#1 Hier geht es los

Dieser Leitfaden stützt sich auf Programme, die frei lizenziert sind; sie sind völlig transparent und jeder kann sie kopieren oder seine eigene Version erstellen. Dies macht sie sicherer vor Überwachung als proprietäre Software (wie Windows oder macOS). Erfahren Sie mehr über freie Programme unter fsf.org.

Auf den meisten GNU/Linux-Betriebssystemen ist GnuPG bereits installiert. Wenn Sie also eines dieser Systeme verwenden, müssen Sie es nicht herunterladen. Wenn Sie mit macOS oder Windows arbeiten, finden Sie unten die Schritte zum Herunterladen von GnuPG. Bevor Sie Ihr Verschlüsselungsprogramm mit diesem Leitfaden installieren können, müssen Sie jedoch ein E-Mail-Programm auf Ihrem Computer installieren. Viele GNU/Linux-Distributionen haben bereits ein solches Programm installiert, z. B. Thunderbird oder Sylpheed. Programme wie diese sind eine weitere Möglichkeit, auf dieselben E-Mail-Konten zuzugreifen, auf die Sie auch über einen Browser zugreifen können (z. B. Gmail), bieten aber zusätzliche Funktionen.

Schritt 1a: Installationsassistent

Schritt 1.a Richten Sie Ihr E-Mail-Programm mit Ihrem E-Mail-Konto ein

Öffnen Sie Ihr E-Mail-Programm und folgen Sie dem Assistenten (Schritt-für-Schritt-Anleitung), der es mit Ihrem E-Mail-Konto einrichtet. Dies beginnt in der Regel unter "Kontoeinstellungen" → "E-Mail-Konto hinzufügen". Die Einstellungen für den E-Mail-Server erhalten Sie von Ihrem Systemadministrator oder im Hilfebereich Ihres E-Mail-Kontos.

Fehlerbehebung

Der Assistent lässt sich nicht starten
Sie können den Assistenten selbst starten, aber die Menüoption dafür ist in jedem E-Mail-Programm anders benannt. Die Schaltfläche zum Starten des Assistenten befindet sich im Hauptmenü des Programms unter "Neu" oder etwas Ähnlichem mit dem Titel "Konto hinzufügen" oder "Neues/Existierendes E-Mail-Konto".
Der Assistent kann mein Konto nicht finden oder lädt meine E-Mails nicht herunter
Bevor Sie im Internet suchen, empfehlen wir Ihnen, zunächst andere Personen zu fragen, die Ihr E-Mail-System verwenden, um die richtigen Einstellungen herauszufinden.
Ich kann das Menü nicht finden
In vielen neuen E-Mail-Programmen wird das Hauptmenü durch ein Bild mit drei gestapelten horizontalen Balken dargestellt.

Step 1.b GnuPG installieren

Wenn Sie ein GNU/Linux-Gerät verwenden, sollten Sie GnuPG bereits installiert haben und können zu Sektion 2 übergehen.

Wenn Sie jedoch ein macOS- oder Windows-Gerät verwenden, müssen Sie zunächst das Programm GnuPG installieren. Wählen Sie unten Ihr Betriebssystem aus und folgen Sie den Anweisungen. Für den Rest dieser Anleitung sind die Schritte für alle Betriebssysteme gleich.

macOS

Verwenden Sie einen Paketverwalter eines Drittanbieters, um GnuPG zu installieren

Der Standard-Paketverwalter von macOS macht es schwierig, GnuPG und andere freie Software (wie Emacs, GIMP oder Inkscape) zu installieren. Um die Sache zu vereinfachen, empfehlen wir, den Paketverwalter "Homebrew" eines Drittanbieters einzurichten, um GnuPG zu installieren. Dazu verwenden wir ein Programm namens "Terminal", das auf macOS vorinstalliert ist.

# Kopieren Sie den ersten Befehl auf der Startseite von Homebrew, indem Sie auf das Symbol in der Zwischenablage klicken, und fügen Sie ihn in Terminal ein. Klicken Sie auf die Eingabetaste ("Enter") und warten Sie, bis die Installation abgeschlossen ist.

# Installieren Sie dann GnuPG, indem Sie den folgenden Code in Terminal eingeben:
brew install gnupg gnupg2

Windows

Holen Sie sich GnuPG durch Herunterladen von GPG4Win

GPG4Win ist ein Programm zur E-Mail- und Dateiverschlüsselung, das GnuPG enthält. Laden Sie die neueste Version herunter und installieren Sie sie, indem Sie die Standardoptionen wählen, wenn Sie dazu aufgefordert werden. Nach der Installation können Sie alle Fenster schließen, die das Programm erstellt.

GnuPG, OpenPGP, was?

Im Allgemeinen werden die Begriffe GnuPG, GPG, GNU Privacy Guard, OpenPGP und PGP synonym verwendet. Technisch gesehen ist OpenPGP (Pretty Good Privacy) der Verschlüsselungsstandard, und GNU Privacy Guard (oft abgekürzt als GPG oder GnuPG) ist das Programm, das diesen Standard implementiert. Die meisten E-Mail-Programme bieten eine Schnittstelle für GnuPG. Es gibt auch eine neuere Version von GnuPG, genannt GnuPG2.

#2 Erstellen Sie Ihre Schlüssel

Ein Roboter mit einem Kopf in Form eines Schlüssels, der einen privaten und einen öffentlichen Schlüssel enthält

Um das GnuPG-System zu nutzen, benötigen Sie einen öffentlichen und einen privaten Schlüssel (zusammen als Schlüsselpaar bezeichnet). Jeder dieser Schlüssel ist eine lange Kette von zufällig generierten Zahlen und Buchstaben, die für Sie einzigartig sind. Ihr öffentlicher und Ihr privater Schlüssel sind durch eine spezielle mathematische Funktion miteinander verknüpft.

Ihr öffentlicher Schlüssel ist nicht wie ein physischer Schlüssel, da er öffentlich in einem Verzeichnis im Netz namens Schlüsselserver gespeichert ist. Andere laden ihn herunter und verwenden ihn zusammen mit GnuPG, um E-Mails zu verschlüsseln, die sie Ihnen schicken. Sie können sich den Schlüsselserver wie ein Telefonbuch vorstellen; Leute, die Ihnen verschlüsselte E-Mails schicken wollen, können Ihren öffentlichen Schlüssel nachschlagen.

