Email-Signierung und Email-Verschlüsselung

Ein großes, einfaches aber unbekanntes Thema für große Kinder
Wer sich da reinlernt und das mir beweist ist definitiv cooler als vorher und hat sich Icon 8 verdient. Das macht einfach was her!

1.) Email-Verschlüsselung ist nicht schwer, man muss sich aber einmal kurz reinarbeiten und das Prinzip verstanden haben.

Das Grundprinzip ist einfach. In einfachen Worten: Jeder generiert sich diese zwei unterschiedlichen Schlüssel. Einen zum Abschließen und einen zum Aufschließen. (Einer wird tatsächlich generiert, der zum Abschließen wird dann aus dem zum Aufschließen exportiert.)

Mein Schlüssel zum Abschließen wird an jeden verschenkt/weitergegeben, der mir etwas Verschlossenes schicken will. Nur ich selbst habe den Aufschließ-Schlüssel.
So machen das alle.
Es geht also um das Verbreiten der Abschließschlüssel und um das geheim halten des eigenen privaten Aufschließschlüssels. Jeder sammelt also die öffentlichen Keys der Anderen in einer Art Adressbuch.

Ich kann nur verschlüsselt schreiben, wenn ich den Public-Key (also den öffentlichen Schlüssel) des Empfängers kenne. Dieser kann die Email oder Datei nur lesen, wenn er seinen Private-Key nicht verloren hat. Die Verschlüsselung wird hinfällig und nutzlos, wenn der Private-Key mit dem zugehörigen Passwort an Dritte gelangt ist. Das darf nicht passieren!
Verschlüsselte Emails können nur von dem Empfänger (oder den Empfängern) gelesen werden, deren öffentliche Keys ich als Absender zum Abschließen verwendet habe.

[Meinen Public PGP-Key findet ihr im Impressum von downfight.de]

2.) Email-Signierung

Die Email-Signierung dient dazu, dass der Empfänger prüfen kann, ob die Email die er sieht
– vom korrekten Absender stammt
– nicht auf dem Postweg verändert wurde.
Signierte Emails können also ohne zu entschlüsseln von jeder Zwischenstation auf dem Postweg gelesen werden – wie bisherige Emails auch.
Man hat durch die Signatur die Garantie, dass derjenige der die Email geschrieben hat den privaten Key des Absenders kennt. Und den kennt hoffentlich nur der korrekte und angenommene Absender.

3.) Fingerprint – und das Netz des Vertrauens

Fingerprints sind „komische Quersummen“ über die Zeichen der verwendeten Schlüssel.
Ob der erhaltene Schlüssel tatsächlich einem Absender gehört muss durch Vergleichen des Fingerprints über Telefon oder ein anderes Medium gegenseitig beglaubigt werden – wenn man das krass ernst nimmt und wirklich sicher sein will.
Die einzelnen Identitäten/Personen können sich gegenseitig beglaubigen, so entsteht ein Netz des Vertrauens. Man vernetzt sich also untereinander mit Einschätzungen, ob der jeweilige Key zu der jeweiligen Person gehört, um gemeinsam sicher zu senden.

4.) Installation und Lernmaterial

Ihr könnt euch auf wirklich vielen Seiten darüber informieren, wir ihr den Einstieg schafft. Lasst euch auch von Spielern helfen die diese Aufgabe geschafft haben. Wenn man das verstanden hat, muss man auch etwas damit üben.
Man lernt die Einfachheit als solche kennen, wenn man mal 10 Emails verschlüsselt und unverschlüsselt und signiert und `verschlüsselt und signiert` hin und her verschickt hat. Dann will man schon wegen dem Prinzip nicht mehr damit aufhören.
Persönlich werde ich wohl in Zukunft meine Emails quasi alle signieren, aber nicht zwingend verschlüsseln.

5.) Der Ablauf der Aktion – die Aufgabe

Um Icon 8 zu erhalten trefft ihr ein paar Vorbereitungen:

– Ihr lernt euch etwas rein. (Youtube etc.)
– Erstellt euren eigenen PGP-Key.
– Ihr sichert diesen zusätzlich auf einen gut aufbewahrten USB-Stick.
– Ihr wisst, dass ihr den privaten Key niemals rausgebt. Aber den öffentlichen an alle Interessenten.
– Ihr lernt ihr wie ihr mit Signaturen und Verschlüsselung umgeht, sucht euch ein Email-Plugin oder Addon aus, das euch gefällt und zu eurer Gewohnheit (Outlook? Thunderbird? Opera? Gmail?) passt.
– Ihr übt das am Besten mal mit anderen Spielern.
– Wenn ihr bei mir ankommt, sollte alles reibungslos klappen! Die Zeit spielt allerdings keine Rolle.

Wenn ihr euch sicher im Umgang seid:

– Holt ihr meinen öffentlichen Schlüssel (Public Key) aus dem Impressum und importiert diesen.
– Schreibt ihr mir eine signierte Email und schickt mir euren öffentlichen Schlüssel (Public Key).
– Ich antworte euch dann verschlüsselt und signiert und frage euch (dann erst) eine Frage und nach den*/dem Pennernamen.
– Ihr antwortet mir dann signiert und verschlüsselt (mit dem bisherigen Verlauf).
– Ich lese das, antworte vermutlich kurz und vergebe das Icon.

*ihr müsst das nicht für jeden einzelnen eurer Accounts extra machen. Aber vom Kumpel die Accounts einfach mitschicken ist nicht ok! Jeder Spieler als Person muss das selbst machen.

LG Stefan

Suchbegriffe und Hinweise:
Youtube | PGP encryption | http://www.gpg4win.org/ | Kleopatra (Keymanager, Key erstellen usw.) | enigmail (Thunderbird Plugin) | Signieren von Emails | Pretty Good Privacy | …

PS: Das wird einiges an Arbeit für mich werden, die ich gerne mache und mit der ich sicher was bewegen kann. Alles wird bearbeitet, aber das kann dauern! Es gibt keine Zeitlimits wie schnell ihr sein müsst. Lasst euch eure Zeit und macht das Gewissenhaft, wenn ihr mitmacht.

Dieser Eintrag wurde am Donnerstag, 05. März 2015 um 10:11 erstellt und ist abgelegt unter Allgemein. Mit dem RSS 2.0 Feed kannst du den Antworten zu diesem Artikel folgen. Beides, Kommentare und Pings sind zurzeit geschlossen.