11:55 Uhr
Grundlagen: Mailverschlüsselung und Mailsignatur mit openPGP 🔑 ab Thunderbird 78 oder Android nutzen und eigenen öffentlichen Schlüssel auf Schlüsselerver hochladen
Es geht um die openPGP Mailverschlüsselung für eMail mit Thunderbird und unter Android. Aber auch die Frage, wie ein Schlüsselverzeichnis und das Verteilen des eigenen öffentlichen Schlüssel funktioniert soll in den folgenden Abschnitten erläutert werden.
Datensicherheit durch Verschlüsselung
Die Grundlagen hatte ich schon letztes Jahr gelegt, aber nun kann mit mir auch per Mail sicher kommuniziert werden.... :-) Ich hoffe, dass dieser Artikel die Grundlagen gut erklärt und hilft dabei openPGP unter Thunderbird und Android problemlos zu nutzen. DIe Grundlagen zur Mailverschlüsselung mit PGP habe ich dabei ausgelasen, so dass hier nur die praktische Umsetzung erläutert wird. Im Artikel "Einfach erklärt: E-Mail-Verschlüsselung mit PGP" von Holger Bleich auf heise.de ist dieses dafür besser erläutert.Im Artikel "Artikel rund um Datenschutz zum Tag des Datenschutzes oder privacy data day der letzten 12 Monate 🔒 und Hinweis auf eMail Verschlüsselung mit openPGP 🔑 öffentlichen PGP Schlüssel mit neuen Personalausweis signieren lassen" hatte ich ja schon angekündigt, dass ich mich gerne tiefer mit der Frage Datenverschlüsselung und Signatur von elektronischer Kommunikation (eMail) beschäftigt. Während die Einrichtung "Der verschlüsselte USB Stick oder mit Bitlocker To Go unter Windows Datenträger verschlüsseln" recht gut funktionierte hatte die Einrichtung im Mailprogramm ein klein wenig gedauert. Immerhin das Thema Sicherheit ist mir auch im Artikel "Zweistufige Anmeldung oder Zwei-Faktor-Authentifizierung (2FA) bei Onlinediensten (Datensicherheit und Datenschutz) bspw. per OTP (One-Time Password, Einmal-Passwort) App" wichtig gewesen, so dass es nur konsequent ist dieses auch auf andere Dienste auszubauen.
openPGP-Mailverschlüsselung mit Mozilla Thunderbird
Das Update zu Thunderbird 78.2.2 machte nun die Einrichtung von openPGP ohne Add-on möglich, so dass ich nun endlich die Verschlüsselung umsetzen kann und gerne das Vorgehen inklusive öffentliches Schlüsselverzeichnis beschreiben mag.OpenPGP Schlüssel erzeugen
Unter- Extras
- OpenPGP Schlüssel verwalten
Unter ERZEUGEN > NEUES SCHLÜSSELPAAR
kann für das entsprechende Konto (Identität) ein Schlüssel generiert werden. Neben meiner Hauptmailanschrift (für die schon ein Schlüssel angelegt worden ist) kann ich dieses für ein weiteres Konto durchführen.
Die Laufzeit mit 3 Jahren erscheint mir sinnvoll und kann entsprechend beibehalten werden, alternativ kann diese auch angepasst werden.
Hintergrund Ablaufdatum PGP Schlüssel
Der PGP Schlüssel kann mit einem Ablaufdatum versehen werden, so dass nach diesem Datum der Schlüssel abläuft und der Schlüssel nicht mehr zum Ver- und Entschlüsseln verwendet werden kann. Das Ablaufdatum kannd abei als Sicherheitsventil betrachtet werden und jederzeit verlängert werden.
Eine Verlängerung ist sogar dann möglich, wenn der Schlüssel bereits abgelaufen ist. Der Nutzen eines Ablaufdatums ist, dass er Schlüssel ab diesem Zeitpunkt nicht mehr genutzt werden kann, was hilfreich ist, wenn selbst kein Zugriff mehr auf den privaten Schlüssel vorhanden ist, dieser in unerwünschte Hände gelangt ist und auch kein Widerruf mehr möglich ist.
Die Best Praxis Empfehlung lautet daher, das Ablaufdatum erneut zu verlängern, was auch möglich ist, wenn der Schlüssel bereits abgelaufen ist.
Danach sollte der Schlüssel erneut auf Schlüsselservern hochgeladen oder auch erneut bestätigt werden, dazu habe ich aber später noch ein wenig geschrieben.
