#1 Installiere die Programme

Diese Anleitung basiert auf freier Software. Freie Software ist transparent und kann von allen kopiert und angepasst werden. Dadurch ist sie sicherer vor Überwachung als nicht-freie Software (wie Windows). Lerne mehr über freie Software auf fsf.org.

Auf den meisten GNU/Linux-Systemen ist GnuPG bereits installiert, also musst du es nicht herunterladen. Bevor du GnuPG konfigurierst, brauchst du jedoch ein E-Mail-Programm. Bei den meisten GNU/Linux-Distributionen kann man eine freie Version des Programms Thunderbird installieren. E-Mail-Programme sind eine weitere Art auf E-Mail-Konten zuzugreifen, die ähnlich wie Webmail funktioniert, aber mehr Funktionen bieten.

Wenn du bereits eines dieser Programme hast, kannst du zu Schritt 1.b springen.

Schritt 1.a Konfiguriere dein E-Mail-Programm für dein E-Mail-Konto (wenn es nicht schon getan wurde)

Öffne dein E-Mail-Programm und folge dem Assistenten, der es für dein E-Mail-Konto konfiguriert.

Probleme?

Was ist ein Assistent?
Ein Assistent besteht aus mehreren Fenstern, die nacheinander erscheinen und es einfach machen, etwas am Computer zu erledigen, z.B. ein Programm zu installieren. Du klickst dich durch die Fenster und wählst gleichzeitig die Optionen aus.
Mein E-Mail-Programm findet mein E-Mail-Konto nicht oder lädt keine E-Mails herunter.
Bevor du im Web suchst empfehlen wir, andere Menschen, die das gleiche E-Mail-System benutzen, nach den richtigen Einstellungen zu fragen.

Schritt 1.b Installiere das Enigmail-Plugin für dein E-Mail-Programm

Klicke im Menü deines E-Mail-Programmes auf Add-ons (es könnte auch im Untermenü Extras sein). Vergewissere dich, dass auf der linken Seite Erweiterungen ausgewählt ist. Kannst du Enigmail sehen? Wenn ja, dann überspringe diesen Schritt.

Wenn nicht, suche "Enigmail" mit Hilfe der Suchleiste oben rechts. Installiere es und starte dein E-Mail-Programm anschließend neu.

Probleme?

Ich kann das Menü nicht finden.
In vielen neuen E-Mail-Programmen wird das Hauptmenü durch drei horizontale Balken dargestellt.

#2 Erstelle deine Schlüssel

Um GnuPG zu verwenden, benötigt man einen öffentlichen und einen privaten Schlüssel (beide bilden ein Schlüsselpaar). Jeder Schlüssel ist eine sehr große Zahl und ist einzigartig. Beide Schlüssel sind mit einer speziellen mathematischen Funktion verbunden.

Dein öffentlicher Schlüssel ist nicht wie ein Hausschlüssel, da er im Internet auf einem Schlüsselserver gespeichert wird. Die Leute können ihn so herunterladen und ihn benutzen, wenn sie dir verschlüsselte E-Mails verschicken. Man kann sich den Schlüsselserver wie ein Telefonbuch vorstellen, von wo Leute, die dir eine Verschlüsselte E-Mail schicken möchten, deinen öffentlichen Schlüssel herunterladen können.

Dein privater Schlüssel ist eher wie ein Hausschlüssel, weil ihn niemand außer dir besitzen darf. Der private Schlüssel wird eingesetzt, wenn du E-Mails entschlüsselst.

Schritt 2.a Erstelle ein Schlüsselpaar

Wähle im Menü deines E-Mail-Programmes OpenPGP → OpenPGP-Assistent. Du musst den Text im nächsten Fenster nicht unbedingt lesen, wenn du nicht willst, aber es ist eine gute Idee, die Texte der späteren Schritte des Assistenten zu lesen.

Im zweiten Schritt mit dem Titel "Unterschreiben", wähle "Nein, ich möchte in Empfängerregeln festlegen, wann unterschrieben werden soll".

Nutze die Standard-Optionen, bis du am Schritt "OpenPGP-Schlüssel erzeugen" angelangt bist.

Beim Schritt namens "OpenPGP-Schlüssel erzeugen" solltest du ein starkes Passwort verwenden! Dein Passwort sollte mindestens 12 Zeichen lang sein und mindestens je einen Kleinbuchstaben und Großbuchstaben und mindestens eine Zahl oder ein Satzzeichen enthalten. Vergiss das Passwort nicht, sonst ist diese gesamte Arbeit umsonst!

