So verwenden Sie Mailvelope – Ein sicheres OpenPGP-Webmail

Briefumschlag ist eine kostenlose Open-Source-Browsererweiterung für Google Chrome und Mozilla Firefox, die eine sichere End-to-End-E-Mail-Verschlüsselung mit Ihrem browserbasierten Webmail wie Gmail, Hotmail, Yahoo! und GMX. In dieser Anleitung zeigen wir Ihnen, wie Sie Mailalope verwenden und erklären die Vorteile der PGP-Verschlüsselung.

Webbasierte E-Mail-Dienste sind sehr beliebt, da sie leicht zugänglich und oft „kostenlos“ sind. Das Problem ist, dass sie sehr unsicher sind, da Sie Ihre E-Mails auf einem Drittanbieter-Server speichern, wo sie von den Betreibern des Servers oder von anderen Gegnern (wie der NSA) leicht abgerufen werden können.

Dies ist ein Problem, das sich oft verschärft, wenn Sie einen „kostenlosen“ Dienst wie Google Mail verwenden, da der Anbieter (im Fall von Google Mail Google) alle Ihre E-Mails scannt, um ein komplexes Verhaltensmodell von Ihnen zu erstellen, damit er gezielte Werbung liefern kann. Mit anderen Worten, Sie „bezahlen“ mit Ihrer Privatsphäre statt mit Bargeld.

Die Antwort auf dieses Problem besteht darin, Ihre E-Mails vor dem Senden so zu verschlüsseln, dass nur Ihr beabsichtigter Empfänger sie auf seinem Computer entschlüsseln kann (damit keine unverschlüsselten Klartext-E-Mails an einen Server gesendet, gespeichert oder von einem Server empfangen werden).

Leider sollten Sie sich dank der archaischen Funktionsweise von E-Mails immer bewusst sein, dass E-Mail-Verschlüsselung nicht verschlüsselt alles. Die E-Mail-Adressen von Absender und Empfänger, Datum und Uhrzeit des Versands sowie die Betreffzeile der E-Mail werden nicht verschlüsselt; nur der Körper und alle Anhänge. Diese Metadaten können in den falschen Händen immer noch sehr schädlich sein.

Über Mailvelope

Mit der Mailvelope-Erweiterung können Sie Ihre E-Mails in Ihrem Browser mit OpenPGP verschlüsseln und alle erhaltenen OpenPGP- (und PGP-) E-Mails entschlüsseln. Wenn Sie E-Mails mit Mailvelope versenden, können diese mit jeder geeigneten PGP/OpenPGP/GPG-Software entschlüsselt werden, solange Sie (der Absender) über den öffentlichen Verschlüsselungsschlüssel verfügen und der Empfänger über den richtigen privaten Schlüssel (und das zugehörige Passwort) verfügt ).

Wie immer bei PGP ist die Einrichtung etwas kompliziert, und es kann eine Weile dauern, bis Sie sich mit bestimmten Schlüsselkonzepten vertraut gemacht haben. Bei der Public-Key-Kryptographie ist es am wichtigsten, sich daran zu erinnern, dass jeder Benutzer einen privaten Schlüssel hat, den er geheim hält und zum Entschlüsseln von E-Mails verwendet, die mit seinem öffentlichen Schlüssel an ihn gesendet werden. Sie haben auch einen öffentlichen Schlüssel, den sie frei verteilen, damit andere ihn verwenden können, um ihnen verschlüsselte E-Mails zu senden.

  • Öffentlicher Schlüssel – verteilt, damit andere ihn zum Verschlüsseln von E-Mails verwenden können, die an Sie gesendet werden.
  • Privater Schlüssel – geheim gehalten und zum Entschlüsseln der eigenen Mail verwendet. Bewahren Sie es sicher auf!

Wenn Sie das verwirrend finden, dann hat die GPG4win-Website einen großartigen Artikel, der alles erklärt. Glücklicherweise ist Mailvelope nach der Einrichtung sehr einfach zu bedienen.