Verschlüsselung ändern statt RSA ECC für public und privat Key
Statt der RSA Verschlüsselung kann auch ECC (Elliptische Kurve) als sicherere Variante genutzt werden.Danach wird über die Schaltfläche "Schlüssel erzeugen" ein passender Schlüssel für das Konto angelegt.
Nun wird der private und öffentliche Schlüssel generiert.
Im Ergebnis ist ein entsprechender privater und öffentlicher Schlüssel vorhanden und es können nun Mails im Thunderbird unterschrieben (signiert), verschlüsselt versandt und entschlüsselt werden.
Public und Privat Key exportieren
Sofern mobil kein Thunderbird zur Verfügung steht, bspw. unter Android oder alternative Mailprogramme, kann der unter Thunderbird gespeicherte Schlüssel exportiert werden.
Hierzu sollte der private Schlüssel über
- Datei
- Sicherheitskopie für geheime(n) Schlüssel erstellen
Dieser private Schlüssel sollte dann mit zubehörigen Passwort sicher aufbewahrt werden. Immerhin handelt es sich dabei um den Schlüssel um Mails die über den öffentlichen Schlüssel verschlüsselt worden sind wieder zu entschlüsseln.
Ebenso wichtig sind die beiden Optionen zum Verteilen des öffentlichen Schlüssel (public key). Dieser kann über
- Datei
- Schlüssel in Datei exportieren
Mails verschlüsseln oder signieren
Beim Versenden einer Mail kann diese nun verschlüsselt oder signiert werden.Unter Optionen kann hier sowohl Nachrichten unterschreiben als auch öffentlicher Schlüssel anhängen gewählt werden.
Als Empfänger sieht dann die Mail wie folgt aus:
Die Nachricht hat eine gültige digitale Unterschrift und ist verschlüsselt.
Achtung: Subject (Betreff) und Metadaten (Von:, An:, CC:) der Mail werden nicht verschlüsselt, so dass diese auch bei verschlüsselten Mails lesbar sind. Lediglich der Mailinhalt ist verschlüsselt.
Mail verschlüsselt versenden und öffentlichen Schlüssel der Person verwenden
Gerade beim Verschlüsselten Versand stellt sich aber die Frage, wie an den öffentlichen Schlüssel gelangt werden kann.Hierzu kann entweder der Mailanhang oder aus einen Impressum der öffentliche Schlüsel entnommen werden, oder alternativ in der Schlüsselverwaltung über Schlüsselserver - Schlüssel online finden nach ebensolchen gesucht werden.
Thunderbird fragt bei Kontakten zu denen noch kein SChlüssel vorhanden ist, ob nach einen Schlüssel direkt gesucht werden soll über die Schaltfläche "Neuen oder aktualisierten Schlüssel suchen".
Hierzu gibt es erst eine Fehlermeldung, dass eine End-zu-Ende-Verschlüsselung nicht erfolgen kann, da es Probleme mit den Schlüsseln des Empfänger gibt.
Danach kann aber über die Schaltfläche nach einen aktuellen Schlüssel gesucht werden.
Es folgt die Frage, ob der Schlüssel vertraut werden kann und akkzeptiert werden soll.
In der Schlüsselverwaltung sind dann auch die Schlüssel der eigenen Kontakte mit aufgeführt und wie diese akkzeptiert werden.
Das Testen der PGP Verschlüsselung habe ich an dieser Stelle dank des Beitrags zur "E-Mail-Selbstverteidigung" testen können.
Schlüssel in öffentliche Schlüsselverzeichnisse hochladen
Wie eine öffentliche Beglaubigung des eigenen Schlüssel beispielsweise mit den neuen Personalausweis funktioniert hatte ich schon im Abschnitt "PGP Schlüssel mit neuen Personalausweis per NFC signieren lassen" im Artikel zuvor beschrieben.Ich kopiere hier aber gerne noch die entsprechenden Abschnitte
Neuer Personalausweis nPA zur Beglaubigung des public PGP Key
Durch den neuen Personalausweis und der Online-Ausweisfunktion mit der AusweisApp2 des Bundesministerium des Inneneren für Bau und Heimat (siehe personalausweisportal.de) ist es möglich sich am Smartphone oder Kartenleser über die AusweisApp2 auf unterschiedlichen Betriebssystemen herunterladbar unter https://www.ausweisapp.bund.de/ausweisapp2-home/ auszweisen.
