Webmails mit OpenPGP und Mailvelope im Browser verschlüsseln

Mit der Browser-Erweiterung Mailvelope können Sie Ihre Webmails direkt im Browser mit OpenPGP verschlüsseln. Hier lesen Sie, wie es funktioniert.

Mailvelope ist für die gängigen Webmail-Anbieter wie Outlook, Gmail, Yahoo! Mail und GMX vorkonfiguriert. Da wir diese Dienste aufgrund ihrer Datenschutzprobleme aber generell nicht empfehlen, zeigen wir Ihnen am Beispiel von Posteo, wie Sie Mailvelope mit jedem beliebigen Webmail-Anbieter zur Verschlüsselung Ihrer Nachrichten verwenden können.

Zurzeit ist Mailvelope nur für den Chrome-Browser erhältlich, die Version für Firefox soll aber bald kommen. Um die Erweiterung zu installieren, starten Sie den Chrome-Browser und rufen Sie die Mailvelope-Seite im Chrome Web Store auf. Sie können auch in der Menüleiste des Browsers „Fenster – Erweiterungen” aufrufen, am Ende der Seite auf den Link „Mehr Erweiterungen herunterladen” und im Chrome Web Store nach „Mailvelope” suchen.

Klicken Sie nun bei der Erweiterung „Mailvelope“ auf „Hinzufügen“.

Die Browser-Erweiterung Mailvelope hinzufügen

Sie erhalten eine Nachricht, dass die Erweiterung hinzugefügt wurde, mit einem Hinweis auf das Vorhängeschloss-Logo in der Browser-Benutzerleiste rechts neben der Adressleiste, über das Sie von nun an Mailvelope aufrufen und konfigurieren können.

Die Verschlüsselung mittels OpenPGP verwendet Schlüsselpaare, die aus einem öffentlichen Schlüssel (public key) und einem privaten Schlüssel (private key) bestehen. Jeder Kommunikationspartner muss ein solches Schlüsselpaar besitzen.

Der öffentliche Schlüssel ist nicht geheim, Sie sollten ihn im Gegenteil möglichst bekannt machen, indem Sie ihn beispielsweise Menschen in Ihrer Umgebung geben und auf Schlüsselservern (u.a. bei SKS Keyservers) veröffentlichen. Mithilfe Ihres öffentlichen Schlüssels können dann andere Personen eine E-Mail so verschlüsseln, dass nur Sie diese Nachricht mithilfe Ihres privaten Schlüssels wieder entschlüsseln und damit lesen können.

Nehmen wir an, dass Peter seiner Freundin Maria eine verschlüsselte Nachricht schicken möchte. Dafür braucht Peter zunächst Marias öffentlichen Schlüssel. Maria kann diese für sie verschlüsselte Nachricht dann entschlüsseln und lesen, da sie den dazu passenden privaten Schlüssel hat. Diesen privaten Schlüssel darf niemand außer Maria kennen, denn mithilfe dieses Schlüssels könnte jeder andere die für Maria verschlüsselten Nachrichten lesen. Andersherum braucht Maria auch Peters öffentlichen Schlüssel, wenn sie ihm eine verschlüsselte Antwort schicken möchte. Die verschlüsselte Antwort wird dann von Peter wiederum mithilfe seines geheimen privaten Schlüssels entschlüsselt.

Zurück zu Mailvelope: Bevor Sie mit OpenPGP verschlüsselte Nachrichten austauschen können, müssen Sie Ihr eigenes OpenPGP-Schlüsselpaar (privater und öffentlicher Schlüssel) und den oder die öffentlichen OpenPGP-Schlüssel Ihrer Korrespondenzpartner in Mailvelope erzeugen bzw. importieren.

Starten Sie Mailvelope, indem Sie auf das Vorhängeschloss-Icon in der Benutzerleiste des Chrome-Browsers klicken und aus der Drop-Down-Liste den Punkt „Options” auswählen. In der Liste auf der linken Seite sehen Sie die Einträge „Display Keys” (Schlüssel anzeigen), „Import Keys” (Schlüssel importieren) und „Generate Key” (Schlüssel erzeugen).

Wenn Sie bereits über ein PGP-Schlüsselpaar verfügen, können Sie dieses über „Import Keys” in Mailvelope importieren. Haben Sie noch kein Schlüsselpaar, können Sie über den Eintrag „Generate Key” ein PGP-Schlüsselpaar erzeugen.

Ein PGP-Schlüsselpaar in Mailvelope erzeugen

Geben Sie Ihren Namen und die E-Mail-Adresse an, für die Sie das Schlüsselpaar erzeugen möchten, in unserem Beispiel Peter Mustermann mit der Posteo-Adresse werbefrei@posteo.de. Geben Sie anschließend eine Passphrase, also ein Passwort, für Ihr Schlüsselpaar ein und wiederholen Sie diese in der Zeile darunter.

