Wer P sagt, muss nicht GP sagen

Da ist ein wenig mehr schief gelaufen in den letzten 15 Jahren. Mitte/Ende der 1990er gab es schon mal eine Welle onliniger Paranoia: E-Mail ist wie Postkarte, jeder kann sie lesen, tu was dagegen! Geheimdienste vor allem US-amerikanischer Provenienz halfen da wenig, waren ihre Aktionen und Einrichtungen, wie Echelon, alles andere als geheim. Sie sagten zwar nichts dazu, aber trotzdem gab es genug Unterlagen, um zu wissen, was da abläuft.

Ich beschäftigte mich damals gründlich mit PGP, jener kryptografischen Erfindung Phil Zimmermanns, die unsere Korrespondenz und wichtige Dateien wieder abhörsicher machen wollte. Suche nach einem E-Mail-Programm, das PGP unterstützte, Auswahl der Anwendung – welche internationale Version oder gar selber kompilieren –, welche Algorithmen wählen, wie mit den öffentlichen Schlüsseln umgehen … etc. Ich schrieb Artikel drüber, hielt den einen oder anderen Vortrag im kleinen Kreis.

 

Nach einigen Jahren gab ich PGP wieder auf. E-Mail spielte eine immer geringere Rolle in meiner Kommunikation, Implementierungen für Chat waren noch rarer gesät und brachten Kompromisse mit sich. Nicht zuletzt benutzte kaum jemand PGP, von meinen regelmässigen Mail-Partner gerade mal zwei.

In den letzten Monaten wurde Anwendern immer mal empfohlen, um vor den Abschnorchelaktionen von NSA, CIA, BND und so fort sicher zu sein, PGP zu installieren. Wir erinnern uns, die Damen und Herren in den Sicherheitsbehörden hören alle ab. Jeden. Die unterscheiden nicht.

Es gibt keine Unschuldigen, nur Schuldige, über die wir noch nicht genug wissen.

Es trifft den durchgeknallten Erpresser, der Computer unter seine Kontrolle bringt, ebenso wie das harmlose Script-Kiddie, den investigativen Journalisten oder Otto und Martha Normalbenutzer, die sich immer noch wundern, was das für ein Ball da unten links ist. Ihnen allen empfehlen wohlmeinende Menschen, zumindest ihre Kommunikation per E-Mail zu sichern.

Ich habe da mal etwas vorbereitet.

Montag setzte ich mich hin und wollte PGP bei mir wieder zum Laufen bringen. Man weiss ja nie, vielleicht setzt es sich diesmal durch. Als erstes holte ich meine alten Schlüsselringe – Dateien mit den gesammelten öffentlichen Schlüsseln von Gesprächspartnern bzw. den eigenen geheimen Schlüsseln – vor sowie das gute PGP 6.5.8ckt.

Bei einem Versuch im letzten Jahr hatte ich diese PGP-Version nach Überwindung einiger Hürden installiert und zum arbeiten bekommen. Diesmal entschied ich mich, nachdem bereits die Installation abbrach, fehlerhaft lief oder einfror, auf das aktuelle GPG, eine freie Open-Source-Variante, zu setzen. Neben dem Kernprogramm benötigt man noch eine grafische Oberfläche, die in einem Paket als GPG4Win angeboten wird. Klingt doch gut und einfach.

Die Installation läuft reibungslos, sofern man nichts ändert. Die Komponenten sind vorausgewählt, wie üblich erhält man einen nichtssagenden Erklärungstext, wenn man sie anklickt. Neben dem eigentlichen Ver-/Entschlüsselungsprogramm wird einen GUI namens Kleopatra installiert, ausserdem etwas, das GPA heisst. Dazu gleich mehr.

Wer möchte, installiert auch Erweiterungen für Outlook, den Windows Explorer und einen E-Mail-Client. Mein seit Jahren benutzter Lieblings-E-Mailer The Bat! ist schon installiert; ich hatte ihn vor ca. 15 Jahren gewählt, u.a. weil er PGP unterstützt.

Alles installiert – auch mobil.

Jetzt konnte es also los gehen – noch nicht ganz. PGP auf einem mobilen Gerät ist für mich ein wichtiger Punkt. Immer mehr Menschen erledigen Mail heute schon von ihrem Smartphone oder Tablet, das werden in den nächsten Jahren immer mehr werden. Auf Android-Seite ist das kein Problem, mit der freien Open-Source-Software K-9 gibt es einen funktionsreichen Mailer, der PGP über das ebenfalls frei erhältliche AGP unterstützt.

