KMail mit GnuPG

Inhaltsverzeichnis

Voraussetzungen

Ich gehe hier von einer Standard Linux Desktop Instal­la­tion aus, bei der KDE als Benut­zer­ober­fläche instal­liert wurde. In Abwei­chung zur über­schrift, kommt der KDE-PIM Kontact zum Ein­satz, was aber kaum eine Rolle spielt, da dies eigen­tlich nur ein Con­tainer für andere Pro­gram­me ist. Das E-Mail-Programm in Kontact ist KMail, wes­halb die Beschrei­bun­gen grund­sätz­lich iden­tisch sind. Man kann KMail natür­lich auch als Ein­zel­pro­gramm nut­zen, jedoch bie­tet Kontakt mehr Kom­fort und fasst eigen­tlich alles zusam­men, was man für die Kom­muni­ka­tion braucht. Kontakt wird bei eini­gen Distri­bu­tio­nen stan­dard­mäß mit instal­liert, wenn man KDE als Desktop aus­wählt, bei ande­ren muss man es separat mit der Paket­ver­waltung instal­lie­ren. Das Paket trägt den Namen kdepim.

Alle andere benö­tig­te Soft­ware ist bereits "an Bord". Wei­tere Pakete müs­sen also nicht instal­liert wer­den.

Achtung!

Sollten Sie bisher noch keinerlei Erfahrung mit Verschlüsselung und digitaler Signatur haben, sollten Sie sich unbedingt die Grundlagen zu dieser Thematik auf unserer Website durchlesen, bevor Sie hier weiter machen.

Einrichtung der Schlüsselverwaltung

Auch hier gehen wir wieder so vor, dass wir die Schlüssel­ver­waltung für KDE ver­wenden. Ihr Name ist KGpg und fin­det sich bei Debian im Haupt­menü unter Dienst­programme und dort unter PIM. Der Weg über KGpg hat den Vor­teil, dass Sie Ihre Schlüssel auch in anderen Program­men als KMail nutzen können z. B. zum digi­talen Signie­ren und zum Ver- bzw. Ent­schlüsseln von Dateien. KMail bein­haltet zwar auch eine eigene Schlüssel­verwaltung, die über­nimmt aber alle Daten aus KGpg.

KGpg-Assistent

Beim ersten Start präsentiert sich KGpg mit einem Assi­stenten, der Sie durch die ini­tiale Kon­fi­gu­ra­tion bis­hin zur Er­stel­lung Ihrer Schlüssel führt. Die auf dem Dialog zu lesende Infor­mation sagt eigent­lich Alles aus. Klicken Sie auf die Schalt­fläche Weiter.


Ort der Konfiguratuinsdateien

Im fol­gen­den Dia­log werden Sie gefragt, wo die Kon­fi­gu­ra­tions­dateien für KGpg gespeichert wer­den sollen. Wie Sie viel­leicht bemerkt haben, beginnt der Name der eigent­lichen Kon­fi­gu­ra­tions­datei mit einem Punkt. Das bedeutet, dass eine solche Datei in der nor­malen Ansicht des Datei­managers nicht sicht­bar sein wird. Soll­ten Sie den­noch diese Kon­fi­gu­ra­tions­datei einmal direkt auf­rufen wollen, was eher un­wahr­schein­lich ist, müssen Sie im Datei­manager unter Ansicht Ver­steckte Dateien anzeigen akti­vieren. Lassen Sie die Angabe für den Speicher­ort wie sie ist und klicken Sie auf die Schalt­fläche Weiter.


Reißwolf installieren

In diesem Dialog können Sie einen elek­tro­nis­chen Reiß­wolf instal­lieren. Bei allen Betriebs­systemen werden Dateien nicht wirk­lich gelöscht, sondern ihr Speicher­platz wird zum erneuten Schrei­ben wieder frei gegeben. Die eigent­li­chen Daten sind also noch auf der Fest­platte vo­rhanden und können mit geeig­ne­ten Werk­zeu­gen weiter­hin aus­ge­lesen wer­den. Aller­dings bietet der Reiß­wolf, wie auf dem Dialog schon zu lesen ist, keine abso­lute Sicher­heit, dass nicht doch noch Daten les­bar sind. Ver­fahren Sie mit die­sem Feature, wie Sie wollen, und klicken Sie auf die Schalt­fläche Weiter.


KGpg automatisch starten

Die Vor­ein­stel­lung bei die­sem Dialog ist, dass KGpg beim An­melden an das System auto­ma­tisch gestar­tet wird. Das sollten Sie so lassen. Sie werden später KGpg als kleines gel­bes Schloss im rech­ten Teil Ihrer Kon­troll-Leiste wieder finden. Klicken Sie auf die Schaltfläche Abschließen.


