PC Service von Kienitz

IT-Service nur für Verwandte und Bekannte, Webseitengestaltung


Vorwort

Es haben sich in der Vergangenheit zwei Verschlüsselungsverfahren mit End-2-End-Verschlüsselung (abgekürzt: E2E) etabliert, die weltweit bekannt sind. Das sind S/MIME und PGP/GnuPG mit der Erweiterung PEP.

End-2-End bedeutet, dass im Computer des Absenders verschlüsselt und im Computer des Empfängers entschlüsselt wird.
Zertifikat meint eine Datei mit der nicht nur ver- und entschlüsselt wird, sondern in der auch die Mailadresse und bei Class 2 und 3 auch die Identität hinterlegt ist.
Die De-Mail-Verfahren bietet diese End-2-End-Verschlüsselung nicht, weil im zentralen Rechenzentren die E-Mails entschlüsselt und für den Versand an den Empfänger neu verschlüsselt werden müssen. Das wird leider nicht breit getreten. Es wird zwar steif und fest behauptet, dass dabei nicht mitgelesen wird, aber es ist trotzdem problemlos möglich.  Außerdem, wie der Name sagt, nur in Deutschland bekannt. Seit 2015 gibt es eine optionale Erweiterung für PGP, die aber kaum genutzt wird. E-Post-Brief hat sich überhaupt nicht durchgesetzt, weil kostenpflichtig.
S/MIMEGnuPG/vorher PGPPEP
Sicherheit gegen Entschlüsselung Erfüllt militärische Anforderungen, jedoch kein OpenSource. Backdoor bisher nicht bekannt, jedoch nur theoretisch möglich. Erfüllt militärische Anforderungen.
Entschlüsselung durch staatliche Stellen vollkommen unmöglich, weil OpenSource.
Nur theoretische Möglichkeit eines "Man in the middle"-Angriffs beim Schlüsselaustausch, trotzdem sehr hohe Sicherheit.
Installation Ist in jedem E-Mailprogramm vorinstalliert. Für Outlook, Thunderbird und alle Internetbrowser gibt es kostenfreie Erweiterungen (GPG4WIN), die erst installiert werden müssen. PEP wird zusammen mit GnuPG installiert. Für Outlook allerdings kostenpflichtig (21€)
Digitale Signatur Wird in weltweit abrufbaren Zertifizierungsstellen gespeichert. Drei verschiedene Stufen. Keine zentrale Zertifizierungsstelle, sondern Zertifikatsserver ohne Beglaubigung. Gegenseitige persönliche Beglaubigung. Keine zentrale Zertifizierungsstelle. Gegenseitige persönliche Beglaubigung durch telefonischen Austausch von Schlüsselwörtern
Installationsaufwand Beantragung eines kostenfreien Zerifikats und Import in das jeweilige E-Mail-Programm Erstellung eines Zertifikats auf dem eigenen PC. Zertifikatserstellung und der folgende Einsatz zur Verschlüsselung vollautomatisch und ohne Eingriff des Anwenders. Optionale telefonische gegenseitige Beglaubigung.

Wieso Verschlüsselung

Wer will mitlesem

Staatliche in- und ausländische Behörden

Staatliche Behörden setzen alles daran, verschlüsselte Nachrichten prinzipiell entschlüsseln und mitlesen zu können, auch Backdoor genannt. Der Bundesinnenminister fordert immer wieder vehement, dass diese Hintertür/Backdoor von den Programmanbietern eingebaut wird. Staatliche Stellen außerhalb Deutschland fordern das auch. Das ist allerdings aussichtslos, weil die Firmen die Hintertüren einbauen, würden in kürzester Zeit Pleite sein. Weil der Staat die Entschlüsselung nicht geheim halten kann, will er seine Erkenntnisse zum Beispiel vor Gericht verwenden. In den USA gibt es Bestrebungen, Anbieter per Gesetz zu zwingen.

