Verschlüsselung Tools

Zurück zur Übersicht aller Crypto Artikel

Vorweg der Hinweis, wer fragen dazu hat kann sich einfach melden und sie werden dann geklärt. E-Mail: ruediger@pretzlaff.info hier in den Kommentaren oder Google+ Community: Apple User Deutschland

Inhalt

E-Mailverschlüsselung

Apple OS X

Um E-Mails mit OS X verschlüsseln zu können braucht man GPGTools für OS X. Download von GPGMail und installieren.

Nach der Installation ist das GPGMail Plugin in der Mail.app verfügbar.

Mit der App “GPG Keychain Access” muß als nächstes ein GPG Schlüsselpaar erstellt werden. Beim erstellen wird ein Secret-Key (geheimer Schlüssel) und ein Public-Key (öffentlicher Schlüssel) angelegt. Der Public-Key kann später per Mail, auf einer Homepage oder mit Hilfe von Schlüsselservern verteilt werden. Der Public-Key darf und muss weitergegeben werden. Damit verschlüsseln später alle anderen E-Mails an uns.

Der Secret-Key ist wie schon gesagt der geheime Schlüssel. Der darf auf keinen Fall in andere Hände gelangen. Auch wenn wir eine Passphrase (Passwort) auf dem Key haben. Denn hat jemand einen Secret-Key einer anderen Person kann er auf seinem Rechner eine sogenannte Brute-Force Attacke auf den Sectret-Key machen und wir bekommen davon nichts mit, da dieses Versuchen von Passwörtern auf dem Rechner des Angreifers läuft.

Also startet man als erstes das mit installierte Tool “GPG Keychain Access”. Oben Links gibt es den Button “New” um einen neuen Schlüssel zu erstellen.

Im nächsten Fenster die Felder: Name, E-Mail eintragen.

WICHTIG: Nehmt beim Erstellen bitte erst einmal den Haken “Upload nach Key Erstellung” weg. Das könnt Ihr später jederzeit noch machen. Nur falls Ihr später noch etwas ändern wollte, ist der Schlüssel schon auf dem Server und Ihr bekommt ihn von einem Keyserver nicht mehr runter. Erst einmal testen und wenn Ihr euch sicher seid hochladen. Das vermeidet später ungewollte Verwechselungen beim Austausch von Schlüsseln.

Öffnet noch die Erweiterten Optionen und tragt dort noch einen Kommentar ein, anschließend noch die Schlüssellänge auswählen. Hier ruhig eine Länge von 4096 Bits auswählen. Das Ablaufdatum (expired) könnt Ihr so lassen oder nach Bedarf auch anpassen. Das Ablaufdatum setzen die meisten auf 2 Jahre, was ich auch empfehlen würde.

Dann auf “Generieren” klicken und der Schlüssel wird erstellt. Aber vorher geht noch ein neues Fenster auf, indem Ihr nach der Passphrase gefragt werdet. Setzt hier bitte eine sehr gute und lange Passphrase, sie ist eure Versicherung.

Die Passphrase noch einmal bestätigen und schon ist der Schlüssel fast fertig.

Beim Erstellen werdet Ihr aufgefordert so viele zufällige Daten zu generieren wie möglich. Dazu einfach ein paar Programme aufrufen und ein paar Dinge in den Programmen machen. Zufällige Daten sind für die mathematischen Berechnungen bei der Schlüsselgenerierung ist und je mehr Sachen am Rechner gemacht werden, desto mehr fließen in die Berechnungen ein.

So der Schlüssel ist generiert und wird in der Liste der Schlüssel angezeigt. Jetzt kann man ihn auch direkt exportieren und per Mail an andere senden die schon GPG benutzen. So dass diese Person einmal eine verschlüsselte E-Mail senden kann und wir testen ob alles o.k. ist. Und man kann gucken, ob man noch Fragen hat.

Erste E-Mail versenden

Zum Testen kann man sich auch selbst eine E-Mail verschlüsselt und signiert senden. Einfach in der Mail.app eine neue E-Mail schreiben.

Auf der rechten Seite unter dem Betreff sind jetzt auch die beiden keinen Icons für “Verschlüsseln” und “Signieren”, ein Schloss und ein Stempel. Einfach auf beide mit der Maus klicken und oben rechts wird das OpenGPG auf Grün wechseln.

