Verschlüsselung

Um Ihren E-Mail-Versand und -Empfang zu schützen und zu verschlüsseln bietet Ihnen Evolution zwei Verschlüsselungsmethoden:

  • GPG-Verschlüsselung
  • S/MIME-Verschlüsselung

Evolution hilft Ihnen Ihre Privatsphäre zu schützen, indem Evolution den GNU Privacy Guard (GPG) nutzt, eine Implementierung der starken Öffentlicher-Schlüssel-Verschlüsselung.

Um mit GPG verschlüsselte E-Mails zu senden und zu empfangen ist es erforderlich zwei verschiedene kryptographische Schlüssel zu verwenden: ein öffentlicher und ein geheimer (privater). Öffentliche Schlüssel werden zum Verschlüsseln und geheime zum Entschlüsseln von Nachrichten verwendet. Um verschlüsselte E-Mails zu senden müssen Sie den öffentlichen Schlüssel des Empfängers haben, der zum Verschlüssen der Nachricht verwendet wird. Der Empfänger verwendet dann seinen geheimen Schlüssel zum Entschlüsseln (und Lesen) der verschlüsselten Nachricht.

Zum Senden von verschlüsselten Nachrichten an Sie müssen die Sender zuerst eine Kopie Ihres öffentlichen Schlüssels aus Ihrem Schlüsselbund haben. Öffentliche Schlüssel dürfen an diejenigen weitergegeben werden, die Ihnen verschlüsselte Nachrichten senden wollen. Dazu können Sie Ihren öffentlichen Schlüssel auf einen öffentlichen Schlüssel-Server hinterlegen. Geheime Schlüssel dürfen nicht weitergegeben werden.

Evolution unterstützt nicht ältere PGP-Versionen wie OpenPGP oder Inline-PGP.

Sie können Verschlüsselung auf zwei unterschiedliche Arten benutzen:

  • Sie können die gesamte Nachricht verschlüsseln, so dass niemand aus dem Empfänger diese lesen kann.
  • Sie können eine verschlüsselte Signatur an die Klartext-Nachricht anhängen, so dass der Empfänger die Nachricht ohne Entschlüsseln lesen kann, und Entschlüsselung nur benötigt, um die Identität des Absenders zu prüfen.

Nehmen wir zum Beispiel an, dass Karl eine verschlüsselte Nachricht an seine Freundin Helene schicken will. Er ruft ihren öffentlichen Schlüssel auf einem öffentlichen Schlüssel-Server ab und wählt in Evolution aus, dass die Nachricht verschlüsselt werden soll. Die Nachricht liest sich nun so: “@#$23ui7yr87#@!48970fsd.” Helene erhält die Nachricht und entschlüsselt diese mit ihrem privaten Schlüssel, wodurch die Nachricht als Klartext für sie lesbar dargestellt wird.

2.6.1. Einen GPG-Verschlüsselungsschlüssel erstellen

Bevor Sie verschlüsselte Nachrichten empfangen oder verschicken können, müssen Sie Ihren öffentlichen und privaten Schlüssel mit GPG erstellen. Die hier vorhandene Beschreibung basiert auf der Version 1.2.4 von GPG. Falls Sie eine andere Version benutzen, können die Schritte variieren. Sie können Ihre Version herausfinden, indem Sie gpg --version eingeben.

  1. Öffnen Sie ein Kommandozeilen-Fenster und geben Sie gpg --gen-key ein.

  2. Wählen Sie eine Algorithmus und drücken Sie die Eingabetaste.

    oder

    Um den Vorgabe-Algorithmus DSA und ElGamal zu nutzen, drücken Sie die Eingabetaste (empfohlen).

  3. Wählen Sie eine Schlüssellänge und drücken Sie die Eingabetaste. Um die Voreinstellung (1024 bits) zu nutzen, drücken Sie die Eingabetaste.

