Kategorien
Allgemein Mac Sicherheit

Verschlüsselte Emails am Mac in unter 10 Minuten

Seit Kurzem ist es dank Open-Source-Software wieder möglich, mit dem vorinstallierten Mail-Programm am Mac-Rechner verschlüsselte Emails zu lesen und zu schreiben. Dafür müssen jedoch zuerst die GPG Tools installiert werden, und anschliessend Schlüssel für die Kommunikation ohne Mitwisser angelegt werden.

Installation der GPG Tools

Zuerst wird das Softwarepaket GPG Tools heruntergeladen – zu finden unter der Adresse gpgtools.org. Das Installationspaket landet im Downloads-Ordner, in Safari kann ich den Status des Downloads rechts neben der Eingabeleiste angucken.

Ist das Paket heruntergeladen, öffne ich zunächst das Drive Image, darin ist ein gelbes Päckchen, das ich wiederum mit einem Doppelklick starte. Damit wird die Erweiterung für Mail installiert, außerdem das Programm GPG Schlüsselbund.

Einrichtung: Schlüsselpaar und Passphrase

Zuerst öffne ich das Programm GPG Schlüsselbund, um für jede Email-Adresse ein Schlüsselpaar anzulegen. Dabei gebe ich meinen Namen und die Email-Adresse ein. Bei der Email-Adresse darauf achten, dass sie genau so geschrieben ist wie im Programm Mail, insbesondere, was Groß- und Kleinschreibung angeht.
Der Haken “Upload Key” ist eine ganz gute Idee, damit wird der öffentliche Schlüssel auf den GPG-Servern gespeichert. Jeder, der meine Email-Adresse kennt, kann sich diesen dort herunterladen, um dann verschlüsselte Nachrichten an mich zu verschicken. Da dies nur eine Beispiel-Email-Adresse ist, lade ich diese Signatur ausnahmsweise nicht hoch.

Unter “Erweiterte Optionen” kann ich noch Verschlüsselungsstärke und Ablaufdatum für den Schlüssel einstellen. Wenn ich “Schlüssel erstellen” klicke, beginnt die Erzeugung eines zufälligen Schlüsselpaars, zusätzlich soll ich eine Passphrase eingeben.

Sichere Passphrase erzeugen

Eine Passphrase ist ein Passwort, nur hoffentlich länger. Und sicherer. Also mindestens 8 Zeichen mit Buchstaben und Zahlen, möglichst zufällig. Um mir das zu erleichtern, nutze ich den Passwort-Assistenten von Apples Schlüsselbundverwaltung. Das kann mir zufällige Passwörter vorschlagen (und diese auch speichern). Dort kann ich auch gleich das Passwort sicher speichern.

Schlüsselbund-Assistent ganz unten rechts im Fenster für neuen Eintrag
Schlüsselbund-Assistent ganz unten rechts im Fenster für neuen Eintrag

Die Schlüsselbund-verwaltung liegt im Ordner “Dienstprogramme” innerhalb des Ordners “Programme”. Wenn ich unter dem Hauptfenster auf das Plus klicke, bekomme ich eine Eingabemöglichkeit für eine Login-/Passwort-Kombination. Die Benennung kann ich frei wählen, als “Accountname” gebe ich die Email-Adresse ein.

Mit "Buchstaben & Ziffern" ergibt sich ein sicheres Passwort
Mit „Buchstaben & Ziffern“ ergibt sich ein sicheres Passwort

Neben “Kennwort” ist ein kleiner Schlüssel abgebildet, ein Klick darauf öffnet den Passwort-Assistenten. Bei “Art” wechsle ich auf “Buchstaben & Ziffern” und bewege den Schieberegler auf die von mir gewünschte Länge des Passworts. Da das Programm “Mail” später ohnehin dieses Passwort speichern wird, kann es gerne “unmerkbar” sein. Jede Änderung der Länge oder Aufrufen der Art zeigt ein neues Passwort an.
Den Assistenten schliessen, das Passwort erneut sichtbar machen durch “Klartext einblenden”, das Passwort markieren und im Menü “Bearbeiten” den Eintrag “kopieren” auswählen. Jetzt noch mit “Hinzufügen” das Passwort speichern – zur Sicherheit.

Zurück zum GPG Schlüsselbund, das immer noch geduldig auf die Eingabe eines Passworts wartet. Ich klicke in das Feld, wähle “Einfügen” aus dem Menü “Bearbeiten” und klicke auf “Okay”. Das muss ich zur Sicherheit wiederholen.

Jetzt ist die erste Email-Adresse für die verschlüsselte Kommunikation vorbereitet. Ein Schlüsselpaar wurde angelegt und der private Schlüssel mit einem sicheren Passwort gespeichert. Dies muss für jede Email-Adresse, die ich benutze, wiederholt werden.

