PGP / GPG – eigentlich ganz einfach

Viele denken Verschlüsselung ist so etwas unglaublich kompliziertes, dass nur Nerds bewerkstelligen. Ist aber überhaupt nicht wahr. Dank hilfreicher Software ist das alles ganz einfach. Wenn euch der folgende theoretische Teil verunsichert, überspringt ihn erstmal und schaut Euch mein Praxisbeispiel an, um zu sehen wie einfach es ist.

Grundlagen

Die einzige gedankliche Hürde bei PGP ist, dass ich das nicht einrichten und dann mit dem Verschlüsseln loslegen kann, sondern mit dem Einrichten nur die Grundlage schaffe, dass mir etwas verschlüsselt geschickt werden kann. Das kann ab dann nämlich jeder, der meinen öffentlichen Schlüssel hat. Dieser heißt nicht umsonst öffentlich. Er dient nur dem verschlüsseln – zum entschlüsseln und signieren braucht man den privaten Schlüssel – und kann insofern völlig öffentlich “ausgehängt” werden. Meiner ist zum Beispiel hier zu finden.
Verschlüsselt verschicken kann ich folglich auch nur an Leute deren öffentlichen Schlüssel ich kenne.

Man generiert also ein Schlüsselpaar und macht den öffentlichen Schlüssel möglichst publik. Den privaten Schlüssel wiederum hütet man wie seinen Augapfel. Er sollte außer in der GPG Software die man benutzt, nur in einer auch physisch nicht wirklich einfach zugänglichen Sicherungskopie existieren.
Auf gar keinen Fall darf man ihn aus Bequemlichkeit, um ihn z.B. auf einem anderen Gerät zu benutzen, per E-Mail versenden.

Der private Key dient auch zum Signieren der verschlüsselten Mails. Wenn der Empfänger der Mail meinen öffentlichen Schlüssel hat, kann er durch die Signatur sicher sein, dass die Mail von mir kommt und unterwegs auch nicht verändert wurde.

Der sehr empfehlenswerte Berliner Mailprovider mailbox.org hat ein schönes erklärendes Video zu PGP veröffentlicht.

Vimeo Direktlink

Aber nun genug von der Theorie.

Leichter getan als verstanden

Zumindest am Mac ist das Einrichten in wenigen Minuten und ohne technische Vorbildung machbar. GPGtools macht’s möglich und ist anschließend komfortabel in Apple Mail integriert. Ich denke aber das gpg4win (Outlook, Windows) oder Enigmail (Thunderbird, Windows/Linux) letztendlich auch nicht deutlich komplizierter sind. Umsonst sind alle 3.
Fürs iPhone gibt es IPGmail mit dem ich gute Erfahrungen gemacht habe. Mit 1,79 € ist das auch nicht teuer, systembedingt leider nur mäßig integriert, aber immer noch ausreichend praktisch zu bedienen. Für Android kann ich hier leider keinen Tip abgeben. Ich denke aber, dass es da auch einige Möglichkeiten gibt.

Ich habe also GPGtools installiert, welches beim ersten Öffnen mein Schlüsselpaar generiert. Grundsätzlich war es das auch schon. In Mail habe ich nun beim Verfassen neuer Mails 2 Knöpfe. Einer zum verschlüsseln, einer zum signieren. Der Knopf zum verschlüsseln ist nur aktiv wenn ich einen Empfänger auswähle dessen öffentlichen Schlüssel ich kenne.
Mein nächster Schritt ist also diese Schlüssel in GPGtools zu integrieren. Hierzu sucht man im GPG Schlüsselbund – neben Mail selbst das einzige Programm das man für GPG bedient – auf den gängigen Schlüsselservern (vorkonfiguriert) nach der entsprechenden E-Mail Adresse oder importiert direkt die jeweilige ASC oder TXT Datei. Meinen Key gibt es hier.

Anschließend funktioniert alles automatisch. Ich kann in Mail jetzt jede Nachricht signieren und wenn der Empfänger in meiner GPG-Keychain ist kann ich verschlüsseln. Verschlüsselte Mails an mich werden direkt im (entschlüsselten) Klartext angezeigt.

Provider

if you’re not paying for something, you’re not the customer; you’re the product being sold

Ein etwas überspitztes Zitat, aber auch nicht ganz von der Hand zu weisen. Während t-online.de oder icloud.com zwar umsonst sind, bekommt man sie nur in Verbindung mit teuer bezahltem Service (Telekom) oder Hardware (Apple). GMX, Web.de und allen voran Google leben aber wirklich von euren Daten und machen euch damit zum Produkt.

Ich nutze E-Mail intensiver als das Telefon (nicht das Gerät, den Service), wieso sollte mir der Mailserviceprovider kein Geld wert sein. Da ich als Selbstständiger natürlich etwas umfangreichere Bedürfnisse habe (das Nutzen der eigenen Domains, ausgereifte Filterregeln etc.) und Google diese Bedürfnisse extrem gut erfüllt hat, habe ich aber dennoch lange mit dem Umstieg gezögert.

Nachdem ich den Abschied von Gmail beschlossen hatte, dachte ich, da nutze ich einfach wieder direkt den Mailservice bei dem Provider, bei dem ich eh schon die Domains und Webspace habe. Hier stieß ich aber auf das erste Problem. Ich bekomme (wie wahrscheinlich die meisten) jede Menge Mails, die ich zwar weiterhin bekommen will, aber die nicht direkt in meinem Posteingang aufpoppen sollen, wo sie zuviel meiner Aufmerksamkeit beanspruchen. Bei gmail hatte ich etliche Filter eingerichtet die z.B. Newsletter, gewollte Werbung (Amazon, Globetrotter …), Social Network Nachrichten und ähnliches in entsprechende Ordner sortieren, wo ich sie dann erst anschaue wenn Zeit und Muse da sind.
Da bei meinem Provider das mit den Filterregeln extrem unbequem gelöst ist, musste ich mir auf jeden Fall wieder einen dedizierten Maildienst suchen.

Nach einiger Recherche habe ich mich für Fastmail entschieden. Diese Entscheidung habe ich bis heute nicht bereut. Der Service kostet mich 40 $ (knapp 30 €) im Jahr, bietet hierfür aber alles was Googlemail bot, funktioniert hier mindestens genauso gut und hat sogar ein paar Features die sonst nur in Google Apps (ebenfalls kostenpflichtig) enthalten sind.

Für alle mit weniger komplexen Bedürfnissen möchte ich mailbox.org empfehlen. Da bekommt man für nur 1 € im Monat einen sehr sicherheitsbewussten und in Deutschland gehosteten Mailprovider bei dem eigentlich auch alles funktioniert, nur das für mich entscheidende Verwenden der eigenen Domain nicht.

Grundsätzlich ist aber eine E-Mail nie wirklich privater als eine Postkarte. Deshalb besorgt euch unbedingt den “Briefumschlag” PGP/GPG. Es ist einfacher als man denkt.

Wie die Überschrift schon andeutet soll es noch mindestens einen weiteren Artikel zum Schutz der Kommunikation geben. Hier plane ich dann auf Chatprogramme einzugehen.

Sollte ich hier jetzt noch irgend etwas vergessen haben, schreibt mir bitte einen Kommentar.

Links

The Gnu Privacy Guard

GPGtools

GPG4win

Crypto Kampagne der ct’