#1 Installiere die Programme

Diese Anleitung basiert auf freier Software. Freie Software ist transparent und kann von allen kopiert und angepasst werden. Dadurch ist sie sicherer vor Überwachung als nicht-freie Software (wie Windows oder Mac OS). Um deine Freiheit zu verteidigen und dich vor Überwachung zu schützen, empfehlen wir dir, zu einem freien Betriebsystem wie GNU/Linux zu wechseln. Lerne mehr über freie Software auf fsf.org.

Installiere zu Beginn das E-Mail-Programm IceDove . In dieser Anleitung wird eine freie Version des Programms Thunderbird verwendet. E-Mail-Programme sind eine weitere Art auf E-Mail-Konten zuzugreifen, die ähnlich wie Webmail funktioniert, aber mehr Funktionen bieten.

Wenn du bereits ein E-Mail-Programm hast, kannst du zu Schritt 1.B springen.

Schritt 1.A Konfiguriere dein E-Mail-Programm für dein Konto

Öffne dein E-Mail-Programm und folge dem Assistenten, der es für dein E-Mail-Konto konfiguriert.

Pass auf, dass die Buchstaben SSL, TLS oder STARTTLS rechts vom Servernamen stehen, wen du deinen Konto einrichtest. Solltest du sie nicht sehen, kannst du trotzdem die Verschlüsselung anwenden, aber das bedeutet, dass die Leute, die deinen E-Mail Service betreiben den Industriestandards bezüglich deiner Sicherheit und Privatsphäre nachhinken. Wir empfehlen dir, sie in einer E-Mail freundlich zu bitten, für deinen E-Mail Server SSL, TLS oder STARTTLS zu aktivieren. Sie werden wissen wovon du sprichst, es lohnt sich also diese Anfrage zu machen, auch wenn du selbst kein Experte für diese Sicherheitssysteme bist.

Problembehebung

Der Installationsassistent startet nicht
Du kannst den Assistenten selbst starten. Die Bezeichnung des Menüpunktes hängt vom verwendeten Mail-Programm ab. Die Option "Neue E-Mail-Adresse..." oder "Existierendes E-Mail-Konto..." befindet sich im Hauptmenü des Programms, unter "Neu" oder etwas ähnlichem.
Der Assistent findet mein E-Mail-Konto nicht oder lädt keine E-Mails herunter
Bevor du im Web suchst empfehlen wir, andere Menschen, die das gleiche E-Mail-System benutzen, nach den richtigen Einstellungen zu fragen.

Schritt 1.B Hol dir GnuPG, indem du GPGTools herunterlädst

GPGTools ist ein Software-Paket, das GnuPG enthält. Lade es herunter, installiere es und wähle dabei immer die vorgeschlagenen Standard-Optionen. Nachdem es installiert wurde, kannst du alle Fenster schließen, die es geöffnet hat.

Es gibt grosse Sicherheitslücken in den Versionen von GnuPG von GPGTools vor 2018.3. Vergewissere dich, dass du GPGTools Version 2018.3 oder später hast.

Schritt 1.C Installiere das Enigmail-Plugin für dein E-Mail-Programm

Klicke im Menü deines E-Mail-Programmes auf Add-ons (möglicherweise im Menü Extras). Vergewissere dich, dass auf der linken Seite Erweiterungen ausgewählt ist. Kannst du Enigmail sehen? Wenn ja, dann überspringe diesen Schritt.

Wenn nicht, suche "Enigmail" mit Hilfe der Suchleiste oben rechts. Installiere es und starte dein E-Mail-Programm anschließend neu.

Es hat grosse Sicherheitslücken in den Versionen von Enigmail vor 2.0.7. Vergewissere dich, dass du Enigmail 2.0.7 oder später hast.

Problembehebung

Ich kann das Menü nicht finden.
In vielen neuen E-Mail-Programmen wird das Hauptmenü durch drei horizontale Balken dargestellt.
Mein E-Mail schaut komisch aus
Enigmail funktioniert nicht gut mit HTML formatierten E-Mails und so kann es sein, dass es deine HTML-Formatierung automatisch deaktiviert. Um eine HTML-formatierte E-Mail ohne Verschlüsselung oder Signatur zu versenden, drücke die Umschalt-Taste wenn du auf Verfassen klickst. Du kannst dann eine E-Mail schreiben, als ob Enigmail nicht da wäre.

