Emails verschlüsseln

Programme:
Für die Verschlüsselung brauchst du zunächst einmal das Programm zum Ver- und Endschlüsseln selbst:
Gnupg. Unter Debian-Systemen ist es normalerweise bereits vorinstalliert. Wenn nicht kann es mit "apt-get install gpg" nachinstalliert werden.
Unter Windows und Mac musst du es extra installieren. https://www.gnupg.org/download/ bietet Links zu verschiedenen Gnupg-Versionen an.

Als nächstes ist das Lesen und Verwalten verschlüsselter E-mails meist nicht so toll mit alleine dem Programm. Wenn du es also gewohnt bist, über den Browser und die Internet-Seite deines E-mail-Providers deine E-Mails zu lesen solltest du dir etwas neues angewöhnen: Ein E-Mail-Programm.
Um das Tutorial leichter zu halten gehe ich hier nur auf Thunderbird ein.
Also als nächstes Thunderbird installieren.
Unter Debian-Systemen "apt-get install thunderbird" und evtl. noch "apt-get install thunderbird-locale-de" wenn du deutschsprachige Oberfläche bevorzugst.
Leider kann Thunderbird von Haus aus noch nichts mit verschlüsselten E-Mails anfangen, daher brauchst du ein Plugin für den Thunderbird namens "enigmail".
Dies kannst du im Thunderbird selbst installieren, indem du im Menüreiter "Extras" auf "Add-ons" klickst, dann im Suchfeld (oben rechts) "enigmail" eintippst.
Alternativ kann es auch von der Homepage http://www.enigmail.net heruntergeladen werden. Danach die heruntergeladene Datei im Thunderbird installieren und zwar indem du auf die Schaltfläche neben dem Suchfenster klickst und dort "Addon aus Datei installieren..." auswählst.

Jetzt hast du die wichtigen Programme heruntergeladen. Den Thunderbird solltest du natürlich auf dein Konto hin ausrichten bzw. ein eigenes Konto dafür installieren. Wie das geht ist abhängig vom E-Mail-Provider, bzw. die Daten die dafür eingegeben werden müssen und das würde hier nur ablenken. Vielleicht hat ja jemand Lust, entsprechende Anleitung für gängige Provider wie bspw. Riseup zu ergänzen.

Wie funktioniert die Verschlüsselung
Keine Sorge, es geht hier nicht um eine technische Aufzeichnung, wie die gnupg-Verschlüsselung tatsächlich funktioniert. Auch wenn das gar nicht so kompliziert ist wie es zunächst aussieht, soll dieses Tutorial ja rein praxisbezogen sein. Dennoch eine Beschreibung aus ebendieser Sicht der Praxis:
GnuPG hat immer ein Schlüsselpaar. Ein Schlüssel ist dabei der private oder geheime Schlüssel - der gehört dir und nur du darfst ihn haben.
Der andere Schlüssel ist der sogenannte öffentliche Schlüssel. Er heißt so, weil er genau das sein kann - öffentlich.
Um E-Mails an jemanden verschlüsselt schicken zu können brauchst du den öffentlichen Schlüssel dieser Person. Eine Nachricht, die mit Hilfe dieses Schlüssels verschlüsselt wurde kann auch nur von ihr wieder geöffnet werden - und zwar mit Hilfe ihres privaten (oder geheimen) Schlüssels. Wenn also dir jemand eine verschlüsselte Nachricht schicken soll so braucht er dafür deinen öffentlichen Schlüssel.
Kurz gesagt: Behalte deinen privaten Schlüssel für dich und teile deinen öffentlichen Schlüssel allen mit, die dir verschlüsselte emails zukommen lassen soll und sammle die öffentlichen Schlüssel der Leute, denen du verschlüsselt schicken willst.

