Signierung und Verschlüsselung von Nachrichten mit Hilfe von GnuPG

Dies ist eine kurze Einleitung zur Einrichtung von KMail's GnuPG-Unterstützung (GNU Privacy Guard). Es sind außerdem einige Hinweise zur Verwendung von GnuPG enthalten. Der Abschnitt ist für Anfänger geschrieben. Wenn Sie mit der Bedienung von GnuPG vertraut sind, können Sie die meisten Schritte überspringen.

Weitere Informationen finden Sie außerdem im FAQ-Eintrag zu GnuPG.

Warnung

Falls man die eingebaute OpenPGP-Unterstützung verwendet, können Anhänge nicht verschlüsselt und signiert werden. Um Anhänge zu verschlüsseln, muss man zunächst GnuPG und einige notwendige Bibliotheken installieren. Danach kann man für jeden Anhang einzeln festlegen, ob er verschlüsselt werden soll.

Warnung

KMail ist auf die Ausgabe von GnuPG angewiesen. Das Ausgabeformat hat sich bei GnuPG mehrfach zwischen den Versionen geändert. Daher ist es unbedingt notwendig, die Verschlüsselung zu testen, bevor man sie ernsthaft verwendet. KMail warnt nicht in jedem Fall, wenn etwas schiefgeht. Man sollte sicherheitshalber Signierten/verschlüsselten Text nach der Erstellung anzeigen aktivieren.

Um die GnuPG-Unterstützung in KMail verwenden zu können, muss man zunächst GnuPG installieren und einrichten. Hier kann keine vollständige Einführung zu GnuPG gegeben werden. Die wichtigsten Schritte zur Einrichtung von GnuPG werden aber erläutert. Detaillierte Informationen findet man im The GNU Privacy Handbook.

Es ist sicherlich hilfreich, diese Dokumentation und eine generelle Einführung in Verschlüsselung mit öffentlichen Schlüsseln zu lesen. Dort werden die grundlegenden Konzepte erläutert, die ein Verständnis des Ablaufes erleichtern. Außerdem werden dort viele sicherheitsrelevante Themen erläutert.

Auf geht's.

Voraussetzungen

KMail erwartet, dass Ihr GnuPG-Programm den Namen gpg hat. Sollten Ihr Programm einen anderen Namen haben, legen Sie einfach einen symbolischen Link an.

Falls noch nicht erfolgt, muss zunächst ein Schlüsselpaar (aus öffentlichem und privatem Schlüssel) für die eigene Identität erzeugt werden. Dazu benutzen Sie KGpg oder Kleopatra oder geben folgendes auf in einer Konsole ein: gpg --gen-key. Es gibt in KMail noch keine Unterstützung für diese Prozedur der Schlüsselerzeugung. Die Identität (normalerweise der Name gefolgt von der E-Mail-Adresse in spitzen Klammern, wie z.B. Hans Mustermann <Hans.Mustermann@beispiel.de>) und das Passwort sind wichtig für das Funktionieren von KMail und GnuPG.

Einstellungen zu GnuPG in KMail

Wählen Sie die Karteikarte Nachrichten erstellen auf der Seite Sicherheit des Einrichtungsdialogs. Dort finden Sie die folgenden Einstellmöglichkeiten:

Beim Verschlüsseln von E-Mails immer auch für den eigenen Schlüssel verschlüsseln

Wenn dieses Ankreuzfeld nicht aktiviert ist, kann man nach dem Versenden einer verschlüsselten Nachricht diese nach der Verschlüsselung selbst auch nicht mehr lesen. Will man selbst die Nachricht noch lesen können, sollte man diese Option aktivieren.

Versendete Nachrichten verschlüsselt speichern

Wenn dieses Ankreuzfeld markiert ist, werden versendete Nachrichten verschlüsselt gespeichert so wie sie versendet wurden. Das wird nicht empfohlen, da Sie die Nachrichten nicht mehr lesen können, sobald eines der Zertifikate abgelaufen ist.

