Warum wir verschlüsseln sollten

E-Mail Verschlüsselung – ein Thema mit sieben Siegeln (für die meisten) und mit zwei Schlüsseln (für alle).
Mir geht es jetzt nicht darum, zu erklären, wie E-Mail Verschlüsselung technisch funktioniert, sondern warum wir alle, die E-Mail nutzen, dies einsetzen sollten.

Warum wir verschlüsseln sollten

Um es ganz kurz auf den Punkt zu bringen:
Es ist unser Recht. Und es nicht nur irgendein abgeleitetes Recht.
Nein, es ist ein Grundrecht.
In Artikel 10 des Grundgesetzes heißt es:
„Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.“
Das klingt für mich doch nach einer ganz klaren Handlungsanweisung in Richtung Verschlüsselung.
Was aber noch viel wesentlicher und grundlegender für mich ist, ist die schlichte Tatsache, dass es verdammt nochmal einfach einen dritten einen Scheiß angeht, was ich jemandem in einer E-Mail mitteile!
Ich lebe immer noch in dem Glauben, dass wir in einer Gesellschaft leben, in der keinerlei Massenüberwachung notwendig ist, um unsere Sicherheit zu gewährleisten.
Ich bin auch nicht bereit, meine Grundrechte, meine Freiheit und meine Privatsphäre für „The Greater Good“ aufzugeben.
Denn wenn wir das tun, dann gibt es auch kein „Greater Good“, für das es sich lohnt zu kämpfen.
Dann nämlich leben wir in einer Diktatur.
Verschlüsselung ist der notwendige technische Aufwand, den wir betreiben müssen, um das Grundrecht einer unverletzten elektronischen Kommunikation via E-Mail durchzusetzen.
Leider bietet E-Mail per se diese Möglichkeit nicht an, so dass wir an dieser Stelle initial einmalig tätig werden müssen – aber dieser geringe Aufwand lohnt sich.
Es geht schließlich um unsere Freiheit und unsere Privatsphäre.
Das sind doch Werte, für die es lohnt, etwas Aufwand zu betreiben.

Ein Missverhältnis, das mich erschreckt

Jüngst ist mir eine Statistik (gut, ich habe diese nicht selbst gefälscht, daher betrachte ich sie mit mehr Skepsis als wenn ich es getan hätte) zum Thema E-Mail Verschlüsselung zu Augen gekommen.
Danach halten 75% der Befragten E-Mail Verschlüsselung für wichtig, aber lediglich 16% verschlüsseln tatsächlich.
Gut, dieses Missverhältnis kann ich mir noch gut mit dem Widerspruch zwischen Wunsch und Wirklichkeit erklären.
Aber bei den Begründugen, warum nicht verschlüsselt wird, rollen sich mir die Zehennägel auf.
18,8% gaben Sicherheitsbedenken als Grund an, ihre E-Mails nicht zu verschlüsseln.

Ende-zu-Ende-Verschlüsselung kaum verbreitet
Nutzung von Ende-zu-Ende-Verschlüsselung

Sicherheitsbedenken?
Was bitte soll denn unsicherer bei elektronischer Kommunikation sein, als nicht zu verschlüsseln?
Es lesen doch sowieso schon alle Dienste unsere unverschlüsselten Mails, wenn diese an den Zapfstellen vorbeikommen.
Die liegen im Klartext vor!
Das macht mich wirklich fassungslos.
Die weiteren Gründe (Zu aufwändig: 37,6% und Fehlende Kenntnis: 36,6%) kann ich gut nachvollziehen – aber selbst dabei fehlt mir letztendlich das Verständnis.
Wir sind alle bereit, für unsere Mobilität einen Führerschein zu machen.
Das kostet Zeit und das kostet Geld.
Und das betrifft nur unsere Mobilität.
Aber für etwas, das unsere Freiheit und unsere Privatsphäre betrifft, sind wir offenbar weder bereit, Zeit noch Geld zu investieren.
Das schockiert mich wirklich.

Es ist nicht so schwierig wie ihr glaubt

E-Mail Verschlüsselung ist Computer Science, nicht Rocket Science.
Und selbst von der Computer Science müsst ihr nicht alles verstehen – und euch schon gar nicht alles selbst beibringen.
Auch an dieser Stelle passt das Beispiel vom Führerschein wie Nut und Feder.
Wir sind bereit Zeit, Geld und Nerven (unsere und die aller anderen Verkehrsteilnehmer und Familienmitglieder) in unsere Führerscheine zu investieren.
Ja, es geht dabei um Menschenleben und da sollte man schon Ahnung davon haben, wie so eine 1,5 Tonnen schwere und mit ordentlicher Beschleunigung gesegnete Maschine funktioniert.
Aber – und hier wiederhole ich mich nur zu gern – bei unserer Kommunikation via E-Mail geht es um unsere Privatsphäre!
Und die Privatsphäre unserer Freunde, Familie, Kinder und Enkel.
Ist uns deren Schutz nicht zumindest Zeit, vielleicht auch Geld (und auch ganz bestimmt Nerven) wert ?
Wir müssen ja nicht sofort zum Krypto-Guru werden.
Eine sichere E-Mail Kommunikation kann stufenweise aufgebaut werden.
Niemand muss ab sofort nur noch mit dem Aluhut rumlaufen (das kann optional später stattfinden).

