GnuPG auf OS X mit AppleMail oder Webmail (oder Thunderbird)

Diese Anleitung wurde mit OS X 10.6.8 getestet.

Installation der Software

Die eingesetzte Software benötigt mindestens OS X 10.5, einige Komponenten 10.6. AppleMail ist vor dem Start der Installation zu beenden.

Das Softwarepaket GPGTools kann von der Projektseite heruntergeladen werden.

Nach dem Download wird die Datei mit einem Doppelklick geöffnet.

GPGTools.mpkg startet den Installer. Mit Uninstall könnten alle Komponenten wieder deinstalliert werden.

Eine Warnmeldung wird angezeigt, dass die auszufüḧrende Software aus dem Internet geladen wurde. Hier muss auf Fortfahren geklickt werden, damit die Installation ausgeführt wird.

Nun wird man durch die Installation geführt.

Die einzelnen Komponenten können ausgewählt werden. GPGTools generiert die Auswahl automatisch, abhängig vom verwendeten System. Wollen wir also statt AppleMail Thunderbird als Mailclient verwenden, muss dieser vorgängig installiert sein, damit dessen Erweiterung Enigmail installiert werden kann.

Wir empfehlen, alle Komponenten zu installieren. Einzig der GPGTools Public OpenPGP Key kann deaktiviert werden; er stört aber auch nicht.

Nun werden die Komponenten installiert.

Nach Abschluss der Installation erscheint folgende Meldung. Dieses Fenster kann geschlossen werden.

Schlüssel erstellen

Nun wird automatisch das Programm "GPG Keychain Access" gestartet, und ein Dialog zum Erstellen des persönlichen Schlüsselpaares wird geöffnet.

Hier füllen wir den eigenen Namen und die E-Mail-Adresse, für die der Schlüssel verwendet wird, aus. Es gibt gute Gründe für und gegen die Verwendung des bürgerlichen Namens, siehe dazu den Punkt "richtiger Name" auf der Übersichtsseite.

Auch ob der Schlüssel ein Ablaufdatum haben soll oder nicht, ist eine Frage, auf die es keine abschliessende Antwort gibt.

Auf jeden Fall erstellen wir ein RSA und RSA-Schlüsselpaar mit einer Länge von 4096 Bit.

Nun muss eine Passphrase angegeben werden. Mit diesem Passwort wird der private Schlüssel verschlüsselt, so dass dieser nicht im Klartext auf der Festplatte gespeichert wird. Die Sicherheit des gesamten Systems hängt auch von der Sicherheit dieser Passphrase ab. Es soll also ein möglichst sicheres Passwort verwendet werden. Mehr zur Theorie sicherer Passwörter gibt es als Comic oder auch bei Wikipedia. Die Theorie in Kurzform: Je länger, desto sicherer. Besser lang, als scheinbar kompliziert.

Das Schlüsselpaar wird nun generiert.

Nun wird das Programm "GPG Keychain Access" geöffnet. Hier sehen wir nun auch das eigene Schlüsselpaar mit dem Typ "sec".

Ein Doppelklick darauf zeigt weitere Informationen dazu an. Auch die Passphrase lässt sich hier ändern.

Öffentliche Schlüssel anderer importieren und signieren

Der öffentliche Schlüssel der Swiss Privacy Foundation kann von der Webseite heruntergeladen werden. Nach einem Klick auf den Button Importieren des Programms "GPG Keychain Access" kann die heruntergeladene Schlüsseldatei ausgewählt werden.

Danach wird eine Meldung angezeigt, dass der Schlüssel importiert wurde.

Jetzt wird der Fingerabdruck des Schlüssels überprüft. Dazu ist der entsprechende Punkt auf der Übersichtsseite zu beachten. Um den Fingerabruck anzuzeigen, wird mit einem Doppelklick auf den entsprechenden Schlüssel der Schlüsselinspektor gestartet.

Stimmt der Fingerabruck, kann der Schlüssel nun beglaubigt werden, damit dieser zum Verschlüsseln von Mails verwendet werden kann. Dazu wird er ausgewählt und im Menü Schlüssel auf Beglaubigen geklickt. Mehr zur Theorie des Beglaubigens oder Signierens, wie es auch genannt wird, ist ebenfalls der Übersichtsseite zu entnehmen.

Wir wählen hier die Stärke der Schlüsselüberprüfung aus. Auf die Frage, ob ein Ablaufdatum für die Signatur gesetzt wird oder nicht, gibt es keine abschliessende Antwort. Wir erstellen hier eine lokale Beglaubigung (die nur für uns selber gilt).

Um die Signatur zu erstellen, wird unser persönlicher Schlüssel verwendet, darum muss dieser nun mittels Eingabe der Passphrase entsperrt werden.

