E-Mail-Verschlüsselung


#1

Im Forum des Bündnis Privatsphäre Leipzig e. V. wollen wir dir die Möglichkeit geben, zu unseren Cryptoparties Fragen zu stellen und Erfahrungen auszutauschen.

In diesem Thema/Thread sollten alle Fragen, Anmerkungen und Hinweise zum Thema GPG, E-Mailverschlüsselung und asymmetrischen Verschlüsselung (Pulic-Key-Kryptografie) ihren Platz finden.

Wir freuen uns auf deine Mitarbeit. Bitte behalte unsere Netiquette und unsere Nutzungsbedinungen im Blick zu halten.

Vielen Dank. Wir freuen uns auf deine Mitarbeit.


#2

Hallo liebe alle,

ich habe gesehen, dass es in den nächsten Wochen einige Cryptopartys zu bestimmten Themen geben wird. So auch im August zu E-Mail-Verschlüsselung. Dieses Thema interessiert mich am meisten und ausgerechnet da bin ich nicht in LE. Gibt es dafür evtl. einen Ausweichtermin oder könnte ich da auch so mal vorbeikommen?

Danke und VG

Kristin


#3

Liebe @Line1910 ,

wir freuen uns sehr über dein Interesse an unseren CryptoParties und speziell auch an E-Mail-Verschlüsselung.

Keine Sorge, im Frühjahr 2016 sind weitere CryptoParties geplant. Auch wenn bisher noch keine genauen Termine festgelegt wurden, wird E-Mail-Verschlüsselung auf jeden Fall ein fester Bestandteil sein.

Wir verstehen unsere CryptoParties als regelmäßig wiederkehrende Veranstaltungen, wobei jeden Monat ein spezielles Thema näher beleuchtet werden soll. Neben den CryptoParties haben wir uns noch eine Reihe weiterer Veranstaltungen und Projekte vorgenommen, so dass es uns in diesem Jahr nicht möglich sein zu den insgesamt fünf Parties noch eine zusätzliche Party zu veranstalten.

Gezielte Fragen beantworten wir dir gerne hier im Forum oder auch bei einem persönlichen Treffen im Sublab. Dennoch empfehlen wir dir zur Einführung - gerade bei E-Mailverschlüsselung - an einer unserer CryptoParties z. B. dann im kommenden Frühjahr teilzunehmen.

GLG

Toby


#4

@Toban Wir wurden gefragt, wo es Material zur E-Mailverschlüsselung via Outlook zu finden ist.

Ein erster Ankaufspunkt stellt dar:

https://www.gpg4win.de/doc/de/gpg4win-compendium.html

Wir empfehlen die Nutzung von Outlook aber nur bedingt, da Outlook nicht OpenSource ist und Hintertüren enthalten kann. Abgesehen davon berichtenden uns erfahrene Nutzer*Innen berichtet haben, dass es ihnen nicht möglich war, dort Verschlüsselung ohne größere Hürden einzubinden.

In unserer CryptoParty konzentrieren wir uns auf Thunderbird und Enigmail, auch deshalb um die Veranstaltung zeitlich einzuschränken. Ebenso klammern wir das Thema S/MIME aus.

Eine Alternative bereite womöglich gerade das Pretty-Easy-Privacy (p≡p) Projekt vor, die es sich zum Ziel gesetzt haben, Verschlüsselung zu vereinfachen. Wir sind da noch nicht ganz so optimistisch, da die Vereinfachung, die p≡p erreichen möchte in einer höheren Software-Komplexität mündet, die dann möglicherweise neue Angriffsflächen und Risiken nach sich ziehen könnte.

Noch sehr neu ist die unter dem Schlagwort Volksverschlüsselung bekannt gewordene Alternative, die allerdings noch eine Veröffentlichung des Programmcodes (Quellcode) schuldig geblieben ist, weshalb wir zunächst noch skeptisch bleiben.


