Zertifikate ermöglichen eine sichere und vertrauenswürdige E-Mail-Kommunikation.
Mit dem Zertifikate-Manager Kleopatra lassen sich die nötigen Verschlüsselungskomponenten mühelos verwalten – so bleibt Ihre digitale Korrespondenz geschützt.
Phishing-Mails sind für jeden Anwender eine Gefahr. Deren Prinzip ist immer das gleiche: Der Absender gaukelt vor, eine Person, Institution oder Firma zu sein, die er nicht ist. Dabei gibt es im Internet einfache Wege, durch das Signieren von E-Mails Absender und Empfänger eindeutig zu identifizieren. Wir zeigen in diesem Artikel, wie Sie sich mit dem KDE-Programm Kleopatra den Umgang mit Zertifikaten spürbar vereinfachen. Dazu verwenden wir hier als Beispiel das KDE-Mailprogramm Kmail in Kombination mit dem Zertifikate-Manager.
Grundlagen der Verschlüsselung
Die zwei am weitesten verbreiteten Protokolle für die Mail-Verschlüsselung sind
S/MIME (Secure/Multipurpose Internet Mail Extensions) und Open PGP. Beide verwenden asymmetrische Verschlüsselung, bei der Sender und Empfänger jeweils ein Schlüsselpaar generieren. Dieses Paar besteht aus einem geheimen „Private Key“, der nicht weitergegeben wird, und einem öffentlichen „Public Key“, den Sie mit Ihrem Gegenüber teilen.
Mit dem öffentlichen Schlüssel des Empfängers können Sie eine Nachricht an ihn verschlüsseln. Nur der Empfänger kann diese wieder entschlüsseln, indem er dazu seinen eigenen privaten Schlüssel verwendet. Dieser befindet sich in der Regel auf dem eigenen Computer. Bei einer größeren Anzahl von Kommunikationspartnern bietet es sich an, einen Zertifikate-Manager zu verwenden, um die öffentlichen Schlüssel Ihrer Gegenüber an zentraler Stelle zu verwalten.
Kleopatra: Der erste Einsatz
Für die Verwaltung und die Erstellung der Open-PGP-Zertifikate verwenden wir Kleopatra (https://apps.kde.org/de/kleopatra/). Beim ersten Start erhalten Sie das Angebot, entweder ein neues Schlüsselpaar zu generieren oder vorhandene zu importieren. Sind Sie neu im Bereich der Signierung und Verschlüsselung, wählen Sie „Neues Schlüsselpaar“. Hierfür verwendet Kleopatra das Open-PGP-Protokoll. Beim Anlegen vergeben Sie für das Zertifikat einen Namen und weisen eine vorhandene E-Mail-Adresse zu, die Sie als Absender und Empfänger Ihrer Nachrichten verwenden möchten. In den erweiterten Einstellungen haben Sie die Möglichkeit, Ihrem Zertifikat weitere Parameter mitzugeben. Im Abschnitt „Verwendung des Zertifikats“ legen Sie die Gültigkeitsdauer fest – der Standardzeitraum beträgt drei Jahre. Falls Sie das Zertifikat auch für die Authentifizierung nutzen möchten, setzen Sie den entsprechenden Haken. Mit Abschluss der Aktion erhalten Sie von Kleopatra die Rückmeldung, dass ein neues Zertifikat erfolgreich erstellt wurde. Sie finden das neu angelegte Zertifikat in Kleopatra im Register „Alle Zertifikate“.
Möchten Sie das Zertifikat zusätzlich vor fremdem Zugriff absichern, schützen Sie es durch ein Passwort. Das ist nur notwendig, wenn der Computer von mehreren Personen verwendet wird. Haben Sie sich nicht direkt beim Anlegen dafür entschieden, lässt sich solcher Passwortschutz jederzeit auch im Nachgang hinzufügen. Dazu rufen Sie das Kontextmenü des Zertifikats auf und wählen den Punkt „Passwort ändern“ auf. Geben Sie im Anschluss das Passwort zweimal ein, um das Zertifikat abzusichern. Sie benötigen es im weiteren Verlauf sowohl für das Signieren als auch beim Entschlüsseln von Nachrichten.