  4. Geben Sie ein, wie lang Ihr Schlüssel gültig sein soll.

    oder

    Um die Vorgabe zu akzeptieren, dass der Schlüssel nie ungültig wird, drücken Sie die Eingabetaste, dann drücke Sie Y, wenn Sie danach gefragt werden, Ihre Auswahl zu bestätigen.

  5. Geben Sie Ihren vollen Namen ein und drücken Sie die Eingabetaste.

  6. Geben Sie Ihre E-Mail-Adresse ein und drücken Sie die Eingabetaste.

  7. (Optional) Geben Sie einen Kommentar ein und drücken Sie die Eingabetaste.

  8. Prüfen Sie die ausgewählte Benutzerkennung. Falls diese korrekt ist, so drücken Sie O.

  9. Geben Sie ein Passwort ein und drücken Sie die Eingabetaste

  10. Bewegen Sie Ihre Maus zufällig, um die Schlüssel zu erstellen.

Nachdem Ihre Schlüssel erstellt wurden, können Sie Ihre Schlüsselinformationen betrachten, indem Sie gpg --list-keys eingeben. Sie sollten etwas ähnliches wie dieses erhalten: /home/you/.gnupg/pubring.gpg ---------------------------- pub 1024D/32j38dk2 2001-06-20 you <you@example.com> sub 1024g/289sklj3 2001-06-20 [expires: 2002-11-14]

GPG erstellt nun eine Liste, Schlüsselring genannt, für Ihre öffentlichen Schlüssel, und eine für Ihre privaten Schlüssel. Alle öffentlichen Schlüssel werden in der Datei ~/.gnupg/pubring.gpg gespeichert. Wenn Sie anderen Ihren Schlüssel geben möchten, so senden Sie ihnen diese Datei.

Falls Sie möchten, können Sie Ihre Schlüssel auf einen Schlüssel-Server hochladen.

  1. Prüfen Sie die Kennung Ihres öffentlichen Schlüssels mit gpg --list-keys. Es handelt sich um den Text nach “1024D” in der Zeile, welche mit “pub” beginnt. Im obigen Beispiel lautet die Kennung Ihres öffentliche Schlüssels “32j38dk2”.
  2. Geben Sie den Befehl gpg --send-keys --keyserver wwwkeys.pgp.net 32j38dk2 ein. Setzen Sie Ihre eigene Schlüsselkennung (Key ID) für “32j38dk2” ein. Sie benötigen Ihr Passwort, um diesen Befehl auszuführen.

Schlüssel-Server speichern Ihre öffentlichen Schlüssel, so dass Ihre Freunde Ihre Nachrichten entschlüsseln können. Wenn Sie sich dazu entscheiden, keinen Schlüssel-Server zu benutzen, so können Sie Ihren öffentlichen Schlüssel per Hand verschicken, in Ihre Signatur einbauen, oder auf Ihrer Internetseite veröffentlichen. Es ist allerdings einfacher, einen Schlüssel einmal zu veröffentlichen, so dass Menschen ihn von einem zentralen Ort herunterladen können.

Falls Sie keinen Schlüssel zum Verschlüsseln oder Entschlüsseln einer Nachricht besitzen, so können Sie Ihr Verschlüsselungsprogramm so einstellen, dass dieser Schlüssel automatisch gesucht wird. Falls kein Schlüssel gefunden werden kann, wird eine Fehlermeldung angezeigt.

2.6.2. Das Erhalten und Nutzen öffentlicher GPG-Schlüssel

Um eine verschlüsselte Nachricht zu verschicken benötigen Sie den öffentlichen Schlüssel des Empfänger in Kombination mit Ihrem eigenen privaten Schlüssel. Evolution handhabt die Verschlüsselung, aber Sie müssen selbst den öffentlichen Schlüssel des Empfängers abrufen und diesen zu Ihrem Schlüsselring hinzufügen.