Mailvelope macht Ihnen keinerlei Vorschriften bei der Länge und Zusammensetzung der Passphrase, allerdings sollten Sie im eigenen Interesse eine ausreichend sichere Phrase wählen, um Ihr PGP-Schlüsselpaar vernünftig zu schützen. Dazu sollte die Phrase möglichst lang sein und aus einer ungewöhnlichen Zeichenfolge bestehen sowie neben Buchstaben auch Ziffern und Sonderzeichen enthalten. Andererseits müssen Sie sich die Phrase trotzdem noch merken können.

Wir empfehlen Ihnen außerdem, in den erweiterten Einstellungen unter „Advanced >>” die Schlüssellänge auf 2048 Bits zu erhöhen. Die Einstellungen in Bezug auf den Algorithmus und das Ablaufdatum des Schlüssels lassen sich zurzeit nicht verändern, der Algorithmus ist also immer RSA und das Schlüsselpaar hat kein Ablaufdatum.

Wenn Sie anschließend auf „Submit” klicken, wird das Schlüsselpaar erzeugt und Sie können es sich anschließend unter dem Menüpunkt „Display Keys” ansehen.

Schlüssel(-paare) in Mailvelope anzeigen

Falls Sie bereits ein eigenes PGP-Schlüsselpaar für die E-Mail-Adresse besitzen, die Sie mit Mailvelope benutzen wollen, brauchen Sie kein neues Schlüsselpaar zu erzeugen und können das bestehende über die Option „Import Keys” in Mailvelope importieren.

Über diese Option importieren Sie auch die öffentlichen Schlüssel der Personen, mit denen Sie verschlüsselte Nachrichten austauschen wollen. Falls Sie nicht wissen, wer von Ihren Korrespondenzpartnern PGP-Verschlüsselung bereits verwendet, fragen Sie am besten direkt bei den betreffenden Personen nach oder suchen Sie auf den öffentlichen Schlüsselservern nach entsprechenden Schlüsseln. Achtung, nicht jeder veröffentlicht seinen Schlüssel auf einem Schlüsselserver. Wenn Sie also auf einem Schlüsselserver nicht fündig werden, heißt das nicht, dass die Person keinen PGP-Schlüssel hat.

Importieren Sie einen Schlüssel (von anderen) oder ein Schlüsselpaar (das Ihnen gehört), indem Sie den Schlüssel aus der Zwischenablage in das Import-Fenster einfügen wie unten abgebildet.

Schlüssel oder Schlüsselpaar in Mailvelope importieren

Im Falle Ihres eigenen Schlüsselpaars genügt es übrigens, wenn Sie den privaten Schüssel importieren, dieser enthält automatisch auch den öffentlichen Schlüssel. Im Falle Ihres Korrespondenzpartners importieren Sie sowieso nur den öffentlichen Schlüssel, da der private Schlüssel geheim ist und Ihnen nicht zur Verfügung steht.

Bevor Sie mit der verschlüsselten Kommunikation loslegen können, müssen Sie noch Ihren Webmailanbieter in Mailvelope konfigurieren. Die entsprechende Einstellung finden Sie in den Mailvelope-Optionen unter „Watch List”. Yahoo! Mail, GMX, Gmail und Outlook wurden automatisch bei der Mailvelope-Installation vorkonfiguriert, jedoch können Sie andere Webmailanbieter wie Posteo auch ganz einfach hinzufügen.

Posteo als Webmailanbieter bei Mailvelope hinzufügen

• Rufen Sie im Browser die Seite Ihres Webmailanbieters auf (in unserem Falle Posteo.de), loggen Sie sich ein, gehen Sie in Ihren Posteingang und öffnen Sie eine E-Mail.

• Klicken Sie nun auf das Mailvelope-Vorhängeschlosssymbol in der Benutzerleiste des Browsers und wählen Sie aus dem Popup-Menü den Befehl „+ Add page” (Seite hinzufügen).

• Klicken Sie im folgenden Tab auf „Save Changes“ (Änderungen speichern), wodurch Posteo.de in der Liste der Mailprovider erscheint.

Liste der in Mailvelope konfigurierten Webmailanbieter inklusive Posteo

• Gehen Sie zurück zum Webmailfenster und öffnen Sie den Editor zum Schreiben einer neuen E-Mail.

• Klicken Sie erneut auf das Mailvelope-Vorhängeschlosssymbol und wählen Sie aus dem Popup-Menü den Befehl „+ Add page” (Seite hinzufügen) und speichern Sie wieder die Änderungen („Save Changes”).

• Laden Sie zum Schluss das Webmail-Fenster neu, um die Änderungen zu aktualisieren.