#2 Erstelle deine Schlüssel

Um GnuPG zu verwenden, benötigt man einen öffentlichen und einen privaten Schlüssel (beide bilden ein Schlüsselpaar). Jeder Schlüssel ist eine sehr große Zahl und ist einzigartig. Beide Schlüssel sind mit einer speziellen mathematischen Funktion verbunden.

Dein öffentlicher Schlüssel ist nicht wie ein Hausschlüssel, da er im Internet auf einem Schlüsselserver gespeichert wird. Die Leute können ihn so herunterladen und ihn benutzen, wenn sie dir verschlüsselte E-Mails verschicken. Man kann sich den Schlüsselserver wie ein Telefonbuch vorstellen, von wo Leute, die dir eine Verschlüsselte E-Mail schicken möchten, deinen öffentlichen Schlüssel herunterladen können.

Dein privater Schlüssel ist eher wie ein Hausschlüssel, weil du ihn für dich selbst behältst (auf deinem Rechner). Du benutzt GnuPG und deinen privaten Schlüssel zusammen um verschlüsselte E-Mails die andere dir geschickt haben zu entschlüsseln. Du sollst deinen privaten Schlüssel nie mit anderen teilen -- unter keinen Umständen.

Zusätzlich zur Verschlüsselung und Entschlüsselung kannst du diese Schlüssel auch nutzen, um Nachrichten zu signieren und die Echtheit der Signaturen anderer Personen zu überprüfen. Darüber werden wir im nächsten Abschnitt noch mehr diskutieren.

Schritt 2.A Erstelle ein Schlüsselpaar

Der Enigmail-Einrichtungs-Assistent startet möglicherweise automatisch. Falls nicht, klicke im Menü deines E-Mail-Programms auf Enigmail → Einrichtungs-Assistent. Du musst den Text im nächsten Pop-up-Fenster nicht unbedingt lesen, aber es ist eine gute Idee, die Texte der späteren Schritte des Assistenten zu lesen. Klicke auf Fortsetzen mit den Standard-Optionen, ausser bei den folgenden Punkten, aufgelistet in der Reihenfolge in der sie erscheinen:

  • Im Schritt "Verschlüsselung", wähle "Verschlüssle alle meine Nachrichten, weil mir meine Privatsphäre wichtig ist.".
  • Im Schritt "Signieren", wähle "Meine Nachrichten sollen nicht standardmäßig signiert werden.".
  • Im Schritt "Schlüsselauswahl", wähle "Ich möchte ein neues Schlüsselpaar erzeugen"
  • Im Schritt "OpenPGP - Schlüssel erzeugen" sollst du ein starkes Passwort wählen! Du kannst das von Hand oder mit der Diceware Methode machen. Es von Hand zu machen ist schneller, aber weniger sicher. Diceware zu nutzen braucht länger und benötigt Würfel, aber dafür kommt dabei ein Passwort heraus, dass für Angreifer viel schwieriger zu knacken ist. Um Diceware zu nutzen, lies den Abschnitt "Make a secure passphrase with Diceware" in diesem Artikel auf Englisch von Micah Lee oder den Abschnitt "Beispiel für eine Passphrase aus sechs Wörtern" auf dem Wikipedia-Artikel über Diceware.

Falls du lieber selber ein Passwort wählst, erfinde eins, das du dir merken kannst und das mindestens zwölf Zeichen lang ist, je mindestens ein Kleinbuchstabe, ein Grossbuchstabe, eine Zahl und ein Satzzeichen enthält. Wähle niemals ein Passwort, dass du bereits anderswo benutzt hast. Brauch auch keine erkennbaren Muster wie Geburtstage, Telefonnummern, Haustiernamen, Liedtexte, Zitate aus Büchern, und so weiter.

Das Programm wird einige Minuten brauchen, um den nächsten Schritt "Schlüsselerzeugung" abzuschließen. Während du wartest, solltest du etwas anderes mit deinem Computer tun, wie einen Film anschauen oder im Web surfen. Je mehr du deinen Computer in dieser Zeit nutzt, desto schneller wird der Schlüssel generiert.

