Test of Tools: GPG Suite 2 und Verschlüsselung im allegemeinen

veröffentlicht am : Mo, 12. 08. 2013 geändert am: Di, 30. 05. 2017

Kategorie: Computer --> Test of Tools

Schlagworte: test of tools mac osx email


Endlich ist es so weit, es gibt die GPG Suite in der Version 2 - und damit auch endlich Support für Apple's Mail.app von Mountain Lion (und hoffentlich dann auch bald für Maverick - nicht dass wir wieder so lange warten müssen).

GPG ist die quellenoffene Variante von PGP, welches damals von Phil Zimmermann erfunden wurde. Gerade heute im Zuge von Überwachungsskandalen etc ist es spannend (und leider auch nötig) wie nie.

Kleiner Excurs - Verschlüsselung

Verschlüsselung ist ja was feines, nur ist basieren die meisten Verschlüsselungsverfahren auf einem sog. symmetrischem Schlüssel, d.h. die Nachricht wird mit dem selben Schlüssel ver- und auch Entschlüsselt.

Symmetrische Verschlüsselung

Ein sehr beliebtes Beispiel dafür ist die "Cäsars Verschlüsselung". Das ist ein recht einfacher Buchstabenschlüssel, der sozusagen "die Wechstaben verbuchselt" ;-)

Was passiert ist Folgendes: man ersetzt jeden Buchstaben im Alphabet durch den Buchstaben, der 13 Zeichen weiter im Alphabet steht (13 deswegen, weil wir 26 Zeichen im Alphabet haben). Kommt man beim Zählen ans Ende, beginnt man wieder von Vorne. So wird aus einem A ein N, aus dem B ein M und so weiter. Aus diesem Grund wird die Verschlüsselung auch Rot-13 Verschlüsselung genannt.

so ergibt sich aus dem Text "DIES IST EIN TEST"  ergibt sich dann eben "QVRF VFG RVA GRFG" - Cool, totales Buchstabenchaos ;-)

Will man diese Verschlüsselung aufheben, wendet man hier genau den gleichen Schlüssel einfach noch mal an (13 ist zufällig die Hälfte aller Buchstaben, wenn ich also 2x13 Anwende, lande ich bei 26 - und somit wieder am Ausgangspunkt).

Das kann man übrigens sehr einfach unter Unix bzw. unixoiden Betriebssystemen ausprobieren mit dem TR-Kommando:

#> echo "DIES IST EIN TEST" |tr 'A-Z' 'N-ZA-L' QVRF VFG RVA GRFG

#>  echo "QVRF VFG RVA GRFG" |tr 'A-Z' 'N-ZA-L'

DIES IST EIN TEST

Das kann natürlich momentan keinen wirklich schützen - aber zu Zeiten des Alten Rom war so was (bzw. Varianten davon, wie Rot-5) durchaus gängige Mechanismen.

Das ist ein Beispiel für ein symmetrisches Verwahren, da die Verschlüsselung und Entschlüsselung mit ein und dem Selben Schlüssel funktioniert. (dazu zählen auch die moderneren Varianten wie AES oder DES und Tripple-DES).

Diese haben alle ein Problem - um eine Verschlüsselung hinzubekommen, muss der Schlüssel - selbst wenn es ein zufällig gewählter und nur kurzfristig verfügbarer ist - irgendwie ausgetauscht werden. Und dieser Austausch kann angezapft werden, weil der ja naturgemäß unverschlüsselt stattfinden muss - es sei denn, man nutzt ein asymetrisches Verwahren wie GPG bzw PGP.

Public Key Verfahren

Mal liest ja immer wieder von Zertifikaten und so was, insbesondere wenn es um Sicherheit oder Verschlüsselung geht. Diese Zertifikate hängen eng mit diesem sog. Public Key Verfahren zusammen.

Dabei gibt es einen Schlüssel mit dem man nur verschlüsseln kann, und einen der genau diese mit seinem öffentlichen Gegenstück verschlüsselten Daten entschlüsseln kann. Den Schlüssel zum Verschlüsseln nennt man Public Key, denn dieser muss naturgemäß an alle diejenigen geschickt werden, die eine Nachricht für mich verschlüsseln wollen.