Es gibt aber auch noch eine weitere unüberwindbare Hürde für solche Hintertüren: "OpenSource". OpenSource heißt, der Programmcode ist öffentlich und für jedermann zugänglich. Eine Hintertür in öffentlichen Code einzubauen ist unmöglich, weil es sofort auffallen würde. OpenSource ist deshalb ein entscheidendes Kriterium für die Sicherheit gegen Hintertüren. Ich habe keine Sorgen bei deutschen Sicherheitsbehörden, aber das sind ja nicht die Einzigen, die mitlesen. Ich schreibe von Zeit zu Zeit auch kritische Beiträge über Erdogan. Eine Urlaubsreise in die Türkei kann ich nicht mehr riskieren.

Die Werbeindustrie

Im Browser geschriebene E-Mails werden zugegebenermaßen von Google mitgelesen und basierend auf dem Mailinhalt werden wir dann mit Werbung überschüttet. Das ist mir eigentlich vorwiegend lästig, weil immer, wenn ich mich im Internet für irgendein Produkt interessiert und gekauft habe, bekomme ich hinterher ein bis zwei Wochen Werbung zu diesem Produkt, das dann schon längst aus meinem Gesichtsfeld verschwunden ist. Einfachste Lösung, Cookies und Werbe-Id's regelmäßig löschen oder einen separaten Browser benutzen. (Weitere Möglichkeiten vortragen.)

Wieso digitale Signatur

Die digitale Signatur ist zwar theoretisch von der Verschlüsselung unabhängig (nur bei GnuPG), es gibt aber keinen Sinn nur zu verschlüsseln, ohne zu signieren.

Die meißten E-Mailschreiber sind sich nicht bewusst darüber, dass die Angabe der Absender-E-Mail-Adresse frei wählbar ist. Jederman ist in der Lage, zum Beispiel eine Mail als Angela Merkel mit der Mailadresse angela.merkel@cdu.de (Mailadresse erfunden) zu schreiben. Beim Empfänger weist nichts darauf hin, dass die Absenderangabe gefälscht ist. (Für Fachleute gibt es aber doch eine Möglichkeit. Auf Wunsch beschreiben.)

Absender von sogenannten SPAM-Mails fälschen die Absender-E-Mail prinzipiell und verwenden zusätzlich einmalig erfundene Mailadressen, damit man den Absender nicht ermitteln kann. Dadurch hat man dann auch keine Möglichkeit, dieses auf eine Sperrliste zu setzen.

Es gibt die Klassen 1, 2 und 3. Klasse 1 überprüft die Korrektheit der Mailadresse. Klassen 2 und 3 prüfen an Hand der Personalpapiere auch die Identität. Klasse 1 bekommt man auch umsonst, Klassen 2 und 3 bekommt man nur gegen eine jährlich Gebühr (etwa 30€).

Wie wäre es nun, wenn man den Absender einer E-Mail zweifelsfrei identifizieren könnte. Dann hätte man die Chance, alle unidentifizierten Absender gleich zu löschen oder in die SPAM-Liste zu verfrachten. Betrügerische Mails bauen immer darauf, dass der Absender geheim gehalten wird. Das wäre dann nicht mehr möglich. Das wäre ein Quantensprung.

Was spricht dagegen

Die typisch menschliche Ablehnung jeder Veränderung und die Unbequemlichkeit sich einmalig damit zu beschäftigen. Jeder jammert zwar, dass seine Privatsphäre ausgespäht wird, aber niemand ist bereit, auch nur einen "Handschlag" dagegen zu tun.

Welches Verfahren ist denn nun das Richtige?

Zertifikate der Klassen 2 und 3 bei S/MIME erlauben gerichtsfeste beweisbare Mails und auch weil S/MIME mit vollkommen unbekannten Personen funktioniert, ist S/MIME unverzichtbar.

