Gerade für hochsensible E-Mails und Dateianhänge gibt es nur einen zuverlässigen Schutz: die sichere Verschlüsselung per PGP. ZDNet zeigt, wie das auf dem Mac funktioniert und welche Schritte und Tools dafür notwendig sind.
Sensible Daten in einer E-Mail sind völlig ungeschützt, also für Hacker und andere üble Gesellen eine leichte Beute. Daher sollten wichtige Nachrichten und deren Inhalte mithilfe der Verschlüsselungstechnik Pretty Good Privacy (PGP[1]) vor dem Versand chiffriert werden. Das gilt vor allem auch für digitale Rechnungen, die auf diesem Weg versandt werden. Dieser Workshop demonstriert, wie das mit dem Programm Apple Mail gelingt, das standardmäßig ein sicheres Versenden von Mails nicht vorsieht.
Vorbereitende Schritte: drei Komponenten herunterladen
Für eine Verschlüsselung und Signierung mit Apple Mail sind drei Komponenten notwendig:
- Mac GNU Privacy Guard[2] (kurz: GNU PG) ermöglicht das Verschlüsseln von E-Mails mittels PGP auf dem Mac. Das Tool unterliegt den GNU-GPL-Richtlinien und ist kostenlos erhältlich.
- Komponente Nummer zwei ist eine Schlüsselsoftware[3], die PGP-Schlüsselpaare erstellt. Diese Software ist ebenfalls unentgeltlich zu haben.
- Tool drei schließlich gibt es als Gratis-Plug-in[4], das Apple Mail diverse PGP-Funktionalitäten einhaucht. Dazu gehört eben das Signieren und Verschlüsseln von E-Mails, aber auch das Importieren eines öffentlichen PGP-Keys, den der Sender einer chiffrierten E-Mail auf einem Schlüsselserver zur Verfügung stellt.
Wichtiger Hinweis: Für den reibungslosen Ablauf mit nach PGP verschlüsselten E-Mails müssen Empfänger und Absender beide über eine PGP-Infrastruktur verfügen.
GNU PG 2.x für den Mac installieren
Zunächst wird das Programm GNU PG 2.x auf den Mac heruntergeladen. Dabei ist auf die richtige Version des Programms zu achten. Es sollte zur jeweiligen Mac-Plattform (Mac-OS-Version; Intel oder G4/G5) passen. Nach erfolgreichem Download startet ein Doppelklick auf die mpkg-Datei die Installation von GNU PG 2.x für den Mac. Das ermöglicht dann die Erstellung von PGP-Schlüsseln und Chiffrieren ebenso wie Dechiffrieren von Nachrichten auf dem Apple-Rechner. Für das Erstellen und Verwalten von PGP-Schlüsseln muss das Programm GPG-Schlüsselbund auf dem Mac installiert werden. Aktuell liegt das Tool in der Version 0.7.0[5] vor. Nach dem Entpacken kann man die daraus resultierende Datei GPG Schlüsselbund.app via Finder per Drag and drop in den Programmordner kopieren.
Beim Starten der Schlüsselbund-Anwendung erscheint der Hinweis, dass kein Schlüssel zur Verfügung steht. Daher muss zunächst ein gültiger Schlüssel erstellt werden.
Ein Assistent öffnet sich, mit dessen Hilfe sich ein Schlüsselpaar (geheim und öffentlich) generieren lässt. Unter Schlüsselart bleibt "DSA und ElGamal" eingestellt. Die Schlüssellänge sollte möglichst groß sein: Auf einem schnellen Mac ist "4096" der optimale Wert. Auf einem schon etwas betagteren Rechner stellt hingegen "2048" einen guten Kompromiss zwischen Sicherheit und Performance dar.
Als nächstes wird das Ablaufdatum des Schlüssels festgelegt. Am einfachsten ist es natürlich, kein Datum einzutragen. Das kann sich aber als äußerst ungünstig herausstellen, falls der Schlüssel in falsche Hände geraten sollte. Besser ist eine Beschränkung auf zwei oder drei Jahre.
Im nächsten Schritt erfolgt die Eingabe der Identität, also Vor- und Nachname und eine gültige E-Mail-Adresse. Beide Felder dürfen keine Umlaute enthalten, da es sonst zu Problemen kommt. Am schnellsten lassen sich die Einträge übrigens vom Adressbuch in beide Felder übernehmen. Nachträglich kann man selbstverständlich weitere Schlüssel für andere E-Mail-Adressen mit PGP-Schlüsselbund erzeugen.
Anschließend wird eine Passphrase verlangt, also eine Art Kennwort. Sie sollte möglichst lang ausfallen und sich aus einer Kombination von Ziffern und Buchstaben zusammensetzen. Die Passphrase ist ein zusätzlicher Schutz der verschlüsselten E-Mail, da der Empfänger die Mail nur in Verbindung mit diesem Kennwort öffnen kann. Tipp: Das Kennwort sollte auf jeden Fall notiert werden, da es Sender und Empfänger beim Versand und Empfang verschlüsselter E-Mails benötigen.