Öffentlicher PGP Schlüssel verifizieren lassen
Diese App stellt einen lokalen Server dar zur Authentifizierung und prüft den im Kartenleser freigegebenen Personalausweis. Dieser muss vorher durch PIN frei gegeben sein. Statt eines Kartenleser kann auch ein Smartphone und eine App für Android oder iOS verwendet werden.
Sofern kein Kartenleser am Rechner angeschlossen ist kann zusätzlich eine App am Smartphone installiert werden über die dann (sofern das Smartphone im gleichen WLAN wie der Rechner ist) die App am PC mit der PIN Eingabe am Smartphone gekoppelt werden.
Hierdurch ist es nun möglcih sich über NFC online auszuweisen und bspw. Dienste wie PostIDENT oder verschiedene Behörden Dienste zu nutzen.
Ein ebenfalls spannendes Szenario ist jedoch die Verschlüsselung von eMails mit openPGP und die Beglaubigung des eigenen offenen PGP Schlüssel durch eine Signierung mit den Personalausweis.
Zur CeBIT 97 hat c't erstmals einen kostenlosen Zertifizierungs-Service für PGP-Schlüssel angeboten. Über diese Krypto-Kampagne und wie der öffentliche Schlüssel im Verlag signiert werden kann informiert die Seite zur "c't-Krypto-Kampagne".
Alternativ können aber auch andere Verzeichnisse genutzt werden. Aber erst einmal muss die Verschlüsselung und die Erstellung eines privaten und öffentlichen Schlüssel angelegt werden (siehe obere Anleitung).
Nachdem dieses ordentlich eingerichtet worden ist besteht nun die Möglichkeit den eigenen öffentlichen Schlüssel zu signieren.PGP Schlüssel mit neuen Personalausweis per NFC signieren lassen
Die Funktionsweise ist wie folgt beschrieben "Mit der Verschlüsselung mit einem sogenannten PGP-Schlüssel (kurz für Pretty Good Privacy) kann die eigene E-Mail-Kommunikation ohne weitere Lösung „Ende-zu-Ende“-verschlüsselt werden." Hierzu existiert ein privater (geheimer) Schlüssel und einen öffentlichen Schlüssel. Eben dieser kann nicht nur auf der eigenen Internetseite sondern auch in einen vertrauenswürdigen Verzeichnis (bspw. bei PGP Signierung bei Heise Events) aber unter https://pgp.governikus.de mit Hilfe der Online-Ausweisfunktion beglaubigt werden. Hierzu ist neben den neuen Personalausweis bzw. elektronischen Aufenthaltstitel mit aktivierter Online-Ausweisfunktion ein Kartenlesegerät bzw. ein NFC-fähiges Android-Endgerät sowie die AusweisApp2 erforderlich. Ein weiteres Verzeichnis bietet auch Posteo selbst an wie in der FAQ auf der Seite "EasyGPG: Wie veröffentliche ich meinen öffentlichen PGP-Schlüssel über Web Key Directory (WKD) im Posteo-Schlüsselverzeichnis?" beschrieben ist.
Ich gehe davon aus, dass ich dieses für meine eMailKommunikation dann tatsächlich einmal umsetzen werde und sei es nur aus technischen Interesse am Thema :)
Statt selbst einen Artikel hier ins Blog zu stellen verweise ich hier gerne auf die Anleitung von Philipp Mahler auf technikkram.net im Artikel "Beglaubigung des eigenen PGP Schlüssels mit dem neuen Personalausweis (nPa) ". Vielen Dank an dieser Stelle dafür.
Public Key ins Schlüsselverzeichnis openpgp.org hochladen
Da aber auch Thunderbird ein öffentliches Schlüsselverzeichnis eingebunden hat (und dieses auch andere Mailprogramme nutzen) ist es sinnvoll den öffentlichen Schlüssel auf openpgp.org hochzuladen.Dieses ist über die Seite https://keys.openpgp.org/ direkt möglich. Unter Schlüssel hochladen kann der vorhin exportierte öffentliche Schlüssel hochgeladen werden und es sind folgende Schritte vorzunehmen.