Wenn man jetzt auf Denden klickt, wird euch GPG nach eurer Passphase fragen. Einfach eintippen und auf OK klicken.

Die Passphrase muss hier eingegeben werden da wir auch auf signieren geklickt haben. Damit das nicht jeder machen kann, ist der Secret-Key, der zum signieren benutzt wird geschützt. Mit der Signatur kann der Empfänger überprüfen, ob die Mail wirklich von dem Absender ist.

Kurze Zeit Später kommt die Mail dann wieder im Postfach an und beim Anzeigen der E-Mail wird nach der Passphrase gefragt. Eingeben, o.k. klicken und schon wird die Mail wie gewohnt angezeigt.

Entschlüsselte E-Mail.

Würde man die Eingabe der Passphrase abbrechen oder jemand der die Mail unberechtigt lesen will würde man folgenden Inhalt sehen:

Also nichts bis auf die beiden Anhänge. In den Anhängen ist die verschlüsselte Nachricht, die sieht so aus:

Schlüsselaustausch

Um den Schlüssel mit anderen Personen auszutauschen, gibt es mehrere Möglichkeiten.

  1. Mit der GPG Schlüsselbund App an einen Schlüsselserver senden.
  2. Mit der GPG Schlüsselbund App exportieren und per Mail, Webseite o.ä. veröffentlichen.

Am besten macht man beides. Die erste Variante kann man jederzeit machen. Daher empfehle ich immer diesen Schritt einfach später zu machen. So hat man erst einmal die Möglichkeit zu testen und falsch man doch etwas falsch gemacht haben sollte kann man einfach noch einmal neu anfangen. Denn ist ein Key auf einem KeyServer ist er dort für immer gespeichert. Ein ungültig erklären ist zwar möglich, trotzdem ist er immer sichtbar. Was manchmal zur Verwirrung führt. Sollte beim Testen etwas komplett falsch laufen, zum Beispiel der Key geht verloren, Datencrash oder Passphrase vergessen, ist das ungültig erklären nicht möglich. Dafür wird der geheime Schlüssel benötigt. Schlüssel erstellen und vor der Sicherung einen Plattencrash haben ist zwar, wie ein 6er im Lotto, aber wir wissen: In genau solchen Situationen passiert es dann doch.

Key an Server senden

Die GPG Schlüsselbund App öffnen und den eigenen Schlüssel suchen und per Rechtsklick auf den Schlüssel “Öffentlichen Schlüssel zum Kesserer senden” anklicken. Der Schlüssel wird dann an einen Server geschickt.

Andere Personen können ein paar Minuten später den öffentlichen Schlüssel suchen und importieren. Manche Programme oder Plug-ins können den Schlüssel auch automatisch herunterladen so bald man eine E-Mail an die E-Mail-Adresse gesendet wird.

Key manuell versenden und veröffentlichen

Schlüsselserver gibt es sehr viele und die meisten synchronisieren sich auch gegenseitig. Doch manchmal erwischt der Kontakt auf der anderen Seite einen Kesserer der nicht mit anderen die Schlüssel austauscht. Daher sollte man sich den öffentlichen Schlüssel exportieren. So kann man den Schlüssel auch per E-Mail schnell versenden, um anderen Kontakten das verschlüsselte mailen zu ermöglichen. Außerdem kann man den Schlüssel auch auf einer Internetseite veröffentlichen.

Beim Exportieren um den Schlüssel auf einer Internetseite zu veröffentlichen kann man beim Exportieren “als ASCII” auswählen. Damit kann der öffentliche Schüssel auch komplett als Text angezeigt werden und als Download Datei angezeigt werden. Außerdem ist dieses Format auch auf vielen mobilen Geräten besser benutzbar, da es in vielen Programmen einfacher ist, wenn der komplette Schlüssel markiert werden kann und dann in der GPG App eingefügt wird.

