Erste Schritte mit Gpg4win und Outlook

Mails signieren und verschlüsseln – das ist kein Hexenwerk oder ausschließlich den Linux-Profis vorbehalten. Auch unter Windows und mit Outlook ist das möglich und gar nicht weiter kompliziert. Dieser Artikel zeigt, wie Sie in wenigen Minuten Ihre Outlook-Installation um ein Plugin für GnuPG erweitern und alles Nötige erledigen, um verschlüsselte und signierte Mails zu verschicken und zu empfangen.

Wozu ist das überhaupt gut? Es geht bei beiden Aktionen um den Schutz vor Angreifern:

  • Durch das Verschlüsseln verhindern Sie, dass unbefugte Personen (Angreifer) Ihre Mails abfangen und mitlesen – das Ziel ist also Vertraulichkeit.
  • Durch das Signieren verhindern Sie, dass ein Angreifer Ihre Mails verändert oder komplett eigene Mails in Ihrem Namen schreibt. Zwar können Sie den Angreifer nicht davon abhalten, Fake-Mails in Ihrem Namen zu versenden, aber er kann sie dann nicht signieren.

Gpg4win installieren

Für Windows-Anwender, die Outlook als Mail-Programm nutzen, bietet Gpg4win die schnellste und einfachste Möglichkeit, GnuPG-Support nachzurüsten. Klicken Sie auf die grüne Schaltfläche Download Gpg4win 3.1.11 (das war die aktuelle Version, als dieser Artikel entstand), um die Software herunterzuladen. Beim Installieren der Datei ‘gpg4win-3.1.11.exe’ müssen Sie – wie bei Windows-Anwendungen üblich – zulassen, dass die App Änderungen am Rechner vornimmt.

Der Installer kann seine Arbeit in mehreren Sprachen verrichten; wählen Sie Deutsch und klicken Sie auf OK. Nach einem Klick auf Weiter wählen Sie aus, welche Komponenten Sie einrichten möchten:

gpg4win-installer.png

Figure 1: Gpg4win-Komponenten auswählen

  • GnuPG: Die Kernkomponente ist nicht abwählbar.
  • Kleopatra: Die Schlüssel- und Zertifikatsverwaltung besprechen wir in diesem Beitrag noch ausführlicher.
  • GPA: eine alternative Zertifikatsverwaltung
  • GpgOL: Das Plugin integriert GnuPG in das Mailprogramm Outlook.
  • GpgEX: Die Erweiterung für den Dateimanager (Explorer) erlaubt das Verschlüsseln von Dateien über einen Kontextmenü-Eintrag mit GnuPG.
  • Browser integration erlaubt die Nutzung von GnuPG mit Web-Apps für Mail (etwa auf den Websites von GMX, Posteo oder der Telekom).

Wir gehen in diesem Artikel davon aus, dass Sie mit Outlook arbeiten; übernehmen Sie darum die vorgegebene Auswahl; auch den Vorschlag für den Programmordner können Sie übernehmen.

Schlüsselpaar erzeugen

Ohne Sie an dieser Stelle mit theoretischem Wissen über die von GnuPG verwendete asymmetrische Kryptographie behelligen zu wollen: Ohne Schlüssel gibt es keine Verschlüsselung, und für GnuGPG brauchen Sie ein Schlüsselpaar (bestehend aus einem privaten und einem öffentlichen Schlüssel). Ihr Schlüsselpaar können Sie in Kleopatra erstellen. Nach der Installation von Gpg4win startet das Programm automatisch, und neben einer Begrüßung sehen Sie hier netterweise auch gleich die Schaltfläche Neues Schlüsselpaar, die Sie jetzt anklicken.

Entscheiden Sie sich für Persönliches OpenPGP-Schlüsselpaar erstellen, tragen Sie dann Ihren Namen und Ihre Mail-Adresse ein.

kleopatra-schluesselpaar-erzeugen.png

Figure 2: Neues Schlüsselpaar in Kleopatra erzeugen

Achtung: Die Mailadresse muss dieselbe sein, die Sie auch in Outlook als Absender konfiguriert haben, damit Outlook später den richtigen Schlüssel findet und verwendet.

Es lohnt sich, die erweiterten Einstellungen zu öffnen, denn in der Voreinstellung erzeugt Kleopatra ein Schlüsselpaar, das (zunächst) nur zwei Jahre lang funktioniert. Das hat den Sinn, dass der Schlüssel bei einem Verlust bald ungültig wird. Solange Sie den privaten Schlüssel besitzen, können Sie jederzeit die Gültigkeit verlängern. Wenn Sie eine kürzere (oder auch längere) Laufzeit als die zwei Jahre vorgeben möchten, stellen Sie unter Gültig bis einen anderen Termin (z. B. heute in einem Jahr) ein. Die übrigen erweiterten Einstellungen übernehmen Sie; schließen Sie das Fenster mit OK, klicken Sie dann auf Weiter und im folgenden Dialog Erstellen.