Verschlüsselungsschlüssel immer zur Bestätigung anzeigen

Es wird vor dem Versand einer verschlüsselten Nachricht immer ein Dialog geöffnet, der die Wahl der Schlüssel für jeden Empfänger ermöglicht. Wenn dieses Ankreuzfeld nicht markiert ist, zeigt KMail diesen Dialog nur dann an, wenn für einen der Empfänger kein passender Schlüssel gefunden werden kann oder wenn die Verschlüsselungseinstellungen widersprüchlich oder unvollständig sind.

Nachrichten möglichst automatisch verschlüsseln

Mit dieser Einstellung verschlüsselt KMail Nachrichten automatisch mit Hilfe der eingebauten OpenPGP-Unterstützung oder dem PGP/MIME-Modul, vorausgesetzt, es existiert für jeden Empfänger der Nachricht im Schlüsselring ein vertrauenswürdiger PGP-Schlüssel, und weiterhin vorausgesetzt, dass man nicht in KMail die Verschlüsselung für einige Empfänger abgeschaltet hat. Im Zweifelsfall fragt KMail, ob die Nachricht verschlüsselt werden soll.

Nach Einrichtung des Verschlüsselungsprogramms muss man KMail mitteilen, welcher OpenPGP-Schlüssel zum Signieren und Verschlüsseln von Nachrichten verwendet werden soll. Dazu legt man bei der Einrichtung der Identität auf der Karteikarte Kryptografie den gewünschten Schlüssel fest.

Nun ist man in der Lage, eigene Nachrichten vor dem Versand zu signieren. Damit andere Benutzer Nachrichten an Sie schicken und Ihre Signatur überprüfen können, muss man seinen öffentlichen Schlüssel an diese Personen senden oder an einen öffentlichen GnuPG-Schlüsselserver schicken, von dem sie dann herunter geladen werden können. Um verschlüsselte Nachrichten an andere Personen versenden zu können oder um signierte Nachrichten anderer Personen zu überprüfen, benötigt man die öffentlichen Schlüssel dieser Personen. Man kann seine öffentlichen Schlüssel auf einem öffentlichen GnuPG-Schlüsselserver speichern.

Signieren von Nachrichten

Man erstellt seine Nachricht wie gewöhnlich im E-Mail-Editor von KMail. Vor dem Versand der Nachricht sollte man das Symbol Signieren in der Werkzeugleiste überprüfen. Nun kann man die Nachricht versenden. Für die Signierung muss die verwendete Identität unter Identität im Dialog KMail einrichten... mit einem OpenPGP-Schlüssel verbunden worden sein. Für die Signierung ist das GnuPG-Passwort erforderlich. Wenn man nicht Passwort im Speicher halten auf der Seite Sicherheit bei den Einstellungen von KMail gewählt hat, fragt KMail nach dem Passwort. Anderenfalls wird die Nachricht ohne Nachfrage von KMail signiert, falls man das Passwort bereits einmal eingegeben hatte.

Verschlüsseln von Nachrichten

Um jemandem, dessen öffentlichen Schlüssel man besitzt, eine verschlüsselte Nachricht zu senden, schreibt man die Nachricht zunächst im Editor. Vor dem Versand der Nachricht klickt man auf das Symbol Verschlüsseln in der Werkzeugleiste. Falls Sie im Einrichtungsdialog bereits Nachrichten möglichst automatisch verschlüsseln markiert haben, ist dieser Schritt überflüssig (siehe auch weiter oben). Dann kann die Nachricht versandt werden.

