OpenPGP im täglichen Einsatz – ein paar Hinweise

Nachdem ihr nun die Anleitungen für Windows und Mac OS X durchgearbeitet habt, habt ihr hoffentlich die letzte Woche genutzt, euch vielleicht schon mal selbst eine verschlüsselte E-Mail zu schicken oder Kontakt zu Freunden aufzunehmen, die OpenPGP ebenfalls einsetzen. Ich habe erfreulicherweise mehrere Mails von Lesern dieses Blogs erhalten, die sich die Verschlüsselung erfolgreich eingerichtet haben. Es gab natürlich auch ein paar Nachfragen, deren Beantwortung ich in Updates zu den Artikeln durch Klarstellungen oder Erweiterungen vorgenommen habe.

Allgemein ist zu sagen, dass die E-mail-Programme nun einige weitere Elemente im Fenster zur Erstellung von Nachrichten enthalten als vorher. In Apple Mail sind dies zwei Kontrollkästchen zwischen dem Betreff- und dem Absender-Feld. In Thunderbird sind dies zum einen ein weiteres Menü in der Menüleiste namens OpenPGP und einige weitere Schaltflächen in der Symbolleiste. Beide haben ähnliche Funktionen: man stellt ein, ob die E-Mail, die man gerade schreibt, verschlüsselt und/oder unterschrieben werden soll. Dabei ist das Unterschreiben standardmäßig aktiviert, das Verschlüsseln hingegen nicht. Das ist eine durchaus sinnvolle Einstellung, denn unterschriebene Mails sind weiterhin von allen lesbar, verschlüsselte hingegen nur für die Empfänger mit den passenden privaten Schlüsseln. Daher ermöglichen beide E-Mail-Programme das Verschlüsseln auch nur für solche E-Mail-Empfänger, für die sie im Schlüsselbund des Gnu Privacy Guard auch einen passenden öffentlichen Schlüssel finden.

Das Unterschreiben von E-Mails kann auch als Verbreitungsweg für die Neuigkeit dienen, dass man nun OpenPGP-Verschlüsselung eingerichtet hat und verschlüsselte Mails empfangen kann. Also auch jemand, der bisher nicht wusste, dass man nun OpenPGP „versteht“, bekommt so signalisiert, dass dem so ist und kann den öffentlichen Schlüssel abrufen, um zukünftig verschlüsselt zu kommunizieren.

Denn auch beim lesen sind ein paar Dinge neu hinzugekommen. Erhält man eine unterschriebene E-Mail, ist im Bereich der Mailkopfzeilen ein entsprechender Hinweis zu finden. Hat man den öffentlichen Schlüssel des Absenders bereits im eigenen Schlüsselbund, wird die Signatur dann in der Regel als gültig angezeigt, während Absender, deren Schlüssel man noch nicht hat, als „unbekannter Signaturgeber“ angezeigt werden. Ruft man den Schlüssel dann ab, ändert sich dies bei korrekter Signatur natürlich. Praktischerweise unterstützt Apple Mail bzw. die GPGTools das automatische Abrufen von Schlüsseln bei neuen/unbekannten Absendern mit OpenPGP-Fähigkeit. Hat derjenige also einen öffentlichen Schlüssel auf dem Schlüsselserver hinterlegt, holt Apple mail den automatisch ab und verifiziert. Ab sofort ist dann mit diesem Absender verschlüsselte Kommunikation möglich, ohne dass man irgend etwas weiteres tun muss. Diese Funktion ist übrigens in den Systemeinstellungen/GpgTool-Preferences abschaltbar (Kontrollkästchen ganz unten im Fenster). Thunderbird und Enigmail unterstützen den automatischen Abruf von Schlüsseln in dieser Form leider nicht.

Eine weitere allgemeine Faustregel ist, dass man bei Standardeinstellungen verschlüsselt antwortet, wenn man eine verschlüsselte Mail erhält. Voraussetzung ist natürlich, dass man bereits den öffentlichen Schlüssel des Absenders in seinem Schlüsselbund hat. So ist eine einmal begonnene verschlüsselte Mailkonversation durchgehend verschlüsselt.

Das Abfragen der Passphrase

Einigen von euch ist sicher aufgefallen, dass oft nach der Passphrase zum Ver- und Entschlüsseln und/oder Signieren gefragt wird. Den einen oder die andere von euch wird dies vielleicht schnell nerven. Man kann sowohl in den GPGTools als auch in Enigmail einstellen, dass die Passphrase länger zwischengespeichert wird als die vorgegebenen 10 Minuten. In Enigmail findet man diese Einstellung in den OpenPGP-Einstellungen. In GPGTools befindet sich diese Einstellung in den bereits erwähnten Systemeinstellungen/GPGTool-Preferences. Hier ist allerdings das Umrechnen von Sekunden in Minuten oder Stunden nötig, um den richtigen Wert einzugeben. Um z. B. die Passphrase für eine Stunde zwischenzuspeichern, muss man 3600 Sekunden angeben, Standardwert sind 600, also 10 Minuten. Unter OS X kann man die Passphrase auch wahlweise noch im Schlüsselbund des Betriebssystems abspeichern, so wird sie bei der Eingabeaufforderung automatisch eingetragen, und man muss nur noch mit Druck Auf Eingabe bestätigen. Bei Verlorengehen des Computers ist dies aber sehr risikobehaftet und sollte nur mit Vorsicht eingesetzt werden!