Der nächste Dialog bittet Sie um zweimalige Eingabe einer Passphrase: Das ist das Passwort, mit dem Sie den Zugriff auf Ihr Schlüsselpaar schützen. Wählen Sie ein Passwort, das Sie sich merken können, und tragen Sie es zweimal in die beiden Eingabefelder ein. Nachdem Kleopatra das Schlüsselpaar erstellt hat, klicken Sie auf Abschließen.

Tipp: Falls Sie bereits auf einem anderen Rechner (vielleicht sogar mit einem anderen Betriebssystem wie macOS oder Linux) ein Schlüsselpaar für Ihre Mailadresse erstellt haben, werden Sie dieses in der Regel auch mit Outlook verwenden wollen. Für diese Situation bietet Kleopatra eine Importfunktion an, die Sie über Datei / Importieren erreichen.

Schlüssel exportieren

In Kleopatra können Sie zwei Schlüsseldateien exportieren: eine mit dem öffentlichen Schlüssel und eine mit dem privaten Schlüssel. Klicken Sie dazu den Eintrag zu Ihrer Mailadresse in der Liste an. (Wenn Sie alles frisch installiert haben, gibt es nur diesen einen Eintrag.) Rufen Sie dann Datei / Exportieren auf und hängen Sie an den vorgeschlagenen Dateinamen den Zusatz -public an. Damit erzeugen Sie eine Datei der Form DC0B6…-public.asc, die eine als Text lesbare Version des öffentlichen Schlüssels enthält. Bei Interesse öffnen Sie diese Datei einmal mit einem Texteditor. Am Anfang und am Ende stehen diese Zeilen:

-----BEGIN PGP PUBLIC KEY BLOCK-----
[...]
-----END PGP PUBLIC KEY BLOCK-----

Dazwischen liegt eine ASCII-kodierte Form des Schlüssels.

Um den privaten Schlüssel zu exportieren, rufen Sie Datei / Geheime Schlüssel exportieren auf und hängen an den Dateinamen den Zusatz -private an. Bei diesem Schritt ist die Eingabe Ihrer Passphrase nötig. Auch die exportierte Version des privaten Schlüssels ist durch die Passphrase geschützt; die Eingabe ist an dieser Stelle nötig, weil Kleopatra beim Export aus Kompatibilitätsgründen auf andere Weise als intern verschlüsselt. Die private Schlüsseldatei (z. B. DC0B6…-private.asc) enthält ebenfalls eine lesbare Version des Schlüssels:

-----BEGIN PGP PRIVATE KEY BLOCK-----
[...]
-----END PGP PRIVATE KEY BLOCK-----

Tipp: Auch von Ihren Kontakten werden Sie Schlüssel verwalten – dabei erhalten Sie stets die öffentlichen Schlüssel. So wie Sie Ihren privaten Schlüssel geheim halten, geben auch Ihre Kontakte die eigenen privaten Schlüssel nicht heraus.

Wofür brauchen Sie nun welche Schlüssel?

  • Wenn Sie eine Mail verschlüsseln wollen, so dass nur der Empfänger sie lesen kann, dann benötigen Sie dafür den öffentlichen Schlüssel des Empfängers.
  • Wenn Sie eine Mail signieren wollen, so dass der Empfänger prüfen kann, dass die Mail wirklich von Ihnen stammt, dann benötigen Sie dafür Ihren eigenen privaten Schlüssel (und die Passphrase).
  • Wenn verschlüsseln und signieren wollen, brauchen Sie beide Schlüssel (und wegen des Signaturteils auch wieder die Passphrase).

Kontaktaufnahme

Schicken Sie den öffentlichen Teil Ihres Schlüsselpaares (also die Datei mit der Endung -public.asc) per Mail an Kontakte, von denen Sie verschlüsselte Mails erhalten möchten, oder veröffentlichen Sie den Schlüssel auf Ihrer Website.

Hinweis: Leichter gelingt der Schlüsselaustausch, wenn Sie Ihren öffentlichen Schlüssel auf einen so genannten Key Server hochladen oder direkt mit einem Web Key Directory (WKD) in Zusammenhang mit einem Web Key Service (WKS) arbeiten. Dafür sind allerdings einige Vorbereitungen nötig – wir werden dieses Thema daher in einem eigenen Blogartikel behandeln.