- Den öffentlichen Schlüssel als Datei hochladen
- Bestätigungs Email senden lassen
- Link aus Email aufrufen und damit bestätigen.
openPGP unter Android nutzen
Leider unterstützt mein unter Android hauptsächlich genutztes Mailprogramm Aquamail (siehe "Mailprogramme unter Android mit Exchange EWS Unterstützung insbesondere Aquamail" keine Kryptographie, daher nutze ich für den verschlüsselten Mailversand um Mails unter Android unterwegs lesen und ver- und entschlüsseln zu können zwei weitere Programme mit denen ich dann meinen privaten Key nutzen kann.K-9 Mail
Playstore / Marketlink als Mailprogramm und
OpenKey-Chain
Playstore / Marketlink zur Schlüsselverwaltung.
Nachdem beide Apps installiert sind muss als erstes der Key in OpenKeyChain importiert werden.
Schlüsselverwaltung mit OpenKeychain
Unter Android wird hier unter Öffnen mit für Dateien mit der Endung asc auch direkt "Schlüssel importieren mit OpenKeychain" vorgeschlagen.Hier kann dann per Import der Schlüssel in die App OpenKeyChain übernommen werden.
Innerhalb der App werden dann alle Schlüssel verwaltet.
Die App kann nicht nur Schlüssel verwalten sondern auch Dateien entschlüsseln/verschlüsseln. Besonders praktisch wird sie aber im Zusammenspiel mit K-9 Mail.
PGP Kryptographie mit K-9 Mail nutzen
Hier kann unter den globalen Einstellungen unter Kryptographie eine OpenPGP App ausgewählt werden die sich um die Schlüsselverwaltung kümmert.Dies ist nun OpenKeyChain.
Beim Aufruf des Mailkonto erscheint auch direkt eine Rückfrage, welcher Schlüssel nun zum Konto genutzt werden soll.
Da im Schlüssel auch die Mailanschrift hinterlegt ist, kann hier direkt bestätigt werden.
Diese Einstellung ist in den Kontoeinstellungen unter Kryptographie uner Mein Schlüssel hinterlegt.
Wird nun eine verschlüsselte Mail aufgerufen muss das beim Export des privaten Schlüssel gewählte Passwort eingetragen werden.
Damit kann direkt der Posteingang neu geladen werden und die verschlüsselten Mails sind lesbar.
Auch beim Senden einer Mail kann der Schlüssel nun zum Verschlüsseln genutzt werdne.
Fazit
Auch wenn ich vermutlich seltener mit PGP verschlüsselte Mails versenden werde erscheint es mir doch sinnvoll hier eine Signatur für mein Mailkonto zu haben und auf Wunsch auch verschlüsselt per Mail kommunizieren zu können.Dieses ist auch ein Grund warum ich meinen öffentlichen PGP Code im Impressum als wietere Kontaktmöglichkeit hinterlegt habe.
-----BEGIN PGP PUBLIC KEY BLOCK----- xjMEX2TVjxYJKwYBBAHaRw8BAQdALEkKTheT+/PVwXTKxndLNsxZtUa1IiETu40dvUW0+6fNL0Fu ZHJlYXMgVW5rZWxiYWNoIDxBbmRyZWFzLlVua2VsYmFjaEBwb3N0ZW8uZGU+wpEEExYIADkWIQRs aoMi+k8Ig9Ci6U6UEMDC+0foawUCX2TVjwUJBaOagAIbAwULCQgHAgYVCAkKCwIFFgIDAQAACgkQ lBDAwvtH6Gs4tAEAhzUVjq8U46GGKr2Y6n/QDr9M/cMgw0LhC9lrAKIxuuYA/jZaE5iVN4jVYjoN ZeCJBpz6KVKhmwRycvDA/UnfA2QKzjgEX2TVjxIKKwYBBAGXVQEFAQEHQBKIW8risIpQP70ZkNvF i0t7Vbiq1FD6Sx3N35B5BMUuAwEIB8J+BBgWCAAmFiEEbGqDIvpPCIPQoulOlBDAwvtH6GsFAl9k 1Y8FCQWjmoACGwwACgkQlBDAwvtH6GuA0AD+O4pqNQ5PFvfinD4N2kfeI7xLDrXAU4GxMAy/jTeu FOcBAOrLwDluEZJVQ4XZfFKRIqELaE1l0dsJVWO4X0fyXykO =JY4J -----END PGP PUBLIC KEY BLOCK-----Ebenso kann auch ein signierter Schlüssel veröffentlicht werden. Hier habe ich zu meinen Kontaktdaten auf dieser Seite diesen ergänzt.
Im Impressum meiner Seite habe ich auch weitere Daten meines PGP Schlüssel, wie Schlüsselserver, Ablaufdatum und Fingerabdruck hinterlegt, so dass ich diesen in 3 Jahren verlängern und hier auch aktualsieren kann. Für aktuelle Mails lohnt sich also ein Blick im Schlüsselverzeichnis oder ins Impressum meiner Seite.