Wenn der Schritt "Widerrufszertifikat erstellen" kommt, klicke auf "Widerrufszertifikat erstellen" und speichere es an einem sicheren Ort auf deinem Computer (wir empfehlen dir einen Ordner namens "Widerrufszertifikat" in deinem Home-Verzeichnis zu erstellen und es da abzuspeichern). Wieso dies ein wesentlicher Teil der E-Mail-Selbstverteidigung ist wirst du im Kapitel 5 lernen.

Problembehebung

Ich kann das Enigmail-Menü nicht finden.
In vielen neuen E-Mail-Programmen wird das Hauptmenü durch drei horizontale Balken dargestellt. Enigmail könnte in einer Sektion namens Tools sein.
Mehr Informationsquellen
Falls du Probleme mit unserer Anleitung hast, oder einfach noch mehr lernen willst, hilft dir die Anleitung für die Schlüsselerstellung auf der Enigmail Wiki weiter.

Fortgeschritten

Schlüsselerstellung auf der Kommandozeile
Wenn du es vorziehst die Kommandozeile zu nutzen um mehr Kontrolle zu haben, kannst du die Dokumentation vom The GNU Privacy Handbook befolgen. Stell sicher, dass du bei "RSA und RSA" (der Standardeinstellung) bleibst, denn es ist neuer und sicherer als die in der Dokumentation empfohlenen Algorithmen. Stell auch sicher, dass dein Schlüssel mindestens 2048 Bits ist oder 4096 wenn du extra sicher sein willst.
Fortgeschrittene Schlüsselpaare
Wenn GnuPG ein neues Schlüsselpaar erstellt, spaltet es die Verschlüsselungs-Funktion von der Signatur-Funktion durch Unterschlüssel. Wenn du Unterschlüssel sorgfältig verwendest, kannst du deine GnuPG-Identität viel sicherer halten und dich von einem kompromittierten Schlüssel viel schneller erholen. Alex Cabal (in Englisch), Willi Thiel (in Deutsch) und die Debian-Wiki (in Englisch) bieten gute Anleitungen an um eine sichere Subschlüssel-Konfiguration einzurichten.

Schritt 2.B Lade deinen öffentlichen Schlüssel auf einen Schlüsselserver

Wähle Enigmail → Schlüssel verwalten... im Menü aus.

Rechtsklicke auf deinen Schlüssel und klicke dann auf Öffentlichen Schlüssel auf Schlüsselserver hochladen. Du musst nicht unbedingt den Schlüsselserver aus der Voreinstellung verwenden. Falls du nach eigener Recherche einen anderen Schlüsselserver als Default verwenden möchtest, kannst du das in den Einstellungen von Enigmail ändern wenn du die Expertenoptionen und -Menüs einblendest.

Nun kann jemand, der dir eine verschlüsselte Nachricht schicken möchte, deinen öffentlichen Schlüssel aus dem Internet herunterladen. Es gibt mehrere Schlüsselserver im Menü auf die du hochladen kannst, aber es sind alle Kopien von einander, somit spielt es keine Rolle welchen du auswählst. Manchmal dauert es jedoch ein paar Stunden, bis alle einen neu hochgeladenen Schlüssel haben.

Problembehebung

Der Fortschrittsbalken stoppt vorzeitig.
Schließe das Pop-Up, überprüfe deine Internetverbindung und probiere es noch einmal. Wenn das nicht funktioniert, versuche es noch einmal und wähle einen anderen Schlüsselserver.
Mein Schlüssel taucht nicht in der Liste auf.
Probiere, auf das Feld "Standardmäßig alle Schlüssel anzeigen" zu klicken.
Mehr Dokumentation
Falls du Probleme mit unserer Anleitung haben solltest, oder einfach noch mehr lernen willst, mach dich in Enigmails Dokumentation schlau.

Fortgeschritten

Heraufladen eines Schlüssels mit der Kommandozeile
Du kannst deinen Schlüssel auch mit der Kommandozeile auf die Schlüsselserver hochladen. Die sks Website unterhält eine Liste von gut vernetzten Schlüsselservern. Du kannst deinen Schlüssel auch direkt exportieren und als Dokument auf deinem Computer abspeichern.