Um eine Nachricht zu verschlüsseln, gehen Sie zunächst in Ihrem Webmaildienst wie gewohnt vor, um eine neue Nachricht zu schreiben. Im Fenster, in dem Sie normalerweise Ihre Nachricht verfassen, sehen Sie nun ein neues Icon in der rechten oberen Ecke: Klicken Sie darauf, um den externen Mailvelope-Editor zum Verfassen einer verschlüsselten Nachricht zu starten.

Mailvelope-Icon, das den externen Editor startet

Schreiben Sie Ihre Nachricht im Mailvelope-Nachrichtenfenster und klicken Sie am Ende zum Verschlüsseln der Nachricht auf das Vorhängeschloss-Icon im Fenster, wodurch sich ein Verschlüsselungsdialog öffnet.

Verschlüsselungsdialog zum Auswählen der Empfänger

Hier können Sie alle Personen einzeln auswählen, an die Sie die verschlüsselte Nachricht schicken wollen, und auf den Button „Add“ (Hinzufügen) klicken.

Haben Sie alle Empfänger ausgewählt, klicken Sie abschließend auf „Ok“, wodurch die Nachricht mit den öffentlichen Schlüsseln der angegebenen Empfänger verschlüsselt wird. Klicken Sie dann auf „Transfer“, um die verschlüsselte Nachricht zurück in das Nachrichtenfenster von Posteo zu kopieren und den externen Editor zu schließen. Die verschlüsselte Nachricht kann nun an den oder die Empfänger geschickt werden.

Eine verschlüsselte Nachricht verschicken

Wenn Mailvelope in Ihrem Posteingang eine verschlüsselte Nachricht vorfindet, wird diese mit einem verschlüsselten Briefumschlag gekennzeichnet.

Von Mailvelope gekennzeichnete verschlüsselte Nachricht

Klicken Sie auf den Briefumschlag, um den Entschlüsselungsdialog zu starten. Mailvelope sucht nach dem privaten Schlüssel, mit dem die Nachricht entschlüsselt werden muss, und wenn dieser sich in Mailvelope befindet, werden Sie im Dialogfenster um die Eingabe der entsprechenden Passphrase/Passwort gebeten, um sich zu authentifizieren und die Nachricht zu entschlüsseln.

Eingabe des Passworts zum Entschlüsseln der Nachricht

Nach erfolgreicher Eingabe der Passphrase erscheint die entschlüsselte Nachricht direkt im Nachrichtenfenster des Webmailanbieters.

Folgende allgemeine Einstellungen können Sie in Mailvelope unter „Options – General” vornehmen:

Allgemeine Einstellungen in Mailvelope

• Mail Compose Editor Type: Der externe Editor von Mailvelope kann entweder als einfacher („Plain Text”) oder als Rich Text Editor eingestellt werden

• Primary Private Key: Hier können Sie den privaten Schlüssel auswählen, den Sie hauptsächlich verwenden, und angeben, ob dieser Schlüssel immer zur Liste der Mailempfänger hinzugefügt werden soll. Dadurch können Sie die von Ihnen versendeten verschlüsselten Nachrichten lesen.

Folgende Sicherheitseinstellungen können außerdem in Mailvelope unter „Options – Security” vorgenommen werden:

Sicherheitseinstellungen in Mailvelope

• Where are decrypted messages displayed? Hier können Sie angeben, wo entschlüsselte Nachrichten angezeigt werden sollen, entweder im Fenster des Mailproviders („on the page of the mailprovider“) oder in einem separaten Popup-Fenster von Mailvelope („in a separate popup from Mailvelope“).

• Security Token: Hier können Sie die Farbe und die Kodierung Ihres Sicherheitstokens überprüfen und verändern. Alle Dialogfenster von Mailvelope zeigen dieses Token im Hintergrund und können damit auf ihren Ursprung überprüft werden. Einen gefälschten oder manipulierten Dialog können Sie daran erkennen, dass das Token fehlt oder falsch ist.

• Where do you want to compose your mail? Hier können Sie einstellen, ob Sie Ihre Nachricht vor dem Verschlüsseln in einem separaten Mailvelope-Editorfenster erstellen wollen (Standardeinstellung) oder im Nachrichteneditor Ihres Mailanbieters (in unserem Falle Posteo). Wir empfehlen den externen Editor, da der E-Mail-Anbieter die Nachricht sonst vor dem Verschlüsseln im Klartext zwischenspeichern könnte.

• Remember passwords for browser session? Hier können Sie einstellen, ob und wie lange die Passphrase des privaten Schlüssels im Cache gespeichert werden soll, sodass sie nicht bei jeder Entschlüsselung neu eingegeben werden muss. Die Standardeinstellung ist, dass die Passphrase nicht gespeichert wird.