computerwoche.de

Security

E-Mails auf dem Mac verschlüsseln

14.10.2016
Von Christian Rentrop
Normale E-Mails haben die Sicherheitsstufe einer klassischen Postkarte: Unterwegs kann sie theoretisch jeder lesen und verändern. Damit das nicht passiert, sollten Sie Ihre Mails signieren oder, besser noch, verschlüsseln. Mit GPG ist das kein Problem.
Foto: ra2studio - shutterstock.com

Manchmal ist es notwendig, wichtige Daten oder Informationen - etwa ein Passwort oder andere brisante Inhalte - per E-Mail zu verschicken. Das Problem dabei: Der normale E-Mail-Standard ist ein offenes Buch: Die Mail passiert im Zweifel unterwegs zahlreiche Server in aller Herren Länder. Und weil der Mail-Standard in der Normaleinstellung keinen Schutz vorsieht, kann jeder Server unterwegs den Inhalt lesen oder sogar verändern. Sicher ist das definitiv nicht: Die klassische E-Mail besitzt üblicherweise das Sicherheitsniveau einer Postkarte. Und obwohl die meisten E-Mail-Nutzer wichtige Informationen wohl niemals auf eine Postkarte schreiben und verschicken würden, scheinen sie bei Mails keine Problem damit zu haben.

GPG (noch ) nicht zu macOS Sierra kompatibel

Dieser Ratgeber beschreibt Ver- und Entschlüsselung von Mails mit Hilfe des Tools GPG. Dieses ist (noch) nicht zu macOS Sierra kompatibel, wie der Entwickler auf seiner Website bedauert. Wer also seine Mails mit GPG verschlüsselt, sollte mit dem Update auf macOS Sierra noch eine Weile warten, der Entwickler verspricht jedoch keinen Zeitrahmen für das Update. Indes gibt es aber einen Workaround für diejenigen, die ihr System bereits auf macOS Sierra aktualisiert haben und verschlüsselte E-Mails empfangen oder verschlüsselte versenden wollen. Die Details beschreibt der GPGTools Support auf seiner Website.

Verschlüsselung oder Signatur?

Eine sehr einfache Verschlüsselungsstrategie ist die Caesar-Verschlüsselung. Heutzutage natürlich völlig unsicher, erlaubt sie als Spielerei jedoch ein einfaches Verständnis der Arbeitsweise von Verschlüsselung.
Eine sehr einfache Verschlüsselungsstrategie ist die Caesar-Verschlüsselung. Heutzutage natürlich völlig unsicher, erlaubt sie als Spielerei jedoch ein einfaches Verständnis der Arbeitsweise von Verschlüsselung.

Doch wie kann man sich schützen? Die Lösung ist die digitale Signierung oder Verschlüsselung der E-Mail, bevor sie auf die Reise geht. Dabei gilt es, zunächst den Unterschied zwischen beiden Verfahren zu verstehen: Eine Signatur ist ein digitaler Fingerabdruck, der an der Mail angehängt wird. Er sorgt durch einen Schlüssel dafür, dass niemand, der den Schlüssel nicht kennt, die Mail verändern kann. Die E-Mail selbst liegt allerdings im Klartext vor. Signierte E-Mails sind mit in Klarsicht-Folie eingeschweißten Postkarten vergleichbar: Zwar kann jeder unterwegs den Inhalt lesen - verändern kann er ihn jedoch nicht. Die Signatur steigert die Verlässlichkeit der Mail, wirklich sicher wird sie dadurch jedoch nicht: Stattdessen muss eine Verschlüsselung her.

So funktioniert Verschlüsselung

Die Verschlüsselung einer E-Mail läuft ähnlich ab, allerdings wird hier ein Schlüssel verwendet, um den Text unlesbar zu machen. Also Beispiel für das Funktionsprinzip kann man die gute, alte Caesar-Verschlüsselung hernehmen, die angeblich vom Feldherren Gaius Julius Caesar vor über 2000 Jahren verwendet wurde: Hier wurde ein Buchstabe des Alphabets einfach durch einen anderen ersetzt. Die Website macronom.de hat eine hübsche Eingabemaske für dieses sehr einfache Krypto-System, mit der Sie herumspielen können, um das Prinzip der Verschlüsselung zu verstehen: Geben Sie einen Satz ein, wählen Sie die einfachen Parameter aus und verschlüsseln Sie ihren Satz. So wird aus "Hallo Welt!" durch Verschiebung von fünf Buchstaben im Alphabet zum Beispiel "Mfqqt Bjqy!". Natürlich ist diese Art der Verschlüsselung durch Häufigkeitsanalyse der vorkommenden Zeichen heute leicht zu knacken, heutige Verschlüsselungsverfahren sind wesentlich komplexer. Das Grundprinzip ist aber ähnlich: Der Inhalt einer Nachricht wird anhand eines Schlüssels so verändert, dass nur der, der den Schlüssel kennt, etwas damit anfangen kann - auch bei modernen Verfahren zur Verschlüsselung von Dateien, Mails oder zum Beispiel der Mac-Festplattenverschlüsselung FileVault .