GnuPG, OpenPGP, was?

Die Begriffe GnuPG, GPG, GNU Privacy Guard, OpenPGP und PGP werden oft verwendet, um das gleiche zu bezeichnen. Technisch gesehen, ist OpenPGP (Pretty Good Privacy) der Verschlüsselungsstandard und GNU Privacy Guard (abgekürzt GPG oder GnuPG) das Programm, dass diesen Standard umsetzt. Enigmail ist eine Erweiterung für dein E-Mail-Programm und fungiert als Schnittstelle zu GnuPG.

#3 Probier es aus!

Jetzt wirst du mit einem Programm namens Edward kommunizieren, das weiß, wie man E-Mails verschlüsselt. Das sind, abgesehen von den gekennzeichneten Ausnahmen, die gleichen Schritte, wie wenn du mit einer realen, lebenden Person kommunizierst.

Schritt 3.A Schick Edward deinen öffentlichen Schlüssel

Dies ist ein spezieller Schritt, den du nicht machen musst, wenn du mit echten Menschen kommunizierst. Gehe im Menü deines E-Mail-Programms auf Enigmail → Schlüssel verwalten. Du solltest deinen Schlüssel in der Liste sehen, die erscheint. Klicke mit der rechten Maustaste auf deinen Schlüssel und wähle dann "Öffentliche Schlüssel per E-Mail senden". Dies erstellt eine neue Nachricht, so als hättest du auf Verfassen geklickt.

Adressiere die Nachricht an edward-de@fsf.org. Schreibe mindestens ein Wort (Was auch immer du willst.) in den Betreff und in den Text der E-Mail. Noch nicht absenden.

Das Schloss-Icon oben links sollte gelb sein, was bedeutet, dass die Verschlüsselung aktiviert ist. Wir wollen, dass diese spezielle erste Nachricht unverschlüsselt ist, also klicke auf das Icon und schalte sie aus. Das Schloss sollte nun grau werden und ein rotes Kreuz darauf bekommen, um dich darauf aufmerksam zu machen, dass die die Nachricht nicht verschlüsselt werden wird. Sobald die Verschlüsselung aus ist, drücke Senden.

Es könnte sein, dass Edward einige Minuten braucht, um zurückzuschreiben. Lese derweil die Sektion Nutze es richtig. Gehe weiter zum nächsten Schritt, wenn er geantwortet hat. Ab hier tust du das gleiche, wie wenn du mit einer normalen Person kommunizierst.

Wenn du Edwards Antwort öffnest, könnte GnuPG dich auffordern dein Passwort einzugeben, bevor mit deinem privaten Schlüssel die Antwort entschlüsselt wird.

Schritt 3.B Sende eine verschlüsselte Test-E-Mail

Schreibe eine neue E-Mail in Deinem E-Mail-Programm an edward-de@fsf.org. Schreibe "Verschlüsselungstest" oder etwas ähnliches in den Betreff und irgendetwas in den Text der Nachricht.

Das Schlüssel-Icon oben links im Fenster der E-Mail sollte gelb sein. Das bedeutet die Verschlüsselung ist aktiviert. Dies wird ab jetzt deine Standardeinstellung sein.

Neben dem Schloss-Icon hat es ein Stift-Icon. Wir werden in Kürze darauf zu sprechen kommen.

Drücke auf Senden. Enigmail wird eine Meldung "Nicht gefundene Empfänger" zeigen.

Um eine E-Mail an Edward zu verschlüsseln, benötigst du seinen öffentlichen Schlüssel, also muss Enigmail ihn jetzt von einem Schlüsselserver herunterladen. Klicke auf "Fehlende Schlüssel herunterladen", wähle den ersten (Schlüssel-ID C09A61E8) und klicke dann auf OK. Klicke im nächsten Pop-up-Fenster wieder auf OK.

Jetzt bist du zurück beim Dialog "Nicht gefundene Empfänger". Wähle den Kasten vor Edwards Schlüssel an und klicke auf Absenden. Sollte die E-Mail nicht automatisch versendet werden, kannst du jetzt auf Senden drücken.

