Emails verschlüsseln mit GnuPG

2. Dezember 2016, Beni Buess

digiges.ch/slides/gnupg.html

Digitale Gesellschaft

Die gemeinnützige Organisation informiert und berät zu Konsumenten- und Rechtsfragen im digitalen Raum, schätzt Technologiefolgen ab hinsichtlich der möglichen Auswirkungen auf die Grund- und Menschenrechte und bietet Dienste, Software-Projekte und Workshops zur «digitalen Selbstverteidigung» an.

Die Digitale Gesellschaft kämpft für unsere Freiheitsrechte in einer vernetzten Welt.

Warum verschlüsseln

Mails im Klartext

Emails sind auf den Mailservern (und auf ihrem Weg) im Klartext einsehbar!

Daran ändert sich auch nichts, wenn die Kommunikation mit dem Mailserver mit SSL verschlüsselt wird.

Software

GnuPG

  • Asymmetrische Verschlüsselung (Public-/Private-Key)
  • Erweiterungen für alle gängigen Mailclients
  • Erweiterungen für Texteditoren

Mailclient

  • Apple Mail
  • Thunderbird
  • andere Mailclients behandeln wir aus zeitlichen Gründen nicht speziell in diesem Kurs (evtl. Outlook wenn nötig)

Thunderbird

GnuPG installieren: macOS

Einschränkungen

  • Die aktuelle Version der eingesetzten Software benötigt mindestens macOS 10.9
  • Versionen für ältere macOS sind verfügbar
  • Apple Mail ist vor dem Start der Installation zu beenden.
  • Mit macOS Sierra funktioniert die Erweiterung für Apple Mail noch nicht (-> Thunderbird) oder warten mit macOS Update

GPGTools

Die Software kann von der Projektseite heruntergeladen werden: http://www.gpgtools.org

Hier bitte warten

GnuPG installieren: Windows

Outlook

  • Das Plugin für Microsoft Outlook funktioniert laut Entwicklern für 2003/2007/2010/2013 und 2016
  • Wir können die Einrichtung mit Outlook in diesem Kurs aus zeitlichen Gründen nicht garantieren

Gpg4Win

Gpg4win Installer starten

Komponenten auswählen

  • Benötigt wird lediglich GnuPG
  • Wer Thunderbird verwendet, lässt den Rest weg

S/MIME Konfiguration überspringen

Installation abgeschlossen

Schlüssel verwalten

  • generieren
  • importieren
  • exportieren
  • ...

Schlüssel generieren

  • Wir generieren ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel.
  • Die Sicherheit basiert auf der absoluten Geheimhaltung des privaten Schlüssels.
  • Die Passphrase ist wichtig! Damit wird der private Schlüssel verschlüsselt.

richtiger Name?

Ob der richtige Name angeben wird für die User-ID liegt im eigenen Ermessen.
Hat jemand gute Gründe dafür oder dagegen?

Passphrase

Ablaufdatum

  • Für den Key können wir ein Ablaufdatum definieren.
  • Der Key kann auch unbeschränkt gültig sein
  • Beides hat seine Vor- und Nachteile

Schlüssel generieren OSX

Erweiterte Optionen öffnen

Schlüssel generieren mit Thunderbird/Enigmail

Enigmail Erweiterung installieren

Enigmail einrichten / Schlüssel generieren

Passphrase eingeben und sich gut merken

Widerrufszertifikat erzeugen

Details dazu später

das erste mal wird die Passphrase abgefragt

Der Schlüssel ist erzeugt

Schlüssel importieren

Zum Testen wird der Public Key von office@digitale-gesellschaft.ch importiert.
Dieser ist unter digiges.ch/uber-uns/ zu finden.

Alles markieren und kopieren

Schlüssel importieren mit GPG Keychain (macOS)

In GPG Keychain hat sich bereits ein Fenster geöffnet, weil ein Schlüssel in der Zwischenablage gefunden wurde

Schlüssel importieren mit Enigmail

Schlüssel signieren

Fingerprint überprüfen

Fingerprint über einen separaten Kanal übertragen!

Fingerprint anzeigen

Im Key Manager Doppelklick auf den importieren Schlüssel. Dadurch werden Informationen zum Schlüssel angezeigt. Unter anderem der Fingerprint.

  • Gehört der Fingerprint wirklich dieser Person?
  • Zur Kontrolle bieten sich Ausweis und Schlüsselstreifen an.

  • Dieser Schritt ist enorm wichtig. Darauf basiert die Sicherheit des Systems.
  • Der Signatur-Level kann pro Signatur gewählt werden.

Schlüssel signieren mit GPG Keychain

importierten Schlüssel doppelklicken

Schlüssel signieren mit Enigmail

importierten Schlüssel doppelklicken, dann auf "zertifizieren"

Lokal unterschreiben?

öffentlichen Schlüssel exportieren

Damit andere mir verschlüsselte Nachrichten senden können, brauchen Sie meinen Schlüssel. Dieser kann aus der Schlüsselverwaltung als Datei exportiert werden.

GPG Keychain

GPG Keychain

Enigmail

Enigmail

Diese Schlüsseldatei kann nun per Email als Anhang versendet werden oder auf einer Webseite zum Download angeboten werden.

Verschlüsseltes Mail versenden

Apple Mail

Nach dem Start von Apple Mail sieht man die GPGMail Einstellungen

Ist der Schlüssel zur Empfängeradresse vorhanden wird automatisch verschlüsselt

Thunderbird

Im Fenster zum Verfassen einer Nachricht gibt es einen Button zum verschlüsseln der Nachricht, der öffentliche Schlüssel kann auch da direkt angehängt werden

Verschlüsseltes Mail empfangen

Apple Mail

Thunderbird

üben üben...

Sendet euren Public Key in einem verschlüsselten Mail an

Tauscht untereinander die Schlüssel aus, verifiziert die Signaturen, und sendet euch verschlüsselte Mails

Das wars

Fragen gerne an

Vielen Dank für das Interesse

Slides: digiges.ch/slides/gnupg.html

Website: www.digitale-gesellschaft.ch

Facebook: DigitaleGesellschaftSchweiz

Twitter: @digiges_ch

Digitale Gesellschaft
CH-4000 Basel


Postkonto 61-177451-1