Die GPGtools lassen sich einfach aus dem Disk-Image heraus auf dem Mac installieren.
Die GPGtools lassen sich einfach aus dem Disk-Image heraus auf dem Mac installieren.

Ohne Schlüsselpaare läuft nichts

Neben der Umsetzung der Ver- und Entschlüsselung an sich gibt es bei der Kryptographie speziell von E-Mails allerdings Problem: Wie kann man das Verschlüsselungsverfahren selbst absichern? Schließlich kann im oben genannten Caesar-Beispiel jeder, der den Schlüssel kennt, Nachrichten unterwegs mitlesen. Und der Schlüssel muss natürlich irgendwann im Klartext übermittelt werden, damit der Empfänger ihn verwenden kann. Das birgt das potentielle Risiko, dass sich jemand unterwegs den Schlüssel aneignet. Eine persönliche Übergabe des Schlüssels fällt in Zeiten globalen E-Mail-Verkehrs natürlich auch aus. Die Lösung ist ein sogenanntes asymmetrisches Verschlüsselungsverfahren, das aus einem sogenannten Schlüsselpaar besteht: Ein privater und ein öffentlicher Schlüssel werden pro E-Mail-Adresse generiert. Wichtig dabei: Der private Schlüssel muss unter allen Umständen privat bleiben, er sollte also keinesfalls irgendwo öffentlich zugänglich - und damit zum Beispiel auch nicht auf Cloud-Diensten - gespeichert werden. Der öffentliche Schlüssel kann hingegen von jedem verwendet werden und kommt zum Einsatz, wenn Ihnen jemand eine Mail schicken möchte. Sie drücken dem Versender mit diesem öffentlichen Schlüssel sozusagen ein Vorhängeschloss in die Hand: Dieses kann er "zudrücken", um die Mail zu verschlüsseln - Öffnen kann es jedoch anschließend nur noch der Besitzer des privaten Schlüssels. Der öffentliche Schlüssel wird dafür über sogenannte Schlüsselserver ausgetauscht, die ebenfalls öffentlich sind. So wird gewährleistet, dass der verschlüsselte Mailversand auch ohne die direkte Übermittlung geheimen Schlüssels funktioniert. Gleichzeitig wird gewährleistet, dass nur Empfänger, die selber ein Schlüsselpaar besitzen, verschlüsselte Mails empfangen können.

Direkt nach der Installation können Sie bereits Ihr erstes Schlüsselpaar anlegen und nutzen.
Direkt nach der Installation können Sie bereits Ihr erstes Schlüsselpaar anlegen und nutzen.

Mailverschlüsselung in der Praxis mit GPG

Was zunächst kompliziert klingt, ist in der Praxis relativ einfach zu bewerkstelligen. Alles, was Sie dazu brauchen, ist ein Mailprogramm wie Apple-Mail, in dem Ihre Mailadresse bereits eingerichtet ist. Die Verschlüsselung funktioniert System übergreifend, das heißt, dass es völlig egal ist, ob Sie oder Ihr Empfänger an einem Mac oder einem PC mit Windows oder Linux sitzen.

In der Schlüsselübersicht GPG Keychain finden Sie alle Schlüssel, die Sie auf Ihrem System verwenden.
In der Schlüsselübersicht GPG Keychain finden Sie alle Schlüssel, die Sie auf Ihrem System verwenden.

Auch das Mailprogramm ist egal, es kann MS Outlook sein, Thunderbird - oder eben Apple Mail. Wichtig ist nur, dass ein solches Programm zum Einsatz kommt: Webmailer unterstützen die Funktion in aller Regel nicht. Das populärste Verfahren ist der Gnu Privacy Guard, kurz GPG, die Open-Source-Variante des einst kommerziellen und inzwischen lange verstorbenen Pretty Good Privacy, kurz PGP . Die Verschlüsselung mit GPG ist weit verbreitet, was die Chancen erhöht, Empfänger zu finden, die es ebenfalls nutzen. Dazu wird die Software einfach auf dem Mac installiert und das Schlüsselpaar erzeugt, anschließend kann die Technik genutzt werden. Am einfachsten geht das auf dem Mac mit den GPGtools - hier allerdings ein kleiner Warnhinweis: Aktuell (22.09.2016) wird macOS Sierra noch nicht unterstützt - die Softwareentwicklung der GPGtools hinkt dem Mac-System immer ein wenig hinterher.