#5

Summary

This text will be hidden

Summary


#6

@Toban Was möchtest du uns damit sagen? :wink:


#7

Hallo

Ich möchte noch was zum Thema "Verschlüsselung "sagen.Wie bekommt man eine neue Passphrase,wenn man das alte Paßwort vergessen hat.Mir geht es zwar nicht so mit dem "Vergessen"oder verlegt.Trotzdem nimmt mein PGP Verfahren die Passphrase nicht. mehr an.
Zwei Schlüssel habe ich widerrufen mit dem Widerrufszertifikat.Meine andern beiden Schlüsselpaare brauchen jetzt ein neues Paßwort.In der Schlüsselverwaltung steht unter Aktion "Passsphrase"ändern.
Da ich immer nur einen Schlüssel in der Schlüsselverwaltung anzeigen lassen kann,hei0t das wohl,dass ich fütr jeden Schlüssel ein neues Paßwort brauche.
Zu PGP Verschlüsselung gibt es nur noch ältere Literatur außer ein Buch,was ich als Vorlage genommen habe ,heißt "E-Mail Verschlüsselung,Die Anleitung"1.Auflage 09.08.2013 von Heinrich Jan Keute,als E-Book.Die Anleitung bezieht sich auf Windows 7.Einige Einstellungen treffen hier nicht auf Windows 10 zu.In der Symbolleiste bei Thunderbirg wird in Windows 7 alles über das Bedienelement Open PGP eingerichtet,bei Windws 10 alles über Enigmail.

tradem schreibt auch,dass die neue Volksverschlüsselung noch skeptisch zu bewerten ist.Auch in anderen PC Zeitschriften wird darüber kritisch geschrieben.Nicht das es uns so geht wie mit manchen Smartsphones aus China,in dem gleich eine Abhörsoftware mit eingebaut war.
Ich denke,das PGP mit Enimail und Thunderbirg die bessere Lösung für das Verschlüsseln von E-Mails ist.


#8

Hallo

Danke Tobias.Er hat mir eine verschlüsselte E-Mail geschrieben.Leider geht die Passphrase nicht,also es zeigt an ,dass die Passphrase ungültig ist.Jetzt muß ich aber dazu dagen,das ich zwei neue Schlüssel erzeugt habe.Die alten habe ich aber widerrufen.Gilt für die neuen Schlüssel die alte Passphrase nicht mehr?Wie erstelle ich eine neue Passphrase?


#9

Ich muß noch einmal über die Verschlüsselung schreiben.
Wenn man die Passphrase als ungültig erklärt bekommen hat,wie kann man eine neue erstellen?Ein Schlüsselpaar existiert noch bei mir.Die anderen wurden zerrifiziert.Muß ich pgpwin4 nochmals neu installeren?
Wie ist das ,kann man die Schlüssel mit einer Zeitbegrenzung erstellen?
Die Anleitungen im Internet beziehen sich alle auf Datums aus dem Jahr 2010 oder noch älter.
Bisher habe ich noch keine mit win 10 gefunden.Bei den älteren Beschreibungen kommt in der Symbolleiste von Thunderbirg "OPEN GPG"gar nicht vor.
Wer hatte schon mal den Fehler mit der verlorenen Passphrase?Habe hier im Forum auch noch nichts diesbezüglich gefunden.


#10

Unter GPGP und Enigmail ist ein Schlüsselpaar (Öffentlicher und Privater Schlüssel) an eine Hauptidentität gebunden für dass du dann ein eigenes Passwort benötigst.

Mit Büchern ist das immer so eine Sache in der Informationstechnik. Insbesondere bei Handbüchern können die dargestellten Nutzungsführungen schnell veraltet sein. Da Sowohl Thunderbird als auch Enigmail auf verschienden Betriebssystemen verfügbar sind, hängt die Nutzerführung weniger vom verwendeten Betriebsssystem, wie von der verwedneten Softwareversion ab. Welche Thunderbird-Version und welche Engimail-Version verwendest du denn?