Verwenden von Mailvelope

1. Schlüssel

Wir verwenden in unseren Beispielen Windows 7, Firefox und Gmail, aber der Prozess ist unabhängig von Plattform, Browser und Webmail-Dienst sehr ähnlich.

a. Folgen Sie den Links auf der Website, um Mailvelope herunterzuladen und zu installieren.

b. Öffnen Sie die Mailvelope-Optionen, indem Sie auf das entsprechende Symbol in der Add-on-Leiste klicken (das Sie über das Firefox-Menü -> Optionen ein- und ausschalten können). In Chrome erscheint stattdessen ein Schloss-Symbol neben der Adressleiste.

c. Generieren Sie ein Schlüsselpaar – indem Sie zu ‘Generate Key’ gehen und die erforderlichen Details eingeben. Wir empfehlen die Verwendung von mindestens 2048 RAS-Verschlüsselung, also klicken Sie auf „Erweitert“ und wählen Sie diese (oder höher) aus. ‘Senden’, wenn Sie bereit sind.

Schlüssel 1b

Wie die Warnung andeutet, kann dies einige Minuten dauern und dazu führen, dass Ihr Browser hängt. Seien Sie geduldig, und Sie sollten eine Bestätigung erhalten, dass ein neuer Schlüssel generiert wurde.

Schlüssel 2

Wenn Sie auf die Registerkarte “Schlüssel anzeigen” schauen, sehen Sie Ihren neu generierten Schlüssel.

Schlüssel 3

d. Schlüssel importieren – Wenn Sie über vorhandene Schlüssel verfügen, können diese importiert werden, indem Sie „Schlüssel importieren“ auswählen und den Schlüsseltext einfügen oder zum Speicherort der Textdatei navigieren. Um E-Mails zu versenden, müssen Sie hier die öffentlichen Schlüssel der Empfänger eingeben.

Schlüssel 56

e. Schlüssel exportieren – Damit andere Ihnen verschlüsselte E-Mails senden können, müssen Sie Ihren öffentlichen Schlüssel ein wenig herumstecken – senden Sie ihn an Ihre Kontakte, fügen Sie ihn in Ihre E-Mail-Signatur ein, was immer Ihnen passt.

Auf Ihrem Schlüssel können Sie Ihren öffentlichen Schlüssel als Textdatei exportieren oder per E-Mail an Ihre Kontakte senden. Sie können Ihren privaten Schlüssel (oder Ihr Schlüsselpaar) auch anzeigen und (zu Sicherungszwecken) exportieren, aber achten Sie darauf, diesen sicher aufzubewahren.

f. Validierung eines Schlüsselpaars – Dies ist ein wichtiger Schritt, da er bestätigt, dass ein Empfänger derjenige ist, für den er sich ausgibt. Dies sollte von Angesicht zu Angesicht erfolgen, aber verschlüsseltes VoIP ist eine weitere gute Option. Verwenden Sie niemals Telefone (Mobil- oder Festnetz), da diese heutzutage einfach nicht sicher sind.

Um ein Schlüsselpaar zu validieren, müssen Sie bestätigen, dass der Fingerabdruck für jeden Schlüssel, den Sie haben, mit dem Original des Absenders übereinstimmt. Den Fingerabdruck eines Schlüssels finden Sie, indem Sie auf das kleine Dreieck links neben dem Schlüssel im Schlüsselring klicken.

Schlüssel 7

g. Mailvelope unterstützt derzeit kein digitales Signieren von Nachrichten, aber „diese Funktion befindet sich in der Entwicklung“. Was es gibt, sind „Security Tokens“, ein dreistelliger Code, der in allen Mailvelope-Dialogen gut sichtbar angezeigt wird und deren Herkunft eindeutig identifiziert, damit Sie sie nicht verwechseln können

Schlüssel 8

Sie können Ihr Sicherheitstoken anpassen, indem Sie im Mailvelope-Optionsfenster auf die Registerkarte „Sicherheit“ klicken.