Sein Gegenstück heißt übrigens Private Key, was was auch klar machen soll, dass dieser Schlüssel auf gar keinen Fall irgendwem zugänglich gemacht werden darf!

Stand heute ist kein Verfahren bekannt, mit dem man diese Schlüssel in brauchbarer Zeit hin- und herrechnen kann. D.h. es gibt kein brauchbares Verfahren, mit dem Daten, die mit einem Public-Key verschlüsselt wurden, entschlüsselt werden können. (Anm.: das stimmt nicht ganz, es ist wohl mal mit einem recht kleinen Schlüssel gelungen, indem man einen BruteForce-Ansatz mit mehreren Tausend Rechnern durchgeführt hat).

Mathematisch gesehen besteht aber zwischen dem Privaten und öffentlichen Schlüssel gar kein Unterschied. Die sind eigentlich gleichwertig, einer wird nur als "privat" und einer als "öffentlich" gekennzeichnet. Man kann also auch mit dem privaten Schlüssel etwas verschlüsseln, das nur mit dem öffentlichen wieder entschlüsselt werden kann.. Das wird verwendet, um z.B. Nachrichten zu signieren. (oder auch z.B. Zertifikate).

Dabei wird eine Prüfsumme der Nachricht erstellt und diese mit dem Private-Key verschlüsselt hinten angehängt. Jeder der den Public Key hat, kann sagen, dass diese Nachricht von dem Besitzer des Private Key erstellt wurde - sie wurde von ihm signiert.

GPG bietet diese Art der Verschlüsselung nun für Email an. Und das werden wir jetzt kurz in dem Test of Tools durchgehen.

Obige Erläuterungen sind stark vereinfacht dargestellt und erheben ganz sicher keinen Anspruch auf Vollständigkeit!

GPG Suite

runterladen kann man die GPG-Suite hier. Die installation ist ziemlich simpel, allerdings muss Mail dafür geschlossen sein. Falles es das nicht ist, wird es während der Installation nach Nachfrage geschlossen.

Dies Farbverläufe machen sich ja ganz nett. Auch die De-Installation ist in dem Download DMG versteckt - dummerweise braucht man die wohl auch von Zeit zu Zeit (s.u.).

Installiert wird eigentlich nicht viel, nach der Installation hat man den GPG-Keychain Access (oder auf Deutsch die GPG-Schlüsselbundverwaltung) und die Anbidung von GPG an Apple Mail + ein paar Helferlein, die im Hintergrund werkeln oder auf der Kommandozeile:

Included in the GPG Suite: • GPGMail • GPG Keychain Access • GPGServices • GPGPreferences • MacGPG2
Nachdem man die Installation erledigt hat, wird man im Normalfall gleich gefragt, ob man sein Schlüsselpaar (also Public und Private Key) generieren will. Das sollte man tunlichst mit einer Passphrase versehen und die Lebensdauer beschränken.

Tipp: Falls man schon eine GPG Installation z.B. unter Linux hat oder auf einem anderen Unix, kann man das Verzeichnis ~/.gpg einfach auf den Mac übertragen und hat automagisch seine gesammelten Keys auch hier zur Verfügung

Danach sollte man mal einen Blick auf die GPG-Schlüsselverwaltung werfen:

 

Das ist wirklich recht einfach und übersichtlich, da kann man ohne weiteres seine eigenen Schlüssel verwalten oder auch fremde importieren. Endlich wurde auch das KeyServer Chaos von älteren GPG-Suits etwas vereinfacht, es ist ein Keyserver vorieingestellt, der wohl die meisten Keys findet:

Und damit wären wir auch schon bei einem der Probleme von GPG: ich hab keine Ahnung, wie ich die alten Schlüssel von mir, die dort gefunden werden, aber alle nicht mehr in Benutzung sind, löschen kann. Wenn da jemand eine Ahnung hat, Nachricht an mich oder Kommentar hier unten. Leider habe ich die Private-Keys zu den Public-Keys nicht mehr, weshalb diese Datenleichen wohl weiterhin existieren werden.