Dieser Code entspricht auch gleichzeitig der exportierten public key Datei. Elegant empfinde ich die öffentlichen Schlüsselverzeichnisse und durch das Update bei Thunderbird sowie die Einrichtung unter Android kann ich sowohl hier am Rechner als auch unterwegs per App unter Android diese Mails lesen und beantworten.
FAQ - bekannte Probleme:
Noch ein paar kleine Hinweis:Thunderbird hängt immer die öffentliche Signatur an Mail an?
In den Optionen im Abschnit "Ende-zu-Ende-Verschlüsselung" von Thunderbird" habe ich unter "Senden von Nachrichten - Standardeinstellungen" die Option "Eigene digitale Unterschrift standardmäßig hinzufügen" aktiviert. Damit ermögliche ich es durch eine digitale Unterschrift den Empfängern zu überprüfen, dass die Nachricht sowohl von mir gesandt wurde als auch der Inhalt nicht geändert wurde.
Allerdings liegt derzeit noch ein "Bug" unter Thunderbird vor, dass automatisch der öffentliche Schlüssel mit übertragen wird. Auf dieses Verhaltenr ist unter "Disabling Attach my public key option by default" hingewiesen worden.
Um zwar eine Mail zu signieren aber nicht immer einen weiteren Textanhang zu versenden ist es empfehlenswert die Option "Meinen öffentlichen Schlüssel anhängen" zu deaktivieren, bis dieses mglw. in einen neuen Update von Thunderbird deaktivierbar ist.
Insgesamt erscheint dieses aber kein hoher Aufwand und bietet sich als Alternative an, wenn nicht der eigene Schlüssel in einen Schlüsselverzeichnis eingetragen ist.
openPGP im Webmailer nutzen
Beim Einsatz von pgp mit Webmailern bspw. per Plugin Enigmail ist hier vom Update bei Thunderbrid noch abzuwarten. Ich freue mich aber schon darauf, wenn mein Mailhoster Posteo.de ein entsprechendes Update zum Webmailer veröffentlicht (derzeit ist noch die Pressemeldung "Enigmail-Nutzer: Nicht auf Thunderbird 78 updaten" aktuell).
Das Thema Browserplugin und Mailvelope ist dann noch einmal ein anderes Thema siehe "Wie installiere ich eine Ende-zu-Ende-Verschlüsselung für den Posteo-Webmailer mit Mailvelope (PGP)?".
openPGP und Microsoft Outlook
Persönlich nutze ich als Mailer Thunderbird unter Microsoft Outlook wird openPGP leider nicht unterstützt. Hier wird auf S/MIME verwiesen (siehe "Verschlüssseln von Nachrichten").
Heiese Online verweist als Alternative auf "Outlook Privacy Plugin" das wohl ebenfalls openPGP allerdings per Plugin in Outlook unterstützt.
Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt hingegen "Gpg4win – Sichere E-Mail- und Datei-Verschlüsselung" und hier das Plugin "GpgOL: ein Plugin für Microsoft Outlook 2003/2007 sowie rudimentär für Outlook 2010/2013 und Outlook 2016 für sichere E-Mail nach den Verfahren X.509 (S/MIME) und OpenPGP".
Ist kein Plugin installiert erscheint bei einer signierten Mail zwar die rote Schleife (zur signierten Mail) aber zusätzlich wird die Datei "OpenPGP_signature.dat" der Mail anbeigefügt, was zu Rückfragen führen kann.
ein Angebot von Espresso Tutorials
unkelbach.link/et.books/
unkelbach.link/et.reportpainter/
unkelbach.link/et.migrationscockpit/
Diesen Artikel zitieren:
Unkelbach, Andreas: »Grundlagen: Mailverschlüsselung und Mailsignatur mit openPGP 🔑 ab Thunderbird 78 oder Android nutzen und eigenen öffentlichen Schlüssel auf Schlüsselerver hochladen« in Andreas Unkelbach Blog (ISSN: 2701-6242) vom 19.9.2020, Online-Publikation: https://www.andreas-unkelbach.de/blog/?go=show&id=1131 (Abgerufen am 5.12.2024)
Permalink - Android
Artikel datenschutzfreundlich teilen
🌎 Facebook 🌎 Twitter 🌎 LinkedIn