Das Programm wird einige Minuten brauchen, um den nächsten Schritt "Schlüsselerzeugung" abzuschließen. Während du wartest, solltest du etwas anderes mit deinem Computer tun, wie einen Film anschauen oder im Web surfen. Je mehr du deinen Computer in dieser Zeit nutzt, desto schneller wird der Schlüssel generiert.

Wenn der Schritt "OpenPGP-Bestätigung" kommt, klicke auf "Zertifikat erzeugen" und speichere es an einem sicheren Ort auf deinem Computer (wir empfehlen einen Ordner namens "Widerrufszertifikat" in deinem Home-Verzeichnis). Du wirst mehr über das Widerrufszertifikat in Sektion 5 lernen. Der Assistent wird dich auffordern, es auf einen externen Datenträger zu verschieben, aber das ist in diesem Moment nicht nötig.

Probleme?

Ich kann das OpenPGP-Menü nicht finden.
In vielen neuen E-Mail-Programmen wird das Hauptmenü durch drei horizontale Balken dargestellt. OpenPGP könnte in einer Sektion namens Tools sein.
Der assistent kann GnuPG nicht finden.
Öffne das Programm, das du zur Installation von Software benutzt, suche nach GnuPG und installiere es. Starte dann den Assistenten unter OpenPGP → OpenPGP-Assistent neu.

Schritt 2.b Lade deinen öffentlichen Schlüssel auf einen Schlüsselserver

Wähle OpenPGP → Schlüsselverwaltung im Menü aus.

Rechtsklicke auf deinen Schlüssel und klicke dann auf Öffentlichen Schlüssel Hochladen. Wähle dazu den voreingestellten Schlüsselserver im Pop-up.

Jetzt kann jemand, der dir eine verschlüsselte Nachricht übermitteln möchte, deinen Schlüssel vom Internet herunterladen.

Probleme?

Der Fortschrittsbalken bewegt sich nicht.
Schließe das Pop-Up, überprüfe deine Internetverbindung und probiere es noch einmal. Wenn das nicht funktioniert, versuche es noch einmal und wähle einen anderen Schlüsselserver.
Mein Schlüssel taucht nicht in der Liste auf.
Probiere, auf das Feld "Standardmäßig alle Schlüssel anzeigen" zu klicken.

GnuPG, OpenPGP, was?

Du nutzt ein Programm namens GnuPG, das Menü in deinem E-Mail-Programm heißt aber OpenPGP. Kompliziert, oder? Die Begriffe GnuPG, GPG, GNU Privacy Guard, OpenPGP und PGP werden oft verwendet, um das gleiche zu bezeichnen, obwohl sie aber alle leicht unterschiedliche Bedeutungen haben.

#3 Probier es aus!

Jetzt wirst du mit einem Programm namens Edward kommunizieren, das weiß, wie man E-Mails verschlüsselt. Das sind, abgesehen von den gekennzeichneten Ausnahmen, die gleichen Schritte, wie wenn du mit einer realen, lebenden Person kommunizierst.

Schritt 3.a Schick Edward deinen öffentlichen Schlüssel

Dies ist ein spezieller Schritt, den du nicht machen musst, wenn du mit echten Menschen kommunizierst. Gehe im Menü deines E-Mail-Programms auf OpenPGP → Schlüssel verwalten. Du solltest deinen Schlüssel in der Liste sehen, die erscheint. Klicke mit der rechten Maustaste auf deinen Schlüssel und wähle dann "Öffentliche Schlüssel per E-Mail senden". Dies erstellt eine neue Nachricht, so als hättest du auf Verfassen geklickt.

Schreibe die Nachricht an edward-de@fsf.org. Schreibe mindestens ein Wort in den Betreff und in den Text der E-Mail und klicke auf Senden.

Es könnte sein, dass Edward einige Minuten braucht, um zurückzuschreiben. Lese derweil die Sektion Nutze es richtig. Gehe weiter zum nächsten Schritt, wenn er geantwortet hat. Ab hier tust du das gleiche, wie wenn du mit einer normalen Person kommunizierst.

