2223305

E-Mails auf dem Mac verschlüsseln

03.10.2016 | 08:15 Uhr |

Normale E-Mails haben die Sicherheitsstufe einer klassischen Postkarte: Unterwegs kann sie theoretisch jeder lesen und verändern. Damit das nicht passiert, sollten Sie Ihre Mails signieren oder, besser noch, verschlüsseln. Mit GPG ist das kein Problem.

Manchmal ist es notwendig, wichtige Daten oder Informationen – etwa ein Passwort oder andere brisante Inhalte – per E-Mail zu verschicken. Das Problem dabei: Der normale E-Mail-Standard ist ein offenes Buch: Die Mail passiert im Zweifel unterwegs zahlreiche Server in aller Herren Länder. Und weil der Mail-Standard in der Normaleinstellung keinen Schutz vorsieht, kann jeder Server unterwegs den Inhalt lesen oder sogar verändern. Sicher ist das definitiv nicht: Die klassische E-Mail besitzt üblicherweise das Sicherheitsniveau einer Postkarte. Und obwohl die meisten E-Mail-Nutzer wichtige Informationen wohl niemals auf eine Postkarte schreiben und verschicken würden, scheinen sie bei Mails keine Problem damit zu haben.

GPG (noch ) nicht zu macOS Sierra kompatibel

Dieser Ratgeber beschreibt Ver- und Entschlüsselung von Mails mit Hilfe des Tools GPG. Dieses ist  (noch) nicht zu macOS Sierra kompatibel, wie der Entwickler auf seiner Website bedauert. Wer also seine Mails mit GPG verschlüsselt, sollte mit dem Update auf macOS Sierra noch eine Weile warten, der Entwickler verspricht jedoch keinen Zeitrahmen für das Update. Indes gibt es aber einen Workaround für diejenigen, die ihr System bereits auf macOS Sierra aktualisiert haben und verschlüsselte E-Mails empfangen oder verschlüsselte versenden wollen. Die Details beschreibt der GPGTools Support auf seiner Website.

Verschlüsselung oder Signatur?

Doch wie kann man sich schützen? Die Lösung ist die digitale Signierung oder Verschlüsselung der E-Mail, bevor sie auf die Reise geht. Dabei gilt es, zunächst den Unterschied zwischen beiden Verfahren zu verstehen: Eine Signatur ist ein digitaler Fingerabdruck, der an der Mail angehängt wird. Er sorgt durch einen Schlüssel dafür, dass niemand, der den Schlüssel nicht kennt, die Mail verändern kann. Die E-Mail selbst liegt allerdings im Klartext vor. Signierte E-Mails sind mit in Klarsicht-Folie eingeschweißten Postkarten vergleichbar: Zwar kann jeder unterwegs den Inhalt lesen – verändern kann er ihn jedoch nicht. Die Signatur steigert die Verlässlichkeit der Mail, wirklich sicher wird sie dadurch jedoch nicht: Stattdessen muss eine Verschlüsselung her.

Eine sehr einfache Verschlüsselungsstrategie ist die Caesar-Verschlüsselung. Heutzutage natürlich völlig unsicher, erlaubt sie als Spielerei jedoch ein einfaches Verständnis der Arbeitsweise von Verschlüsselung.
Vergrößern Eine sehr einfache Verschlüsselungsstrategie ist die Caesar-Verschlüsselung. Heutzutage natürlich völlig unsicher, erlaubt sie als Spielerei jedoch ein einfaches Verständnis der Arbeitsweise von Verschlüsselung.