Ihr privater Schlüssel ist eher wie ein physischer Schlüssel, denn Sie behalten ihn für sich (auf Ihrem Computer). Sie verwenden GnuPG und Ihren privaten Schlüssel zusammen, um verschlüsselte E-Mails zu entschlüsseln, die andere Personen an Sie senden. Sie sollen Ihren privaten Schlüssel unter keinen Umständen an andere weitergeben.

Neben der Ver- und Entschlüsselung können Sie diese Schlüssel auch verwenden, um Nachrichten zu signieren und die Echtheit der Signaturen anderer Personen zu überprüfen. Wir werden dies im nächsten Abschnitt näher erläutern.

Schritt 2a: Erstellen Sie Ihr Schlüsselpaar

Schritt 2a: Festlegen der Sicherheitsabfrage (Passphrase)

Step 2.a Erstellen Sie Ihr Schlüsselpaar

Schritt 2.A: Festlegen der Sicherheitsabfrage (Passphrase)

Wir werden die Befehlszeile in einem Terminal verwenden, um ein Schlüsselpaar mit dem Programm GnuPG zu erstellen.

Ob unter GNU/Linux, macOS oder Windows, Sie können Ihr Terminal ("Terminal" in macOS, "PowerShell" in Windows) über das Menü "Anwendungen" starten (einige GNU/Linux-Systeme reagieren auf die Tastenkombination Strg + Alt + T).

# Geben Sie gpg --full-generate-key ein, um den Prozess zu starten.

# Wählen Sie zur Beantwortung der Frage, welche Art von Schlüssel Sie erstellen möchten, die Standardoption: 1 RSA und RSA.

# Wählen Sie die folgende Schlüsselgrösse 4096 für einen starken Schlüssel.

# Wählen Sie das Verfallsdatum; wir schlagen 2y (2 Jahre) vor.

Folgen Sie den Aufforderungen, um mit der Einrichtung Ihrer persönlichen Daten fortzufahren.

Abhängig von Ihrer GPG-Version müssen Sie möglicherweise --gen-key anstelle von --full-generate-key verwenden.

Sie können weitere Optionen einstellen, indem Sie gpg --edit-key [ihre@email-adres.se] in einem Terminalfenster ausführen.

Setzen Sie Ihre Sicherheitsabfrage

Wählen Sie auf dem Bildschirm "Sicherheitsabfrage " eine starke Sicherheitsabfrage! Sie können dies manuell tun oder die Diceware-Methode verwenden. Die manuelle Eingabe ist schneller, aber nicht so sicher. Mit Diceware dauert es länger und man muss würfeln, aber es wird eine Sicherheitsabfrage erstellt, die für Angreifer viel schwieriger zu entschlüsseln ist. Um sie zu verwenden, lesen Sie den Abschnitt "Erstellen einer sicheren Passphrase mit Diceware" in diesem Artikel von Micah Lee.

Wenn Sie eine Sicherheitsabfrage manuell wählen möchten, denken Sie sich etwas aus, das Sie sich merken können, das mindestens zwölf Zeichen lang ist und mindestens einen Klein- und einen Großbuchstaben sowie mindestens eine Zahl oder ein Satzzeichen enthält. Wählen Sie niemals eine Sicherheitsabfrage, die Sie schon einmal verwendet haben. Verwenden Sie keine erkennbaren Muster, wie Geburtstage, Telefonnummern, Namen von Haustieren, Liedtexte, Zitate aus Büchern und so weiter.

Fehlerbehebung

GnuPG ist nicht installiert
Mit dem Befehl gpg --version können Sie überprüfen, ob dies der Fall ist. Wenn GnuPG nicht installiert ist, wird bei den meisten GNU/Linux-Systemen folgendes Ergebnis angezeigt: Befehl 'gpg' nicht gefunden, kann aber installiert werden mit: sudo apt install gnupg. Führen Sie diesen Befehl aus und installieren Sie das Programm.
gpg --full-generate-key Befehl funktioniert nicht
Einige Distributionen verwenden eine andere Version von GPG. Falls Sie eine Fehlermeldung bekommen, dessen Programmcode in etwas so aussieht: gpg: Invalid option "--full-generate-key", können Sie folgende Befehle ausprobieren:
sudo apt update
sudo apt install gnupg2
gpg2 --full-generate-key
Wenn dies das Problem gelöst hat, müssen Sie in den folgenden Schritten der Anleitung weiterhin den Bezeichner gpg2 anstelle von gpg verwenden.

Abhängig von Ihrer GPG-Version müssen Sie möglicherweise --gen-key anstelle von --full-generate-key verwenden.

Ich habe zu lange gebraucht, um meine Passphrase zu erstellen
Das ist in Ordnung. Es ist wichtig, dass Sie über Ihre Sicherheitsabfrage nachdenken. Wenn Sie bereit sind, führen Sie einfach die Schritte von Anfang an aus, um Ihren Schlüssel zu erstellen.
Wie kann ich meinen Schlüssel sehen?
Verwenden Sie den folgenden Befehl, um alle Schlüssel zu sehen: gpg --list-keys. Ihr Schlüssel sollte dort aufgelistet sein, und später auch der von Edward(Abschnitt 3).
Wenn Sie nur Ihren Schlüssel sehen wollen, können Sie gpg --list-key [your@email] verwenden.
Sie können auch den Code gpg --list-secret-key benutzen, um Ihren Privatschlüssel zu sehen.
Mehr Ressourcen
Für weitere Informationen über diesen Prozess können Sie auch das GNU Privatsphären-Handbuch lesen. Achten Sie darauf, dass Sie bei "RSA und RSA" (der Standardeinstellung) bleiben, da es neuer und sicherer ist als die in der Dokumentation empfohlenen Algorithmen. Stellen Sie außerdem sicher, dass Ihr Schlüssel mindestens 4096 Bit lang ist, wenn Sie sicher sein wollen.