Wie fange ich an? E-Mail Verschlüsselung in drei schwierigen Schritten

In meiner candorschen Art der klaren Worte sage ich rund heraus:
Ja, die initiale Einrichtung von E-Mail Verschlüsselung ist schwierig.
Das ist Gehen und Laufen ebenfalls, aber auch das haben wir irgendwie gemeistert.
Schritt 1: Wir brauchen GPG.
GPG ist quasi der Standard für die Verschlüsselung von E-Mails – und das empfehle ich.
GPG – der GNU Privacy Guard – ist eine Implementierung von OpenPGP, dem offenen kryptographischen Standard für verschlüsselte Kommunikation.
GPG gibt es für alle (gängigen) Betriebssysteme:

  • Bei vielen Linux-Distributionen ist gpg bereits Bestandteil des Betriebssystems und muss daher noch nicht einmal händisch nachinstalliert werden.
  • für macOS bietet GPGTools die notwendigen Werkzeuge zum Verschlüsseln der elektronischen Kommunikation an.
  • unter Windows stellt Gpg4win den benötigten Funktionsumfang bereit.

Schritt 2: Wir erstellen uns ein Schlüsselpaar.
Wieso gleich ein Paar Schlüssel?
Reicht nicht erstmal einer?
Nein, reicht nicht.
Damit wir einfach, unaufwändig und sicher verschlüsselt kommunizieren können, brauchen wir zwei Schlüssel.
Klingt erst mal aufwändig, isses aber gar nicht.
Wozu brauchen wir jetzt aber zwei Schlüssel?
Wir brauchen einen privaten Schlüssel, mit dem wir unsere Nachrichten signieren können und mit dem wir Nachrichten, die verschlüsselt an uns geschickt wurden, entschlüsseln können.
Daneben brauchen wir einen öffentlichen Schlüssel.
Mit diesem können unsere Kommunikationspartner Nachrichten für uns verschlüsseln.
Überdies können sie damit überprüfen, ob eine Nachricht, die wir geschrieben haben, auch tatsächlich von uns kommt.
Die Mathematik hinter diesem Public-Key-Verfahren stellt sicher, dass dieses Schlüsselpaar – privater und öffentlicher Schlüssel – ausschließlich wechselseitig funktioniert.
Eine Nachricht, die mit dem privaten Schlüssel verschlüsselt wurde – wir sprechen hierbei vom signieren einer Nachricht – kann nur mit dem passenden öffentlichen Schlüssel entschlüsselt – in unserem Sprachgebrauch: verifiziert – werden.
Und eine Nachricht, die mit dem öffentlichen Schlüssel verschlüsselt wurde, kann einzig mit dem zugehörigen privaten Schlüssel entschlüsselt werden.
Ein weiterer Vorteil dieses Public-Key-Verfahrens besteht in dem einfachen und sicheren Schlüsselaustausch.
Denn dieser Moment stellt natürlich ein hohes Risiko bei verschlüsselter Kommunikation dar.
Würden wir mit nur einem Schlüssel arbeiten, könnte jeder, der diesen einen Schlüssel hat, alle unsere Nachrichten lesen. Blöd.
Im Public-Key-Verfahren mit dem Schlüsselpaar aus privatem und öffentlichem Schlüssel ist dieses Risiko nicht vorhanden.
Hier stellen wir unseren öffentlichen Schlüssel sogar für jeden leicht auffindbar auf Schlüsselservern zur Verfügung.
Denn mit unserem öffentlichen Schlüssel kann uns eben jeder eine verschlüsselte Nachricht schicken, oder prüfen, ob eine Nachricht wirklich von uns stammt.
Nur unseren privaten Schlüssel – den dürfen wir niemals aus unseren Händen geben.
Ansonsten isses ganz blöd. Aber sowas von.
Schritt 3: Wir müssen unsere E-Mail-Kontakte aufschlauen.
Ja, jetzt geht die Arbeit erst richtig los.
Und dabei kann euch leider keiner wirklich helfen.
Außer vielleicht, euch zu versichern, dass Verschlüsseln gut fürs Karma ist, die Laune nachhaltig hebt und alternativ auch den Klimawandel ausbremst.
Nee, wirklich, die ganze Public-Key-Verschlüsselungssache funktioniert eben nur, wenn beide Kommunikations-Partner mitmachen.
Is‘ ja auch klar, der Schreiber kann nur mit dem öffentlichen Schlüssel des Empfängers verschlüsseln.
Und schon sind zwei Verschlüsselungswillige an der Sache beteiligt.
Also, nehmt euch ein Herz, ein bissel Zeit und gute Argumente

  • „Verschlüsselung ist ein Grundrecht.“,
  • „Krypto is sexy.“,
  • „Privatsphäre ist ein Grundstein der Demokratie.“…

und macht euch und eure Kontakte zu Krypto-Kriegern!

TL;DR

  • Warum wir verschlüsseln sollten: Grund und Recht für Krypto
  • Ein Missverständnis, das mich erschreckt: Verschlüsselung ist unsicher – gehts noch?
  • Es ist nicht so schwierig wie ihr glaubt: Wir haben schon ganz anderes gelernt
  • Wie fange ich an: Der kryptographische Dreisprung

Und jetzt?
Anfangen. Hinfallen. Aufstehen, Aluhut richten und weitermachen.
E-Mail-Verschlüsselung ist keine One-Stop-Sache.
Das ist Zen.
Tägliche Praxis mit Höhen und Tiefen.
Aber es lohnt sich. Sowas von.