Funktionsweise der Verschlüsselung

Ein kurzer Ausflug in die Funktionsweise der Verschlüsselung:
Um dafür zu sorgen, dass nur der rechtmäßige Empfänger einer Email diese lesen kann, muss der Absender zuerst den öffentlichen Schlüssel des Empfängers besitzen. Dies ist der Schlüssel, der eine Nachricht ver-, aber nicht entschlüsseln kann. Nur der private Schlüssel kann die Nachricht anschliessend in lesbare Form umwandeln. Dieser sollte also nicht in falsche Hände kommen, weswegen er mit der Passphrase gesichert wurde: Die Kombination aus Passphrase und privatem Schlüssel ermöglicht es erst, Nachrichten zu entschlüsseln, die mit dem öffentlichen Schlüssel gesichert wurden.
Sicherheitshalber sollten aber die privaten Schlüssel nicht auf USB-Sticks o.ä. lagern.

Der öffentliche Schlüssel hingegen ist möglichst öffentlich zu handhaben: Jeder, der mir Nachrichten zukommen lassen will, sollte ihn haben oder ihn finden können.

Meist läuft das so ab, dass ich zukünftigen Email-Kommunikationspartnern eine Nachricht mit meinem öffentlichen Schlüssel zukommen lasse. Also exportiere ich jetzt noch den öffentlichen Schlüssel aus dem GPG Schlüsselbund.

Systemeinstellungen

Damit die Passphrase für die Verschlüsselung auf diesem Rechner automatisch von Mail verwaltet wird, öffne ich die Systemeinstellungen, gehe zum neuen Eintrag “GPGPreferences” und setze den Haken bei “Use keychain to store passphrases by default”.

In Mail

Jetzt sind wir auf der Zielgeraden:
Mit dem Programm “Mail” kann es jetzt losgehen. Zuerst lege ich mir in den Einstellungen eine neue Signatur an und nenne sie “mit öff. Schlüssel”. In das Feld kann ich die Schlüsseldatei hereinziehen, die ich in GPG Schlüsselbund exportiert habe. Ich kann diese Signatur auch als Standard einstellen, so wird die Signatur stets angehängt.

Verschlüsselung aktiv: der grüne Knopf in der Ecke oben rechts zeigt es an.
Verschlüsselung aktiv: der grüne Knopf in der Ecke oben rechts zeigt es an.

Email verschlüsseln und entschlüsseln

Jetzt kann ich Emails verschlüsseln und verschlüsselte Emails empfangen. Zuerst schreibe ich eine Email, in der mein öffentlicher Schlüssel versendet wird. Wenn ich eine Email mit einem öffentlichen Schlüssel bekomme, kann ich diesen installieren. Dazu genpügt ein Klick auf die angehängte Datei.
Wenn ich jetzt eine Email verfasse, habe ich 2 neue Buttons in Email-Kopf: mit dem ersten kann ich die Email an den Empfänger verschlüsseln. Mit dem zweiten wird die Email signiert: Dabei wird die Verschlüsselung genutzt, um dem Empfänger die Herkunft der Email zu versichern. Die Signatur wird nur akzeptiert, wenn sie von einem Rechner abgeschickt wurde, auf dem der private Schüssel installiert wurde.

Bei der ersten Entschlüsselung oder Signatur muss ich noch die Passphrase eingeben. Dabei kann ich aber dafür sorgen, dass Mail dieses in der Schlüsselbundverwaltung speichert und ich es nicht mehr an diesem Rechner eingeben muss.

Entschlüsselung: 1x Passphrase eingeben, damach automatisch.
Entschlüsselung: 1x Passphrase eingeben, damach automatisch.

Diese Bequemlichkeit ist natürlich ein Sicherheitsrisiko: Gleichzeitig muss ich Massnahmen ergreifen, die dafür sorgen, dass niemand Unbefugtes an diesen Computer herankommt. Dazu gehört:

1. Ein sicheres Benutzerkennwort
2. Bildschirmschoner-Aktivierung nach wenigen Minuten
3. Bildschirmschoner mit Passwort sichern

Jetzt ist der Mac eingerichtet, um verschlüsselte Emails zu versenden und zu empfangen.

Viel Spass beim Verschlüsseln!

Mehr:

Von Immo Junghärtchen

Seit 1996 bin ich Mac-Anwender mit Begeisterung. Während meines Studiums habe ich mich um die Apple-Computer meiner Freundinnen und Freunde gekümmert und als Promoter im damaligen iTeam für iMacs, iBooks und die ersten iPods geworben. Bei Gravis sammelte ich Erfahrungen im Apple-zentrierten Einzelhandel, in Selbstständigkeit gab ich Kurse für Mac-Neulinge. Über sechs Jahre arbeitete ich als Redakteur für die Zeitschrift "Mac & i" und arbeite jetzt als freier IT-Journalist, unter anderem für Heise Online und die c't.

2 Antworten auf „Verschlüsselte Emails am Mac in unter 10 Minuten“

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Cookie Consent Banner von Real Cookie Banner