Schlüsselparameter

Jetzt star­tet die eigent­liche Schlüs­sel­ve­rwal­tung mit einem Dia­log im Vor­der­grund, der Ihnen die Ein­gabe der zur Schlüs­sel­er­zeu­gung not­wen­di­gen Daten er­mög­licht. Der Voll­stän­dige Name kann frei gewählt werden. Die E-Mail-Adresse sollte der E-Mail-Adresse ent­sprechen, der die zu erzeu­gen­den Schlüs­sel zugeornet werden sollen. Das Feld Kom­men­tar kann auch frei bleiben. Es besteht noch die Mög­lich­keit, dem (öffent­lichen) Schlüs­sel ein Ab­lauf­datum zu ver­passen. Nach dem hier even­tuell ein­ge­stell­ten Datum sehen Ihre Kom­muni­ka­tions­part­ner dann, dass die Gütig­keits­dauer des Schlüs­sels ab­ge­lau­fen ist. Die Ein­stel­lung eines sol­chen Ab­lauf­datums hat den Vor­teil, dass häu­fig gebrauch­te Schlüs­sel auto­ma­tisch ungütig werden. Dies erspart Ihnen beim Wech­sel der Schlüs­sel, dass Sie diese wider­rufen müs­sen, um sie ungül­tig zu machen. Sie müssen sich aber dann auch ein neues Schlüs­sel­paar er­zeu­gen und Ihren neuen öffent­lichen Schlüs­sel Ihren Kom­muni­ka­tions­partnern zur Ver­fü­gung stel­len, damit diese Ihnen weiter­hin ver­schlüs­sel­te Mails zu­schicken und auch die von Ihnen erhal­tenen signier­ten Mails verifi­zieren kön­nen. Das nächste Feld zeigt Ihnen die Schlüs­sel­länge an. Je länger der Schlüs­sel, desto sicherer ist die Ver­schlüs­selung. Zu lange Schlüs­sel haben aber auch den Nach­teil, dass der Rechen­auf­wand für die Ver­schlüs­se­lung stark ansteigt. Außer­dem macht sich die Länge natür­lich auch im Zei­tauf­wand für die Schlüs­sel­er­zeu­gung stark bemer­kbar. Bei Verschlüs­selungs-Typ las­sen Sie die Vor­gabe ste­hen, die ande­ren Mög­lich­keiten kön­nen nur zum Sig­nie­ren von Mails, nicht aber zu deren Verschlüs­se­lung ver­wen­det wer­den. Wenn Sie alles ein­ge­stellt haben, über­prüfen Sie noch­mals Ihre A­ngaben und klicken dann auf OK.


Passwort festlegen

Zu guter Letzt wer­den Sie noch auf­ge­for­dert, ein Pass­wort (zwei mal) ein­zu­ge­ben, um Ihren pri­va­ten Schlüs­sel zu schüt­zen. Gehen Sie hier beson­ders sorg­fältig vor und ver­wen­den Sie auf jeden Fall ein genü­gend lan­ges und siche­res Pass­wort. Da die mit Ihrem pri­vaten Schlüs­sel erzeug­ten digi­talen Signa­tu­ren auch Ihre Iden­ti­tät bezeu­gen, muss ein star­kes Pass­wort gewählt wer­den. Schwa­che Pass­wörter bein­halten die Gefahr, dass unbe­fug­te Per­so­nen an Ihren pri­va­ten Schlüs­sel kom­men und damit Ihre Iden­ti­tät anneh­men kön­nen. Die Güte Ihres Pass­worts wird Ihnen ent­spre­chend angezeigt. Das dafür vor­ge­sehe­ne Feld soll­te voll­stän­dig gefüllt sein.


Schlüsselerzeugung

Nach­dem Sie den vor­he­ri­gen Dia­log mit OK bestätigt haben, wird Ihr Schlüs­sel­paar erstellt. Dies kann je nach ein­ge­stell­ter Länge eine Weile dauern. üben Sie sich in Geduld und gehen Sie Kaffee trin­ken.