Falls man den Knopf Verschlüsseln gedrückt hat und KMail für einen Empfänger keinen passenden vertrauenswürdigen Schlüssel findet, wird eine Liste der verfügbaren vertrauenswürdigen Schlüssel im Dialog Wahl des Verschlüsselungs-Schlüssels angezeigt. Falls KMail mehr als einen vertrauenswürdigen Schlüssel für einen Empfänger findet, wird eine Liste der Schlüssel für diesen Empfänger angezeigt. In beiden Fällen kann man den Schlüssel auswählen, der zur Verschlüsselung der Nachricht verwendet werden soll. Falls man die Auswahl für zukünftige Nachrichten beibehalten möchte, markiert man das Ankreuzfeld Auswahl speichern.

Falls man einen Schlüssel das erste Mal verwendet, widersprüchliche Verschlüsselungseinstellungen vorhanden sind oder man Wahl des Schlüssels für die Verschlüsselung immer bestätigen lassen im Einrichtungsdialog von KMail im Abschnitt Sicherheit auf der Karteikarte OpenPGP markiert hat, wird der Dialog Wahl des Verschlüsselungs-Schlüssels bestätigen angezeigt. Hier kann für die Empfänger ein anderer Schlüssel ausgewählt und außerdem für jeden Empfänger ein Primärer Schlüssel festgelegt werden. Die Standardeinstellung Möglichst immer verschlüsseln verschlüsselt jede Nachricht, bei der für alle Empfänger ein vertrauenswürdiger Schlüssel vorhanden ist.

Weiter oben wurde bereits erwähnt, dass man nicht in der Lage ist, die verschlüsselte Nachricht wieder zu entschlüsseln, wenn man nicht bei den Einstellungen unter Sicherheit das Ankreuzfeld Beim Verschlüsseln von E-Mails auch immer für den eigenen Schlüssel verschlüsseln markiert hat.

Den öffentlichen Schlüssel versenden

Man schreibt zunächst eine Nachricht an die Person, die den öffentlichen Schlüssel erhalten soll. Dann wählt man AnhängenÖffentlichen Schlüssel anhängen ... im Editor-Fenster. Damit wird der für diese Identität festgelegte öffentliche Schlüssel an die Nachricht angefügt. Nun kann man die Nachricht abschicken.

Man sollte daran denken, das die Signierung der Nachricht kein verlässlicher Weg ist, den Schlüsselversand abzusichern. Die Nachricht kann auf dem Weg abgefangen werden (man-in-the-middle-Attacke) und von einer Person mit einem falschen Schlüssel versehen und mit diesem falschen Schlüssel auch signiert werden. Daher sollte der Schlüsselempfänger die Signatur mit einer Signatur vergleichen, die er auf einem sicheren Weg erhalten hat. Genauere Hinweise dazu findet man in der Dokumentation zu GnuPG.

Empfang einer verschlüsselten Nachricht

Man muss lediglich die Nachricht in KMail auswählen. Dann wird man nach dem Passwort gefragt. KMail versucht nun, die Nachricht zu entschlüsseln und zeigt danach den unverschlüsselten Text, wenn die Nachricht mit dem öffentlichen Schlüssel verschlüsselt worden ist (falls nicht, ist das Ergebnis unleserlich). KMail speichert diese Nachricht verschlüsselt ab, sodass niemand ohne Passwort die Nachricht lesen kann.

Einen öffentlichen Schlüssel erhalten

Sie können einen öffentlichen Schlüssel als Anhang oder per http, ftp oder Diskette erhalten. Bevor Sie diesen Schlüssel benutzen, um eine Nachricht an den Besitzer zu verschlüsseln, sollten Sie den Schlüssel überprüfen (Überprüfen Sie den Fingerabdruck oder schauen Sie nach vertrauenswürdigen Signaturen). Danach können Sie den Schlüssel Ihrem Schlüsselbund hinzufügen, indem Sie folgendes eingeben auf der Befehlszeile eingeben: GnuPG gpg--import Dateiname. Falls der Schlüssel keine vertrauenswürdige Signatur enthält, können Sie KMail nicht benutzen, um Nachrichten damit zu verschlüsseln, es sei denn Sie signieren den Schlüssel mit dem eigenen Schlüssel.