Schritt 3.b Sende eine verschlüsselte Test-E-Mail

Schreibe eine neue E-Mail in Deinem E-Mail-Programm an edward-de@fsf.org. Schreibe "Verschlüsselungstest" oder etwas ähnliches in den Betreff und irgendetwas in den Text der Nachricht. Schicke sie noch nicht ab.

Klicke auf das Icon mit dem Schlüssel unten rechts im Fenster der E-Mail (er sollte gelb werden). Das sagt Enigmail, dass die E-Mail verschlüsselt werden soll.

Neben dem Schlüssel siehst du das Bild eines Stiftes. Das Anklicken dieses Symbols veranlasst Enigmail, eine spezielle eindeutige Unterschrift auf der Basis deines privaten Schlüssels zu deiner Nachricht hinzuzufügen. Dies ist ein anderes Verfahren als die Verschlüsselung, das du im Rahmen dieser Anleitung nicht benutzten musst.

Drücke auf Senden. Enigmail wird eine Meldung "Nicht gefundene Empfänger" zeigen.

Um eine E-Mail an Edward zu verschlüsseln, benötigst du seinen öffentlichen Schlüssel, also muss Enigmail ihn jetzt von einem Schlüsselserver herunterladen. Klicke auf "Fehlende Schlüssel herunterladen", wähle den ersten (Schlüssel-ID C09A61E8) und klicke dann auf OK. Klicke im nächsten Pop-up-Fenster wieder auf OK.

Jetzt bist du zurück beim Dialog "Nicht gefundene Empfänger". Wähle Edwards Schlüssel aus der Liste aus und klicke OK. Sollte die E-Mail nicht automatisch versendet werden, kannst du jetzt auf Senden drücken.

Probleme?

Enigmail kann Edwards Schlüssel nicht finden.
Schließe alle Pop-ups, die aufgetaucht sind, nachdem du geklickt hast. Vergewissere dich, dass du mit dem Internet verbunden bist, und versuche es noch einmal. Wenn dies nicht funktioniert, wiederhole das Vorgehen und wähle dabei einen anderen Schlüsselserver aus.

Wichtig: Der Betreff wird nicht verschlüsselt

Auch wenn du die E-Mail verschlüsselst, bleibt der Betreff unverschlüsselt, also solltest du dort keine vertraulichen Informationen hineinschreiben. Die Sender- und Empfängeradressen werden ebenfalls nicht verschlüsselt und können deshalb von einem Überwachungssystem gelesen werden. Wenn du Anhänge versendest, wird Enigmail dir anbieten, sie zu verschlüsseln.

Es ist sinnvoll, das Schlüsselsymbol in deiner E-Mail anzuklicken, bevor du anfängst zu schreiben. Ansonsten könnte dein E-Mail-Programm einen unverschlüsselten Entwurf auf dem E-Mail-Server speichern, der dort ausspioniert werden könnte.

Schritt 3.c Empfange eine Antwort

Wenn Edward deine E-Mail empfangen hat, entschlüsselt er sie mit seinem privaten Schlüssel. Dann wird er deinen öffentlichen Schlüssel von einem Schlüsselserver holen und ihn verwenden, um die Antwort an dich zu verschlüsseln.

Da du die E-Mail mit Edwards öffentlichem Schlüssel verschlüsselt hast, braucht man Edwards privaten Schlüssel, um die E-Mail entschlüsseln zu können. Nur Edward besitzt seinen privaten Schlüssel, also kann niemand außer ihm — nicht einmal du — die E-Mail entschlüsseln.

Edward braucht vermutlich zwei, drei Minuten, um zu antworten. In der Zwischenzeit könntest du vorspringen und die Rubrik Nutze es richtig lesen.

Wenn du Edwards E-Mail bekommst und sie öffnest, erkennt Enigmail automatisch, dass sie mit deinem öffentlichen Schlüssel verschlüsselt wurde, und wird dann deinen privaten Schlüssel benutzen, um sie zu entschlüsseln.

Beachte die Leiste mit Informationen über Edwards Schlüssel, die über der Nachricht eingeblendet wird.

#4 Verstehe das Web of Trust

E-Mail-Verschlüsselung ist zwar eine leistungsfähige Technologie, sie hat aber eine Schwäche: Sie benötigt eine Methode zur Überprüfung, ob ein öffentlicher Schlüssel tatsächlich der angegebenen Person gehört. Ansonsten gäbe es keine Möglichkeit, eine Angreiferin davon abzuhalten, Schlüssel mit dem Namen deines Freundes zu erstellen und sich als dein Freund auszugeben. Aus diesem Grund haben die Programmierer freier Software, die E-Mail-Verschlüsselung erfunden haben, Signaturen und das Web of Trust erfunden.