Einer unserer Mitstreiter - @rainer - hat beobachtet, dass es bei Passphrasen zu Fehlern bei der Umsetzung von Umlauten oder Sonderzeichen kommen kann. Während die Passphrase mit dem Kommandozeilenwerkezeug pgp funktioniert, kann Enigimal Probleme damit bekommen. Vielleicht gibt es hier Probleme bei der Kodierung des Zeichensatzes.

Falls du Umlaute oder Sonderzeichen wie ß in deiner Passphrase verwendest, könntest du versuchen sie nochmal über die Kommando-Zeile zu ändern. Beschreibe dir gerne, hier wie das geht, da das auch nicht Bestandteil unser CryptoParties ist.

Wenn es nicht daran liegt, ist der Schlüssel leider verloren und sollte widerrufenen werden und anschließend auf dem KeyServer aktualisiert werden, falls du ihn bereits hochgeladen hast.Anschließend musst du dir dann ein neues Paar generieren. Du hast zwar, wie bereits von dir beschrieben über, über Enigmal > Schlüssel verwalten und dann Aktion wählen > Passphrase ändern die Möglichkeit, aber das funktioniert nur, wenn du das alte Passwort noch weißt bzw. keine Umlaute/Sonderzeihen darin enthalten sind.

Lieber @Toban Hast du denn Zeit am 10.August an der CryptoParty zur E-Mail-Verschlüsselung teilzunehmen? Vielleicht können wir dort vertiefend auf die Herausforderungen eingehen, die dir bereits der E-Mail-Verschlüsselung begegnet sind?

Eine sehr gute, leider englischsprachlige Anleitung findet sich unter Security-In-a-Box. Leider ist die dort betrachtete Thunderbird-Version und auch GPG-Version auch schon sehr alt (aktuell ist 45.2.0).

Ich habe aktuell kein Windows10 zur Hand, unter dem Thunderbird installiere ist. Aber ich könnte im Laufe des morgigen Tages ausprobieren. Unter Linux (ArchLinux) gibt es noch heißt das Menü noch Enigmail.

Der Eintrag im Ubuntu-Wiki deutet aber an, dass die Begriffe OpenGPG und Enigmal im Menü synonm verwendet zu werden scheinen: https://wiki.ubuntuusers.de/Thunderbird/Enigmail/#Benutzung


#11

Hallo @tradem

Danke für die ausführliche Antwort.Den Link habe ich mir angeschaut .Übersetzung klappt gut mit der Erweiterung Translator für Firefox .Zwar ist die Version schon älter aber sehr gut bebildert.
Ich staune,dass bisher noch niemand mit der Verschlüsselung bei win 10 ein Artikel geschrieben hat.Gerade bei win 10 sind ja soviele Sicherheitslücken aufgetaucht,die man bis heute noch nicht alle
im Griff bekommen hat.
Vielleicht wäre die Verschlüsselung in win 10 und Erstellung einer neuen Passphrase auch ein Thema der CryptoParty ?
@tradem bitte erkläre mir die Wiederherstellung meiner Passphrase über die Kommandozeile.
Am 10.08.16 möchte ich gern an der CryptoParty teilnehmen.Das einzigste ,was mich dazu noch beunruhigt,ist die Tatsache,dass ich kein Profi bin.Hoffentliche störe ich kein anderen User.

Gruß Toban


#12

Hallo @Toban,

Tatsächlich bin ich gar nicht so erstaunt darüber. Windows 10 ist vielen Nuzter*Innen mit einer Affinität für ihre Privatsphäre wesentlich suspekter als etwa Windows 7 oder sogar 8, wobei sich bereits seit 8 diese Entwicklung abzeichnet. In der Tat ist es gar nicht so einfach Windows 10 das ›Telefonieren nach Hause‹ abgewöhnen. Abgesehen davon ist die Einführung von der SecureBoot ab Windows 8 aus der Sicht vieler Sicherheitsexperten ein ernst zu nehmendes Problem.

