Digitale Verschlüsselung

Mit dem 5. Juni 2013 hat sich vieles verändert. Global wurde den Menschen klar, dass ihre private online Kommunikation keineswegs privat war. Nahezu niemand kann sich schützen - seien es Privatpersonen, PolitikerInnen oder MitarbeiterInnen von Firmen - wir alle werden durch Überwachungssysteme der "Five Eyes" überwachbar. Wie schon in unserem Expose dargelegt, ist Verschlüsselung der einzige Weg aus der Überwachungsmisere. Nach der Geschichte von Verschlüsslung und Hintergrundinformationen zu den verschiedensten Verschlüsselungsformen (Symmetrische und Asymmetrische Verschlüsselung) wollen wir nun eine Anleitung dazu geben, wie man sich selbst schützen kann. In dieser Anleitung wird erklärt, wie Mac OS X Mail Nutzer sich das von Phil Zimmermann entwickelte Programm "Pretty Good Privacy" (PGP) nutzen können, um die eigene E-Mail Kommunikation zu schützen. Bevor diese Schritt-für-Schritt Anleitung beginnt, muss aber noch eines angemerkt werden: es gibt keine 100%ige Sicherheit in der online Kommunikation - die raffiniertesten technischen Lösungen können mit Social Engineering umgangen werden. 

Schritt 1: Benötigte Software herunterladen

PGP ist ein offener Standard - das bedeutet, dass mehr als nur eine Software diesen Standard nutzen können. Für Mac OS X gibt es ein Softwarepaket namens "GPG Suite": Dieses Open-Source Paket besteht aus den Komponenten "GPG for Mail", "GPG Keychain", "GPG Services" und "MacGPG". Open-Source bedeutet, dass der verwendete Source Code für Jedermann und Jederfrau zur Kontrolle offengelegt wird. Sobald das Softwarepaket installiert ist, kann ein persönlicher Schlüssel generiert und für Mac Mail bzw. auch Thunderbird genutzt werden.

Schritt 2: GPG Suite installieren

Die GPG Suite zu installieren ist ziemlich einfach - es folgt den gleichen Abläufen wie jede andere Software unter Mac OS X. Doppelklickt man auf die heruntergeladene .dmg Datei, so öffnet sich das folgende Fenster, welches mit "Install" den Installationsprozess startet.

Es öffnet sich eine Zusammenfassung aller Tools, die durch den Installationsprozess der GPG Suite installiert werden: 

Danach muss noch mit "Install" der eigentliche Prozess gestartet werden - für gewöhnlich wird davor noch eine Verifikation mit den Logindaten des Nutzers vorgenommen:

 Nach dem Installationsprozess kommt noch eine kurze Zusammenfassung:

Schritt 3: Persönlichen Schlüssel generieren

Mit dem Abschluss der Installation der GPG Suite befindet sich nun ein Programm namens "GPG Keychain" auf dem Computer. Wenn es sich nicht automatisch geöffnet hat, kann es in der Programmübersicht bzw. auch im Anwendungen-Ordner gefunden werden:

Ist GPG Keychain geöffnet, sieht man eine Übersicht der eigenen privaten und öffentlichen Schlüssel, sowie die von Personen importierten öffentlichen Schlüssel.

Auch können über diese Ansicht Schlüssel verwaltet werden, d.h. neue Schlüssel erzeugt, exportiert, gelöscht und von anderen Personen importiert werden. Dabei kann die zugeteilte E-Mail-Adresse sowie das Validitätsdarum des Schlüssels eingesehen werden. Um die eigenen E-Mails verschlüsseln zu können, muss ein eigener Schlüssel erzeugt werden. Dazu muss auf "New" geklickt werden:

Dabei ist anzumerken, dass unter "Advanced Options" der Verschlüsselungsalgorithmus, die Länge der Verschlüsselung (in diesem Fall 4096 Bit) sowie ein Ablaufdatum definiert werden können. Diese Einstellungen können helfen, die Verschlüsselung noch sicherer zu machen. Es wird empfohlen, zumindest die maximale Länge immer zu verwenden! Auch sollte die Passphrase nicht zu kurz ausfallen und nicht ohne numerische Zeichen sowie Sonderzeichen auskommen - sonst wäre diese zu einfach zu knacken.

Nach dem Klicken des "Generate key"-Buttons generiert die GPG Suite den eigenen Schlüssel - normalerweise dauert dieser Schritt ein paar Minuten, da der Computer viele zufällige Nummern und Zeichen generieren muss. Die NGO "Electronic Frontier Foundation" bezeichnet diesen Vorgang passend als oftmaliges Würfelrollen des Computers. Ist dieser Prozess abgeschlossen, ist der eigene Schlüssel in der Übersicht zu sehen. Jetzt wäre auch ein guter Zeitpunkt, ein sogenanntes "revocation certificate" zu erstellen - dieses Zertifikat ermöglicht es nach einem Verlust des eigenen privaten Schlüssels, allen Schlüsselinhabern mitzuteilen, dass der genutzte Schlüssel nicht mehr gültig ist. Auch ein Back-up des eigenen Schlüssels macht Sinn - dazu "Export" klicken und die erzeugte Datei auf einem sicheren Datenträger (z.B. eigener USB-Stick) speichern. Jetzt heißt es noch den öffentlichen Schlüssel mit anderen Personen zu teilen und es kann losgehen.

Schritt 4: Verschlüsselte E-Mail schreiben und schicken

Grundsätzlich funktioniert das schreiben und verschicken von verschlüsselten E-Mails mit Mac OS X Mail nicht anders, als das Schreiben einer unverschlüsselten E-Mail. Man startet das Programm "Mail" und legt seinen E-Mail Account an, sofern das noch nicht durchgeführt wurde. Wie gewohnt wird eine E-Mail geschrieben:

Wie im Bild oben durch die rote Umrande ersichtlich, hat die GPG Suite zwei Buttons hinzugefügt: den signieren bzw. den verschlüsseln Button. Sobald für einen Empfänger bzw. eine Empfängerin der öffentliche Schlüssel im GPG Keychain eingetragen wurde, kann die E-Mail verschlüsselt werden. Klickt man nun auf den Senden-Button, fragt GPG noch nach der eignen Passphrase, die zur Verifizierung des Vorganges genutzt wird. Ist die Passphrase richtig, wird der Inhalt der E-Mail - NICHT DIE GESAMTE E-MAIL - verschlüsselt übermittelt. Kommt eine Antwort zurück, wird diese nach der Verifizierung mit der Passphrase entschlüsselt:

Viel Erfolg beim sicheren Kommunizieren :-)