GnuPG und PEP erfordert, dass sich die Teilnehmer persönlich kennen, deshalb ist es ideal für Vereine, kleine Betriebe, private Kommunikation.

PEP muss nur einmalg intalliert werden (Sehr einfach). Danach läuft alles vollautomatisch. Deshalb wird es auch als echte Volksverschlüsselung bezeichnet und ist auch für diejenigen geeignet, die sich überhaupt nicht mit irgendwelchem EDV-Wissen belasten wollen. Wenn der Mailpartner PEP installiert hat, funktioniert der Schlüsselaustausch ab der zweiten Mailkommunikation vollautomatisch verschlüsselt. Ich würde stark begrüßen, wenn PEP beim Kauf eines neuen PC's vorinstalliert wäre, wie es auch mit diversen anderen Programmen passiert.

Welche Programme eignen sich

Programmjanein
Mozilla ThunderbirdKann beides. GPG muss als Plugin nachinstalliert werden. 
Microsoft Office OutlookKann beides. GPG muss als Plugin nachinstalliert werden. 
Web Client's unter FirefoxFirefox Plugin: Mailvelope erlaubt PGP/GPGS/MIME nicht möglich
Web Client's mit anderen Browsern nicht möglich, evtl in Zukunft Plugins
Outlook Web Access In der aktuellen Version nicht möglich / habe nichts gefunden
Microsoft Mail In der aktuellen Version nicht möglich / habe nichts gefunden

Nun geht's aber los S/MIME

E-Mail-Zertifikat CLASS 1 besorgen.

Es gibt diverse Anbieter für kostenlose Mailzertifikate. Hier ein paar Links zu den Anbietern:

Wegen der deutschen Sprache veranschaue ich die Erstellung des Zertifikats mit einem schweizer Anbieter

Zunächst müssen wir uns registrieren:

Selbstverständlich wählen wir "hochgradig" als Verschlüsselungsstärke. Das "Revocation Password" ist gut, wenn man den Eindruck hat, dass das Zertifikat gehackt (fachsprache: gebrochen) wurde, um das Zertifikat als ungültig zu erklären. Zuletzt nach die allgemeinen Geschäftsbedingungen akzeptieren. "I ACCEPT the terms of this Subscriber Agreement" und auf NEXT klicken

Anwendung erfolgreich

Application is successful!=> Anwendung erfolgreich!
Doch wo ist das Zertifikat nun? Die weitere Anleitung ist in einer E-Mail an meine angegebene Mailadresse gesendet worden.

So sieht die Mail aus. Ich erspare mir, dass zu übersetzen.

Aif "Click & Install" klicken.

Das Zertifikat wurde zunächst einmal in ihrem Standardbrowser installiert.
Wenn der Standardbrowser Firefox ist:
Klicken Sie auf "Extras/Einstellungen/Datenschutz und Sicherheit". Ganz nach unten gescrollt findet man: "Zertifikate". Wählen Sie: "Zertifikate anzeigen".

Markieren Sie das neue Zertifikat, um es auf den PC zu exportieren. Am Besten auf einem USB-Stick oder auf einer CD/DVD, die Sie dann vor unberechtigten Zugriff verwahren.

Wenn der Standardbrowser der InternetExplorer/EDGE ist:
Zur Zeit hat EDGE keinen Zertifikatsspeicher!
Geben Sie in die Windows-Suchleiste unten links: "certmbr" ein. Wählen Sie "Benutzerzertifikate verwalten" aus. So sieht der Zertifikatsmanager aus:
Benutzerzertifikate
Wählen Sie: "Eigene Zertifikate/Zertifikate" aus. Das Exportieren oder Sichern versteckt sich unter:
Markieren Sie das neue Zertifikat mit der rechten Maustaste und dann "Alle Aufgaben/Exportieren". Achtung: Privaten Schlüssel exportieren. Das Zertifikat genau wie bei Firefox sicher abspeichern.