Erweitert

Erweiterte Schlüsselpaare
Wenn GnuPG ein neues Schlüsselpaar erzeugt, trennt es die Verschlüsselungsfunktion von der Signierfunktion durch subkeys. Wenn Sie Unterschlüssel sorgfältig verwenden, können Sie Ihre GnuPG-Identität sicherer halten und sich von einem kompromittierten Schlüssel viel schneller erholen. Alex Cabal und das Debian-Wiki bieten gute Anleitungen für die Einrichtung einer sicheren Unterschlüssel-Konfiguration.

Schritt 2b: An den Server senden und ein Zertifikat erzeugen

Schritt 2b Einige wichtige Schritte nach der Erstellung

Hochladen Ihres Schlüssels auf einen Schlüsselserver

Wir laden Ihren Schlüssel auf einen Schlüsselserver hoch, so dass jemand, der Ihnen eine verschlüsselte Nachricht senden möchte, Ihren öffentlichen Schlüssel aus dem Internet herunterladen kann. Es gibt mehrere Schlüsselserver , die Sie beim Hochladen aus dem Menü auswählen können, aber sie sind meist alle Kopien voneinander. Jeder Server funktioniert, aber es ist gut, sich zu merken, auf welchen Server Sie Ihren Schlüssel ursprünglich hochgeladen haben. Denken Sie auch daran, dass es manchmal ein paar Stunden dauert, bis sie sich gegenseitig abgleichen, wenn ein neuer Schlüssel hochgeladen wird.

# Kopieren Sie Ihre keyID: gpg --list-key [ihre@emailadresse] listet Ihre öffentlichen ("pub") Schlüsselinformationen auf, einschließlich Ihrer keyID, eine eindeutigen Liste von Zahlen und Buchstaben. Kopieren Sie diese keyID, damit Sie sie im folgenden Befehl verwenden können.

# Laden Sie Ihren Schlüssel auf einen Server hoch: gpg --send-key [keyID]

Exportieren Sie Ihren Schlüssel in eine Datei

Verwenden Sie den folgenden Befehl, um Ihren geheimen Schlüssel zu exportieren, damit Sie ihn im nächsten Schritt in Ihr E-Mail-Programm importieren können. Um zu vermeiden, dass Ihr Schlüssel kompromittiert wird, bewahren Sie ihn an einem sicheren Ort auf und stellen Sie sicher, dass die Übertragung auf eine vertrauenswürdige Weise erfolgt. Sie können Ihre Schlüssel mit den folgenden Befehlen exportieren:

$ gpg --export-secret-keys -a [keyID] > mein_geheimer_schluessel.asc
$ gpg --export -a [SchlüsselID] > mein_öffentlicher_Schlüssel.asc

Erzeugen Sie ein Sperrzertifikat

Für den Fall, dass Sie Ihren Schlüssel verlieren oder er kompromittiert wird, möchten Sie ein Zertifikat erzeugen und es zunächst an einem sicheren Ort auf Ihrem Computer speichern (siehe Step 6.C wie Sie Ihr Sperrzertifikat am besten sicher aufbewahren). Dieser Schritt ist für Ihre E-Mail-Selbstverteidigung unerlässlich, wie Sie in Abschnitt 5 erfahren werden.

# Kopieren Sie Ihre keyID: gpg --list-key [ihre@emailadresse] listet Ihre öffentlichen ("pub") Schlüsselinformationen auf, einschließlich Ihrer keyID, eine eindeutigen Liste von Zahlen und Buchstaben. Kopieren Sie diese keyID, damit Sie sie im folgenden Befehl verwenden können.

# Erzeugen Sie ein Sperrzertifikat: gpg --gen-revoke --output revoke.asc [keyID]

# Sie werden aufgefordert, einen Grund für den Widerruf anzugeben, wir empfehlen die Angabe 1  = Schlüssel wurde kompromittiert.

# Sie müssen keinen Grund angeben, können es aber tun; drücken Sie dann "Eingabe" für eine leere Zeile und bestätigen Sie Ihre Auswahl.

Fehlerbehebung

Das Senden meines Schlüssels an den Schlüsselserver funktioniert nicht
Anstatt den allgemeinen Befehl zum Hochladen Ihres Schlüssels auf den Schlüsselserver zu verwenden, können Sie einen spezifischeren Befehl verwenden und den Schlüsselserver zu Ihrem Befehl hinzufügen gpg --keyserver keys.openpgp.org --send-key [keyID].
Mein Schlüssel scheint nicht zu funktionieren, oder ich erhalte die Meldung "Genehmigung verweigert".

Wie jede andere Datei oder jeder andere Ordner unterliegen auch gpg-Schlüssel einer Berechtigung. Wenn diese nicht korrekt eingestellt sind, kann es sein, dass Ihr System Ihre Schlüssel nicht annimmt. Sie können die nächsten Schritte befolgen, um die richtigen Berechtigungen zu überprüfen und zu aktualisieren.

# Überprüfen Sie Ihre Berechtigungen: ls -l ~/.gnupg/*

# Legen Sie die Berechtigungen Lesen, Schreiben und Ausführen nur für sich selbst fest, nicht für andere. Dies sind die empfohlenen Berechtigungen für Ihren Ordner.
Sie können den Befehl chmod 700 ~/.gnupg verwenden.

# Legen Sie Lese- und Schreibrechte nur für sich selbst fest, nicht für andere. Dies sind die empfohlenen Berechtigungen für die Schlüssel in Ihrem Ordner.
Sie können den Befehl chmod 600 ~/.gnupg verwenden.

Wenn Sie (aus irgendeinem Grund) eigene Ordner innerhalb von ~/.gnupg erstellt haben, müssen Sie zusätzlich Ausführungsrechte für diesen Ordner vergeben. Ordner benötigen Ausführungsberechtigungen, um geöffnet zu werden. Für weitere Informationen über Berechtigungen können Sie diesen detaillierten Informationsleitfaden lesen.