Schlüsseldaten und Sperrzertifikat

Nach­dem Ihr Schlüs­sel­paar fer­tig ist, wer­den Ihnen die dazu­ge­höri­gen Daten an­ge­zeigt, darun­ter die Schlüs­sel­ken­nung und der digi­tale Finger­ab­druck des öffent­lichen Schlüs­sels. Außer­dem kön­nen Sie jetzt ein Sperr­zerti­fi­kat erstel­len, das Sie benö­tigen falls Sie Ihren Schlüs­sel einmal wider­rufen wol­len. Ein solches Sperr­zer­ti­fi­kat kann zwar auch später noch erstellt wer­den, jedoch nicht mehr, falls Ihr Schlüs­sel aus irgend­wel­chen Grün­den einmal nicht mehr les­bar sein sollte. Akti­vieren Sie diese Option und spei­chern Sie das Sperr­zer­ti­fi­kat an einem sicheren Ort ab. Damit sind Sie mit der Schlüs­sel­er­zeu­gung fer­tig


KGpg mit neu erzeugtem Schlüssel

und sehen jetzt in der Schlüs­sel­ver­wal­tung KGpg Ihr neu erzeug­tes Schlüs­sel­paar.


Damit Andere von Ihrer neu erwor­benen Fähig­keit, verschlüs­selte E-Mails einst­weilen erst mal empfangen und E-Mails digi­tal sig­nie­ren zu kön­nen, auch erfah­ren, müs­sen Sie diesen Ihren öffent­lichen Schlüs­sel auch bekannt geben. Dies kann über die unter­schied­lich­sten Wege erfol­gen. Zum Einen kön­nen Sie Ihren öffent­lichen Schlüs­sel in eine nor­male ASCII-Datei expor­tieren, die Sie dann an Ihre E-Mails anhän­gen und an Kom­mu­ni­ka­tions­part­ner ver­schicken, mit denen Sie verschlüs­selte und digi­tal sig­nierte Nach­rich­ten aus­tau­schen wol­len (Ja, offen­sicht­lich fehlt da noch was: Sie brau­chen natür­lich auch deren öffent­liche Schlüs­sel. Doch dazu später mehr).

Schlüssel exportieren

Wählen Sie dazu aus dem Hauptmenü Schlüssel und dort öffentliche Schlüssel exportieren.


Schlüsselexport-Dialog

In diesem Dialog sehen Sie außer der Mög­lich­keit, den öffent­li­chen Schlüs­sel als ASCII-Datei zu expor­tieren, auch noch die, ihn auf einen öffent­lichen Schlüs­sel­server hoch­zu­laden, von dem ihn dann Andere, nach­dem sie ihn dort durch eine Suche mit Ihrer E-Mail-Adresse gefun­den haben, herunter­laden kön­nen. In KGpg ist bereits ein Standard-Schlüs­sel­server einge­tragen. Wie der heißt, finden Sie im Menü­punkt Ein­stel­lungen und dort in KGpg ein­richten. Eine wei­tere Mög­lich­keit, Ihren öffent­li­chen Schlüs­sel zu expor­tieren, finden Sie unter dem Menü­punkt Datei und dort Schlüs­sel­server

.
Dialog Schlüsselserver

Neben einem Register Exportieren, in dem der in den Ein­stel­lun­gen fest­ge­legte Schlüs­sel­server ein­ge­tra­gen ist, sehen Sie auch ein Register Importieren, über das Sie mittels Ihnen bekann­ten E-Mail-Adres­sen nach öffent­li­chen Schlüs­seln suchen kön­nen, um diese dann in Ihren Schlüs­sel­bund zu impor­tie­ren.


Schlüsselverwaltung mit Schlüsseln Anderer

Wenn Sie dann ein­mal läger mit Ihrer Schlüs­sel­ver­wal­tung gear­bei­tet haben, wird Ihr Schlüs­sel­bund etwa so aus­sehen wie hier. öffent­liche Schlüs­sel ande­rer Per­sonen werden Ihre Schlüs­sel­ver­wal­tung fül­len. Dabei ist es wich­tig, die Ver­trauens­stel­lung zu den ein­zel­nen öffent­lichen Schlüs­seln fest­zu­legen. Das erreichen Sie, indem Sie mit­tels Doppel­klick einen der ent­spre­chen­den Schlüs­sel öff­nen und dort dann die Ein­stel­lung vor­neh­men. Gehen Sie hier­bei sehr sorg­fäl­tig vor und ver­trauen Sie nicht gleich jedem Schlüs­sel, der Ihnen über den Weg läuft. Prüfen Sie die Identi­tät der Schlüs­sel­in­haber, bevor Sie dem betref­fen­den Schlüs­sel auch ver­trauen.