K-9 ist bereits seit langem installiert, also nur noch AGP drauf packen, Schlüssel aus den alten Dateien importieren, erste Test-Mail schreiben. Klappt alles. Fast. Beim Verfassen einer Mail erhalte ich eine Fehlermeldung, dass K-9 keinen vollen Zugriff auf AGP hat, ich möge doch K-9 neu installieren. Keine schöne Aussicht, hiesse das doch, E-Mail-Konten und Einstellungen neu vorzunehmen. Zum Glück gibt es dafür eine Import/Export-Funktion, die zwar nicht alles korrekt speichert, aber die Angelegenheit sehr viel einfacher macht, als es unter Windows der Fall wäre.

Not for the faint of heart

Kleopatra öffnen, weil ich meine Schlüsselringe importieren will. Ich ignoriere, dass durchgängig von ‘Certificates’ die Rede ist, da mir egal ist, welche Begrifflichkeit Software-Ingenieure für angemessener halten. Ändert aber nichts, meine Schlüssel lassen sich nicht importieren. Nächster Versuch: GPG-Kommandozeile. Ich gebe das schnell wieder auf, aber erinnere mich daran, dass ich unter 95 und XP ein Programm zur Zeitanzeige benutzt habe, von jemandem, der auch eine GPGshell geschrieben hatte.

Nach einigem Suchen gefunden, installiert, Schlüssel importiert. Dann fiel mir ein, dass ich meine GMail-Adresse den Schlüsseln hinzufügen sollte. Aus irgendeinem Grund klappte das nicht mit GPGshell, ein entsprechender Befehl fehlte. Zur Abwechslung GPA aufgemacht, der zwar alle Schlüssel anzeigte, aber mich nicht editieren liess. Aus Spass Kleopatra aufgemacht.

Überraschung! Da waren meine beiden geheimen Schlüssel/Zertifikate, die ich hier jetzt ohne Weiteres editieren konnte. Aus mystischen Gründen konnte ich danach auch GPGshell – dessen Oberfläche mir insgesamt einfacher zu bedienen scheint, womöglich, weil sie der alten PGP-eigenen nachgebaut ist – zum ändern der Schlüssel auf allen Ebenen nutzen. Windows und seine Programme haben so etwas manchmal. Immerhin war hier kein Neustart nötig.

Mail schreiben

Da ich meine Schlüssel geändert hatte, musste ich die neuen Versionen an AGP senden. Nun hatte GPG die importierten Schlüsselringe in Ruhe gelassen und neue angelegt – woanders. Der gewiefte Windows-7-Nutzer ahnt: Wir brauchen %AppData%. Yo. Da sind sie. Dateien zu TresorIt kopieren, auf dem Tablet AGP öffnen, Schlüssel importieren.

Mit The Bat! eine E-Mail an mich selbst geschrieben, verschlüsselt. Mit K-9 abgerufen. Kein Decrypt-Button, kein Menueintrag, aber alle Einstellungen stimmen, K-9 erkennt AGP, das die Nachricht auch entschlüsseln kann. Dafür musste ich nur den Anhang in einem anderen Programm öffnen, den verschlüsselten Text komplett markieren und AGP aufrufen. Das kann es ja nicht sein.

Nach etwas Recherche war klar, dass K-9 noch nicht mit PGP/MIME umgehen kann, The Bat! aber – zu Recht! – standardmässig so versendet. Mit Hilfe anderer Nutzer auf TBBETA, einer Mailingliste, konnte ich im Laufe der nächsten Stunde The Bat! so einrichten, dass es auf Knopfdruck Inline PGP versendet.

Zwischenzeitlich hatte ich K-9 auch noch deinstalliert und neu aufs Tablet gepackt. Jetzt gab es beim Versuch eine Mail zu verschlüsseln keine Fehlermeldung mehr; vorher war das Programm offenbar nicht an die geheimen Schlüssel gekommen, so dass er nicht automatisch gewählt war, sondern AGP aufging und ich dort einen Schlüssel zum Signieren auswählen musste. Das könnten die Entwickler etwas eindeutiger und weniger Panik auslösend kommunizieren.

Auch die Entschlüsselung durch klicken auf einen Decrypt-Button klappt bei Inline-PGP-Nachrichten jetzt einwandfrei.

Tut das Not?

Mit allem drum und dran hat mich die Installation von PGP [bzw. GPG samt notwendiger Ergänzungen und AGP] bis zur Nutzung sechs Stunden gekostet, inkl. notwendiger Netzrecherche. Dabei musste ich keine neuen Schlüssel anlegen, ausserdem habe ich die Wahl der Algorithmen sowie einiger anderer Parameter aussen vor gelassen. Die Standardeinstellungen sind zwar nicht unbedingt optimal, aber reichen für den Anfang aus.

In den letzten 15 Jahren hat sich, was die Anwendung angeht, wenig bewegt. Und das in die falsche Richtung. Otto und Martha Normalbenutzer, ja selbst ein wenig fortgeschrittene Anwender, werden nicht über all diese Hürden springen. Sie wollen es nicht, sie können es auch nicht. Die Lösung gegen allgemeine Kommunikationsüberwachung ist PGP/GPG schon deswegen nicht. Den notwendigen Widerstand gegen die Totalüberwachung durch diverse Geheimdienste oder E-Mail-Provider, die doch mal schauen, was Sie denn so schreiben, können wir so nicht leisten.