Erweitert

Mehr über Schlüsselserver
Weitere Informationen zum Schlüsselserver finden Sie in diesem Handbuch. Außerdem können Sie Ihren Schlüssel direkt exportieren und als Datei auf Ihrem Computer speichern.
Übertragen Ihrer Schlüssel

Verwenden Sie die folgenden Befehle, um Ihre Schlüssel zu übertragen. Um zu vermeiden, dass Ihr Schlüssel kompromittiert wird, bewahren Sie ihn an einem sicheren Ort auf und stellen Sie sicher, dass die Übertragung auf eine vertrauenswürdige Weise erfolgt. Das Importieren und Exportieren eines Schlüssels kann mit den folgenden Befehlen durchgeführt werden:

$ gpg --export-secret-keys -a [keyID] > mein_privater_schluessel.asc
$ gpg --export -a [SchlüsselID] > mein_öffentlicher_Schlüssel.asc
$ gpg --import mein_privater_Schlüssel.asc
$ gpg --import mein_öffentlicher_Schlüssel.asc

Vergewissern Sie sich, dass die gedruckte keyID die richtige ist, und wenn ja, fügen Sie den ultimativen Trust für sie hinzu:

$ gpg --edit-key [mein@email]

Da dies Ihr Schlüssel ist, sollten Sie ultimate wählen. Sie sollten dem Schlüssel einer anderen Person nicht vertrauen.

Weitere Informationen zu Berechtigungen finden Sie unter Fehlerbehebung in Schritt 2b. Bei der Übertragung von Schlüsseln können Ihre Berechtigungen durcheinander geraten und es können Fehlermeldungen angezeigt werden. Diese lassen sich leicht vermeiden, wenn Ihre Ordner und Dateien die richtigen Berechtigungen haben

#3 E-Mail-Verschlüsselung einrichten

Das E-Mail-Programm Thunderbird verfügt über eine integrierte PGP-Funktionalität, die die Arbeit mit diesem Programm recht einfach macht. Wir führen Sie durch die Schritte zur Integration und Verwendung Ihres Schlüssels in diesen E-Mail-Programmen.

Schritt 3a: E-Mail-Menü

Schritt 3a: Importieren aus Datei

Schritt 3a: Erfolg

Schritt 3a: Fehlerbehebung

Schritt 3a Richten Sie Ihr E-Mail-Programm mit Verschlüsselung ein

Sobald Sie Ihre E-Mail mit Verschlüsselung eingerichtet haben, können Sie zum verschlüsselten Datenverkehr im Internet beitragen. Zuerst werden wir Ihr E-Mail-Programm dazu bringen, Ihren geheimen Schlüssel zu importieren, und wir werden auch lernen, wie man die öffentlichen Schlüssel anderer Leute von Servern erhält, damit Sie verschlüsselte E-Mails senden und empfangen können.

# Öffnen Sie Ihr E-Mail-Programm und wählen Sie "Extras" → OpenPGP-Schlüsselverwaltung

# Unter "Ablage" → Geheime(n) Schlüssel importieren

# Wählen Sie die Datei, die Sie unter dem Namen [mein_geheimer_schluessel.asc] in Schritt 2.Bb gespeichert haben, als Sie Ihren Schlüssel exportiert haben

# Entsperren mit Ihrer Passphrase

# Sie erhalten ein Fenster mit der Nachricht "OpenPGP-Schlüssel erfolgreich importiert" zur Bestätigung des Erfolgs

# Gehen Sie zu "Kontoeinstellungen" → "Ende-zu-Ende-Verschlüsselung" und stellen Sie sicher, dass Ihr Schlüssel importiert ist und wählen Sie Diesen Schlüssel als persönlichen Schlüssel behandeln.

Fehlerbehebung

Ich bin nicht sicher, ob der Import korrekt funktioniert hat.
Suchen Sie nach "Kontoeinstellungen" → "Ende-zu-Ende-Verschlüsselung". Hier können Sie sehen, ob Ihr persönlicher Schlüssel, der mit diesem E-Mail verbunden ist, gefunden wurde. Falls nicht, können Sie es über die Option Schlüssel hinzufügen erneut versuchen. Stellen Sie sicher, dass Sie die richtige, aktive, geheime Schlüsseldatei haben.

#4 Probieren Sie es aus!

Illustration einer Person in einem Haus mit einer Katze, die an einen Server angeschlossen ist

Jetzt werden Sie eine Testkorrespondenz mit einem FSF-Computerprogramm namens Edward führen, das weiß, wie man Verschlüsselung benutzt. Wenn nicht anders angegeben, sind dies dieselben Schritte, die Sie auch bei der Korrespondenz mit einer echten Person durchführen würden.

Schritt 4a Senden Sie den Schlüssel an Edward.

Schritt 4a Senden Sie Edward Ihren öffentlichen Schlüssel

Dies ist ein besonderer Schritt, den Sie bei der Korrespondenz mit realen Personen nicht durchführen müssen. Gehen Sie im Menü Ihres E-Mail-Programms auf "Extras" → "OpenPGP-Schlüsselverwaltung" Sie sollten Ihren Schlüssel in der Liste sehen, die sich öffnet. Klicken Sie mit der rechten Maustaste auf Ihren Schlüssel und wählen Sie Öffentliche Schlüssel per E-Mail senden. Dadurch wird ein neuer Nachrichtenentwurf erstellt, so als hätten Sie gerade auf die Schaltfläche "Schreiben" geklickt, aber in der Anlage finden Sie Ihre öffentliche Schlüsseldatei.

Adressieren Sie die Nachricht an edward-den@fsf.org. Geben Sie mindestens ein Wort (was immer Sie wollen) in den Betreff und den Text des E-Mails ein. Senden Sie noch nicht ab.

Wir möchten, dass Edward das E-Mail mit Ihrer Schlüsseldatei öffnen kann, daher soll diese erste spezielle Nachricht unverschlüsselt sein. Vergewissern Sie sich, dass die Verschlüsselung ausgeschaltet ist, indem Sie im Auswahlmenü "Sicherheit" die Option Nicht verschlüsseln wählen. Sobald die Verschlüsselung ausgeschaltet ist, klicken Sie auf Senden.

Es kann zwei oder drei Minuten dauern, bis Edward antwortet. In der Zwischenzeit können Sie den Abschnitt " Verwenden Sie es richtig" in diesem Leitfaden lesen. Sobald Sie eine Antwort erhalten haben, fahren Sie mit dem nächsten Schritt fort. Von nun an machen Sie genau das Gleiche wie bei der Korrespondenz mit einer echten Person.

