PGP Zertifikate für Emailverschlüsselung erzeugen

Um Emails zu verschlüsseln gibt es zwei gängige Verfahren. Diese sind S/MIME und PGP. Die beiden Verfahren sind nicht untereinander kompatibel. S/MIME hat den großen Vorteil, dass es in jedem gängigen Mailclient (Outlook, Thunderbird, iOS Mail, Android Mail…) integriert ist. Die für S/MIME verwendeten X.509 Zertifikate werden in der Regel durch eine Public CA unterschrieben. Solange der Private Key unter eigener Hoheit bleibt, ist alles in Ordnung. Falls nicht, ist die Vertraulichkeit des Zertifikats zu bezweifeln.

PGP Zertifikate werden selbst erstellt. Damit der Kommunikationspartner eine verschlüsselte Email lesen kann, muss er seinen eigenen öffentlichen Schlüssel zur Verfügung stellen. Dazu gibt es mehrere Möglichkeiten:

  • PGP Keyserver
  • Eigene Website
  • Anhang in der Email

Wichtig ist es, seinen privaten Schlüssel niemals aus der Hand zu geben. Verschlüsselt wird immer mit dem öffentlichen Schlüssel des Gegenübers, entschlüsselt mit dem eigenen privaten Schlüssel. Um Emails mit PGP zu verschlüsseln, gibt es für Thunderbird das Addon „Enigmail“. Damit lassen sich die Schlüsselpaare auch gleich erzeugen. Dies funktioniert sowohl unter Linux als auch unter Windows. Für Windows wird zusätzlich noch die OpenSource Software „GPG4Win“ benötigt die es HIER zum Download gibt. In Thunderbird geht es über „Enigmail\Schlüssel verwalten…“ zur Schlüsselverwaltung. Hier befindet sich später das eigene Schlüsselpaar (privat und öffentlich) sowie die importierten öffentlichen Schlüssel der Kommunikationspartner. Über „Erzeugen\Neues Schlüsselpaar…“ werden die PGP Zertifikate erzeugt.

PGP Zertifikate Email Verschlüsselung

Das Ablaufdatum kann frei gewählt werden. Ist ein Schlüssel einmal abgelaufen, kann er, sofern der Private Schlüssel noch vorhanden ist, wieder verlängert werden. Das Passwort sollte extrem stark gewählt werden. Im Optimalfall kennt man es selber nicht und holt es sich nur bei Bedarf aus seinem eigenen Passwortsafe. Über den Reiter „Erweitert“ wird die RSA Schlüsselstärke noch auf „4096“ geändert, um für die Zukunft gewappnet zu sein.

PGP Zertifikate Email Verschlüsselung

Beim Klick auf „Schlüsselpaar erzeugen“ kommt eine Zusätzliche Abfrage die bestätigt werden muss. Während des Vorgangs kann ein „Widerrufszertifikat“ erzeugt werden. Das wird benötigt, wenn der private Schlüssel abhandengekommen ist oder dem Zertifikat nicht mehr Vertraut werden kann, da der Rechner z.B. kompromittiert wurde. Bereits verschlüsselte Dateien oder Emails lassen sich jedoch auch im Nachhinein noch entschlüsseln. Wurde ein Schlüssel jedoch zurückgezogen/revoked, kann er nicht mehr zum Verschlüsseln, Unterschreiben oder Beglaubigen benutzt werden.

PGP Zertifikate Email Verschlüsselung

Die erzeugte „.asc“ Datei sollte an einem sicheren Ort aufbewahrt werden. Nach Fertigstellung ist der neue Schlüssel in der Schlüsselverwaltung sichtbar und kann von dort in eine Datei exportiert werden um ein Backup zu haben. Der private Schlüssel sollte auch an einem sicheren Ort abgelegt werden. In den Eigenschaften des Schlüssels gibt es ein paar wichtige Informationen.

PGP Zertifikate Email Verschlüsselung

Der Fingerabdruck und die Schlüssel-ID sind ein wichtiges Merkmal. Hiermit lässt sich eindeutig beweisen, dass es sich um seinen eigenen Schlüssel handelt. Wer sich seinen Schlüssel von anderen PGP Usern beglaubigen lassen möchte um die Authentizität zu erhöhen, wird in der Regel immer nach der Schlüssel ID und dem Fingerprint gefragt. Hierfür gibt es auch extra „Keysigning Partys“ die z.B. vom CCC oder entsprechenden Erfa Kreisen veranstaltet werden. Auf solchen Partys sollte man immer genügend ausgedruckte Schlüsselinformationen dabei haben und diese natürlich auch von anderen Usern einfordern. Um jetzt verschlüsselte Emails zu empfangen, muss der öffentliche Schlüssel bekannt gemacht werden. Der öffentliche Schlüssel kann direkt aus der Schlüsselverwaltung auf einen Keyserver hochgeladen werden.

PGP Zertifikate Email Verschlüsselung

Welcher Server hier ausgewählt wird ist egal, da sich die Server untereinander replizieren. Aber Vorsicht! Ein einmal hochgeladener Schlüssel kann nicht mehr gelöscht werden! Über die Emailadresse kann der Schlüssel jetzt gefunden und importiert werden. Alternativ kann der Schlüssel auch zusätzlich auf dem eigenen Webspace abgelegt werden. Welche Möglichkeit zur Veröffentlichung gewählt wird, bleibt jedem selbst überlassen. Viele scheuen einen Upload auf einen Keyserver. Auf der anderen Seite ist es ja genau Sinn und Zweck eines öffentlichen Schlüssels, diesen bekannt zu machen. In folgenden Blogposts werde ich das Vorgehen zum Verschlüsseln von Emails beschreiben. Sollte Interesse an genaueren Infos bestehen, wo genau die Keys liegen, bitte einen kurzen Kommentar abgeben.