Foglich haben sich vielleicht noch nicht sehr viele aktive GPG-Nuzter*Innen mit Windows 10 beschäftigt. Privat nutze ich selbst Linux und müsste mir unter Windows 10 dazu erst einmal einen Überblick verschaffen.

Das trifft leider nur nicht auf Windows 10, sondern auch auf die anderen Windowsvariaten zu. Tatsächlich ist aber weder Linux noch macOS Sierra‎/OSX von Sicherheitslücken gefeiht. Auf unseren CryptoParties erklären wir, wie man damit am besten umgeht.

Aktuell planen wir für evlt. ab Dezember 2016 eine CryptoParty zu Windows10 zu veranstalten und auf die Risiken für die Privatsphäre einzugehen und wollen Wege zeigen, damit (besser) umzugehen. Diese Party wird sich aber vermutlich nicht so sehr an Einsteiger richten und keine Betriebssystemschulung im eigentlichen Sinne darstellen.

Lieber @Toban , ich würde dir die Teilnahme an der CryptoParty sehr ans Herz legen wollen. Unsere Parties richten sich ausdrücklich an Einsteiger*Innen. Allerdings können wir nicht immer auf alle Fragen eingehen. Für den Besuch einer Party zu Verschlüsselung ist es etwa ratsam dass man bereits Erfahrungen mit dem Prinzip E-Mail hat, d. h. schon E-Mails über Thurderbird, Outlook, Apple Mail, SeaMonkey Evolution, oder einem Webmailer versand hat. Für den Besuch einer CryptoParty zu Messenger und Chat-Systemen sollte man zumindest wissen, wie man Apps auf seinem Smparthone installiert bzw. Chat-Programme auf seinem Laptop oder PC.

Das Forum steht sowieso immer für Rückfragen oder eine Vertiefung des Themas offen. Zudem stellen wir alle Folien und Materialen auf unserer Website zur Verfügung. Das Verfassen von Handbüchern und detailierten HowTows oder Hand-Ons übersteigt allerdings im Augenblick unsere Kapazitäten.


#13

Enigmail: Bedeutung der Icons bei Verschlüsselung und Signierung

@Toban fragt via E-Mail:


Ich habe oben bei Thunderbir[d]
auch neben den Optionen"Verschlüssen und Unterschreiben"noch ein blaues
Aufrufezeichen.Was bedeuten diese?

Ich vermute mal es handelt sich um eines der beiden Icons:

oder

Die OpenGPG/GPG-Unterstützung hängt in Thunderbird an den festgelegten Identäten, d. h. an dem E-Mail-Konten die dort eingerichtet wurden. Unter Einstellungen :arrow_right: Benuzterkonten muss die PGP-Unterstützung

  1. Für das Konto deaktiviert sein
  2. Einem OpenGPG-Key zugeordnet sein. Engimail versucht die Zuordrnung über die E-Mail-Adresse herzustellen. Gilt ein Schlüssel für mehre Identitäten, dann muss dies ggf. entsprechend zugeordnet werden.
  3. Einem Kontrollkästchen zur Aktivierung/Deaktivierung einer voreingestellten Verschlüsselung (Verschlüsselung ist dann immer aktiviert)
  4. Einem Kontrollkästchen zur Aktivierung/Deaktivierung der Signierung (Verschlüsselung ist dann immer aktiviert)

Der Status gibt an, dass entweder die Singnierung oder die Verschlüsselung oder beides manuell deaktiviert wurde.

Anbei eine Übersicht aller Icons, die einen verschieden Status signalisieren:


Signieren

E-Mail wird gemäß den einstellten Regeln unterschrieben (signiert).

E-Mail wird nicht nicht signiert, weil das Signieren deaktivert wurde.