Wenn Sie Edwards Antwort öffnen, kann es sein, dass GnuPG Sie zur Eingabe Ihrer Passphrase auffordert, bevor es Ihren privaten Schlüssel zur Entschlüsselung verwendet.

Schritt 4b Option 1. Schlüssel verifizieren

Schritt 4b Option 2 Schlüssel importiern

Schritt 4b Senden Sie ein verschlüsseltes Test-E-Mail

Edwards Schlüssel erhalten

Um ein E-Mail an Edward zu verschlüsseln, benötigen Sie den öffentlichen Schlüssel, den Sie von einem Schlüsselserver herunterladen müssen. Sie können dies auf zwei verschiedene Arten tun:

Option 1. Die Antwort, die Sie von Edward auf Ihr erstes E-Mail erhalten haben, enthielt Edwards öffentlichen Schlüssel. Rechts in diesem E-Mail, direkt über dem Textbereich, sehen sie die "OpenPGP"-Schaltfläche, welche ein Vorhängeschloss und ein Zahnrad daneben hat. Klicken Sie darauf und wählen Sie Entdecken neben dem Text: "Diese Nachricht wurde mit einem Schlüssel signiert, den Sie noch nicht haben." Daraufhin wird ein Fenster geöffnet, das Ihnen Edwards Schlüsseldetails anzeigt.

Option 2. Öffnen Sie Ihre OpenPGP Schlüsselverwaltung und wählen Sie unter " Schlüsselserver " Schlüssel im Internet finden. Geben Sie hier die E-Mail-Adresse von Edward ein und importieren Sie Edwards Schlüssel.

Mit der Option Angenommen (ungeprüft) wird dieser Schlüssel zu Ihrer Schlüsselverwaltung hinzugefügt und kann nun zum Versenden verschlüsselter E-Mails und zur Überprüfung digitaler Signaturen von Edward verwendet werden.

In dem Dialogfenster, in dem Sie bestätigen, dass Sie den Schlüssel von Edward importieren möchten, sehen Sie viele verschiedene E-Mail-Adressen, die alle mit dem Schlüssel verknüpft sind. Dies ist korrekt; Sie können den Schlüssel sicher importieren.

Da Sie dieses E-Mail mit Edwards öffentlichem Schlüssel verschlüsselt haben, ist Edwards privater Schlüssel erforderlich, um es zu entschlüsseln. Edward ist der Einzige, der den privaten Schlüssel besitzt, also kann niemand außer ihm das E-Mail entschlüsseln.

Senden Sie Edward ein verschlüsseltes E-Mail

Schreiben Sie ein neues E-Mail in Ihrem E-Mail-Programm, adressiert an edward-de@fsf.org. Geben Sie den Betreff "Verschlüsselungstest" oder etwas Ähnliches an und schreiben Sie etwas in den Text.

Vergewissern Sie sich diesmal, dass die Verschlüsselung aktiviert ist, indem Sie im Auswahl-Menü "Sicherheit" die Option Verschlüsselung erforderlich wählen. Sobald die Verschlüsselung aktiviert ist, klicken Sie auf Senden.

Fehlerbehebung

"Empfänger nicht gültig, nicht vertrauenswürdig oder nicht gefunden"
Sie könnten die obige Fehlermeldung erhalten, oder etwas in dieser Art: "Diese Nachricht kann nicht mit Ende-zu-Ende-Verschlüsselung gesendet werden, da es Probleme mit den Schlüsseln der folgenden Empfänger gibt: ..." In diesen Fällen versuchen Sie möglicherweise, ein verschlüsseltes E-Mail an jemanden zu senden, dessen öffentlicher Schlüssel Ihnen noch nicht vorliegt. Führen Sie die oben genannten Schritte aus, um den Schlüssel in Ihren Schlüsselmanager zu importieren. Öffnen Sie den OpenPGP-Schlüsselmanager, um sicherzustellen, dass der Empfänger dort aufgeführt ist.
Nachricht kann nicht gesendet werden
Beim Versuch, Ihr verschlüsseltes E-Mail zu senden, kann folgende Meldung angezeigt werden: "Die Nachricht kann nicht mit Ende-zu-Ende-Verschlüsselung gesendet werden, da es Probleme mit den Schlüsseln der folgenden Empfänger gibt: edward-en@fsf.org." Dies bedeutet in der Regel, dass Sie den Schlüssel mit der Option "Nicht akzeptiert (unentschieden)" importiert haben. Gehen Sie zu den "Schlüsseleigenschaften" dieses Schlüssels, indem Sie mit der rechten Maustaste auf den Schlüssel im OpenPGP-Schlüsselmanager klicken, und wählen Sie die Option Ja, aber ich habe nicht überprüft, ob dies der richtige Schlüssel ist in der Option "Akzeptanz" am unteren Rand dieses Fensters. Senden Sie das E-Mail erneut.
Ich kann Edwards Schlüssel nicht finden.
Schliessen Sie die Dialogfenster, die erschienen sind, nachdem Sie auf Senden geklickt haben. Stellen Sie sicher, das Ihr Gerät mit dem Internet verbunden ist und probieren Sie es noch einmal. Wenn das nicht funktioniert, können Sie den Schlüssel manuell vom Schlüsselserver herunterladen, und importieren Sie ihn mit der Option Öffentliche(n) Schlüssel aus Datei importieren imn der OpenPGP-Schlüsselverrwaltung.
Nicht verschlüsselte Nachrichten im Ordner "Gesendet"
Auch wenn Sie Nachrichten, die mit dem Schlüssel einer anderen Person verschlüsselt wurden, nicht entschlüsseln können, speichert Ihr E-Mail-Programm automatisch eine mit Ihrem öffentlichen Schlüssel verschlüsselte Kopie, die Sie wie eine normale E-Mail im Ordner "Gesendet" einsehen können. Dies ist normal und bedeutet nicht, dass Ihre E-Mail nicht verschlüsselt gesendet wurde.

