30.04.2011, security, mail, gpg

Eigentlich sollten wir alle nur verschlüsselte E-Mails verschicken. Warum eigentlich? Weil es sehr einfach ist den gesamten unverschlüsselten Datenverkehr mitzulesen und dies z.B. von Geheimdiensten getan wird.

Vielleicht sagt sich jetzt der ein oder andere "Aber ich habe doch nichts zu verbergen." Ach so? Dann darf ich doch bestimmt auch mal schnell in die Konten, Sparbücher, den Kleiderschrank schauen? Oder jemand vorbeischicken, der mal sieht was so in der Wohnung an "interessanten" Sachen zu finden ist? Es gibt immer eine Menge, die privat bleiben sollte. Nicht jede will ihr Adressbuch preisgeben, nicht jeder seinen Lohnzettel am schwarzen Brett finden.

E-Mail lassen sich sehr einfach sichern. Dazu braucht man nur ein Mailprogramm, das GPG unterstützt. Für Thunderbird gibt es »Enigmail, für Outlook oder »Sylpheed, das ich selbst benutze. Eine ausführliche Anleitung und Einführung in GPG gibt es bei »kairaven. Wer über Webmailer schreibt kann »FireGPG benutzen.

Im Prinzip ist das Verfahren aber ganz einfach:

  1. Schlüssel erstellen
  2. Revocation Certificate erstellen, falls man den Schlüssel eines Tages wiederrufen will/muss
  3. Öffentlichen Schlüssel veröffentlichen
  4. ???
  5. Profit

Den Schlüssel erstellt man einfachsten über eine grafische Oberfläche. Auch das Veröffentlichen kann man darüber machen. Man lädt seinen Schlüssel auf einen Keyserver hoch. Außerdem kann man ihn z.B. auf der eigenen Webseite bereitstellen (Exportieren in Datei - fertig). Ab sofort kann jeder für einen verschlüsselte Mails schreiben.

Wer die Fragezeichen und das "Profit" nicht verstanden hat: Das ist eine Anspielung auf die »underwear gnomes.

Es ist übrigens auch sehr einfach, Chats zu verschlüsseln. »Missi hat eine hervorragende Anleitung dazu geschrieben. Sie geht auch zusätzlich auf die Lizenzbestimmungen von Chatprogrammen ein. Ihr überlegt euch danach vielleicht, gleich auf »Jabber umzusteigen. Ihr solltet aber immer auch Verschlüsselung einsetzen.

Zu guter Letzt: Das erste Wort oben war "eigentlich". Auch ich verschlüssele (noch) nicht meine ganze Mail. Ich arbeite daran. Je mehr dies aber tun, desto besser. Nicht nur Firmen sollten sich hier mehr Gedanken machen. Die Software kostet nichts, die Praktiken sind einfach - aber verlorene Daten oder belauschte Interna machen einen großen Schaden!