Meine erste E-Mail habe ich bestimmt schon vor über zehn Jahren verschlüsselt, da im Bekanntenkreis aber niemand mitmachte und es doch einige Nachteile mit sich bringt ist das Ganze wieder eingeschlafen. Eigentlich ist es aber unverantwortlich seine Mails im Klartext durch das Netz zu jagen und da es jetzt doch den einen oder anderen im Bekanntenkreis gibt stelle ich wieder um auf "E-Mails verschlüsseln".
Dazu möchte ich meine beiden E-Mail Endgeräte für die Verschlüsselung fit machen, nämlich mein Android Phone und meinen Desktoprechner.
Schlüsselerzeugung auf Android
Da ich davon ausgehe, dass es einfacher ist, die Schlüssel von Android auf dem PC zu importieren als umgekehrt erzeuge ich die Schlüssel auf meinem Mobiltelefon. Im Nachhinein betrachtet ist es aber wohl egal und wäre auch auf dem PC gegangen.
Ich benutze bisher Maildroid und bin eigentlich sehr zufrieden, allerdings ist das nicht Open Source und wenn schon Verschlüsseln, dann macht Closed Source irgendwie keinen Sinn. Also installiere ich zunächst K9-Mail und konfiguriere mein IMAP-Konto.
Für die Verschlüsselung benötigt man OpenKeychain. Es gibt auch noch das ältere AGP im Appstore über das ich zunächst gestolpert bin, OpenKeychain funktioniert aber besser mit K9-Mail und ist der aktuelle Standard.
Jetzt erzeugt man sich mit OpenKeychain ein Schlüsselpaar. Passwort und Ablaufdatum setzen. Diese kann man auch im Nachhinein noch ändern ohne seinen Schlüssel neu generieren zu müssen.
Unter Einstellungen -> Alle Schlüssel exportieren speichern wir jetzt beide (auch den privaten Schlüssel) auf der SD-Karte des Telefons.
In den Kontoeinstellungen von K9 setzen wir unter Kryptographie -> OpenPGP-Provider noch OpenKeychain, damit ist das Setup für Android erledigt.
Schlüssel auf den PC übertragen
Jetzt per USB-Kabel das Telefon an den Rechner anschließen und die beiden eben gespeicherten Schlüssel auf den PC übertragen. Die Dateien auf dem Telefon danach löschen und das Telefon wieder vom PC trennen.
Auf dem PC benutze ich Thunderbird. Für die Verschlüsselung benötigen wir Enigmail. Nach dem Download in Thunderbird auf Extras -> Add-ons, dann auf das kleine Zahnradsymbol rechts und "Add-on aus Datei installieren" auswählen. Ich weiß echt nicht, wieso das so versteckt ist...
Während der Installation von Enigmail wird automatisch GnuPG installiert. Außerdem wählt man hier jetzt die Schlüssel aus, die wir eben auf dem Mobiltelefon erzeugt haben.
Die Einstellungen von Enigmail sind ziemlich grausam und widersprüchlich. Am besten man lässt alles auf automatisch. Ich habe mich dafür entschieden immer zu verschlüsseln und nicht zu signieren. Beim Verfassen neuer Mails sieht man unten rechts die Symbole mit denen man Verschlüsselung und Signatur anschalten kann.
Spreading the News
Damit andere den öffentlichen Schlüssel herunterladen können, kann man ihn natürlich per E-Mail verschicken. Oder man legt ihn auf einen Webserver. Dazu bietet sich der in den anderen Artikeln beschriebene Raspberry Pi an. Zum Beispiel indem wir den Schlüssel als statisches File mit Pelican (Artikel folgt) veröffentlichen.
Damit der Freundeskreis unauffällig erfährt, dass man jetzt gerne verschlüsselte Mails erhalten möchte, setzt man den Link auf seinen öffentlichen Schlüssel in seine Signatur. Das kann dann so aussehen:
--
Public Key: http://mein_name.selfhost.eu/public_key.asc
Fingerprint: 0995 ECD6 3843 CBB3 C050 28CA E103 6EED 0123 4567
Zusätzlich ist dort noch der Fingerprint des Schlüssels zu sehen. Falls sich ein Kontakt nach einiger Zeit dann dazu entschließt Mails ab jetzt zu verschlüsseln kann er in alten Mails nachschauen ob der Fingerprint stimmt und hat damit ein starkes Indiz für die Korrektheit des Schlüssels.
Nachbetrachtung
Leider gibt es meiner Meinung nach keine wirklich gute E-Mail Software für den PC, welche PGP und Carddav unterstützt und dazu Open Source ist. Thunderbird bietet wenigstens alle diese Attribute, die Bedienung von Enigmail und des Plugins für Carddav lässt aber zu wünschen übrig. Auf Android sieht es hier besser aus.
Doof ist natürlich auch, dass man verschlüsselte Mails nicht mehr in seinem praktischen Webmailer wie WEB.DE, GMX oder GMAIL lesen kann. Eine gute Lösung wäre es hier, seinen eigenen Webmailer zu betreiben. Wo wieder unser Einplatinencomputer ins Spiel käme. Interessante Projekte sind hier die Kinko Box oder Pixelated. Wer sich noch weiter in das Thema einlesen möchte findet hier jede Menge interessante Links.
Cyanogendmod 7.2
Für mich als Reminder: Für ätere Androiden (2.3) muss man folgende Apps benutzen:
- APG statt OpenkeyChain
- K9 v4.804 statt aktuellem K9-Mailer