Wollen Sie nun die erste verschlüsselte und/oder signierte Mail an einen Kontakt schicken, der auch GnuPG nutzt, gehen Sie wie folgt vor:

  • Wenn Sie den öffentlichen Schlüssel vom Kontakt bereits besitzen, importieren Sie ihn in Kleopatra. Das klappt über Datei / Importieren. Der neue Kontakt taucht nach dem Import in der Liste der Zertifikate auf.
  • Haben Sie den öffentlichen Schlüssel noch nicht, können Sie auf einem Key Server danach suchen. Rufen Sie den Menüpunkt Datei / Auf Server suchen auf und geben Sie im Suchen-Feld die Mailadresse oder den Namen des Kontaktes ein. Wenn es einen Treffer gibt, markieren Sie diesen und klicken unten auf Importieren.

Tipp: Falls beides nicht zum Ziel führt, schreiben Sie (ein letztes Mal) unverschlüsselt an Ihren Kontakt und bitten um den Schlüssel. Der Schlüsselimport in Kleopatra ist für jeden Kontakt nur einmal zu erledigen.

In Outlook Mails signieren und ver-/entschlüsseln

Das eigentliche Schreiben einer Mail läuft in Outlook zunächst wie immer ab. Vor dem Verschicken klicken Sie aber auf das neue Symbol Absichern im Menüband. Es ändert dabei sein Aussehen (wird abgedunkelt), so dass Sie erkennen können, ob Sie es bereits angeklickt haben. Wenn Sie schließlich auf Senden klicken, öffnet sich der Dialog Sicherheitsbestätigung. Im oberen Teil zeigt er, mit welcher Identität Ihre Mail verschickt (und signiert) wird. Im unteren Teil sind alle Empfänger aufgelistet – und es steht jeweils dabei, welcher zugehörige Schlüssel für die Verschlüsselung verwendet wird. Falls dort ein graues X und der Text Kein Schlüssel. Empfänger kann die Nachricht nicht entschlüsseln, dann fehlt der öffentliche Schlüssel des Empfängers.

Bestätigen Sie die Angaben in diesem Dialog mit OK oder brechen Sie den Vorgang ab, falls noch Schlüssel fehlen, was Sie nur in Kleopatra beheben können. Für die Signatur fragt das Outlook-Plugin jetzt Ihre Passphrase ab, dann verschickt Outlook die verschlüsselte und signierte Mail.

Erhalten Sie eine Antwort auf Ihre Mail oder eine ganz neue Nachricht, ist diese vielleicht ebenfalls verschlüsselt und/oder signiert – das können Sie leicht überprüfen:

  • Bei verschlüsselten Mails blendet Outlook gleich unter der Absenderadresse einen blau hinterlegten Hinweis GpgOL: Verschlüsselte Nachricht ein.
  • Auch das Menüband im Hauptfenster enthält ein neues Symbol, das vom GpgOL-Plugin angelegt wurde. Je nach ausgewählter Nachricht sehen Sie dort ein Fragezeichen (mit Text Unsicher) oder ein Schloss (mit Text Verschlüsselt). Fahren Sie mit der Maus über dieses Symbol (ohne zu klicken), dann blendet Outlook Hinweise zur Sicherheit der Nachricht ein. Idealerweise steht dort Signierte und verschlüsselte Nachricht.

Hinweis: Oft zeigt Outlook auch an, dass die Absenderadresse nicht vertrauenswürdig ist. Was das bedeutet und wie Sie solche Warnungen los werden, verraten wir in einem späteren Blogartikel.

Einmaliger Aufwand, langfristige Sicherheit

Vielleicht kommen Ihnen die in diesem Artikel beschriebenen Schritte umständlich vor – denken Sie aber daran, dass diese jeweils nur einmal erforderlich sind: Ihr eigenes Schlüsselpaar fassen Sie erst dann wieder an, wenn die Gültigkeit abläuft, und für jeden Kontakt, dem Sie verschlüsselte Mails schicken wollen, ist nur einmal der öffentliche Schlüssel zu importieren.

Danach kümmert sich das Outlook-Plugin um alles Weitere. Sogar die Klicks auf Absichern könnten Sie über die GpgOL-Konfiguration überflüssig machen, indem Sie den Dialog GpgOL konfigurieren und dort die beiden Optionen Neue Nachrichten per Voreinstellung signieren und Neue Nachrichten per Voreinstellung verschlüsseln setzen.

Alle, die jetzt an viele hundert oder tausend Mitarbeiter oder andere Kontakte denken und überlegen, wie sie den Schlüsselaustausch in großen Organisationen bewerkstelligen sollen: Keine Sorge, es gibt einige praktische Automatismen, die wir im nächsten Artikel vorstellen werden. Krypto-Mails fühlen sich dann nicht anders an als unsignierte/unverschlüsselte Mails.