So funktioniert Verschlüsselung

Die Verschlüsselung einer E-Mail läuft ähnlich ab, allerdings wird hier ein Schlüssel verwendet, um den Text unlesbar zu machen. Also Beispiel für das Funktionsprinzip kann man die gute, alte Caesar-Verschlüsselung hernehmen, die angeblich vom Feldherren Gaius Julius Caesar vor über 2000 Jahren verwendet wurde: Hier wurde ein Buchstabe des Alphabets einfach durch einen anderen ersetzt. Die Website macronom.de hat eine hübsche Eingabemaske für dieses sehr einfache Krypto-System, mit der Sie herumspielen können, um das Prinzip der Verschlüsselung zu verstehen: Geben Sie einen Satz ein, wählen Sie die einfachen Parameter aus und verschlüsseln Sie ihren Satz. So wird aus „Hallo Welt!“ durch Verschiebung von fünf Buchstaben im Alphabet zum Beispiel „Mfqqt Bjqy!“. Natürlich ist diese Art der Verschlüsselung durch Häufigkeitsanalyse der vorkommenden Zeichen heute leicht zu knacken, heutige Verschlüsselungsverfahren sind wesentlich komplexer. Das Grundprinzip ist aber ähnlich: Der Inhalt einer Nachricht wird anhand eines Schlüssels so verändert, dass nur der, der den Schlüssel kennt, etwas damit anfangen kann – auch bei modernen Verfahren zur Verschlüsselung von Dateien, Mails oder zum Beispiel der Mac-Festplattenverschlüsselung FileVault .

Die GPGtools lassen sich einfach aus dem Disk-Image heraus auf dem Mac installieren.
Vergrößern Die GPGtools lassen sich einfach aus dem Disk-Image heraus auf dem Mac installieren.

Ohne Schlüsselpaare läuft nichts

Neben der Umsetzung der Ver- und Entschlüsselung an sich gibt es bei der Kryptographie speziell von E-Mails allerdings Problem: Wie kann man das Verschlüsselungsverfahren selbst absichern? Schließlich kann im oben genannten Caesar-Beispiel jeder, der den Schlüssel kennt, Nachrichten unterwegs mitlesen. Und der Schlüssel muss natürlich irgendwann im Klartext übermittelt werden, damit der Empfänger ihn verwenden kann. Das birgt das potentielle Risiko, dass sich jemand unterwegs den Schlüssel aneignet. Eine persönliche Übergabe des Schlüssels fällt in Zeiten globalen E-Mail-Verkehrs natürlich auch aus. Die Lösung ist ein sogenanntes asymmetrisches Verschlüsselungsverfahren, das aus einem sogenannten Schlüsselpaar besteht: Ein privater und ein öffentlicher Schlüssel werden pro E-Mail-Adresse generiert. Wichtig dabei: Der private Schlüssel muss unter allen Umständen privat bleiben, er sollte also keinesfalls irgendwo öffentlich zugänglich – und damit zum Beispiel auch nicht auf Cloud-Diensten – gespeichert werden. Der öffentliche Schlüssel kann hingegen von jedem verwendet werden und kommt zum Einsatz, wenn Ihnen jemand eine Mail schicken möchte. Sie drücken dem Versender mit diesem öffentlichen Schlüssel sozusagen ein Vorhängeschloss in die Hand: Dieses kann er „zudrücken“, um die Mail zu verschlüsseln – Öffnen kann es jedoch anschließend nur noch der Besitzer des privaten Schlüssels. Der öffentliche Schlüssel wird dafür über sogenannte Schlüsselserver ausgetauscht, die ebenfalls öffentlich sind. So wird gewährleistet, dass der verschlüsselte Mailversand auch ohne die direkte Übermittlung geheimen Schlüssels funktioniert. Gleichzeitig wird gewährleistet, dass nur Empfänger, die selber ein Schlüsselpaar besitzen, verschlüsselte Mails empfangen können.

Direkt nach der Installation können Sie bereits Ihr erstes Schlüsselpaar anlegen und nutzen.
Vergrößern Direkt nach der Installation können Sie bereits Ihr erstes Schlüsselpaar anlegen und nutzen.

Mailverschlüsselung in der Praxis mit GPG

Was zunächst kompliziert klingt, ist in der Praxis relativ einfach zu bewerkstelligen. Alles, was Sie dazu brauchen, ist ein Mailprogramm wie Apple-Mail, in dem Ihre Mailadresse bereits eingerichtet ist. Die Verschlüsselung funktioniert System übergreifend, das heißt, dass es völlig egal ist, ob Sie oder Ihr Empfänger an einem Mac oder einem PC mit Windows oder Linux sitzen.

In der Schlüsselübersicht GPG Keychain finden Sie alle Schlüssel, die Sie auf Ihrem System verwenden.
Vergrößern In der Schlüsselübersicht GPG Keychain finden Sie alle Schlüssel, die Sie auf Ihrem System verwenden.