Ein wei­terer wich­ti­ger Punkt bei GnuPG ist das Sig­nieren öffent­licher Schlüssel anderer Per­sonen. Dazu klicken Sie mit der rech­ten Maus­taste auf den zu untervschrei­benden Schlüs­sel und wäh­len im Kontext­menü Schlüs­sel sig­nieren. Hier­bei ist aber beson­dere Sorg­falt ange­sagt. Sig­nieren Sie nur öffent­liche Schlüs­sel ande­rer Per­sonen, die Ihnen persön­lich bekannt sind, und bei denen Sie sicher sind, dass die ange­ge­bene E-Mail-Adresse wirk­lich dieser Per­son zuzu­or­dnen ist. Hinter­grund ist fol­gen­der. Da im Internet und schon gar nicht bei E-Mail immer klar ist, wel­che Per­son hin­ter wel­cher E-Mail-Adresse steckt, erhält man durch die über­prü­fung von Signa­turen öffent­licher Schlüs­sel Infor­ma­tionen über eine solche Zuord­nung. Findet man eine Sig­natur von Jeman­dem, den man kennt, dann kann man davon aus­gehen, die beson­dere Sorg­falt dieser Person voraus­gesetzt, dass diese Person diesen öffentlichen Schlüssel nur deshalb unterschrieben hat, weil diese sich sicher ist, dass die Zu­ord­nung die­ser Pe­rson zu der betref­fen­den E-Mail-Adresse auch stimmt. Mann kann des­halb die­ser E-Mail-Adresse folg­lich auch ver­trauen. Auf diese Weise kann ein so genann­tes Web of Trust, also ein Netz des Ver­tauens auf­ge­baut wer­den.


Hier­mit haben wir unsere Schlüs­sel­ver­wal­tung ein­ge­rich­tet. Jetzt ist es an der Zeit, KMail auch bei­zu­bringen, wie es mit unse­ren Schlüs­seln umzu­gehen hat.

Einrichtung von KMail

Starten Sie dazu KMail bzw. Kontact. In letz­terem Fall wählen Sie in der linken Leiste E-Mail aus. Im Haupt­menü wählen Sie Ein­stel­lun­gen und dort KMail ein­rich­ten. Hier­bei wird natür­lich vor­aus­ge­setzt, dass Sie KMail bereits für Ihre E-Mail-Adresse ein­ge­rich­tet haben.

KMail einrichten

Sie lan­den im Dia­log für die Einr­ich­tung von KMail. Im Ab­schnitt Identi­täten klicken Sie auf die Schalt­fläche ändern.


Kryprographie

Im nachfolgenden Dialog wäh­len Sie das Register Kryptographie aus und klicken bei OpenPGP-Signa­tur­schlüs­sel auf die Schaltf­läche ändern und wäh­len aus der jetzt erschei­nen­den Liste den Schlüs­sel aus, den Sie zum Sig­nieren Ihrer Mails ver­wen­den wol­len. Das Gleiche machen Sie bei OpenPGP-Schlüs­sel zum Ver­schlüs­seln und bestä­ti­gen Sie den Dia­log mit OK.

Praxis

Nun ist Ihr E-Mail-Client einge­rich­tet für das Ver­sen­den und Empfan­gen ver­schlüs­sel­ter und digi­tal sig­nier­ter Mails. Um eine Mail zu sig­nie­ren, klicken Sie im Fen­ster, in dem Sie Ihre Mail erstel­len, auf die Schalt­fläche mit dem Feder­halter. Um eine zu verschlüs­seln klicken Sie auf die mit dem Schloss. Nachdem Sie auf die Schalt­fläche für das Ver­sen­den geklickt haben, wird bei sig­nier­ten Mails das Pass­wort abge­fragt, das Ihren pri­va­ten Schlüs­sel schützt, beim Ver­schlüs­seln wird Ihnen eine Aus­wahl von öffent­lichen Schlüs­seln des oder der Mail-Empfänger ange­boten. Damit Sie das Pass­wort für Ihren pri­vat­en Schlüs­sel bei jeder Mail nicht immer wie­der von Neuem ein­geben müssen, besteht die Mög­lich­keit, KMail bzw. den Gnu Privacy Guard, so einzu­stel­len, dass er sich die­ses Pass­wort eine fest­leg­bare Zeit­spanne merkt. Gehen Sie dazu im Haupt­menü auf Ein­stel­lun­gen, dort auf KMail ein­rich­ten und klicken Sie links auf Sicher­heit. Jetzt wäh­len Sie das Register Krypto-Module aus und dort OpenPGP (gpg). Dann klicken Sie auf die Schalt­fläche Ein­rich­ten. Im jetzt erschei­nen­den Dia­log wäh­len Sie links GPG Agent aus. Tragen Sie unter lasse PINs im Cache nach N Sekunden ver­fal­len die Zeit in Sekun­den ein, für die sich GPG das Pass­wort Ihres pri­va­ten Schlüs­sels mer­ken soll, und schließen Sie die geöf­fne­ten Dia­loge durch Klicken auf die jewei­li­gen OK-Schaltflächen.

Viel Spaß dabei.