Das Dokument erläutert die Theorie und Praxis der E-Mail-Verschlüsselung mit PGP, einem von Phil Zimmermann entwickelten Programm zur Sicherstellung von Vertraulichkeit, Integrität und Authentizität von Nachrichten. PGP verwendet asymmetrische Verschlüsselung mit öffentlichen und privaten Schlüsseln, wobei die Nachrichten mit dem öffentlichen Schlüssel verschlüsselt und nur mit dem privaten Schlüssel entschlüsselt werden können. Es werden auch verschiedene Implementierungen und Plugins für unterschiedliche Betriebssysteme sowie die Signierung von Nachrichten zur Gewährleistung der Datenintegrität behandelt.

1. E-Mails verschlüsseln
mit PGP
Theorie & Praxis

2. Warum eigentlich Kryptographie?
• Vertraulichkeit
E-Mail ist nur vom Empfänger lesbar
• Integrität
Keine Veränderung der Daten
• Authentizität
Richtiger Absender ist bekannt
Normale E-Mails leisten das nicht

3. Was ist PGP?
„PGP ist ein von Phil Zimmermann entwickeltes Programm
zur Verschlüsselung und zum Unterschreiben von Daten.“
(Quelle: Wikipedia)

4. Wie funktioniert PGP?
• Asymetrisches Verschlüsselungsverfahren
• Es gibt einen privaten und einen öffentlichen Schlüssel
• Der öffentliche Schlüssel kann beliebig weiter gegeben
werden
• Nachrichten werden mit dem öffentlichen Schlüssel
verschlüsselt
• Nachrichten können nur mit dem privaten Schlüssel
entschlüsselt werden

5. Quelle: https://www.datenschutzzentrum.de/selbstdatenschutz/internet/pgp/wasdas.htm
„Stellen Sie sich den öffentlichen PGP-Schlüssel
wie ein Vorhängeschloß vor, das Sie ihrem
Brieffreund in die Hand drücken.
Mit diesem Vorhängeschloß kann er Post
an Sie "verschließen".
Aber niemand kann dieses Schloß wieder öffnen,
weil nur Sie den Schlüssel dazu besitzen, in
unserem Beispiel Ihren privaten PGP-Schlüssel.“

6. Signieren von Nachrichten
• Nachrichten können unterschrieben (signiert) werden
• Auf die Nachricht wird eine Hashfunktion angewendet
und daraus ein digitaler Fingerabdruck erzeugt
• Stellt sicher, dass die Nachricht nach dem
Abschicken nicht mehr verändert wurde
• Nebeneffekt: wenn man jede Nachricht signiert, teilt
man den Empfänger unaufdringlich mit, dass man
PGP verwendet

7. PGP, GPG, GnuPG??
• PGP wurde 1991 entwickelt
• PGP = Pretty Good Privacy
• hatte patenrechtliche, politische, wirtschaftliche Probleme
• von vielen Firmen verbreitet, z.B. McAffee, PGP Inc., PGP
Corporation
• viele, teils parallele Versionen
• seit 1996 OpenPGP, GnuPG
offener Standard, nur freie Algorithmen
• GPG = Gnu Privacy Guard

8. Installation von GPG

9. Windows
• Gpg4win
• geeignetes E-Mail-Programm
• z.B. Thunderbird mit
Enigmail-Plugin
http://www.gpg4win.de/

10. Mac OS X
• GPGTools / GPGSuite
• geeignetes E-Mail-Programm
• z.B. Thunderbird/Postbox mit
Enigmail-Plugin
• Apple Mail mit GPGMail-
Plugin
https://gpgtools.org/

11. Linux
• in den meisten Distributionen schon vorinstalliert
• geeignetes E-Mail-Programm
• z.B. Thunderbird mit Enigmail-Plugin
• z.B. KMail, Evolution, Claws Mail…

12. Mailvelope
• Addon für Chrome & Firefox
• zur Verschlüsselung in Webmailern
• Erstellung und Verschlüsselung der
Nachrichten in eigenem Fenster
• daher isoliert vom Webmailer
• Signieren von Nachrichten möglich
• Anpassung an weitere Dienste
möglich (sogar in Ticketsystemen
wie OTRS)
• Nachteile: nur Inline-PGP, keine
Verschlüsselung von Attachments

13. Live-Demo