann „Optionen“ wählen.

Eine andere Frage, die mich zunächst verwirrte war die, wie ich eigentlich an meinen eigenen öffentlichen Schlüssel komme um diesen dann anderen mitzuteilen. Auch das lässt sich leicht mit Hilfe des „Key Management“-Tabs lösen: von dort aus kann man den Schlüssel in die Zwischenablage kopieren oder direkt per Email versenden.

 

Immernoch ganz am Anfang aber es lohnt sich

Einige Fragen bleiben für mich bisher ungeklärt: Wie stelle ich beispielsweise fest, ob ein öffentlicher Schlüssel von einem Nutzer, den ich nicht persönlich kenne, wirklich diesem Nutzer gehört? Idealerweise tausche ich Schlüssel natürlich mit meinem Freunden bei einem netten Abendessen aus. Aber was, wenn ich die Person, mit der ich mir streng geheime Informationen hin und hermailen will, nicht persönlich treffen kann? Es kann schließlich jeder ein Schlüsselpaar im Namen einer anderen Person einrichten.

Natürlich stehe ich erst am Anfang meiner Ausbildung in Verteidigung gegen die dunklen Künste und meine Nachforschungen gehen weiter.

Ich lege aber jedem ans Herz, selbst einmal Emailverschlüsselung auszuprobieren. Von Gefluche und Nägelkauen mal abgehen, macht die Sache eigentlich sogar Spaß und das Wissen, dass am Ende nicht mehr jeder Dementor, Todesser und Voldemort meine Emails lesen kann – fühlt sich gut an!

Advertisements

One thought on “Verteidigung gegen die dunklen Künste, Lektion Eins: Emailverschlüsselung

  1. Pingback: Verteidigung gegen die dunklen Künste 1.2: noch etwas zur Emailverschlüsselung | Notes from Self

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s