Exportieren in der Shell (Unix, Linux, Mac)

Mit gig –list-keys gefolgt von der E-Mailadresse, Namen oder KeyID zeigt alle vorhandenen passenden Keys an:

gpg --list-keys rpr@9it.de
pub   4096R/2F49E4EF 2013-07-08
uid                  Ruediger Pretzlaff (www.pretzlaff.info) <ruediger@pretzlaff.info>
uid                  Ruediger Pretzlaff (www.pretzlaff.info) <rpr@9it.de>
sub   4096R/ECC22A80 2013-07-08

Hier ist die Schlüssel ID: 2F49E4EF und diesen wollen wir jetzt exportieren. Dafür gibt es den Parameter –export und damit wie das erwähnte ASCII-Format erhalten noch ein -a bzw. –armor. In welche Datei der Schlüssel gespeichert wird, kann man entweder per Umleitung der Ausgabe machen oder mit -o bzw. –output.

gpg -o ~/ruediger_pretzlaff_gpg.asc -a --export 2F49E4EF

Damit liegt der öffentliche Schlüssel jetzt im Homeverzeichnis (~/ ist Home). Möchte man einfach den öffentlich Schlüssel haben um ihn in einer E-Mail zuversenden kann man das -o einfach weglassen und die Ausgabe kopieren.

gpg -a --export 2F49E4EF
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.19 (Darwin)
Comment: GPGTools - http://gpgtools.org

mQINBFHanPYBEACzUO85bQSEK6NUUwWbQT5UgifwqL0GLmxrDzeOcojQCGzZ055h
yd27CsEPqRq6YnfsA2gjwHQopqTsYYgoRxpj8PkOPKCFJjjOeQ/Ha8VxTKod5+WJ
….
jOlihk2iILdu6oi8Kw7kCgHGRnYwd6gKsz3Ca7Mltw==
=2AmA
-----END PGP PUBLIC KEY BLOCK-----

Diese Ausgabe ist hier etwas gekürzt, da ein GPG-Key eigentlich viel länger ist.

Einen GPG-Schlüssel importieren

Mit Hilfe der Shell Tools GPG können auch Schlüsseldateien importiert werden.

gpg --import ~/ruediger_pretzlaff_gpg.asc
gpg: key 2F49E4EF: "Ruediger Pretzlaff (www.pretzlaff.info) <ruediger@pretzlaff.info>" not changed
gpg: Total number processed: 1
gpg:              unchanged: 1

Das “not changed” und “unchanged” ist hier jetzt in der Ausgabe, da der Schlüssel schon vorhanden gewesen ist. Importieren von öffentlichen Schlüsseln von anderen Personen kann auch über das GPG Schlüsselbund Programm machen.

iOS

Für iOS für das iPhone gibt es 2 Apps mit denen man GPG auch auf dem iPhone benutzen kann. Leider kann sich eine App oder ein Tool ja nicht richtig in die Mail App integrieren. Daher werden Mails in den Tools geschrieben und dann über den Share Button an die Mail App gesendet.

In den Tools wird der Absender und der Empfänger ausgewählt und der Betreff eingetragen. Der Text verfasst und dann verschlüsselt. In der Mail sind dann alle Felder ausgefällt. Man muss nur noch auf Senden klicken.

Beim Empfangen von verschlüsselten E-Mails einfach den kompletten Text markieren und kopieren. Eine der beiden Apps öffnen und entschlüsseln auswählen. Die Nachricht wird dann unverschlüsselt angezeigt und man kann auch gleich wieder aus den Apps antworten.

Android

Bei Android Smartphones gibt es einen sehr guten Mailclient, und zwar K9. Mit APN aus dem Google Store ist eine direkte Integration in K9 Mail vorhanden. Beim Verfassen von einer neuen E-Mail einfach auf verschlüsseln und/oder signieren tippen und schon wird GPG benutzt.

Thunderbird (Windows, Mac, Linux)

Eine Alternative am Mac ist Thunderbird mit Enigmail als Plug-in. Diesen Client kann man auch unter Linux und Windows benutzen.

Installieren Sie Thunderbird

Download und GnuPG installieren.

Installieren Sie Enigmail in Thunderbird über den Add-ons-Manager.

Wenn Sie Thunderbird Portable verwenden, bietet sich eine spezielle Version an, die neben dem portablen Thunderbird bereits die passende Enigmail-Version vorinstalliert hat. Außerdem beinhaltet sie auch GnuPG. Sie müssen dann nur noch Ihre Schlüsseldateien hinzufügen. Mehr dazu unter: http://thunderbird.gnupt.de

Windows und Outlook

Für die Outlook Benutzer gibt es GPG4Win. Wie bei K9 für Android, Thunderbird und GPGMail für das OS X Mail ist die Integration in Outlook vollständig vorhanden.

Kommentare