E-Mail wird nicht signiert, da das Signieren für diese OpenPGP-Identität abgeschaltet wurde.

E-Mails werden gemäß Standardeinstellungen und eingestellten Regeln generell nicht unterschrieben.

E-Mails wird nicht unterschrieben, weil das Signieren manuell deaktiviert wurde.

Verschlüsselung

E-Mail wird gemäß den Vorstellung des Benutzerkontos verschlüsselt. Öffentlicher Schlüssel des Empfängers muss vorhanden (d. h. importiert worden sein).

E-Mail wird verschlüsselt. Die Verschlüsselung wurde durch die/den Nutzer*In manuell aktiviert.

Die E-Mail wird nicht verschlüsselt, weil die Verschlüsselung für dieses Konto nicht aktiviert wurde.

Die E-Mail wird nicht verschüsselt, weil die Verschlüsselung durch den Nutzer manuell abgeschaltet wurde.

Message will not be encrypted, because encryption has been manually deactivated


GPG: Eine GPG-Passphrase nachträglich ändern

Unter Windows10 muss dafür zuerst die Eingabeaufforderung gestartet werden. Eine Möglichkeit:

  1. Drückte die Tastenkombination Windows + X.
  2. Es öffnet sich ein Kontext-Menü.
  3. Wähle den Eintrag Eingabeaufforderung aus.

Nun müsste sich die Eingabeaufforderung öffnen:

Als erstes ermittelt man die GPG-Id des generierten Schlüsselpaares:

gpg --list-keys

Du müsstet dann eine ähnliche Ausgabe wie dieses erhalten:

pub   16384R/0x7A143ECCF1E7FA92 2015-01-31 [verfällt: 2017-01-30]
uid                 [ uneing.] Buendnis Privatsphaere Leipzig <postfach@privatsphaere-leipzig.org>
uid                 [ uneing.] Buendnis Privatsphaere Leipzig <bpl@privatsphaere-leipzig.org>
uid                 [ uneing.] Redaktion Blog BPL <blog@privatsphaere-leipzig.org>
uid                 [ uneing.] Crypto-Support-BPL <crypto@privatsphaere-leipzig.org>
uid                 [ uneing.] Bündnis Privatsphaere Leipzig <presse@privatsphaere-leipzig.org>
uid                 [ uneing.] Bündnis Privatsphaere Leipzig <orga@privatsphaere-leipzig.org>
uid                 [ uneing.] Bündnis Privatsphaere Leipzig <vernetzung@privatsphaere-leipzig.org>

An deiner E-Mail-Adresse erkennst du deinen eigenen Schlüssel, denn du möchtest. Die ID steht nach der Angabe der Geschlängelte, also pub [Schlüssellänge in Bytes]R/[ID].

Das Format der Ids kann anders aussehen wie im o. g. Beispiel (ich habe z. B. bei mir das Langformat eingestellt).

Anschließend editiert man den Schlüssel lt. unserem Beispiel wie folgt:

gpg --edit-key 0x7A143ECCF1E7FA92
gpg (GnuPG) 2.0.28; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Geheimer Schlüssel ist vorhanden.

pub  16384R/0x7A143ECCF1E7FA92  erzeugt: 2015-01-31  verfällt: 2017-01-30  Aufruf: SC  
                               Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub  16384R/0xD2293006721A9419  erzeugt: 2015-01-31  verfällt: 2017-01-30  Aufruf: E   
[ uneing.] (1). Buendnis Privatsphaere Leipzig <postfach@privatsphaere-leipzig.org>
[ uneing.] (2)  Buendnis Privatsphaere Leipzig <bpl@privatsphaere-leipzig.org>
[ uneing.] (3)  Redaktion Blog BPL <blog@privatsphaere-leipzig.org>
[ uneing.] (4)  Crypto-Support-BPL <crypto@privatsphaere-leipzig.org>
[ uneing.] (5)  Bündnis Privatsphaere Leipzig <presse@privatsphaere-leipzig.org>
[ uneing.] (6)  Bündnis Privatsphaere Leipzig <orga@privatsphaere-leipzig.org>
[ uneing.] (7)  Bündnis Privatsphaere Leipzig <vernetzung@privatsphaere-leipzig.org>

Der Schlüssel hat bei dir vermutlich nur eine Identität. Nun kannst du unten in der GPG-Umgebung die Passphrase ändern.

gpg> passwd
Schlüssel ist geschützt.

Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Buendnis Privatsphaere Leipzig <postfach@privatsphaere-leipzig.org>"
16384-Bit RSA Schlüssel, ID 0x7A143ECCF1E7FA92, erzeugt 2015-01-31

Nun wirst du aufgefordert die akutelle (also ›alte‹) Passphrase einzugeben. Und anschließend deine neue Passphrase.

Um alle Änderungen zu speichern gibtst du nun in der GPG-Umgebung Folgendes ein:

gpg> save
gpg> quit

Herzlichen Glückwunsch! Du hast deine Passphrase geändert.


Bouches sind unzustellbare E-Mails

Da @Toban via E-Mail fragte, anbei der Link einem entsprechenden Wikipedia-Eintrag:


#14

via E-Mail von @Toban :


Hallo @tradem

Leider konnte ich deine letzten beiden E-Mails nicht entschlüsseln,da
mir immer wieder angezeigt wurde,dass die Passphrase falsch ist.Wenn ich
mir aber eine verschlüsselte E-Mail schicke,kann ich diese mit meiner
Passphrase öffnen und entschlüsselnb.Woran mag das liegen?
Man findet auch im Internet dazu keine Bemerkung.

Herzliche Grüße

Wahrscheinlich war dein Schlüsselpaar noch nicht korrekt in meinem PGP importiert. Jedes mal, wenn du ein Schlüsselpaar neu generierst, musst

  1. sicherstellen, dass der korrekte öffentliche Schlüssel verteilt wird
  2. alle Teilnehmer der verschüsselten Kommunikation darüber informieren, dass es einen neuen Schlüssel gibt (auch wirklich explziert darauf hinweisen). Zu dem Zweck solltest du auch immer den Fingerabdruck des Schüssels mitsenden oder auf einem anderen gesicherten Kanal (z. B. verschlüsselter Messenger oder Chatsystem oder Bitmessage zustellen) oder ihn der/dem Empfänger*in via Telefon durchgeben.

Die Arbeit mit KeyServer kann dieses Unterfangen vereinfachen.

Nicht mehr verwendete Schlüssel sollte man übrigens widerrufen.

Liebe Grüsse


#15

GnuPG-Sicherheitsupdates

GnuPG, die Kernkomponente zur E-Mail-Verschlüsselung die wir bei unsern Cryptopartys zeigen, hatte bei der Erzeugung von Zufallszahlen eine fehleranfällige Implementierung.
Seit dem 17. August 2016 sind Updates der Programme verfügbar. Wir empfehlen sehr, diese einzuspielen.
Mit den alten Versionen erzeugte Schlüssel können nach Ansicht der Entwickler ohne Einschränkungen weiter verwendet werden.

Weitere Informationen: http://heise.de/-3300159 und https://lists.gnupg.org/pipermail/gnupg-announce/2016q3/000395.html

Download Gpg4win: https://gpg4win.de/download-de.html


#16

Privatsphäre in Deutschland – Ein Bündnis aus Leipzig klärt auf!

@Toban @Line1910 @dcr @thore @felix.mustermann @Herr_Hunger

Anlässlich der CryptoParty, die wir am 10.08.2016 veranstaltet hatten, wurden wir für den Regionalsender DRF1 von Markus Mötz interviewt.

https://www.youtube.com/watch?v=80KT2dMJFrI