Email? Aber sicher

In diesem Zusammenhang ist man ja fast versucht, interessierten Mitgliedern der Brandenburger CDU-Führung mal den Umgang mit Kryptographie beizubringen. Gratis, versteht sich. Irgendwo muss man ja anfangen.

Und deshalb darf ich mich im Folgenden selbst zitieren mit einem Text vom 28. September des letzten Jahres, den ich diesmal jedoch nicht verlinke, sondern gleich hier zum sofortigen Konsum bereitstelle:

„Verschlüsselte Email nervt Neugierige. Ob das nun der Arbeitskollege vom Schreibtisch gegenüber ist, die Konkurrenz oder ein übereifriger Mensch im Dienste von Recht und Ordnung: sie alle stehen zunächst einmal und – je nach Stärke der Verschlüsselung – möglicherweise auf Dauer vor einem undurchdringlichen Zeichenwust, der ihnen nichts über den Inhalt einer Mail (oder jeden anderen Dateityps) aussagt.

Verschlüsselung gilt aber auch als unnötig kompliziert – und leider nicht ganz zu Unrecht. Deshalb hier ein paar Hinweise von einem, der das schon mal gemacht hat…

Es gibt zwei Arten der Verschlüsselung – die mit einem symmetrischen Schlüssel und die mit einem asymmetrischen. Bei der symmetrischen Verschlüsselung wird eine Datei nach dem gleichen Schlüssel entschlüsselt, der auch zur Verschlüsselung gebraucht wurde. Vorteil: Der Schlüssel kann beliebig lang, damit auch beliebig kompliziert und entsprechend schwer zu knacken sein. Ganz großer Nachteil: Der Empfänger braucht den gleichen Schlüssel wie der Absender – und auf dem Weg von Absender zu Empfänger kann so ein Schlüssel schon mal verloren gehen.

Hier kommt die asymmetrische Verschlüsselung ins Spiel, die von allen heutigen Verschlüsselungsverfahren benutzt wird. Hierbei gibt es einen privaten und einen öffentlichen Schlüssel, die eindeutig identifizierbar zusammengehören. Was mit dem öffentlichen Schlüssel verschlüsselt wurde, kann nur mit dem privaten Schlüssel wieder entschlüsselt werden. Aus dem öffentlichen Schlüssel ist aber nicht ersichtlich, wie dieser private Schlüssel auszusehen hat; wer den öffentlichen Schlüssel hat, kann mit keiner auf dieser Welt bekannten Methode den dazugehörigen privaten Schlüssel erstellen – und kann deshalb auch die von ihm selbst verschlüsselte Nachricht nicht mehr entschlüsseln. Das kann nur der Inhaber des privaten Schlüssels.

Konkretes Beispiel: Im Netz ist mein öffentlicher PGP-Schlüssel frei verfügbar und für jeden zu finden. Jeder kann sich diesen Schlüssel in sein Verschlüsselungsprogramm importieren und damit Nachrichten, Texte, alle möglichen Dateien verschlüsseln. Aber nur ich kann mit meinem privaten Schlüssel eine so verschlüsselte Datei wieder entschlüsseln. Und dass ich auf meinen privaten Schlüssel aufpasse und ihn mit einem seeeehr langen Pass-Satz („Passwort“ trifft die Sache schon gar nicht mehr) gesichert habe, versteht sich von selbst.

Soweit die theoretische Grundlage. Jeder, der Mail (oder jede andere Datei, aber darum geht es hier nicht) ver- und entschlüsseln will, braucht also ein solches Schlüsselpaar (und wenn wir hier von Schlüsseln reden, dann sind das keine flachen Metallstücke von Mr. Minit, sondern Textdateien mit vielen, sinnlos erscheinenen Zeichen). Wie nun bekomme ich ein derartiges Schlüsselpaar, und wie verwende ich es?

Eine mögliche Lösung heißt Pretty Good Privacy und ist quasi die Mutter aller modernen Verschlüsselungen. PGP gibt es als kommerzielles Produkt unter www.pgp.com, als freeware unter www.pgpi.org und als Open-Source-Produkt GnuPG u.a. unter www.gnupg.org. Letzteres hat im Gegensatz zu den PGP-Produkten keine komfortable grafische Oberfläche; wer sich nicht auf die Ebene der Kommandozeile begeben will, braucht unter Windows noch eine „Verpackung“ wie die GPGShell (KDE/Linux hat eine solche Verpackung bereits in der Form von kgpg eingebaut; und als noch relativ frischer Mac-User weiß ich, dass es auch für den Mac GnuPG und die dazugehörigen GnuPG-Tools gibt). Runterladen und installieren – alle Produkte beginnen dann, einen sog. „Schlüsselring“ anzulegen – im Grunde das Verzeichnis, in dem alle Schlüssel abgelegt werden – die eigenen (öffentlich und privat) und die öffentlichen der Menschen, denen man verschlüsselte Nachrichten schicken will. Außerdem erzeugt das jeweilige Programm gleich die Schlüssel des Nutzers, fragt nach Namen und Email-Adresse, mit denen der Schlüssel verwendet werden soll, und fordert die Eingabe eines Pass-Satzes (s.o.).

Bis jetzt war es einfach. Das war’s aber auch schon – denn jetzt geht es darum, das hauseigene Mailprogramm mit PGP bzw. GnuPG bekannt zu machen. Und das kann dauern. Bei PGP gibt es eine Reihe von Plugins für populäre (Windows-)Mailprogramme. The Bat! hat eine eingebaute GnuPG-Unterstützung (aber nicht für alle PGP-Versionen), Pegasus hat eine, die Linux-Mailer Evolution und Kmail auch, und für den Donnervogel (Windows, Linux, Mac etc.) gibt es eine Erweiterung namens Enigmail; für Apple Mail gibt es ein unauffälliges und effizientes GPG-Plugin. Gemeinsam ist allen Lösungen, dass man ihnen noch sagen muss, wo sie PGP/GnuPG und den eigenen Schlüsselring finden (also Verzeichnisse notieren!), dass sie dann aber in den Menu- und Buttonleisten die Ver- und Entschlüsselung per Mausklick anbieten.

Exotenmailer, für die es keine Plugins oder Erweiterungen gibt, lassen den verzweifelten Nutzer jede einzelne Mail per Clipboard in das Verschlüsselungsprogramm übertragen, bevor er sie ver- oder entschlüsseln kann – ein Argument gegen solche Exotenmailer.

Nun muss der verschlüsselnde Mensch sich nur noch seinen Pass-Satz merken, den er aus Sicherheitsgründen jedesmal eingeben muss, wenn er eine an ihn gerichtete Nachricht entschlüsseln will. Und er muss dann noch die Menschen, mit denen er verschlüsselt verkehren will, davon überzeugen, die gleiche Installiertour durchzumachen.“