Da du die E-Mail mit Edwards öffentlichem Schlüssel verschlüsselt hast, braucht es Edwards privaten Schlüssel, um sie zu entschlüsseln. Nur Edward besitzt seinen privaten Schlüssel, also kann niemand außer ihm sie entschlüsseln.

Problembehebung

Enigmail kann Edwards Schlüssel nicht finden.
Schließe alle Pop-ups, die aufgetaucht sind, nachdem du auf Senden geklickt hast. Vergewissere dich, dass du mit dem Internet verbunden bist, und versuche es noch einmal. Wenn dies nicht funktioniert, wiederhole das Vorgehen und wähle dabei einen anderen Schlüsselserver aus.
Unverschlüsselte Nachrichten in Gesendet Ordner
Obwohl du Nachrichten die für den Schlüssel von jemand anderem verschlüsselt wurden nicht entschlüsseln kannst, wird dein E-Mail-Programm automatisch eine für deinen Schlüssel verschlüsselte Kopie abspeichern, die du im "Gesendet" Ordner wie eine normale E-Mail anschauen kannst. Das ist normal und bedeutet nicht, dass deine E-Mail unverschlüsselt verschickt wurde.
Mehr Informationsquellen
Falls du noch immer Probleme mit unserer Anleitung haben solltest, oder einfach noch mehr lernen willst, schau dich auf der Enigmail Wiki herum.

Fortgeschritten

Nachrichten mit der Kommandozeile verschlüsseln
Du kannst Nachrichten auch auf der Kommandozeile ver- und entschlüsseln, wenn du willst. Die Option --armor lässt die verschlüsselte Ausgabe in normalen Buchstaben erscheinen.

Wichtig: Der Betreff wird nicht verschlüsselt

Auch wenn du die E-Mail verschlüsselst, bleibt der Betreff unverschlüsselt, also solltest du dort keine vertraulichen Informationen hineinschreiben. Die Sender- und Empfängeradressen werden ebenfalls nicht verschlüsselt und so kann ein Überwachungssystem immer noch herausfinden mit wem du kommunizierst. Zudem wissen die Überwacher, dass du GnuPG benutzt, auch wenn sie nicht herausfinden, was du sagst. Wenn du Anhänge versendest gibt dir Enigmail die Wahl diese zu verschlüsseln - unabhängig davon ob die E-Mail verschlüsselt wird.

Für mehr Sicherheit gegen potentielle Angriffe kannst du HTML ausschalten. Stattdessen kannst du die Nachricht als einfachen Text anzeigen lassen.

Schritt 3.C Empfange eine Antwort

Sobald Edward deine E-Mail empfangen hat, entschlüsselt er sie mit seinem privaten Schlüssel und schickt dir danach seine Antwort.

Edward braucht vermutlich zwei, drei Minuten, um zu antworten. In der Zwischenzeit könntest du vorspringen und die Rubrik Nutze es richtig lesen.

Schritt 3.D Sende eine verschlüsselte Test-E-Mail

GnuPG gibt dir die Möglichkeit, Nachrichten und Dateien zu signieren, um zu bezeugen, dass sie von dir kamen und dass sie nicht auf dem Weg manipuliert wurden. Diese Signaturen sind stärker als ihre Papier-und-Bleistift-Cousins -- sie sind unmöglich zu fälschen, weil sie ohne deinen privaten Schlüssel nicht erstellt werden können (ein weiterer Grund, Ihren privaten Schlüssel zu schützen).

Du kannst Nachrichten an jedermann signieren und es ist eine tolle Art und Weise Leute darauf aufmerksam zu machen, dass du GnuPG benutzt und dass sie sicher mit dir kommunizieren können. Falls sie GnuPG nicht nutzen, können sie die Nachricht lesen und deine Signatur sehen. Wenn sie GnuPG nutzen, können sie deine Signatur verifizieren dass deine Signatur authentisch ist.

Um eine E-Mail an Edward zu signieren, stelle ihm eine Nachricht zusammen und klicke auf das Bleistift-Symbol neben dem Schloss-Symbol, damit der Bleistift goldig wird. Wenn du eine Nachricht signierst, kann GnuPG dich nach deinem Passwort fragen, bevor es die Nachricht sendet, da es deinen privaten Schlüssel für die Signierung freigeben muss.