Auch das Mailprogramm ist egal, es kann MS Outlook sein, Thunderbird – oder eben Apple Mail. Wichtig ist nur, dass ein solches Programm zum Einsatz kommt: Webmailer unterstützen die Funktion in aller Regel nicht. Das populärste Verfahren ist der Gnu Privacy Guard, kurz GPG , die Open-Source-Variante des einst kommerziellen und inzwischen lange verstorbenen Pretty Good Privacy, kurz PGP . Die Verschlüsselung mit GPG ist weit verbreitet, was die Chancen erhöht, Empfänger zu finden, die es ebenfalls nutzen. Dazu wird die Software einfach auf dem Mac installiert und das Schlüsselpaar erzeugt, anschließend kann die Technik genutzt werden. Am einfachsten geht das auf dem Mac mit den GPGtools – hier allerdings ein kleiner Warnhinweis: Aktuell (22.09.2016) wird macOS Sierra noch nicht unterstützt – die Softwareentwicklung der GPGtools hinkt dem Mac-System immer ein wenig hinterher.

Mailverschlüsselung mit Mail-App einrichten

Zunächst müssen Sie die Software herunterladen und den Installer starten. Die Mail-App von macOS  sollte dabei geschlossen sein. Nach der Installation öffnet sich ein GPG-Keychain-Fenster, mit dem Sie schon Ihr erstes Schlüsselpaar erstellen können. Wählen Sie eine Ihrer Mailadressen aus und geben Sie ein Passwort („Passphrase“) ein. Setzen Sie außerdem den Haken bei „Öffentlichen Schlüssel hochladen“, damit dieser direkt auf den Schlüsselserver zur Verfügung steht. Wichtig ist, dass Sie sich das Passwort gut merken können. Klicken Sie anschließend auf „Schlüssel erstellen“. Wenn das Passwort zu einfach ist, warnt GPG Sie, allerdings können Sie die Warnung mit Klick auf „Weiter mit einfacher Passphrase“ überspringen.

Eine Testmail an ihre eigene, gerade verschlüsselte Mailadresse erlaubt das Testen der Funktion
Vergrößern Eine Testmail an ihre eigene, gerade verschlüsselte Mailadresse erlaubt das Testen der Funktion

Die Qualität des Passworts hat direkten Einfluss auf die Sicherheit Ihrer Verschlüsselung – Sie sollten hier also kreativ werden.: Bilden Sie am besten einen einfachen Satz wie „mein Hund spielt Ball“ und tauschen Sie die Leerzeichen gegen Sonderzeichen oder Zahlen aus, etwa „mein1Hund2spielt3Ball“. Anschließend können Sie noch einzelne Buchstaben nach dem gleichen Schema ersetzen. Für das i bietet sich ein Ausrufungszeichen an: „me!n1Hund2sp!elt3Ball“ ist dann ein ausreichend sicheres Passwort, dass Sie sich gut merken können. Alles soweit klar? Dann können Sie das Schlüsselpaar generieren.

Schlüsselpaar irgendwo sichern

Je nach Rechnergeschwindigkeit dauert die Schlüsselerstellung ein wenig. Sie können den Zufallswert in dieser Zeit erhöhen, indem Sie etwas tippen oder die Maus bewegen: GPG generiert den Schlüssel aus Zufallswerten. Der öffentliche Schlüssel wird danach auf die GPG-Server hochgeladen und Sie sehen die Schlüssel-Übersicht. Ganz wichtig ist jetzt, dass Sie den privaten Schlüssel irgendwo auf Ihrem Rechner sichern. Klicken Sie dazu auf „Exportieren“ und wählen Sie einen Speicherort samt Namen – am besten auf einem USB-Stick oder ähnlichem, den Sie verstecken. So ist Ihr Key gesichert, Sie haben aber jederzeit ein Backup zur Hand. Wichtig: Setzen Sie einen Haken bei „Geheimen Schlüssel ebenfalls exportieren“, um sicherzustellen, dass Sie Ihren Schlüssel nicht verlieren. Damit ist die Einrichtung bereits abgeschlossen. Sie können weitere Mailadressen verschlüsseln, indem Sie auf „Neu“ klicken und für die jeweilige Mailadresse ebenfalls ein Schlüsselpaar erzeugen. Übrigens: Die GPG-Keychain finden Sie jederzeit im Programme-Ordner.