Zunächst einmal erstellst du dir ein eigenes Schlüsselpaar. Dazu gehst du im Menü-Reiter "Enigmail" auf "Schlüssel verwalten". Im neuen Fenster "Enigmail-Schlüssel verwalten" klickst du im Menü-Reiter "Erzeugen" auf "Neues Schlüsselpaar". Im erscheinenen Dialog kannst du deinen Schlüssel noch mit Hilfe einer Passphrase (langes Passwort) absichern. Das erschwert den Zugriff falls dein privater Schlüssel doch mal in falsche Hände geraten sollte.
"Ablauf" bedeutet, dass der Schlüssel mit einem Ablauf-Datum versehen wird. Nach dieser Zeit wird er ungültig und du musst dir einen neuen machen.
Warum das? Nun, je schneller die Rechner werden, desto schneller können Schlüssel "geknackt" werden. Um dagegen vorzugehen musst du (mit einem ebenfalls bis dahin schnelleren Rechner) die Verschlüsselungsstufe heraufsetzen.
Unter "Erweitert" kannst du selbst auswählen, welchen Algorithmus du bevorzugst, also welche Methode, und welche Schlüsselstärke. Bei letzterem gilt: Je höher desto besser.
Falls du mehrere Konten im Thunderbird verwaltest kannst du oben noch auswählen für welches Konto bzw. für welche e-mail-adresse der Schlüssel gelten soll. Ein Schlüsselpaar wird nämlich in der Regel an eine e-mail-adresse gekoppelt.
Alles eingestellt? Dann auf "Schlüsselpaar erzeugen" klicken.
Anschließend surfen und ähnliches - denn der Algorithmus muss Zufallszahlen erzeugen und benutzt dazu das Surfen und ähnliche Rechneraktivitäten.

Schlüssel verteilen und sammeln
Die gängigste Methode ist inzwischen, den Schlüssel an deine Kontakte zu schicken. Das kannst du bei jeder Mail tun, indem du den Haken im Reiter "Enigmail" bei "Meinen öffentlichen Schlüssel anhängen" aktivierst.
Wenn dir ein Schlüssel zugeschickt wird (meist im Anhang zu erkennen ähnlich zu 0xABCDE12F.asc) kannst du ihn mit der rechten Maustaste anklicken und dann "Schlüssel importieren" auswählen. Anschließend steht er für dich automatisch zur Verfügung wenn du e-mails schreiben willst. Wenn du einen Block erkennst der mit "-----BEGIN PGP PUBLIC KEY BLOCK-----" anfängt, so kannst du daraus ebenfalls einen Schlüssel importieren. Markiere den Block (inklusive des Beginn und End-Blocks) und kopiere ihn in die Zwischenablage (STRG+"C" oder unter Bearbeiten auf Kopieren). Anschließend in die Schlüsselverwaltung im Thunderbird gehen (Enigmail -> Schlüssel verwalten) und dort im Reiter "Bearbeiten" auf "Aus der Zwischenablage importieren" klicken. Solche Blöcke stehen z.B. manchmal auf Homepages von Gruppen, die dir die Möglichkeit einräumen wollen zu ihnen verschlüsselten Kontakt aufzubauen.
Die Dritte Möglichkeit ist heute ziemlich aus der Mode gekommen: Schlüsselserver. Schlüsselserver sind Server, auf die du deinen öffentlichen Schlüssel hochlädst. Dort können sie dann von allen heruntergeladen werden.

Schlüssel beglaubigen, Vertrauen etc.
Für die Praxis ist eigentlich alles gesagt - du kannst jetzt verschlüsselt emails senden und empfangen. Leider jedoch gibt es eine - wenn auch selten genutzte - Möglichkeit, sich trotzdem noch dazwischen zu packen. Das hängt mit der Übertragung der öffentlichen Schlüssel über das Internet zusammen. Mit der sogenannten Man-in-the-Middle-Attacke kann die Verschlüsselung noch ausgehebelt werden.
Sie funktioniert so, dass deine e-mail und die deiner Freunde mit denen ihr eure Schlüssel austauscht, manipuliert werden. Und zwar in dem dein öffentlicher Schlüssel in der Mail bspw. ausgetauscht wird durch einen öffentlichen Schlüssel einer dritten Person. Und andersherum genauso. So schreibst du eine e-mail an eine Freundin, aber nicht mit ihrem Schlüssel sondern mit dem des Angreifers. Dieser wiederum entschlüsselt die Nachricht und schickt sie verschlüsselt mit dem deiner Freundin an selbige. Sie kann also die Nachricht auch entschlüsseln und merkt nichts davon, dass in der Mitte jemand mitgelesen hat.
Um diese Attacke auszuschließen gibt es den sogenannten Fingerabdruck. Wenn du in der Schlüsselverwaltung rechten Mausklick auf den Schlüssel deiner Freundin klickst und dann "Schlüsseleigenschaften" anguckst, so siehst du den "Fingerabdruck" des Schlüssels deiner Freundin. Bei deinem öffentlichen Schlüssel natürlich genauso. Ihr müsst euch also nur noch verständigen (über einen anderen Weg als e-mail, z.B. Telefon) dass der Fingerabdruck den du bei dem Schlüssel deiner Freundin siehst auch wirklich zu dem deiner Freundin gehört.
Wenn ihr das getan habt könnt ihr dem Schlüssel noch das Vertrauen aussprechen. Bei Schlüsselservern hat dies den Vorteil, dass ihr so schon anhand des Schlüssels sehen könnt, wer diesem Schlüssel bereits vertraut und so ein "Netz des Vertrauens" oder "Web of Trust" aufbauen. Allerdings zeigt euer Schlüssel dann auch an, mit wem ihr Kontakt habt. Auch wenn das in Zukunft dank Vorratsspeicherung ja eh bekannt sein wird.

