OpenPGP in Apple Mail mit GPGTools einrichten

In diesem Artikel geht es darum, die Funktionalität von OpenPGP in Apple Mail unter Mac OS X nachzurüsten. Wer OS X kennt, wird nicht enttäuscht werden, denn die Integration ist sozusagen nahtlos und sehr einfach. Dieser Artikel setzt die Grundlagen voraus, die ich in diesem Artikel eingeführt habe.

Die Installation der GPGTools

Die Installation ist denkbar einfach:

  1. Ladet euch von der GPGTools-Seite das Installationspaket herunter. Auch wenn ihr noch nicht Yosemite verwendet, also die neueste Version von Mac OS X, wird inzwischen empfohlen, die aktuelle Beta zu installieren. Nach meiner Erfahrung kann dies problemlos geschehen, da die Beta sehr stabil läuft.
  2. Nachdem das Disc Image (.DMG-Datei) heruntergeladen wurde, dieses im Finder doppelklicken bzw. mit Cmd+O öffnen.
  3. Im Festplatten-Image befindet sich ein Installationspaket und ein Deinstallationsprogramm. Das Festplatten-Image also nach der Installation am besten nicht löschen, sonst müsst ihr es bei einer eventuell gewollten Deinstallation erneut laden. Jetzt einfach per Doppelklick oder Cmd+O das Installationspaket ausführen.
  4. Es handelt sich um eine Standardinstallation, wie es sie unter OS X häufig gibt. Es sind alle Einstellungen richtig getroffen. Also einfach auf Fortfahren, 2x Akzeptieren, Installieren klicken und dann das Computerkennwort eingeben, das ihr auch bei anderen Installationen eingebt.
  5. Eventuell werdet ihr aufgefordert, Mail zu beenden, falls dieses gerade gestartet ist. Dies ist nötig, weil das Installationsprogramm die Unterstützung für OpenPGP gleich in mail installiert.
  6. Am Ende einfach auf Schließen klicken.

Ein Hinweis: Das GPGTools-Team hat angekündigt (englischer Artikel), dass die GPGTools nach Ende der Betatest-Phase kostenpflichtig werden. Das Spenden-Modell bei quelloffener Software funktioniert leider nicht immer. Ich finde aber, dass die Tools ihr Geld definitiv Wert sind und ein erheblicher Aufwand betrieben wurde, die Integration so nahtlos wie möglich zu gestalten.

Ein Überblick

Das Installationsprogramm für die GPGTools-Suite hat mehrere Komponenten installiert:

  • Die Mac-Version des Gnu Privacy Guard. Dieser werkelt im Hintergrund, ist aber jederzeit über das Terminal per Kommandozeile auch aufrufbar. Für die Hartgesottenen und Fortgeschrittenen, die auch das letzte Feature herauskitzeln wollen. 😉 Die meisten von uns bekommen von ihm nicht mehr mit als die Abfrage der Passphrase.
  • Das Programm GPG Keychain. Dieses findet sich neu im Programme-Ordner des Finder oder im Launchpad. Dieses werdet ihr viel verwenden, um Schlüssel zu suchen, sie zu verwalten und auch neue zu generieren (siehe unten).
  • Eine neue Seite GPGPreferences in den Systemeinstellungen, die einige grundlegende programmübergreifende Einstellungen verwaltet. Hier wird z. B. festgelegt, welcher private Schlüssel standardmäßig verwendet werden soll, wie lange sich die Tools die eingegebene Passphrase merken sollen, bevor sie erneut abgefragt wird (Passphrase-Zwischenspeicher oder -Cache genannt) und weitere. Diese muss man nur selten aufsuchen.
  • Das Plugin für Apple Mail. Dies sorgt für einen neuen Reiter in den Einstellungen, in dem einige wenige spezifische Einstellungen für Mail vorgenommen werden können. Hier wird unter anderem festgelegt, ob neue Mails standardmäßig verschlüsselt und/oder signiert werden sollen. Weiterhin sorgt es dafür, dass Mails ver- und entschlüsselt werden, bei entschlüsselten mails die Signatur im Kopfbereich angezeigt wird usw. Neben der GPG Keychain ist dies der Teil der GPGTools-Suite, mit dem ihr wohl am meisten zu tun haben werdet.

Für jedes der oben genannten Module kann man aktivieren, dass automatisch nach Updates gesucht wird. Da es sich hier nicht um einen Download über den Mac App Store handelt, werden Updates für die GPGTools nicht von diesem erfasst. Ich empfehle aus Gründen der Sicherheit und Kompatibilität, die Updates zu aktivieren und bei Erscheinen auch umgehend einzuspielen.

Bei großen OS-X-Updates wie von 10.9 „Mavericks“ zu 10.10 „Yosemite“ sollte vorher auch überprüft werden, ob die GPGTools schon für das neue Betriebssystem verfügbar sind (wenigstens in einer Beta), damit man beim Upgrade des Systems nicht die Verschlüsselungsfunktion verliert und dann vorübergehend Teile seiner Mails nicht mehr lesen kann.