Notes:
1. Die leider in diversen Rechner-, Festplatten- und Website-Wechseln verloren gingen.
2. Bemühen Sie sich nicht, es wird schon seit 10 Jahren nicht mehr gepflegt, der Entwickler verschwand irgendwann.
3. Zur Verschlüsselung von Dateien.
4. Ich vermute sogar, dass Tablets die erste Wahl für Otto und Martha sein werden. Was sollen die mit einem Riesenkasten samt Monitor, die beide für ihre Anforderungen in jeder Hinsicht überdimensioniert sind?
5. Im Dezember 2017 war AGP nicht mehr im Play Store.
6. Über den sicheren Cloud-Service TresorIt erreichbar.
7. Die Passwörter müssen selbstverständlich neu eingegeben werden. Seltsamerweise verlor mein K-9 die Einstellung für den Delete-Button in den Benachrichtigungen.
8. Im Dezember 2017 war die URL der Website nicht mehr erreichbar.
9. Falls Sie sich für The Bat! interessieren: Die interne PGP-Implementation ist veraltet, half hier auch nicht weiter [leider] und wird nicht empfohlen. Wählen sie eine der Plugin-Möglichkeiten, z.B. GPG.
10. Nachdem bereits Schlüssel importiert wurden, muss man links oben aus dem Dropdown-Menu ‘Import from file’ wählen, es steht automatisch auf ‘Keyserver’.
11. In meinem Fall WPS Office.
12.

1. Open mail editor
2. in button toolbar context menue Customise …
3. Tab Menus & Toolbars
4. Hit Button New Toolbar …
5. Enter PGP as name for toolbar
6. Select middle window Actions
7. Select tree All ActionsMessage
8. Select subtree Editor Form
9. Scroll down to items near Key Manager …
10. Select Item Auto
11. Hit green Insert Button
12. Select Item On
13. Hit green Insert Button
14. Select Item Off
15. Hit green Insert Button
16. Confirm with OK

Dank an Gwen Dragon dafür!

Die neuen Buttons Auto, On und Off können auch mit hässlichen Icons versehen werden.

13. Zu guter Letzt: Hier geht es nur um E-Mail. Chat, IM, SMS bleiben weiterhin offene Bücher für jeden, den es interessiert.
Die leider in diversen Rechner-, Festplatten- und Website-Wechseln verloren gingen.
Bemühen Sie sich nicht, es wird schon seit 10 Jahren nicht mehr gepflegt, der Entwickler verschwand irgendwann.
Zur Verschlüsselung von Dateien.
Ich vermute sogar, dass Tablets die erste Wahl für Otto und Martha sein werden. Was sollen die mit einem Riesenkasten samt Monitor, die beide für ihre Anforderungen in jeder Hinsicht überdimensioniert sind?
Im Dezember 2017 war AGP nicht mehr im Play Store.
Über den sicheren Cloud-Service TresorIt erreichbar.
Die Passwörter müssen selbstverständlich neu eingegeben werden. Seltsamerweise verlor mein K-9 die Einstellung für den Delete-Button in den Benachrichtigungen.
Im Dezember 2017 war die URL der Website nicht mehr erreichbar.
Falls Sie sich für The Bat! interessieren: Die interne PGP-Implementation ist veraltet, half hier auch nicht weiter [leider] und wird nicht empfohlen. Wählen sie eine der Plugin-Möglichkeiten, z.B. GPG.
Nachdem bereits Schlüssel importiert wurden, muss man links oben aus dem Dropdown-Menu ‘Import from file’ wählen, es steht automatisch auf ‘Keyserver’.
In meinem Fall WPS Office.

1. Open mail editor
2. in button toolbar context menue Customise …
3. Tab Menus & Toolbars
4. Hit Button New Toolbar …
5. Enter PGP as name for toolbar
6. Select middle window Actions
7. Select tree All ActionsMessage
8. Select subtree Editor Form
9. Scroll down to items near Key Manager …
10. Select Item Auto
11. Hit green Insert Button
12. Select Item On
13. Hit green Insert Button
14. Select Item Off
15. Hit green Insert Button
16. Confirm with OK

Dank an Gwen Dragon dafür!

Die neuen Buttons Auto, On und Off können auch mit hässlichen Icons versehen werden.

Zu guter Letzt: Hier geht es nur um E-Mail. Chat, IM, SMS bleiben weiterhin offene Bücher für jeden, den es interessiert.

  1 comment for “Wer P sagt, muss nicht GP sagen

Leave a Reply

Your email address will not be published. Required fields are marked *