Erweitert

Verschlüsseln von Nachrichten über die Befehlszeile
Sie können Nachrichten und Dateien auch über die Befehlszeile ver- und entschlüsseln, wenn Sie dies bevorzugen. Die Option --armor lässt die verschlüsselte Ausgabe im regulären Zeichensatz erscheinen.

Wichtig: Sicherheitstipps

Auch wenn Sie Ihre E-Mail verschlüsseln, ist die Betreffzeile nicht verschlüsselt, also geben Sie dort keine privaten Informationen an. Die Absender- und Empfängeradressen sind ebenfalls nicht verschlüsselt, so dass ein Überwachungssystem immer noch herausfinden kann, mit wem Sie kommunizieren. Außerdem wissen Überwachungsbeamte, dass Sie GnuPG verwenden, auch wenn sie nicht herausfinden können, was Sie sagen. Wenn Sie Anhänge versenden, können Sie wählen, ob diese verschlüsselt werden sollen oder nicht, unabhängig vom eigentlichen E-Mail.

Für mehr Sicherheit gegen mögliche Angriffe können Sie HTML deaktivieren. Stattdessen können Sie den Nachrichtentext als reinen Text wiedergeben. Dazu gehen Sie in Thunderbird auf "Ansicht" → "Nachrichtentext als" → Klartext.

Schritt 4c Edwards Antwort

Schritt 4c Eine Antwort erhalten

Wenn Edward Ihr E-Mail erhält, entschlüsselt er es mit seinem privaten Schlüssel und antwortet Ihnen dann.

Es kann zwei oder drei Minuten dauern, bis Edward antwortet. In der Zwischenzeit können Sie den Abschnitt " Richtig gebrauchen" in diesem Leitfaden lesen.

Edward schickt Ihnen ein verschlüsseltes E-Mail zurück, das besagt, dass Ihr E-Mail empfangen und entschlüsselt wurde. Ihr E-Mail-Programm wird Edwards Nachricht automatisch entschlüsseln.

Die OpenPGP-Schaltfläche im E-Mail zeigt ein kleines grünes Häkchen über dem Schlosssymbol, um anzuzeigen, dass die Nachricht verschlüsselt ist, und ein kleines orangefarbenes Warnzeichen, das bedeutet, dass Sie den Schlüssel akzeptiert, aber noch nicht verifiziert haben. Wenn Sie den Schlüssel noch nicht akzeptiert haben, sehen Sie ein kleines Fragezeichen. Wenn Sie auf die Eingabeaufforderungen in dieser Schaltfläche klicken, gelangen Sie ebenfalls zu den Schlüsseleigenschaften.

Schritt 4d Senden eines signierten Test-E-Mails

GnuPG bietet Ihnen die Möglichkeit, Nachrichten und Dateien zu signieren und damit zu verifizieren, dass sie von Ihnen stammen und auf dem Weg dorthin nicht verfälscht worden sind. Diese Signaturen sind stärker als ihre Vettern aus Papier und Stift - sie sind unmöglich zu fälschen, da sie ohne Ihren privaten Schlüssel nicht erstellt werden können (ein weiterer Grund, Ihren privaten Schlüssel sicher aufzubewahren).

Sie können Nachrichten an jedermann signieren, so dass es eine gute Möglichkeit ist, andere darauf aufmerksam zu machen, dass Sie GnuPG verwenden und dass sie sicher mit Ihnen kommunizieren können. Wenn der Empfänger GnuPG nicht hat, kann er Ihre Nachricht lesen und Ihre Signatur sehen. Wenn sie GnuPG haben, können sie auch die Echtheit Ihrer Signatur überprüfen.

Um ein E-Mail an Edward zu signieren, verfassen Sie eine beliebige Nachricht an die E-Mail-Adresse und klicken Sie auf das Bleistift-Symbol neben dem Schloss-Symbol, so dass es golden wird. Wenn Sie eine Nachricht signieren, kann es sein, dass GnuPG Sie nach Ihrer Sicherheitsabfrage fragt, bevor es die Nachricht versendet, da es Ihren privaten Schlüssel für die Signatur freischalten muss.

Unter "Kontoeinstellungen" → "Ende-zu-Ende-Verschlüsselung" können Sie die Digitale Signatur standardmäßig hinzufügen wählen.

Schrit 4.e Erhalt einer Antwort

Wenn Edward Ihr E-Mail erhält, verwendet er Ihren öffentlichen Schlüssel (den Sie ihm in Schritt 3a geschickt haben), um zu überprüfen, dass die von Ihnen gesendete Nachricht nicht manipuliert wurde, und um eine Antwort an Sie zu verschlüsseln.

Es kann zwei oder drei Minuten dauern, bis Edward antwortet. In der Zwischenzeit können Sie den Abschnitt " Richtig gebrauchen" in diesem Leitfaden lesen.

Edwards Antwort wird verschlüsselt ankommen, da er es vorzieht, wenn möglich Verschlüsselung zu verwenden. Wenn alles nach Plan verläuft, sollte es heißen: "Ihre Signatur wurde überprüft". Wenn Ihr testweise signiertes E-Mail ebenfalls verschlüsselt war, wird er dies zuerst erwähnen.

Wenn Sie das E-Mail von Edward erhalten und öffnen, erkennt Ihr E-Mail-Programm automatisch, dass es mit Ihrem öffentlichen Schlüssel verschlüsselt ist, und entschlüsselt es mit Ihrem privaten Schlüssel.

#5 Erfahren Sie mehr über das Vertrauensnetz (Web of Trust)

Illustration von Schlüsseln, die alle mit einem Liniennetz verbunden sind

Die E-Mail-Verschlüsselung ist eine leistungsstarke Technologie, die jedoch einen Schwachpunkt hat: Es muss überprüft werden, ob der öffentliche Schlüssel einer Person tatsächlich der ihre ist. Andernfalls gäbe es keine Möglichkeit, einen Angreifer daran zu hindern, eine E-Mail-Adresse mit dem Namen Ihres Freundes zu erstellen, die dazugehörigen Schlüssel zu erzeugen und sich als Ihr Freund auszugeben. Aus diesem Grund haben die Programmierer freier Software, die die E-Mail-Verschlüsselung entwickelt haben, die Schlüsselsignierung und das Vertrauensnetz (Web of Trust) geschaffen.