Mit dem Schloss- und dem Stift-Icon kannst du wählen, ob deine Nachrichten verschlüsselt oder signiert, beides oder nichts von beidem sein sollen.

Schritt 3.E Empfange eine Antwort

Wenn Edward deine E-Mail empfangen hat, verwendet er deinen öffentlichen Schlüssel (den du ihm im Schritt 3.A geschickt hast), um sicher zu stellen, dass deine Nachricht nicht verändert wurde, und um seine Antwort an dich zu verschlüsseln.

Edward braucht vermutlich zwei, drei Minuten, um zu antworten. In der Zwischenzeit könntest du vorspringen und die Rubrik Nutze es richtig lesen.

Edward es Antwort wird verschlüsselt ankommen, weil er es vorzieht, Verschlüsselung zu verwenden, wann immer möglich. Wenn alles nach Plan läuft, sollte es heissen: "Ihre Signatur wurde überprüft". Wenn deine Test-signierte E-Mail auch verschlüsselt wurde, wird er das zuerst erwähnen.

Wenn du Edwards E-Mail bekommst und sie öffnest, erkennt Enigmail automatisch, dass sie mit deinem öffentlichen Schlüssel verschlüsselt wurde, und wird dann deinen privaten Schlüssel benutzen, um sie zu entschlüsseln.

Beachte die Leiste mit Informationen über Edwards Schlüssel, die über der Nachricht eingeblendet wird.

#4 Verstehe das Web of Trust

E-Mail-Verschlüsselung ist zwar eine leistungsfähige Technologie, sie hat aber eine Schwäche: Sie benötigt eine Methode zur Überprüfung, ob ein öffentlicher Schlüssel tatsächlich der angegebenen Person gehört. Ansonsten gäbe es keine Möglichkeit, eine Angreiferin davon abzuhalten, Schlüssel mit dem Namen deines Freundes zu erstellen und sich als dein Freund auszugeben. Aus diesem Grund haben die Programmierer freier Software, die E-Mail-Verschlüsselung erfunden haben, Signaturen und das Web of Trust erfunden.

Wenn du den Schlüssel von jemandem signierst, sagst du öffentlich, dass du kontrolliert hast, dass er dieser gehört und nicht jemand anderem.

Das Signieren von Schlüsseln und das Signieren von Nachrichten verwendet die gleiche Art von mathematischen Operationen, aber sie haben sehr unterschiedliche Auswirkungen. Es ist eine gute Gewohnheit, deine E-Mails zu signieren, aber wenn du die Schlüssel von Leuten beiläufig signierst, könntest du versehentlich für die Identität eines Betrügers bürgen.

Wer deinen öffentlichen Schlüssel benutzt kann sehen wer ihn signiert hat. Wenn du GnuPG lange benutzt, kann dein Schlüssel Hunderte von Signaturen haben. Du kannst einen Schlüssel als vertrauenswürdiger einstufen, wenn er von vielen Menschen signiert wurde, denen du vertraust. Das Web of Trust ist eine Netzwerk von GnuPG-Nutzern, die durch Ketten des Vertrauens, ausgedrückt mit Signaturen, miteinander verbunden sind.

Schritt 4.A Signiere einen Schlüssel

Gehe in deinem E-Mail-Programm zu Enigmail → Schlüssel verwalten.

Klicke mit der rechten Maustaste auf Edwards öffentlichen Schlüssel und wähle "Schlüssel signieren" aus dem Kontextmenü aus.

Im Pop-up-Fenster wähle "Keine Antwort" und klicke auf OK.

Zurück in Enigmail → Schlüssel verwalten wähle Schlüssel-Server → Schlüssel hochladen und klicke auf OK.

Du hast gerade gesagt, dass du darauf vertraust, dass Edwards Schlüssel tatsächlich Edward gehört. Dies bedeutet wenig, da Edward keine echte Person ist, es ist aber gute Praxis.