Der erste Teil ist nun geschafft. Das Zertifikat wurde erzeugt und aus dem Browser heraus exportiert und auf einem sicherem Speicherort abgelegt.

In das E-Mail-Programm importieren

In MS Outlook und in Thunderbird werden die Zertifikate unterschiedlich verwaltet. In Microsoft Mail habe ich keine Optionen zum Verschlüsseln gefunden.

 Microsoft OutlookMozilla Thunderbird
Eigene ZertifikateIm Zertifikatmanager (certmgr)Im Zertifikatmanager Kleopatra
Öffentliche Zertifikate der MailempfängerIn den Outlook-KontaktenIm Zertifikatmanager Kleopatra

Der Kleopatra-Zertifikatmanager

Kleopatra-Zertifikate

Die S/MIME - Zertifikate sind hier als X.509 bezeichnet.

Die Import der Zertifikate nach Kleopatra ist selbsterklärend.

Versand einer verschlüsselten E-Mail mit Office 2019-Outlook

Ich muss zugeben, dass Outlook in meinen Augen mit Funktionen überfrachtet und dadurch unübersichtlich und benutzerunfreundlich ist. Trotzdem ist es an Arbeitsplätzen das am meisten verwendete Programm.

Die Option, um eine verschlüsselte E-Mail zu schicken, verbirgt sich bei einer neuen Mail unter dem Reiter "Optionen" unter den "Weiteren Optionen"

weitere Optionen

Unter den Sicherheitseinstellungen kann man schließlich die Verschlüsselung aktivieren. Es scheint, dass das von Microsoft für nicht so wichtig gehalten wird, dass es so tief im Programm versteckt ist.


Gilt für alle Verschlüsselungsverfahren: Empfänger, deren öffentliches Zertifikat man nicht kennt, können natürlich keine verschlüsselte Nachricht erhalten. Die digitale Signatur enthält den eigenen öffentlichen Schlüssel. Eine Antwortmail könnte dann verschlüsselt gesendet werden.

Wenn Thunderbird eine signierte Nachricht bekommt, kann das öffentliche Zertifikat auf zwei Arten gespeichert werden:

  1. Im SMIME-Zertifikatsspeicher SMIME-Zertifikatsspeicher
  2. Im Kleopatra-Zertifikatsmanager, weil dieser sowohl s/MIME, als auch PGP-Zertifikate verarbeiten kann.

Selbstverständlich können S/MIME und PGP-Zertifikate nicht gleichzeitig verwendet werden. Würde ja auch keinen Sinn ergeben. Aber selbstverständlich kann mal das eine und mal das andere Verfahren benutzt werden.

Eigentlich hatte ich vermutet, dass Outlook beim Empfang einer signierten Mail automatisch einen Kontakt mit Zertifikat anlegt. Habe ich aber nicht gefunden. Noch nicht. Deshalb habe ich das manuell exportiert, einen Kontakteintrag angelegt und das Zertifikat importiert.

Versand einer verschlüsselten E-Mail mit Thunderbird und PEP

Voraussetzung ist die Installation von GPG4win und des Plugins Enigmail

So sieht eine neue Email aus:

Entscheidend ist, dass dort "Schutz aktivieren" steht. Und achtet auf den Privatsphärenstatus. Wenn dort nicht "Schutz aktivieren" steht, muss unter Extras/Einstellungen/Datenschutz auf PEP umgestellt werden. (Den automatischen Modus habe ich noch nicht ausprobiert.)


Wenn jetzt eine Mail geschickt wird, werden die benötigten Zertifikate automatisch erstellt und sind unter Kleopatra sichtbar. Die erste Mail ist immer unverschlüsselt, die Antwortmail ist dann bereits verschlüsselt.

Im Gegensatz zu allen anderen Verfahren wird auch der Betrefftext durch den Standardtext PEP ersetzt und beim Empfänger wieder sichtbar gemacht.