Wenn Sie den Schlüssel einer anderen Person signieren, geben Sie damit öffentlich zu verstehen, dass Sie sich vergewissert haben, dass er dieser Person gehört und nicht jemand anderem.

Das Signieren von Schlüsseln und das Signieren von Nachrichten verwenden dieselbe Art von mathematischer Operation, aber sie haben sehr unterschiedliche Auswirkungen. Es ist eine gute Praxis, Ihre E-Mails generell zu signieren, aber wenn Sie beiläufig die Schlüssel anderer Personen signieren, können Sie versehentlich für die Identität eines Betrügers bürgen.

Personen, die Ihren öffentlichen Schlüssel verwenden, können sehen, wer ihn signiert hat. Wenn Sie GnuPG längere Zeit benutzen, kann Ihr Schlüssel Hunderte von Signaturen haben. Sie können einen Schlüssel als vertrauenswürdiger einstufen, wenn er viele Signaturen von Personen hat, denen Sie vertrauen. Das Vertrauensnetzwerk (Web of Trust) ist eine Konstellation von GnuPG-Nutzern, die durch Vertrauensketten, die durch Signaturen ausgedrückt werden, miteinander verbunden sind.

Abschnitt 5: Vertrauen in einen Schlüssel

Schritt 5a Unterschreiben eines Schlüssels

Gehen Sie im Menü Ihres E-Mail-Programms zur OpenPGP-Schlüsselverwaltung und wählen Sie die Schlüsseleigenschaften, indem Sie mit der rechten Maustaste auf den Schlüssel von Edward klicken.

Unter "Ihre Akzeptanz" können Sie Ja, ich habe mich persönlich vergewissert, dass dieser Schlüssel den richtigen Fingerabdruck hat auswählen.

Sie haben gerade im Grunde gesagt: "Ich vertraue darauf, dass der öffentliche Schlüssel von Edward tatsächlich Edward gehört." Das bedeutet nicht viel, weil Edward keine reale Person ist, aber es ist eine gute Praxis, und für reale Personen ist es wichtig. Sie können mehr über das Signieren des Schlüssels einer Person im Abschnitt Prüfe IDs vor dem Signieren lesen.

Schlüssel zur Identifizierung: Fingerabdrücke und ID

Die öffentlichen Schlüssel von Personen werden in der Regel anhand ihres Schlüssel-Fingerabdrucks identifiziert, einer Ziffernfolge wie F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8 (für den Schlüssel von Edward). Sie können den Fingerabdruck Ihres öffentlichen Schlüssels und anderer auf Ihrem Computer gespeicherter öffentlicher Schlüssel einsehen, indem Sie im Menü Ihres E-Mail-Programms auf OpenPGP-Schlüsselverwaltung gehen, dann mit der rechten Maustaste auf den Schlüssel klicken und Schlüsseleigenschaften wählen. Es ist eine gute Praxis, den Fingerabdruck mitzuteilen, wenn Sie Ihre E-Mail-Adresse weitergeben, so dass andere Personen überprüfen können, ob sie den richtigen öffentlichen Schlüssel haben, wenn sie Ihren von einem Schlüsselserver herunterladen.

Sie können öffentliche Schlüssel auch mit einer kürzeren keyID sehen. Diese keyID ist direkt im Fenster Schlüsselverwaltung sichtbar. Diese acht Zeichen langen keyIDs wurden früher zur Identifizierung verwendet, was früher sicher war, heute aber nicht mehr zuverlässig ist. Sie müssen den vollständigen Fingerabdruck prüfen, um sicherzustellen, dass Sie den richtigen Schlüssel für die Person haben, die Sie zu kontaktieren versuchen. Spoofing, bei dem jemand absichtlich einen Schlüssel mit einem Fingerabdruck erzeugt, dessen letzte acht Zeichen mit denen eines anderen Schlüssels übereinstimmen, ist leider weit verbreitet.

Wichtig: Was beim Signieren von Schlüsseln zu beachten ist

Bevor Sie den Schlüssel einer Person unterschreiben, müssen Sie sich sicher sein, dass er tatsächlich dieser Person gehört und dass sie die Person ist, die sie vorgibt zu sein. Idealerweise kommt dieses Vertrauen aus Interaktionen und Gesprächen mit der Person im Laufe der Zeit und aus der Beobachtung von Interaktionen zwischen ihr und anderen. Wenn Sie einen Schlüssel signieren, bitten Sie darum, den vollständigen Fingerabdruck des öffentlichen Schlüssels zu sehen und nicht nur die kürzere Schlüssel-ID. Wenn Sie es für wichtig halten, den Schlüssel von jemandem zu signieren, den Sie gerade erst kennengelernt haben, bitten Sie ihn auch, Ihnen seinen staatlichen Ausweis zu zeigen, und stellen Sie sicher, dass der Name auf dem Ausweis mit dem Namen auf dem öffentlichen Schlüssel übereinstimmt.

Erweitert

Das Netz des Vertrauens beherrschen
Leider verbreitet sich das Vertrauen zwischen den Nutzern nicht so, wie viele Leute denken. Einer der besten Wege, die GnuPG-Gemeinschaft zu stärken, besteht darin, das Vertrauensnetz (Web of Trust) zu verstehen und die Schlüssel von so vielen Menschen wie möglich zu signieren.

#6 Nutze es richtig

Jeder verwendet GnuPG ein wenig anders, aber es ist wichtig, einige grundlegende Praktiken zu befolgen, um Ihre E-Mails sicher zu halten. Wenn Sie diese nicht befolgen, riskieren Sie die Privatsphäre der Menschen, mit denen Sie kommunizieren, sowie Ihre eigene, und beschädigen das Netz des Vertrauens.

Abschnitt 6: Nutzen Sie es richtig (1)

Wann sollte ich verschlüsseln? Wann sollte ich signieren?

Je mehr Sie Ihre Nachrichten verschlüsseln können, desto besser. Wenn Sie E-Mails nur gelegentlich verschlüsseln, könnte jede verschlüsselte Nachricht für Überwachungssysteme ein Warnsignal darstellen. Wenn alle oder die meisten Ihrer E-Mails verschlüsselt sind, wissen Überwachungsbeamte nicht, wo sie anfangen sollen. Das soll nicht heißen, dass es nicht hilfreich ist, nur einen Teil Ihrer E-Mails zu verschlüsseln - es ist ein guter Anfang und erschwert die Massenüberwachung.