2. Verfassen einer E-Mail

a. Wenn wir in Google Mail „Verfassen“ auswählen, erscheint das normale Fenster „Neue Nachricht“, jedoch mit einem zusätzlichen Symbol im Texteingabebereich. Füllen Sie die Felder Empfänger und Betreff normal aus (denken Sie daran, dass die Informationen nicht verschlüsselt sind). Sie können auch Text, der nicht verschlüsselt werden soll, wie gewohnt in den Hauptbereich zum Verfassen eingeben.

senden 1

b. Wenn Sie auf das Symbol klicken, gelangen Sie zu einer Texteingabemaske, in der Sie eingeben können, was Sie verschlüsselt senden möchten. Wenn Sie fertig sind, drücken Sie die Vorhängeschloss-Taste.

senden 2

c. Empfänger hinzufügen – Sie können nur Empfänger hinzufügen, deren öffentliche Schlüssel Sie Ihrem Schlüsselbund hinzugefügt haben (siehe Schritt 1d). Klicken Sie auf „OK“, wenn Sie mit dem Verschlüsseln der Nachricht fertig sind.

senden 3

d. Sie sehen nun, dass der E-Mail-Text durch die verschlüsselte Nachricht ersetzt wird. Klicken Sie auf die Schaltfläche „Übertragen“, um den verschlüsselten Text in Ihre E-Mail einzufügen, und „senden“ Sie die E-Mail dann wie gewohnt.

senden 4

3. Empfangen einer verschlüsselten Nachricht

a. Wenn Sie eine mit PGP/OpenPGP verschlüsselte E-Mail erhalten, sieht sie wie im Screenshot unten aus. Klicken Sie zum Entschlüsseln auf eine beliebige Stelle in der Nachricht, an der sich der Cursor in ein Schlüsselsymbol verwandelt.

1 erhalten

b. Sie werden aufgefordert, Ihr eigenes Passwort einzugeben (das in Schritt 1c generiert wurde).

2 erhalten

c. Und ta-da! Die Nachricht ist entschlüsselt!

3 erhalten

Sehr Gute Privatsphäre

PGP wurde als Protokoll zum sicheren Verschlüsseln von E-Mails entwickelt, und obwohl der ursprüngliche Standard nicht mehr Open Source ist (er ist jetzt Eigentum von Symantec), hat die Free Software Foundation das Open-Source-Banner in Form des ( 100 interoperabel mit PGP) OpenPGP-Standard.

PGP_Diagramm

Die gebräuchlichste Implementierung von OpenPGP ist GNU Privacy Guard (auch als GnuPG oder einfach GPG bekannt), das für Windows, Mac OS X und Linux verfügbar ist. Obwohl das Basisprogramm eine einfache Befehlszeilenschnittstelle verwendet, sind anspruchsvollere Versionen für Windows (Gpg4win) und Mac (GPGTools) verfügbar.

Wir diskutieren und stellen an anderer Stelle eine detaillierte GpG4win-Anleitung zur Verfügung, und es kann sich lohnen, sie durchzulesen, um zu verstehen, wie OpenPGP funktioniert. Wie bei GPGTools für Mac erfordert es die Verwendung eines dedizierten E-Mail-Clients, der zwar wohl die sicherere Lösung ist, aber von vielen als viel weniger bequem empfunden wird (und daher weniger wahrscheinlich verwendet wird).

Fazit

Mailvelope ist eine der einfachsten Möglichkeiten, Ihre E-Mails mit starkem PGP zu sichern, und bietet den Komfort, nahezu nahtlos mit den meisten gängigen Webmail-Diensten zusammenzuarbeiten. Das größte Problem besteht darin, Kollegen und Familienmitglieder dazu zu bringen, es ebenfalls zu verwenden, aber zumindest seine relative Benutzerfreundlichkeit hilft vielleicht etwas bei Ihren Überzeugungsbemühungen! Denken Sie auch immer daran, dass Ihre E-Mail-Betreffzeilen, Zeitstempel und die Empfängerliste nicht verschlüsselt sind.