Wichtig ist dabei das Schloss-Symbol: Mit diesem können Sie die Verschlüsselung Ein- und Ausschalten.
Vergrößern Wichtig ist dabei das Schloss-Symbol: Mit diesem können Sie die Verschlüsselung Ein- und Ausschalten.

Mails in Apple Mail verschlüsselt versenden

Das war es dann auch schon: Sie können den GPG Keychain beenden und Apple Mail starten. Erstellen Sie eine neue E-Mail, am besten testweise zunächst Ihre eigene Mailadresse. Praktisch dabei: GPG ist schlau genug, zu erkennen, ob der Empfänger über einen öffentlichen Schlüssel verfügt oder nicht. Abhängig davon sehen Sie jetzt im Mail-Fenster mehrere neue Felder: Ein Schloss-Symbol und ein Signatur-Symbol. Wenn Sie jetzt ihre eigene, bereits per GPG verschlüsselte Mailadresse eingeben, werden Sie sehen, dass das Schlosssymbol anklickbar ist. Sie können die Mail verschlüsseln, indem Sie das Schloss-Symbol schließen. Testen Sie zusätzlich eine andere Mailadresse, die noch nicht mit GPGtools gesichert ist: Hier wird das Schlosssymbol einfach ausgegraut, was verhindert, dass Sie verschlüsselte Nachrichten an Empfänger senden, die kein GPG nutzen. GPG fragt Sie jetzt nach Ihrer Passphrase, um die Mail zu verschlüsseln. Anschließend können Sie kurz warten, um die Mail zu empfangen: Die Software fragt erneut nach dem Passwort, wenn eine verschlüsselte Mail ankommt – die, die Sie gerade versendet haben. Setzen Sie für mehr Komfort einen Haken bei „Im Schlüsselbund sichern“, um verschlüsselte Mails automatisch auf Ihrem Mac zu Ver- und Entschlüsseln. Wenn Sie die an sich selbst verschlüsselte Mail nun lesen können, hat alles geklappt: Ihr Verschlüsselungssystem läuft und Sie haben jederzeit die Wahl, ob Mails verschlüsselt werden sollen oder nicht.

Für den Versand und Empfang verschlüsselter Mails müssen Sie das Passwort eingeben, dass Sie für GPG verwendet haben.
Vergrößern Für den Versand und Empfang verschlüsselter Mails müssen Sie das Passwort eingeben, dass Sie für GPG verwendet haben.

Mit anderen verschlüsselt kommunizieren

Nun wollen Sie natürlich nicht nur sich selbst, sondern auch mit anderen Mailempfängern verschlüsselt kommunizieren. Hier kommt der öffentliche Schlüssel auf dem Keyserver ins Spiel: Öffnen Sie den GPG Keychain und wählen Sie hier „Schlüssel nachschlagen“. Geben Sie anschließend die Mailadresse des gewünschten Empfängers ein. Besitzt dieser einen GPG-Schlüssel, können Sie den oder die öffentlichen Schlüssel für ihn und seine E-Mail-Adresse(n) abrufen, indem Sie auf „Schlüssel abrufen“ klicken. Anschließend erkennt Mail selbstständig, dass der Empfänger GPG einsetzt und bietet Ihnen an, das kleine Schloss-Symbol zu schließen – und die E-Mail damit verschlüsselt zu versenden. Alternativ kann Ihnen der Empfänger auch seinen öffentlichen Schlüssel zusenden, etwa wenn er die Schlüsselserver nicht nutzen möchte. Da es sich „nur“ um den öffentlichen Schlüssel handelt, kann das zum Beispiel unverschlüsselt per E-Mail passieren. Und auch Sie können Ihren öffentlichen Schlüssel über die GPG-Keychain-Exportfunktion an andere weitergeben. So ist der sichere E-Mail-Verkehr gewährleistet.