Wenn du den Schlüssel von jemandem signierst, dann sagst du öffentlich, dass du glaubst, dass der Schlüssel tatsächlich dieser Person gehört und nicht einem Betrüger. Leute, die deinen öffentlichen Schlüssel benutzen, können sehen, wie viele Signaturen er erhalten hat. Wenn du GnuPG einige Jahre lang verwendet hast, kannst du hunderte Signaturen haben. Das Web of Trust ist eine Konstellation aller GnuPG-Nutzer, die durch Signaturenketten zu einem riesigen Netz verbunden sind. Je mehr Signaturen ein Schlüssel hat und je mehr Signaturen die Schlüssel derjenigen, die unterschrieben haben, erhalten haben, desto vertrauenswürdiger ist dieser Schlüssel.

Öffentliche Schlüssel werden normalerweise anhand ihres Fingerabdrucks identifiziert, einer Zeichenkette wie F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8 (für Edwards Schlüssel). Du kannst den Fingerabdruck deines öffentlichen Schlüssels – und anderer öffentlicher Schlüssel, die du gespeichert hast, indem du zu OpenPGP → Schlüssel verwalten im Menü deines E-Mail-Programms gehst und dann mit der rechten Maustaste auf den Schlüssel klickst und die Schlüsseleigenschaften auswählst. Es ist sinnvoll, deinen Fingerabdruck immer weiterzugeben, wenn du anderen deine E-Mail-Adresse mitteilst, so dass diese Menschen kontrollieren können, ob sie deinen richtigen Schlüssel von einem Schlüsselserver herunterladen.

Du wirst sehen, dass man sich auch über die Schlüssel-ID auf öffentliche Schlüssel bezieht, dabei handelt es sich einfach um die letzten 8 Zeichen des Fingerabdrucks, z.B. C09A61E8 für Edward. Die Schlüssel-ID ist direkt im Fenster Schlüssel verwalten sichtbar. Diese Schlüssel-ID ist wie der Vorname einer Person (es ist eine nützliche Abkürzung, aber ist vielleicht nicht eindeutig), während der Fingerabdruck tatsächlich den Schlüssel eindeutig und ohne Möglichkeit der Verwechslung identifiziert. Wenn du nur die Schlüssel-ID hast, kannst du den Schlüssel (und seinen Fingerabdruck) immer noch nachschlagen, wie du es in Schritt 3 getan hast, aber wenn mehrere Möglichkeiten auftauchen, brauchst du den Fingerabdruck der Person, mit der du kommunizieren willst, um zu klären, welchen Schlüssel du benutzen sollst.

Schritt 4.a Signiere einen Schlüssel

Gehe in deinem E-Mail-Programm zu OpenPGP → Schlüssel verwalten.

Klicke mit der rechten Maustaste auf Edwards öffentlichen Schlüssel und wähle "Unterschreiben" aus dem Kontextmenü aus.

Im Pop-up-Fenster wähle "Keine Antwort" und klicke auf OK.

Gehe zu OpenPGP → Schlüssel verwalten → Schlüssel-Server → Schlüssel hochladen und klicke auf OK.

Du hast gerade gesagt, dass du darauf vertraust, dass Edwards Schlüssel tatsächlich Edward gehört. Dies bedeutet wenig, da Edward keine echte Person ist, es ist aber gute Praxis.

Wichtig: Überprüfe die Identität der Leute, deren Schlüssel du signierst.

Bevor du einen Schlüssel einer realen Person signierst, überprüfe stets, ob der Schlüssel ihr gehört und ob sie ist, wer sie behauptet zu sein. Frage sie nach ihrem Ausweis (außer du vertraust ihr sehr stark) und dem Fingerabdruck ihres öffentlichen Schlüssels -- nicht nur nach der kurzen Schlüssel-ID, die zusätzlich auch zu einem anderen Schlüssel gehören könnte. Antworte ehrlich auf die Frage "Haben Sie überprüft, ob dieser Schlüssel tatsächlich dem oben genannten Absender gehört?" in Enigmail..