Es gibt keinen Grund, nicht jede Nachricht zu signieren, unabhängig davon, ob Sie sie verschlüsseln oder nicht, es sei denn, Sie wollen Ihre eigene Identität nicht preisgeben (was andere Schutzmaßnahmen erfordert). Neben der Möglichkeit für diejenigen, die GnuPG nutzen, zu überprüfen, ob die Nachricht von Ihnen stammt, ist das Signieren eine unaufdringliche Möglichkeit, jeden daran zu erinnern, dass Sie GnuPG nutzen und Ihre Unterstützung für sichere Kommunikation zu zeigen. Wenn Sie häufig signierte Nachrichten an Personen senden, die mit GnuPG nicht vertraut sind, ist es sinnvoll, einen Link zu diesem Leitfaden in Ihre Standard-E-Mail-Signatur aufzunehmen (die Textform, nicht die kryptographische Form).

Abschnitt 6: Nutzen Sie es richtig (2)

Achten Sie auf ungültige Schlüssel

GnuPG macht E-Mails sicherer, aber es ist trotzdem wichtig, auf ungültige Schlüssel zu achten, die in die falschen Hände geraten sein könnten. Mit ungültigen Schlüsseln verschlüsselte E-Mails können von Überwachungsprogrammen gelesen werden.

Gehen Sie in Ihrem E-Mail-Programm zum ersten verschlüsselten E-Mail zurück, das Edward Ihnen geschickt hat. Da Edward es mit Ihrem öffentlichen Schlüssel verschlüsselt hat, wird es ein grünes Häkchen auf der Schaltfläche "OpenPGP" haben.

Wenn Sie GnuPG verwenden, sollten Sie sich angewöhnen, einen Blick auf diese Schaltfläche zu werfen. Das Programm warnt Sie dort, wenn Sie ein E-Mail erhalten, das mit einem nicht vertrauenswürdigen Schlüssel signiert ist.

Kopieren Sie Ihr Sperrzertifikat an einen sicheren Ort

Erinnern Sie sich daran, wie Sie Ihre Schlüssel erstellt und das von GnuPG erstellte Sperrzertifikat gespeichert haben? Es ist nun an der Zeit, dieses Zertifikat auf den sichersten Speicher zu kopieren, den Sie haben - ein Flash-Laufwerk, eine Diskette oder eine Festplatte, die Sie an einem sicheren Ort zu Hause oder am Arbeitsplatz aufbewahren, nicht auf einem Gerät, das Sie regelmäßig bei sich tragen. Der sicherste Weg, den wir kennen, ist, das Sperrzertifikat auszudrucken und an einem sicheren Ort aufzubewahren.

Sollte Ihr privater Schlüssel jemals verloren gehen oder gestohlen werden, benötigen Sie diese Zertifikatsdatei, um anderen mitzuteilen, dass Sie das Schlüsselpaar nicht mehr verwenden.

WICHTIG: HANDELN SIE SOFORT, wenn jemand Ihren privaten Schlüssel erhält

Wenn Sie Ihren privaten Schlüssel verlieren oder jemand anderes ihn in die Hände bekommt (z. B. durch Diebstahl oder Knacken Ihres Computers), ist es wichtig, ihn sofort zu widerrufen, bevor jemand anderes ihn verwendet, um Ihre verschlüsselte E-Mail zu lesen oder Ihre Signatur zu fälschen. Dieser Leitfaden geht nicht darauf ein, wie man einen Schlüssel widerruft, aber Sie können diese Anleitung befolgen. Nachdem Sie den Schlüssel widerrufen haben, erstellen Sie einen neuen Schlüssel und senden Sie eine E-Mail an alle Personen, mit denen Sie Ihren Schlüssel normalerweise verwenden, um sicherzustellen, dass diese Bescheid wissen, und fügen Sie eine Kopie des neuen Schlüssels bei.

Webmail und GnuPG

Wenn Sie über einen Webbrowser auf Ihre E-Mails zugreifen, verwenden Sie Webmail, ein E-Mail-Programm, das auf einer entfernten Website gespeichert ist. Im Gegensatz zu Webmail läuft Ihr E-Mail-Programm für den PC auf Ihrem eigenen Computer. Obwohl Webmail verschlüsselte E-Mails nicht entschlüsseln kann, zeigt es sie dennoch in verschlüsselter Form an. Wenn Sie hauptsächlich Webmail verwenden, werden Sie wissen, dass Sie Ihr E-Mail-Programm öffnen müssen, wenn Sie eine verschlüsselte E-Mail erhalten.

Machen Sie Ihren öffentlichen Schlüssel zum Bestandteil Ihrer Online-Identität

Fügen Sie zunächst Ihren Fingerabdruck des öffentlichen Schlüssels in Ihre E-Mail-Signatur ein und schreiben Sie dann ein E-Mail an mindestens fünf Ihrer Freunde, in der Sie ihnen mitteilen, dass Sie gerade GnuPG eingerichtet haben und Ihren Fingerabdruck des öffentlichen Schlüssels erwähnen. Verweisen Sie auf diese Anleitung und bitten Sie sie, sich Ihnen anzuschließen. Und vergessen Sie nicht, dass es auch eine tolle Infografik zum Teilen gibt.

Beginnen Sie damit, Ihren Fingerabdruck des öffentlichen Schlüssels überall dort zu hinterlegen, wo jemand Ihre E-Mail-Adresse sehen könnte: in Ihren Profilen in sozialen Medien, in Ihrem Blog, auf Ihrer Website oder auf Ihrer Visitenkarte. (Bei der Freien Software-Stiftung veröffentlichen wir unsere auf der Mitarbeiterseite im Internet). Wir müssen unsere Kultur so weit bringen, dass wir das Gefühl haben, dass etwas fehlt, wenn wir eine E-Mail-Adresse ohne Fingerabdruck des öffentlichen Schlüssels sehen.

Gute Arbeit! Sehen Sie sich die nächsten Schritte an.