Einrichten des Mailprogramms
In unserem Beispiel verwenden wir als Kmail als Mailclient. Dieser bietet die direkte Integration mit Kleopatra an. Ein neues E-Mail-Konto verknüpfen Sie in Kmail über „Einstellungen –› K-Mail einrichten“. Das Zusammenspiel mit Ihrem Zertifikat richten Sie am besten über die Registerkarte „Identitäten“ ein. Für die Anlage benötigen Sie im ersten Schritt einen Namen sowie eine gültige E-Mail-Adresse. Geben Sie diese auf der Registerkarte „Allgemein“ ein. Haben Sie das zugehörige Zertifikat bereits über Kleopatra angelegt, ist es über die Registerkarte „Kleopatra“ verfügbar. Wählen Sie das Open-PGP-Zertifikat aus, das Sie im Vorfeld angelegt haben. Sie finden dieses in der Auswahlliste der Open-PGP-Schlüssel wieder.
Mit Hilfe des Postfach-Assistenten geben Sie die Zugangsdaten zu Ihrem E-Mail-Konto an – zunächst Ihren angezeigten Namen, dann die E-Mail-Adresse und das zugehörige Passwort. Aktivieren Sie dazu noch das Kontrollkästchen, um die Anbieter-Einstellungen im Internet zu suchen. Handelt es sich um einen bekannten E-Mail-Provider, erhalten Sie im dritten Schritt einen passenden Vorschlag. Existiert zu Ihrem Konto auf dem Computer noch kein Schlüsselpaar, bietet Ihnen der Assistent an, im nächsten Schritt automatisch ein neues Schlüsselpaar zu generieren. Dieses finden Sie im Anschluss innerhalb von Kleopatra wieder.
Der einzige Unterschied zu einem Schlüsselpaar, das direkt im Zertifikate-Manager erstellt wird, ist die Gültigkeitsdauer. Diese wird bei der Anlage in Kmail nicht gesetzt – das Zertifikat ist somit unbegrenzt gültig. Dies lässt jedoch jederzeit in Kleopatra ändern.
Wenn Kmail im Internet die Server, Protokolle und Ports des Mailanbieters findet, werden Ihnen diese im dritten Schritt als Vorschlagswert angeboten. Alternativ haben Sie die Möglichkeit, POP3- oder IMAP-Server manuell auszuwählen und Ihre Daten selbst einzugeben. Im letzten Schritt geben Sie noch die URL des Eingangs- und des Ausgangsservers ein.
Damit ist die Einrichtung erst einmal abgeschlossen. Es kann vorkommen, dass Sie über die Registerkarten „Empfang“ und „Versand“ noch den Verschlüsselungstyp und den zugehörigen Port anpassen müssen. Wenn alles passt, können Sie über das Konto Nachrichten signieren und mit Hilfe des öffentlichen Schlüssels Ihres Gegenübers diese verschlüsseln.
Verwaltung von Zertifikaten: Nachdem Sie Ihre eigenen Zertifikate in Kleopatra integriert haben, müssen Sie sich noch um die Identitätsnachweise Ihrer Kommunikationspartner kümmern. Sind diese an eine E-Mail angehängt, lassen sie sich einfach in Kleopatra importieren. Dazu speichern Sie das in der E-Mail angehängte Zertifikat auf Ihrer Festplatte, wechseln zu Kleopatra und nutzen an dieser Stelle die Importfunktion. Beim Zusammenspiel von Kmail und Kleopatra geschieht dies im Hintergrund – Sie müssen nichts weiter tun.
Mailsicherheit ist nicht kompliziert
Die Verschlüsselung von E-Mails ist seit Jahren nur wenige Mausklicks entfernt. Trotzdem bleiben Akzeptanz und Verbreitung gering. Egal, welche Programme und Protokolle im Einzelnen genutzt werden, entscheidend wäre die Anzahl möglichst vieler Kommunikationspartner. KDE-Nutzer haben ganz wenig Ausreden, wie das wirklich komfortable Zusammenspiel von Kleopatra mit Kmail beweist.