Vermutlich sind Sie auf dieser Seite gelandet, weil Sie eine Mail von mir bekommen haben, in der ich behauptet hatte, diese Mail sei elektronisch unterschrieben. Ich freue mich über Ihr Interesse an elektronischen Unterschriften und erkläre Ihnen gerne näher, was es damit auf sich hat.

Sichere E-Mail

Die “sichere E-Mail” ist zum Verkaufsargument geworden – für die Politik, die mit der De-Mail versucht, eine nationale (sprich: nicht internationale) Form der sicheren Mail-Kommunikation durchzusetzen, und für Telekommunikationsanbieter sowie die Deutsche Post, die darin ein Geschäft wittern.

Das Dumme daran ist: De-Mail ist nicht sicher, da – anders als versprochen – die Kommunikation eben nicht vom Absender bis zum Empfänger verschlüsselt bleibt, sondern kurz auf den Servern des jeweiligen Anbieters ent- und wieder verschlüsselt wird. Dies bedeutet, dass der Anbieter und jeder, der politischen oder juristischen Druck auf den Anbieter ausüben kann, Zugriff auf den Inhalt der angeblich sicheren Nachrichten hat.

Was die Anbieter und Propagandisten der De-Mail gerne verschweigen: De-Mail ist von vorne bis hinten unnötig. Es gibt nämlich schon seit den neunziger Jahren des letzten Jahrhunderts frei verfügbare, von kommerziellen Anbietern unabhängige und nach dem Stand der Erkenntnis wirklich sichere Verschlüsselungsstandards für Mails und Dateien. PGP und seine Ableitungen OpenPGP und GnuPG sind ein solcher Standard. Die Mail, die Sie (vermutlich) erhalten haben, ist mit GnuPG signiert.

Pretty Good Privacy

Die PGP-Technik beruht auf einem Algorithmus, der es ermöglicht, einen Text mit einem öffentlich zugänglichen Schlüssel zu verschlüsseln, der aber nicht zur Entschlüsselung des verschlüsselten Textes taugt. Um den verschlüsselten Text lesen zu können, braucht man einen privaten, also nicht öffentlichen Schlüssel. Beide Schlüssel sind nichts anderes als lange, zufällig erscheinende Zeichenreihen, mit denen ein PGP-Programm den Text ver- bzw. entschlüsselt.

Das heißt: Wenn Person A eine Nachricht an Person B schicken will, die sonst keiner lesen können soll, verschlüsselt A den Inhalt der Nachricht mit dem öffentlichen Schlüssel von B. Dieser Schlüssel ist jedem, der sich dafür interessiert, zugänglich (meiner ist übrigens hier zu finden); er nützt nur keinem Neugierigen, weil man mit dem öffentlichen Schlüssel nichts entschlüsseln kann. Nur B hat das private Gegenstück zu dem öffentlichen Schlüssel, mit dem A die Nachricht verschlüsselt hat, und nur B kann die Nachricht damit entschlüsseln.

Mit dem gleichen System kann man aber auch andere Dinge machen – z.B. eine Mail signieren, so, wie ich es mit den meisten Mails, die ich verschicke, inzwischen mache. Hierzu nimmt der Absender seinen privaten Schlüssel, zu dem nur er den Zugang hat, und erzeugt damit eine elektronische Unterschrift, die an die Mail (oder jede andere zu signierende Datei) angehängt wird. Mit meinem öffentlichen Schlüssel (wir erinnern uns: jeder kann ihn hier finden!) und einem PGP-Programm kann der Empfänger dann feststellen, dass

1. die Nachricht seit dem Moment des Unterschreibens nicht mehr verändert wurde, also tatsächlich den Inhalt enthält, den der Unterschreibende versenden will, und dass
2. die Nachricht tatsächlich vom Inhaber der Absender-Mail-Adresse kommt. In einem weiteren Schritt kann man den öffentlichen Schlüssel so erweitern, dass auch die Identität des Inhabers – durch Unterschriften von persönlichen Bekannten nach dem Web of Trust-System – bestätigt wird.

Aha. Und wie nutze ich PGP?

Diese Frage ist komischerweise am schwierigsten zu beantworten. Von kommerziellen Anbietern werden PGP und die nötigen Plugins für Firmenumgebungen angeboten; private Nutzer müssen leider ein wenig Arbeit investieren.

Grundsätzlich sind zwei Bestandteile zu installieren:

• das PGP-Programm selbst, das die Ver- und Entschlüsselung übernimmt, idealerweise mit einer grafischen Benutzeroberfläche zur Verwaltung der Schlüssel – mehr dazu, incl Downloads und Anleitungen, beispielsweise bei GnuPG.org.
• ein Plugin für das Mailprogramm der eigenen Wahl. Für den weitverbreitenen Thunderbird (Windows, Mac, Linux) gibt es die Enigmail-Erweiterung, und auch für die Mail-App für Macs gibt es jemand, der unermüdlich ein Plugin entwickelt, obwohl Apple bei jedem Update so viele Änderungen in der App vornimmt, dass das Plugin erst mühevoll nachgestrickt werden muss. Seltenere Mail-Clients wie Evolution, KMail, The Bat! oder Mutt haben die PGP-Unterstützung sogar schon eingebaut. Sogar für Android-Mobilgeräte gibt es mit den Mailprogrammen K-9 und Kaiten und der PGP-Anwendung APG eine Lösung. Nur Webmail-User gucken in die Röhre – für sie gibt es seit dem Tod der Firefox-Erweiterung FireGPG kein Plugin mehr.

Zugegeben: Das klingt reichlich kompliziert und erfordert ein wenig Einsatz. Der Lohn dafür ist jedoch Datensicherheit, wie sie kein kommerzieller Anbieter versprechen kann, weil der alles entscheidende Schlüssel, der private, unter Ihrer Kontrolle steht.

Noch Fragen? Ich helfe gerne. Weil es mir wichtig ist.