Schlüssel identifizieren: Fingerabdrücke und IDs

Öffentliche Schlüssel werden normalerweise anhand ihres Fingerabdrucks identifiziert, einer Zeichenkette wie F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8 (für Edwards Schlüssel). Sehen kannst du den Fingerabdruck deines öffentlichen Schlüssels – und anderer öffentlicher Schlüssel, die du gespeichert hast, indem du zu Enigmail → Schlüssel verwalten im Menü deines E-Mail-Programms gehst und dann mit der rechten Maustaste auf den Schlüssel klickst und die Schlüsseleigenschaften auswählst. Es ist sinnvoll, deinen Fingerabdruck immer weiterzugeben, wenn du anderen deine E-Mail-Adresse mitteilst, so dass diese Menschen kontrollieren können, ob sie deinen richtigen Schlüssel von einem Schlüsselserver herunterladen.

Du kannst manchmal auch Verweise auf öffentliche Schlüssel sehen mit einer kürzeren Schlüssel-ID. Diese Schlüssel-ID ist direkt im Fenster Schlüsselverwaltung sichtbar. Diese achtstelligen Schlüssel-IDs wurden früher zur Identifizierung verwendet, was früher sicher war, jedoch nicht mehr zuverlässig ist. Du musst den vollständigen Fingerabdruck überprüfen, um sicher zu stellen, dass du den richtigen Schlüssel für die Person verfügst, die du kontaktieren möchtest. Spoofing, bei dem jemand absichtlich einen Schlüssel mit einem Fingerabdruck generiert, dessen letzte acht Zeichen einem anderen entsprechen, ist leider weit verbreitet.

Wichtig: Was beachtet werden muss beim signieren von Schlüsseln

Bevor du einen Schlüssel einer Person signierst, solltest du davon überzeugt sein, dass der Schlüssel ihr gehört und ob sie ist, wer sie behauptet zu sein. Idealerweise kommt diese Überzeugung von Interaktionen mit ihr und der mitbekommen von Interaktionen zwischen ihr und anderen. Frage jedesmal wenn du einen Schlüssel signierst nach dem ganzen Fingerabdruck und nicht nur nach der kürzeren ID. Falls du das Gefühl hast, es sei wichtig, den Schlüssel von einer neuen Bekanntschaft zu signieren, frage auch nach einem staatlich ausgestellten Ausweis und vergewissere dich, dass der Name auf der ID und auf dem öffentlichen Schlüssel der gleiche ist. Antworte in Enigmail ehrlich auf die Frage "Haben Sie überprüft, ob dieser Schlüssel tatsächlich dem oben genannten Absender gehört?".

Fortgeschritten

#4Verstehe das Web of Trust
Leider verbreitet sich das Vertrauen unter den Nutzern nicht so, wie viele Leute denken. Eine der besten Möglichkeiten, die GnuPGP Gemeinschaft zu stärken, ist, das Web of Trust (Netz des Vertrauens) gut zu verstehen, und achtsam die Schlüssel von so vielen Leuten zu signieren wie es die Umstände zulassen.
Besitzervertrauen festlegen
Wenn du einer Person genug vertraust, um die Schlüssel anderer Personen zu überprüfen, kannst du ihr im Enigmails-Schlüsselverwaltungsfenster eine eigene Vertrauensebene zuweisen. Rechtsklicke auf den Schlüssel der anderen Person und dann auf die Menüoption "Besitzervertrauen festlegen", wähle den Vertrauensgrad aus und klicke dann auf OK. Mach das nur, wenn du das Gefühl hast, das Web of Trust zu verstehen.

#5 Nutze es richtig

Alle nutzen GnuPG ein wenig anders, aber es ist wichtig, ein paar wesentliche Regeln zu befolgen, um deine E-Mails zu sichern. Wenn du sie nicht befolgst, gefährdest du die Privatheit der Menschen, mit denen du kommunizierst, und deine eigene, und du beschädigst das Web of Trust.

Wann soll ich verschlüsseln? Wann soll ich signieren?

Je öfter du deine Nachrichten verschlüsselst, desto besser. Wenn du E-Mails nur hin und wieder verschlüsselt, könnte jede verschlüsselte Nachricht das Interesse der Überwachungssysteme wecken. Wenn alle oder die meisten deiner E-Mails verschlüsselt sind, wissen die Überwacher nicht, wo sie anfangen sollen. Das heisst nicht, dass die Verschlüsselung von nur einigen deiner E-Mails nichts bringt -- das ist schon ein guter Start und es erschwert die Massenüberwachung.