Erzeugen des Schlüsselpaares

Diese Aufgabe übernimmt das Programm GPG Keychain. Es befindet sich im Programme-Ordner und im Launchpad. Startet der Assistent nicht automatisch, klickt man in der Symbolleiste oder im Menü „Ablage“ auf „Neu…“.

Ohne viel Schnörkeleien werden sämtliche wichtigen Informationen in einem einzigen Fenster abgefragt:

  • Vollständiger Name: Der eigene Name. Ist in der Regel schon vorausgefüllt.
  • E-Mail-Adresse: Wird aus den in Mail vorhandenen Adressen ausgefüllt. Bei mehreren kann man hier diejenige wählen, mit der man den Schlüssel als Hauptadresse erzeugen möchte.
  • Öffentlichen Schlüssel hochladen: Besagt, ob der öffentliche Schlüssel nach Erzeugen gleich auf einen öffentlichen Server hochgeladen werden soll. Dies ist standardmäßig deaktiviert, und es ist vom eigenen Geschmack abhängig, ob man dies hier gleich aktiviert oder nicht. Gerade wenn man hinterher weitere User-IDs, also E-Mail-Adresse-/Name-Kombinationen hinzufügen möchte, sollte man dies deaktiviert lassen und ihn erst am Ende der Konfiguration von Hand hochladen.
  • Es folgt nun die zweimalige Eingabe der Passphrase.

Die voreingestellten erweiterten Optionen sind für den täglichen Bedarf und die meisten Nutzer vollkommen ausreichend und können in der Regel eingeklappt bleiben. Einfach auf Schlüssel Erstellen klicken, und schon hat man sein Schlüsselpaar erzeugt.

Erweiterte Optionen

Wer neugierig ist oder erfahren genug, um die Optionen anzupassen, kann die erweiterten Optionen ausklappen und findet darunter noch folgende Einstellungen:

  • Schlüsselart: Die Art, wie der Schlüssel erzeugt wird. Voreingestellt ist das weithin übliche „RSA und RSA“, und man braucht dies in der Regel nicht zu ändern.
  • Länge: Die Menge der in einem Schritt verschlüsselten Bits. Im Gegensatz zum im letzten Artikel beschriebenen Enigmail erzeugt GPGTools standardmäßig die noch schwerer zu knackenden längeren Schlüssellängen von 4096 Bit. Es werden also 512 Zeichen (1 Zeichen = 8 Bit) in einem Rutsch verschlüsselt.
  • Schlüssel läuft ab: Die von GPGTools erzeugten Schlüssel haben standardmäßig eine Lebensdauer von vier Jahren, und sie können vor Ablauf verlängert werden.
  • Kommentar: Wenn man es braucht, kann man seinen Schlüssel noch kommentieren.

Wie oben bereits geschrieben, sollte es eigentlich nicht nötig sein, hier Änderungen vorzunehmen.

Weitere Benutzer-IDs hinzufügen

Möchte man mit mehr als einer E-Mail-Adresse aus Mail heraus verschlüsselt senden und empfangen, muss man dem eigenen Schlüsselpaar nun von Hand weitere Benutzer-IDs hinzufügen. Man macht dazu einen Rechtsklick auf das eigene Schlüsselpaar, wählt Details und dann den Reiter Benutzer-IDs. Hier fügt man nun alle gewünschten Namen/E-Mail-Adressen hinzu, die verwendet werden soll. Hat man den öffentlichen Schlüssel bereits auf den Schlüsselserver hochgeladen, sollte man dies nach Abschluss dieses Schritts wiederholen, damit die auf dem Server hinterlegte Kopie die aktuellsten Informationen zu den Benutzer-IDs anzeigt. Auch der öffentliche Schlüssel auf der eigenen Webseite muss natürlich erneuert werden, wenn man dort einen hinterlegt hat.

Und das war’s schon!

Ja, mehr gibt’s hierzu nicht zu sagen! Klar, man kann mit dem Kontextmenü seines Schlüssels ein Zertifikat zum Widerruf des Schlüssels erstellen (dringend empfohlen!) und diesen und andere Schlüssel beglaubigen. Das ist aber alles so selbsterklärend und logisch aufgebaut, wie im Apple-Universum allgemein üblich, dass es euch sicher Freude bereiten wird, hier selbst auf Entdeckungstour zu gehen.

Im Gegensatz zum eher doch noch etwas technischeren Enigmail des vorhergehenden Artikels wird hier auch nicht mit verschiedenen Formaten „herumgedoktert“. Es werden immer PGP/MIME-Nachrichten erzeugt, weil dies das aktuellste Format ist und heute eigentlich von allen Implementierungen unterstützt werden sollte.

Im nächsten Artikel geht es dann um den täglichen Einsatz von sowohl Enigmail als auch GPGTools in Apple Mail, da sich die grundlegenden Konzepte ähneln.

Was denkst Du darüber?