Zum Schluss sollten die Angaben überprüft werden. Anschließend beginnt das Tool, einen Schlüssel zu erstellen. Das kann je nach Schlüssellänge und -tiefe sowie Rechenleistung des Mac zwischen ein paar Minuten und einer halben Stunde dauern. Der Prozessor wird dabei voll ausgelastet, was übrigens die Aktivitätsanzeige (/Programme/Dienstprogramme) dokumentiert.
Sobald der Schlüssel generiert ist, genügt ein Klick auf "Fertig", um in die Schlüsselbundverwaltung des Tools zu gelangen. Nun kann man PGP-Schlüsselbund beenden oder einen weiteren Schlüssel erstellen. Apple Mail verschlüsselt Nachrichten standardmäßig nicht. Das lässt sich mithilfe des kostenlosen Plug-ins GPGMail[6] ändern.
Nach dem Download wird die DMG-Datei gemountet. Ein Doppelklick startet die Installation von GPGMail. Vorher muss jedoch Apple Mail beendet werden. Nach erfolgreicher Prozedur erscheint die Meldung, dass GPGMail.bundle im Verzeichnis /Users/BENUTZERNAME/Library/Mail/Bundles abgelegt ist.
Der Nutzer kann Apple Mail direkt nach der Installation wieder starten. In den Programmeinstellungen gibt es jetzt eine neue Registerkarte mit der Bezeichnung "PGP". Dort ist bereits der im vorherigen Schritt erstellte Schlüssel eingetragen. Er lässt sich sofort einsetzen. Am besten bleiben alle Einstellungen unverändert bis auf eine Aktivierung von "Kennwort im Schlüsselbund speichern". Damit erübrigt sich ein ständiges Eintippen der Passphrase. Und zwar für den Absender ebenso wie für den Empfänger einer E-Mail. So ist es einerseits komfortabler, aber freilich auch ein ganzes Stück unsicherer.
Um zu testen, ob GPGMail funktioniert, erstellt man mit der eingetragenen E-Mail-Adresse eine neue Nachricht und versendet sie an eine andere eigene Adresse. Dabei lässt sich mit dem entsprechenden Häkchen auswählen, ob die Mail signiert oder verschlüsselt werden soll.
Hierzu sei angemerkt, dass die Signatur viel schwächer ausfällt als die Verschlüsselung. Das Signieren kann jedoch ohne zusätzlichen Aufwand verwendet werden. Denn das Mailprogramm des Empfängers überprüft die Signatur sofort anhand der angehängten MD5-Checksumme. Beim Verschlüsseln einer E-Mail benötigt der Empfänger hingegen den persönlichen PGP-Schlüssel. Er erhält ihn am besten über einen der verfügbaren Schlüsselserver[7]. Dann muss die Bereitstellung nur einmal erfolgen. So trivial das Signieren einer E-Mail ist, so aufwändig stellt sich das Verschlüsseln dar. Hierfür sind folgende Schritte notwendig:
Zunächst geht man auf einen der verfügbaren Schlüsselserver, etwa https://keyserver.pgp.com/[8]. Dort lässt sich der mit GPG-Schlüsselbund erstellte Schlüssel hochladen und damit öffentlich zugänglich machen. Die erforderliche öffentliche Schlüsseldatei wird mithilfe der Exportfunktion des Tools erstellt. Der Nutzer klickt auf den zu exportierenden Schlüssel, dann auf "Exportieren" und legt schließlich einen Ordner fest, in den das Exportergebnis abgelegt werden soll. Wichtig: Der Schlüssel muss mit einer ASCII-Hülle umgeben sein, andernfalls akzeptiert der PGP-Server den exportierten Schlüssel nicht. Dieselben Schritte führt dann auch der Empfänger durch.
Sobald beide Schlüssel (vom Sender und Empfänger) auf dem Server abgelegt sind, wird das Ganze noch per E-Mail sowie per Internetseite verifiziert und bestätigt. Somit stehen dann die Schlüssel öffentlich zur Verfügung.
Jetzt lassen sich verschlüsselte E-Mails versenden, indem das Häkchen vor "Verschlüsseln" aktiviert wird. Danach öffnet man über "Schlüssel" und "Laden" die Schlüsselsuche. Dort werden die E-Mail-Adresse des Empfängers und der Schlüsselserver eingetragen, auf dem sich sein PGP-Key befindet. Wenn zu der E-Mail-Adresse ein Schlüssel existiert, kann er per Mausklick importiert und die E-Mail versendet werden. Möglicherweise ist auch noch das Kennwort (Passphrase) erforderlich.
Sobald die E-Mail beim Empfänger angekommen ist, importiert dieser analog zum Sender den Schlüssel vom Schlüsselserver, um die E-Mail zu dechiffrieren. Falls das Kennwort nicht automatisch übermittelt wird, muss es der Empfänger zur Bestätigung eingeben.
Fazit
Eine PGP-Verschlüsselung von E-Mails mit Apple Mail ist möglich. Die Installation und der Betrieb sind allerdings alles andere als einfach. Wer auf den sicheren Versand von Nachrichten angewiesen ist, wird aber diese Hürden in Kauf nehmen.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = https:/