Mail.app zeigt Ihnen an, ob eine empfangene Mail verschlüsselt und signiert ist
Vergrößern Mail.app zeigt Ihnen an, ob eine empfangene Mail verschlüsselt und signiert ist

Gleiches Mailkonto auf einem anderen Rechner nutzen

Wenn Sie das gleiche Mailkonto mit mehreren Rechnern nutzen wollen, ist das übrigens auch kein Problem: Alles, was Sie tun müssen, ist das Schlüsselpaar für Ihre Mailadresse zu exportieren und anschließend auf dem anderen Rechner zu importieren. GPGtools gibt es leider nur für macOS, weshalb Sie in anderen Mail-Apps und auf anderen Betriebssystemen zu anderen Lösungen greifen müssen. Der beliebteste E-Mail-Client auf allen Systemen – Mac, Linux und Windows – ist dabei Thunderbird , für den es das GPG-Plug-in Enigmail gibt. Funktional ist diese Erweiterung weitestgehend mit PGPtools identisch: Sie ermöglicht dem Thunderbird-Client, Mails zu verschlüsseln und verschlüsselte Mails zu empfangen. Importieren Sie hier einfach Ihr Schlüsselpaar für Ihre E-Mail-Adresse, schon funktioniert alles.

Um zu prüfen, ob ein Empfänger verschlüsselte Mails empfangen kann, also GPG nutzt, müssen Sie nur den Key-Server nach seinem Public Key durchsuchen…
Vergrößern Um zu prüfen, ob ein Empfänger verschlüsselte Mails empfangen kann, also GPG nutzt, müssen Sie nur den Key-Server nach seinem Public Key durchsuchen…

Wichtig: Erstellen Sie bloß niemals ein zweites Schlüsselpaar für die gleiche Mailadresse, sonst kommt es zu Problemen!

In solchen Fällen gibt es aber auch Abhilfe: Sie können bereits erstellte Zertifikate mit dem GPG-Keychain zurückziehen: Klicken Sie sie dafür mit der rechten Maustaste an und wählen Sie „widerrufen“. Dadurch wird der Schlüssel vom Key-Server entfernt. Diese Vorgehensweise ist auch sinnvoll, falls Sie GPG nicht mehr nutzen möchten: Versender sehen Ihre Mailadresse dann nicht mehr als zu verschlüsselnden Empfänger und Sie erhalten nicht aus Versehen verschlüsselte Mails.

… und anschließend zu Ihrem GPG-Schlüsselbund hinzufügen.
Vergrößern … und anschließend zu Ihrem GPG-Schlüsselbund hinzufügen.

GPG unter iOS nutzen

Zuguterletzt noch ein Blick auf Apples Mobilsystem iOS: Natürlich unterstützen iPhone, iPad und Co.  GPG nicht nativ, sonst wäre es wohl auch nicht Apple. Und mangels Plug-in-Funktion in der iOS-Mail-App ist es auch nicht möglich, diese Funktion nachzurüsten. Was jedoch geht, ist die Verwendung einer alternativen Mail-App, die GPG-verschlüsselte Nachrichten senden und empfangen kann. Es gibt mehrere Apps dieser Art im iTunes-AppStore, leider zumeist kostenpflichtig, darunter iPGMail (1,99 Euro) oder oPenGP (4,99 Euro). Beide Apps erlauben die Übernahme exportierter GPG-Schlüsselpaare auf dem iPhone oder iPad, um verschlüsselte Nachrichten zu empfangen. Übrigens: Android-Nutzer haben es da einfacher: Die GPG-Suite ist für Mobilgeräte dieser Plattform erhältlich und integriert sich dabei nahtlos im System – iOS-Nutzer haben hier leider das Nachsehen.

Wenn Sie GPG nicht mehr nutzen möchten, sollten Sie den Schlüssel vor der Deinstallation widerrufen. So stellen Sie sicher, dass neue Versender Ihnen keine verschlüsselten Mails mehr zusenden können und müssen sich nicht um ihre Schlüsseldateien sorgen. Denn nur mit diesen kann der öffentliche Schlüssel später entfernt werden-
Vergrößern Wenn Sie GPG nicht mehr nutzen möchten, sollten Sie den Schlüssel vor der Deinstallation widerrufen. So stellen Sie sicher, dass neue Versender Ihnen keine verschlüsselten Mails mehr zusenden können und müssen sich nicht um ihre Schlüsseldateien sorgen. Denn nur mit diesen kann der öffentliche Schlüssel später entfernt werden-
0 Kommentare zu diesem Artikel
2223305