Emailverschlüsselung für Unterwegs
Es ist auch möglich, mit Hilfe von thunderbird-portable auf einem USB-Stick von unterwegs aus deine e-mails abzurufen und zu entschlüsseln. Doch dann musst du auch dem Rechner trauen, auf dem du thunderbird-portable verwendest, da dort ja logischerweise die e-mails im Klartext angezeigt werden. Zudem liegt dann dein privater Schlüssel ebenfalls auf dem USB-Stick. Meist nicht so schick. Wenn es aber nicht anders geht und du es unbedingt brauchst so geht das.
Sei dir nur über die Risiken bewusst.

Weitere Schwachstellen
E-mails mit GNuPG oder PGP verschlüsselt können theoretisch entschlüsselt werden. Die Schlüsselstärke ist daher immens wichtig - je höher die Stärke, desto schwieriger und damit langsamer die Verschlüsselung. Um einen aktuellen Schlüssel mit aktueller Hardware zu knacken braucht es mehrere hundert Jahre. Da Rechenkapazität allerdings immer weiter zunimmt nimmt die Zeit, die es braucht den Schlüssel zu knacken immer mehr ab. Ein Beispiel: Zum Zeitpunkt "heute" würde es 400 Jahre dauern, die Nachricht zu entschlüsseln bzw. den Schlüssel zu knacken. Wenn sich die Rechenkapazität jedes Jahr verdoppelt braucht es nächstes Jahr nur noch 200 Jahre, übernächstes 100, danach 50, 25, 12, 6, 3, 1... in 15 Jahren sollte die Rechenkapazität also soweit sein, die Nachricht mit vertretbarem Aufwand zu knacken. (Die Zahlen sind rein fiktiv und ohne jegliche wissenschaftliche Basis und sollen nur dazu dienen, das Problem zu erläutern.)  Daher solltest du alle paar Jahre auch einen neuen Schlüssel mit aktueller Stärke erstellen. Sei dir darüber bewusst, dass Nachrichten die mit GnuPG bzw. PGP verschlüsselt werden, nachträglich nach einigen Jahren entschlüsselt werden können. Für die absolute Sicherheit taugt diese Verschlüsselung daher nicht, dafür ist sie aber auch nicht gedacht.
Die größte Schwachstelle ist allerdings der private Schlüssel. Fällt der in die Hände einer böswilligen Partei beschleunigt das den Prozess enorm, selbst bei gut gewähltem Passwort. Daher empfiehlt es sich, ihn auf einer vollverschlüsselten Festplatte aufzubewahren.
Die nächste Schwachstelle ist natürlich dein Betriebssystem. Wenn du eine Windowskiste verseucht mit einem Trojaner benutzt oder eine uralte Linuxversion mit lauter Schwachstellen so kann darüber natürlich ebenfalls sowohl der private Schlüssel geholt werden als auch die Nachrichten in dem Moment wo du sie selbst liest, mitgelesen werden.
Sei dir darüber bewusst und versuche, dein System so sicher wie möglich zu halten - z.B. mit einem aktuellen Debian-System mit vollverschlüsselter Festplatte.

Soviel von mir, ich hoffe geholfen und nicht verwirrt zu haben,
auf das mehr Leute e-mails verschlüsseln als früher. Bei Unklarheiten - Fragen! (Über die Ergänzungsfunktion)
Denk daran, möglichst auch privates Zeug zu verschlüsseln. Eine nicht-verschlüsselte e-mail ist wie eine Postkarte und wird von interessierten Kräften gelesen, gespeichert und ausgewertet werden.