Um öffentliche Schlüssel von einem öffentlichen Schlüssel-Server zu holen, geben Sie den Befehl gpg --recv-keys --keyserver wwwkeys.pgp.net keyid ein und ersetzen Sie keyid durch die Schlüsselkennung (ID) des Empfängers. Geben Sie auf Nachfrage Ihr Passwort ein, und die Kennung wird automatisch zu Ihrem Schlüsselbund hinzugefügt.

Die Domäne wwwkeys.pgp.net ist an mehrere Rechner in verschiedenen Netzwerken zugewiesen. Das Dienstprogramm gpg versucht sich mit einem im aktuellen Netzwerk zu verbinden; falls dieser Rechner nicht erreichbar ist, wird es mit einer Zeitüberschreitung abbrechen.

Geben Sie $ host wwwkeys.pgp.net in einem Terminal ein und ermitteln Sie die IP-Adresse des Rechners, um dies zu vermeiden. Sie können jeden anpingen, um einen aktiven Server zu finden. Dann können Sie »wwwkeys.pgp.net« in dem Befehl »gpg --recv-keys --keyserver wwwkeys.pgp.net keyid« mit dieser explizit durch das Hilfsprogramm ermittelten IP-Adresse ersetzen.

Falls Ihnen jemand einen öffentlichen Schlüssel direkt zuschickt, speichern Sie diesen als Textdatei und geben Sie den Befehl gpg --import ein, um den Schlüssel zu Ihrem Schlüsselbund hinzuzufügen.

2.6.3. GPG-Verschlüsselung einrichten

  1. Klicken Sie auf Bearbeiten > Einstellungen, dann E-Mail-Konten.
  2. Wählen Sie das Konto aus und klicken Sie auf Bearbeiten.
  3. Klicken Sie auf den Reiter Sicherheit.
  4. Fügen Sie Ihre Schlüsselkennung in das Feld PGP/GPG-Schlüsselkennung ein.
  5. Klicken Sie auf OK.
  6. Klicken Sie auf Schließen

Evolution benötigt hier Ihre Schlüsselkennung. Falls Sie diese nicht kennen, so können Sie diese herausfinden, indem Sie den Befehl gpg --list-keys in einem Terminal-Fenster eingeben. Ihre Schlüsselkennung besteht aus Buchstaben und Zahlen mit insgesamt 8 Stellen.

2.6.4. Nachrichten verschlüsseln

Eine einzelne Nachricht verschlüsseln:

  1. Öffnen Sie ein Nachrichteneditor-Fenster.

  2. Klicken Sie auf Sicherheit > Mit PGP verschlüsseln.

  3. Schreiben Sie Ihre Nachricht.

    Klicken Sie auf Abschicken.

Die Betreffzeile der Nachricht wird nicht verschlüsselt und sollte daher keine vertraulichen Informationen enthalten.

Sie können einstellen, dass Ihre E-Mails immer signiert werden:

  1. Klicken Sie auf Bearbeiten > Einstellungen, dann E-Mail-Konten.
  2. Wählen Sie das Konto aus und klicken Sie auf Bearbeiten.
  3. Klicken Sie auf den Reiter Sicherheit.
  4. Wählen Sie Aus diesem Konto ausgehende Nachrichten immer signieren.
  5. Klicken Sie auf OK.
  6. Klicken Sie auf Schließen

2.6.5. Eine empfangene Nachricht entschlüsseln

Wenn Sie eine verschlüsselte Nachricht erhalten, so müssen Sie diese entschlüsseln bevor Sie sie lesen können. Der Absender benötigt Ihren öffentlichen Schlüssel bevor er Ihnen eine verschlüsselte Nachricht schicken kann.

Wenn Sie die verschlüsselte Nachricht betrachten, fragt Sie Evolution nach Ihrem PGP-Passwort. Nach Eingabe wird die unverschlüsselte Nachricht angezeigt.