Wenn du deine eigene Identität nicht preisgeben möchtest (was andere Schutzmaßnahmen erfordert), gibt es keinen Grund, nicht jede Nachricht zu unterzeichnen, ob verschlüsselst oder nicht. GnuPG-Benutzer können nicht nur überprüfen, ob die Nachricht von Ihnen stammt, sondern es ist auch eine unaufdringliche Möglichkeit, alle daran zu erinnern, dass du GnuPG verwendest und die sichere Kommunikation befürwortest. Wenn Du häufig signierte Nachrichten an Personen sendest, die mit GnuPG nicht vertraut sind, ist es nett, wenn du einen Link zu dieser Anleitung in deine Standard-E-Mail-Signatur (die Textart, nicht die kryptographische Art) aufnimmst.

Nimm dich vor ungültigen Schlüsseln in acht

GnuPG macht E-Mails sicherer, aber es ist immer noch wichtig, nach ungültigen Schlüsseln Ausschau zu halten, die in die falschen Hände gefallen sein könnten. E-Mails, die mit ungültigen Schlüsseln verschlüsselt worden sind, könnten von Überwachungsprogrammen gelesen werden.

Gehe in deinem E-Mail-Programm zurück zur ersten verschlüsselten E-Mail, die dir Edward gesendet hat. Weil Edward sie mit deinem Schlüssel verschlüsselt hat, hat es oben eine Informationsleiste, die sagt, dass die entschlüsselte Nachricht angezeigt wird, E-Mail also verschlüsselt war.

Wenn Du GnuPG benutzt, gewöhne es dir an auf diese Leiste zu achten. Enigmail wird dich darin warnen, wenn Du eine E-Mail erhältst, die mit einem nicht vertrauenswürdigen Schlüssel signiert wurde.

Speichere dein Widerrufszertifikat an einem sicheren Ort

Erinnerst du dich daran wie du deine Schlüssel erzeugt hast und das Widerrufszertifikat gespeichert hast, das GnuPG erstellt hat? Nun ist es an der Zeit, dieses Zertifikat auf das sicherste Speichermedium zu kopieren, den du hast -- ideal ist ein Memory Stick oder eine Festplatte, die du an einem sicheren Ort in deinem Haus aufbewahrst.

Sollte dein privater Schlüssel jemals gestohlen werden oder verloren gehen, brauchst du dieses Zertifikat, um anderen mitzuteilen, dass du dieses Schlüsselpaar nicht mehr benutzt.

Wichtig: Reagiere schnell, wenn jemand deinen privaten Schlüssel bekommt

Wenn du deinen privaten Schlüssel verlierst oder ihn jemand anders erhält (z.B. wenn jemand deinen Computer stiehlt oder sich unberechtigt Zugang verschafft), ist es wichtig, ihn sofort zu widerrufen, bevor ihn jemand benutzt, um deine verschlüsselten E-Mails zu lesen oder Signaturen zu fälschen. Wie dies geht, wird in dieser Anleitung nicht beschrieben, du kannst dies aber im Handbuch von GnuPG nachlesen. Wenn du mit dem Widerruf fertig bist, mache einen neuen Schlüssel und schicke eine E-Mail an alle, mit denen du normalerweise deinen Schlüssel benutzt, um sie zu informieren und den neuen Schlüssel zu verbreiten.

Webmail und GnuPG

Wenn du einen Webbrowser für den Zugriff auf deine E-Mail nutzt, verwendest du Webmail, ein E-Mail-Programm, das auf einer entfernten Website gespeichert ist. Im Gegensatz zu Webmail wird dein Desktop-E-Mail-Programm auf deinem eigenen Computer ausgeführt. Obwohl Webmail verschlüsselte E-Mails nicht entschlüsseln kann, wird es diese in verschlüsselter Form anzeigen. Wenn du hauptsächlich Webmail verwendest, musst du deinen E-Mail-Client öffnen, wenn du eine verschlüsselte E-Mail erhältst.