#5 Nutze es richtig

Alle nutzen GnuPG ein wenig anders, aber es ist wichtig, ein paar wesentliche Regeln zu befolgen, um deine E-Mails zu sichern. Wenn du sie nicht befolgst, gefährdest du die Privatheit der Menschen, mit denen du kommunizierst, und deine eigene, und du beschädigst das Web of Trust.

Wann soll ich verschlüsseln?

Je öfter du deine Nachrichten verschlüsselst, desto besser. Wenn du E-Mails nur hin und wieder verschlüsselt, könnte jede verschlüsselte Nachricht die Aufmerksamkeit der Überwachungssysteme wecken. Wenn alle oder die meisten deiner E-Mails verschlüsselt sind, wissen die Überwacher nicht, wo sie anfangen sollen.

Das heißt nicht, dass es sinnlos ist, nur einige Nachrichten zu verschlüsseln -- es ist ein guter Start und macht Massenüberwachung schwieriger.

Wichtig: Nimm dich vor ungültigen Schlüsseln in acht

GnuPG macht E-Mails sicherer, aber es ist immer noch wichtig, nach ungültigen Schlüsseln Ausschau zu halten, die in die falschen Hände gefallen sein könnten. E-Mails, die mit ungültigen Schlüsseln verschlüsselt worden sind, könnten von Überwachungsprogrammen gelesen werden.

Gehe in deinem E-Mail-Programm zurück zur zweiten E-Mail, die dir Edward gesendet hat. Weil sie mit deinem Schlüssel verschlüsselt wurde, gibt es oben eine Leiste, die sagt, dass die E-Mail verschlüsselt ist.

Wenn Du GnuPG benutzt, gewöhne es dir an, dass du auf diese Leiste schaust. Enigmail wird dich dort warnen, wenn Du eine E-Mail erhältst, die mit einem nicht vertrauenswürdigen Schlüssel verschlüsselt worden sind.

Speichere dein Widerrufszertifikat an einem sicheren Ort

Erinnerst du dich daran, als du deine Schlüssel erzeugt hast und das Widerrufszertifikat gespeichert hast, das GnuPG erzeugt hat? Nun ist es an der Zeit, das Zertifikat an den sichersten Ort zu kopieren, den du hast -- ideal ist ein Flashmedium oder eine Festplatte, die du an einem sicheren Ort in deinem Haus aufbewahrst.

Sollte dein privater Schlüssel jemals gestohlen werden oder verloren gehen, brauchst du dieses Zertifikat, um anderen mitzuteilen, dass du dieses Schlüsselpaar nicht mehr benutzt.

Wichtig: Reagiere schnell, wenn jemand deinen privaten Schlüssel bekommt

Wenn du deinen privaten Schlüssel verlierst oder ihn jemand anders erhält (z.B. wenn jemand deinen Computer stiehlt oder sich unberechtigt Zugang verschafft), ist es wichtig, ihn sofort zurückzuziehen, bevor ihn jemand benutzt, um deine verschlüsselten E-Mails zu lesen. Wie dies geht, wird in dieser Anleitung nicht beschrieben, du kannst dies aber im Handbuch von GnuPG nachlesen. Wenn du mit dem Widerruf fertig bist, schicke eine E-Mail an alle, mit denen du normalerweise deinen Schlüssel benutzt, um sie zu informieren.

Mache deinen öffentlichen Schlüssel zu einem Teil deiner Online-Identität

Füge als erstes deinen Schlüssel-Fingerabdruck zu deiner E-Mail-Signatur hinzu. Dann schreibe an mindestens fünf deiner Freunde eine E-Mail, um ihnen mitzuteilen, dass du gerade GnuPG eingerichtet hast, und um den Fingerabdruck deines öffentlichen Schlüssels bekanntzugeben. Verlinke auf diese Anleitung und bitte sie, deinem Beispiel zu folgen. Vergiss nicht, dass es eine tolle Infografik gibt, die du weitergeben kannst.

Schreibe den Fingerabdruck deines öffentlichen Schlüssels überall hin, wo jemand deine E-Mail-Adresse sieht: deine Profile in sozialen Netzwerken, Blog, Webseiten oder Visitenkarten. (Bei der Free Software Foundation schreiben wir unseren auf unsere Mitarbeiterseiten.) Wir müssen unsere Kultur so verändern, dass wir den Eindruck haben, dass etwas fehlt, wenn wir eine E-Mail-Adresse ohne einen Schlüssel-Fingerabdruck sehen.