Hat man seine Schlüssel erfolgreich importiert oder erstellt und evtl sogar jemanden, dem man eine Mail senden kann, so erscheinen in Mail beim Schreiben von Nachrichten ein paar neue Icons:

Im compose-Window ganz oben rechts kann man zwischen OpenPGP oder s/mime wählen (S/Mime ist quasi die "kommerzielle" Variante der Verschlüsselung, aber ungleich komplizierter bzw. schwieriger zu bekommen, da man dafür ein beglaubigtes Zertifikat benötigt).

Neben der Account Auswahl auch wieder rechts kann man die beiden Icons für Verschlüsselung und Signieren erkennen.

Signiert wird eine Mail immer dann, wenn man von einer Absenderadresse eine Email absenden möchte, für die GPG ein Schlüsselpaar kennt. Also der Private Key ist nötig.

Versendet man an jemanden, dessen Public Key man kennt, kann man auch die Verschlüsselung einschalten - diese ist Per Default nicht eingeschaltet, das muss man leider selbst erledigen.

Das Entschlüsseln erfolgt mehr oder minder transparent - man wird evtl. nach der Passphrase für den entsprechenden Key gefragt. Auf Wunsch kann man die auch noch im Mac OS Schlüsselbund hinterlegen.

Die Einstellungen von GPGMail sind recht übersichtlich ausgefallen:

Interessant ist vor allem der Punkt unter "Lesen": Vorschau für Listenansicht erstellen. Hinter diesem etwas kryptischen Namen verbirgt sich die Funktion, dass verschlüsselte Mails für die Vorschau zumindest teilweise entschlüsselt in Apple Mail abgelegt werden. Wenn man das nicht möchte, wird man schlimmstenfalls bei jeder Anzeige der Mail nach der Passphrase für den PrivateKey gefragt.

Probleme:

Die Probleme mit dieser Art der Verschlüsselung liegen natürlich in der Funktionsweise: ich kann nur denjenigen eine verschlüsselte Mail schicken, die
  1. GPGMail oder das Windows Pendant installiert haben
  2. mir ihren PublicKey zusenden bzw. ihn hochgeladen haben
Das allein grenzt den Nutzen leider erheblich ein. Aber nach NSA und Co könnte man da ja evtl. häufiger auf offene Ohren stoßen....

Dann besteht noch das Problem der Schlüsselverwaltung bzw. Altlasten. Ich bin sicher nicht der einzige, der seinen GPG-Account ein wenig hat "verwaisen" lassen... Zumindest weiß ich es von mindestens einem im Bekanntenkreis, bei dem das passiert ist. Und wir haben jetzt beide solche Datenleichen da rumliegen...

Dann hat man ein Problem mit iPhone bzw. IOS - Geräten im Allgemeinen: Da gibt es keine GPG-Mail anbindung direkt in die Mail.app (man kann sich mit dem Tool oPenGP helfen, allerdings kostet das was und ist kein Mailer sondern übernimmt nur das ver-/entschlüsseln und die schlüssel müssen etwas umständlich über die iTunes Dokumentenfreigabe übertragen werden).

Ich hatte es jetzt schon 2 mal dass ich die GPGSuite neu installieren musste. Der Fehler betrifft sowohl das Ver- als auch entschlüsseln. Wollte ich eine Mail verschlüsseln oder Signieren, wurde nach dem Klick auf "Senden" das Compose-Fenster einfach wieder angezeigt.

Möchte man eine Verschlüsselte Mail anzeigen, wird dieser Hinweis angezeigt und die mail unverschlüsselt dargestellt:

Das ist super nervig, auch ein Neustart hilft nicht. Bisher einzige Lösung war das De- bzw. neu installieren von der kompletten Suite. Evtl. gibt es da ja bald mal ein Bugfix.

Fazit

Wer sich im Zuge von Totaler Überwachung und dem Verlust der Privatsphäre so seine Gedanken macht, sollte auf jeden Fall mal einen Blick auf dieses Tool werfen. Es ist eindeutig eine Sinnvolle Erweiterung von Apple's Mail und einen Blick wert. Und wenn wir alle das verwenden, kann man auch die unsichere DE-Mail endlich übern Jordan Werfen ;-)

GpgMail: 9 von 10 Punkten (wegen der kleinen aber nervigen Bugs).

 

 

 

 

erstellt Stephan Bösebeck (stephan)