2.6.6. S/MIME-Verschlüsselung

S/MIME-Verschlüsselung benutzt auch einen Schlüssel-basierten Ansatz, besitzt aber erhebliche Vorteile in Einfachheit und Sicherheit. S/MIME benutzt Zertifikate, die ähnlich zu Schlüsseln sind. Der öffentliche Teil jedes Zertifikats befindet sich beim Absender einer Nachricht und bei einer der verschiedenen Zertifikat-Ausgabestellen (CA), die dafür bezahlt werden, die Identität des Absenders und die Sicherheit der Nachricht zu garantieren. Evolution erkennt bereits von Haus aus eine Vielzahl an Zertifikat-Ausgabestellen; wenn Sie eine Nachricht mit einem S/MIME-Zertifikat erhalten, erhält Ihr System automatisch den öffentlichen Teil des Zertifikates und entschlüsselt und prüft die Nachricht.

S/MIME wird oftmals in geschäftlichen Bereich eingesetzt. In diesen Fällen stellen Administratoren Zertifikate bereit, die diese von einer Zertifikat-Ausgabestelle erhalten haben. In einigen Fällen kann eine Organisation auch als ihre eigene Zertifikat-Ausgabestelle agieren, mit oder ohne Garantie einer angesehenen Ausgabestelle wie zum Beispiel VeriSign* oder Thawte*. In jedem Falle stellt der Systemadministrator Ihnen Ihre Zertifikatsdatei bereit.

Falls Sie unabhängig S/MIME benutzen möchten, so können Sie ein Zertifikat zur Identifizierung aus Ihrem Mozilla*- oder Netscape*-Internetbrowser exportieren. Lese Sie in der Mozilla-Hilfe für weitere Informationen zur Sicherheitszertifikaten.

Die Zertifikat-Datei ist eine Passwort-geschützte Datei auf Ihrem Rechner.

2.6.6.1. Hinzufügen eines Zertifikates zum Signieren

  1. Klicken Sie auf Bearbeiten, dann Einstellungen,
  2. Klicken Sie auf »Zertifikate«.
  3. Klicken Sie auf Importieren.
  4. Wählen Sie die zu importierende Datei aus und klicken Sie auf Öffnen.
  5. Klicken Sie auf Schließen

Auf die gleiche Weise können Sie Zertifikate hinzufügen, die Ihnen unabhängig von einer Ausgabestelle zugeschickt wurden. Klicken Sie auf den Reiter »Kontaktzertifikate« und benutzen Sie die gleiche Importieren-Funktion. Sie können auf die gleiche Weise auch neue Zertifikat-Ausgabestellen mit ihren eigenen Zertifikat-Dateien hinzufügen.

2.6.6.2. Jede Nachricht signieren oder verschlüsseln

Nachdem Sie Ihr Zertifikat hinzugefügt haben, können Sie eine Nachricht signieren oder verschlüsseln, indem Sie in der Menüleiste des E-Mail-Editors auf Sicherheit > Mit S/MIME signieren oder Mit S/MIME verschlüsseln klicken.

So signieren oder verschlüsseln Sie jede Nachricht:

  1. Klicken Sie auf Bearbeiten > Einstellungen, dann E-Mail-Konten.

  2. Wählen Sie das E-Mail-Konto aus, für welches die Nachrichten verschlüsselt werden sollen.

  3. Klicken Sie auf Bearbeiten, dann auf Sicherheit.

  4. Klicken Sie auf den Auswählen-Knopf rechts neben »Signaturzertifikat« und geben Sie den Pfad zu Ihrem Signaturzertifikat an.

    oder

    Klicken Sie auf den Auswählen-Knopf rechts neben »Verschlüsselungszertifikat« und geben Sie den Pfad zu Ihrem Verschlüsselungszertifikat an.

  5. Wählen Sie die gewünschten Optionen aus.

  6. Klicken Sie auf OK.

  7. Klicken Sie auf Schließen