Angeblich ungültige E-mails

Eine Frage, die im Laufe der letzten Woche aufkam, betraf eine angeblich ungültig formatierte E-Mail, nachdem ein Leser versucht hatte, jemand anderem eine verschlüsselte E-Mail zu schicken. Das Problem war, dass der Empfänger kein PGP/MIME zuließ oder dessen Client dieses Format nicht unterstützte. So etwas kann leider vorkommen, sollte aber die Ausnahme bleiben. Da kommt es dann darauf an, das Gegenüber davon zu überzeugen, PGP/MIME als inzwischen etabliert anzuerkennen. Auch die Auswahl eines anderen Clients oder ein Update desselbigen sollte der Empfänger in diesem Fall in Erwägung ziehen, um kompatibel zu bleiben. 😉

Synchronisieren von Schlüsselbunden

Wer E-Mail-Clients auf mehreren Rechnern (z. B. Desktop und Notebook, oder Privat- und Arbeitsrechner) einsetzt, dem wird schnell aufgefallen sein, dass es keine leichte Möglichkeit gibt, die Schlüsselbunde für den GnuPG synchron zu halten. Mir ist auch nach längerer Recherche keine automatisierte Möglichkeit zum Abgleich von GnuPG-Schlüsselbunden in die Hände gefallen.

Um seine Schlüsselbunde möglichst synchron zu halten, sollte man sich also angewöhnen, einen auf einem Rechner neu importierten öffentlichen Schlüssel gleich in der Schlüsselverwaltung zu exportieren und z. B. in einem Ordner seiner Dropbox oder anderen Cloudspeicher der Wahl zu speichern. Die anderen Rechner bekommen diese dann bei der nächsten Synchronisierung übertragen und man kann sie dann in die dortige Schlüsselbundverwaltung importieren.

Lediglich wenn man ausschließlich mit Mac-Computern und GPGTools arbeitet, übernimmt das Mail-Plugin die Synchronisation durch das automatische Abrufen von neuen öffentlichen Schlüsseln bei Erhalt von E-Mails. Eine Synchronisation über z. B. iCloud wird bisher nicht unterstützt.

Updates

Ein wichtiger Aspekt ist, seine Software (wie auch allgemein üblich) auf dem neuesten Stand zu halten. Unter OS X ist dies mal wieder recht einfach, da alle Teile der GPGTools anbieten, automatisch nach Updates zu suchen und diese zu installieren. Auch Thunderbird selbst und seine Erweiterungen werden in der Regel automatisch aktualisiert, wenn Updates verfügbar sind. Lediglich der Gnu Privacy Guard bzw. GPG4Win unter Windows hat keinen automatischen Update-Mechanismus. Hier muss man also regelmäßig auf der Website vorbeischauen, den RSS-Feed der Neuigkeiten abonnieren oder eine andere Möglichkeit finden, sich regelmäßig über Updates informieren zu lassen und diese dann einzuspielen.

Fazit

Nach der zumindest für Windows etwas komplizierteren Einrichtung von OpenPGP zeigt sich in der Regel, dass im täglichen Umgang wenig bis gar keine Hürden bei der Benutzung auftreten sollten. Die Benutzbarkeit hat sich in den letzten Jahren deutlich verbessert, und man muss nicht mehr wie früher mit Kommandozeilen und super komplizierten Abläufen über die Zwischenablage arbeiten, um verschlüsselt kommunizieren zu können.

Wer in der Hauptsache seine E-Mails unter Mac OS X oder Windows macht, hat mit der bisherigen Serie inklusive diesem Beitrag nun das nötige Rüstzeug erhalten, um in Zukunft verschlüsselt kommunizieren zu können. Ich hoffe, dass sich mir viele von euch anschließen und dies in Zukunft selbstverständlich tun und nicht nur bei „besonderen Anlässen“. Denn je mehr selbstverständlich verschlüsselt wird, desto schwerer wird es für Geheimdienste und andere Regierungsorganisationen, mit der Annahme „wer verschlüsselt, ist kriminell“ eine Massenüberwachung zu rechtfertigen, die jeden unter Generalverdacht stellt. Gerade wir unbescholtenen Bürger, die nichts zu verbergen haben, müssen vor dem Staat keinen Daten-Striptease durchführen und Dinge preisgeben, die wir nie auf eine Postkarte schreiben würden!

In den nächsten Beiträgen zum Thema geht es um die Einrichtung von OpenPGP unter iOS, und wir werfen einen Blick auf die OpenPGP-Alternative S/MIME sowie die Chat-Verschlüsselung per Off-The-Record-Messaging.

2 Gedanken zu „OpenPGP im täglichen Einsatz – ein paar Hinweise“

  1. Natürlich ist es wünschenswert, dass PGP/MIME verwendet wird (siehe http://www.openpgp-schulungen.de/kurzinfo/mime-vs-inline/), aber als Ausnahme und reine Überzeugungsfrage kann man das derzeit nicht abtun. Bei den Smartphones sieht es mit PGP/MIME meines Wissens immer noch übel aus, und Smartphones sind keine Ausnahme. Ähnlich kann man bezüglich Webmail argumentieren.

    Auf jeden Fall fehlt der Hinweis, dass man PGP/MIME als Standard einstellen, aber für einzelne Empfänger (in Enigmail, KMail und vermutlich den meisten ernst zu nehmenden Mailclients) festlegen kann, dass die Mails an sie als PGP/Inline rausgehen.

    1. Für iOS stimmt es nicht, dass Inline PGP besser wäre, siehe meinen anderen Artikel zu OpenPGP unter iOS mit iPGMail. Da ist PGP/MIME definitiv besser. Dass K-9 unter Android immer noch kein PGP/MIME kann, ist sehr bedauerlich, angeblich arbeiten sie aber dran. Es besteht also noch Hoffnung.

Was denkst Du darüber?