Eigenen öffentlichen Schlüssel exportieren

Damit andere uns verschlüsselte Nachrichten schicken können, brauchen Sie unseren öffentlichen Schlüssel. Dieser kann mit dem Programm "GPG Keychain Access" exportiert werden. Dazu wird der persönlichen Schlüssel ausgewählt und auf Exportieren geklickt. Da kann nun der Filename und der Speicherort ausgewählt werden. Als Format wird ASCII gewählt, und der Haken bei Geheime Schlüssel exportieren wird nicht gesetzt, sonst wird der private Schlüssel auch exportiert. Diesen wollen wir auf keinen Fall verteilen.

Thunderbird mit Enigmail

Wie Thunderbird für die Mailverschlüsselung verwendet werden kann, wird im Kapitel für Linux beschrieben.

AppleMail einrichten

Mit der Installation des Softwarepakets wurde auch die Erweiterung GPGMail installiert. Damit lassen sich mit AppleMail verschlüsselte Mails versenden und empfangen.

Wird AppleMail gestartet ist in den Einstellungen ein neuer Menüpunkt GPGMail zu finden: Er versteckt sich hinter den Pfeilen.

Bei den Einstellungen zum Verfassen wählen wir den Punkt OpenPGP/MIME benutzen zusätzlich. Hier kann auch eingestellt werden, ob grundsätzlich alle Nachrichten signiert werden sollen oder nicht. Ist der Punkt Verschlüsseln sofern alle Schlüssel vorhanden sind ausgewählt, so werden Nachrichten an Empfänger, deren öffentliche Schlüssel importiert wurden, immer verschlüsselt. Der Punkt immer auch mit eigenem Schlüssel verschlüsseln sollte ausgewählt sein, damit versendete Nachrichten auch wieder geöffnet werden können.

Verschlüsselte Mail versenden

Jetzt kann zum Testen eine verschlüsselte Nachricht an die Swiss Privacy Foundation gesendet werden. Ist darin der öffentlich Schlüssel der Absenderin angehängt, werden wir diese innerhalb der 1-2 Tagen verschlüsselt beantworten.

Dazu wird in AppleMail eine neue Nachricht erstellt. Dieses Fenster hat nun unter den Feldern für An, Kopie, Betreff eine neue Zeile OpenPGP. Hier kann gewählt werden, ob die Nachricht signiert und/oder verschlüsselt werden soll. Der vorhin exportierte, öffentliche Schlüssel kann als normaler Anhang der Nachricht angefügt werden.

Jetzt muss die Passphrase eingegeben werden, damit der Schlüssel zum Signieren geöffnet werden kann.

Nach dem Senden wird die Nachricht normal im Ordner Gesendet abgelegt.

Wenn bei den Einstellungen immer auch mit eigenem Schlüssel verschlüsseln aktiviert ist/war, kann die Nachricht nun auch wieder entschlüsselt werden.

Verschlüsselte Mails empfangen

Wird ein verschlüsseltes Mail geöffnet, so wird die Passphrase abgefragt, da für die Entschlüsselung der private Schlüssel verwendet wird. Wird diese eingeben, so wird die Nachricht im Klartext angezeigt. AppleMail überprüft auch eine allfällige Signatur auf ihre Gültigkeit und zeigt dies an.

Mit Webmail

Wer seine Mails nur per Webmail verwaltet, muss für die Ver- und Entschlüsselung einen kleinen Umweg über den Apple Texteditor TextEdit machen. Ab OS X 10.6 ist das Programm "GPG Services" verfügbar. Für ältere OS X Versionen gibt es leider keine befriedigende Lösung mit einer grafischen Oberfläche. TextEdit wird gestartet und im Menü TextEdit unter dem Punkt Dienste die Dienste-Einstellungen geöffnet.

Hier werden sämtliche Punkte mit OpenPGP ausgewählt.

Nun kann die Nachricht in TextEdit geschrieben werden. Dann wird der zu verschlüsselte Text markiert und im Menü TextEdit unter Dienste die Option  OpenPGP: Ecrypt ausgewählt.

Nach Auswahl des Empfängers wird der Text verschlüsselt.

Dieser Text kann nun ins Webmail kopiert werden.

Um eine verschlüsselte Nachricht zu entschlüsseln, wird der gesamte Text in ein TextEdit Fenster kopiert und im Dienste Menü OpenPGP: Decrypt ausgewählt.

Um Attachments verschlüsselt versenden zu können, müssen die Dateien vorher im Finder verschlüsselt werden.

Das funktioniert auch umgekehrt.

Hier füllen wir den eigenen Namen und die E-Mail-Adresse, für die der Schlüssel verwendet wird, aus. Es gibt gute Gründe für und gegen die Verwendung des bürgerlichen Namens, siehe dazu den Punkt "richtiger Name" auf der Übersichtsseite.

Auch ob der Schlüssel ein Ablaufdatum haben soll oder nicht, ist eine Frage, auf die es "keine abschliessende Antwort" gibt.

Auf jeden Fall erstellen wir ein RSA-Schlüsselpaar mit einer Länge von 4096 Bit.

Swiss Privacy Foundation  23.05.2012   Creative Commons Namensnennung-Weitergabe unter gleichen Bedingungen 4.0 Lizenz