GPGMail-Anleitung: PGP/GPG-Mailverschlüsselung mit Mac OS X Snow Leopard und Mail
Für einige Zeit war nach dem Snow Leopard-Update die GPG/PGP-Verschlüsselung unter Mail und Mac OS X mangels Update des Mail-Plugins nicht verfügbar – mittlerweile hat sich das glücklicherweise wieder geändert. Die Schlüsselverwaltung gerät mit der Kommandozeile leider noch etwas aufwändig, aber immerhin: sichere PGP-Verschlüsselung per Mail unter Mac OS X geht wieder. Das Importieren existierender Keyrings ist glücklicherweise eine eher leichte Übung.
Von sente.ch zog GPGMail auf GPGMail.net um, wo das GPG-Plugin für Mail nun weiter gepflegt wird. Die zwischenzeitliche Überlastung des Entwicklers verhinderte das notwendige Update, mit dem das Krypto-Plugin für Mail auch unter Snow Leopard läuft. Nach den notwendigen Updates braucht es nun nur noch die Installation von MacGPG und das anschließende Einspielen der aktuellen GPGMail-Version, um auch unter Snow Leopard und Mail wieder GPG/PGP-verschlüsselte eMails zu verschicken und zu empfangen.
Installation von MacGPG und GPGMail
Die Reihenfolge spielt eine Rolle: zuerst muss MacGPG 2 installiert werden – Download hier, anschließend entpackt man das Paket und startet das Installationsfile.
Anschließend kann man sich an die Installation des eigentlichen Mail-Plugins machen. Hier lädt man ebenfalls die aktuelle Version für Mac OS X und startet nach dem Entpacken den Installer. Mail muss neu gestartet werden, anschließend sind wir jedoch erst am Anfang der eigentlichen Einrichtung des Verschlüsselungsplugins. Denn ein schneller Versuch, Mails zu ver- oder entschlüsseln, wird schnell mit einer Fehlermeldung beendet. Kein Wunder, denn das Plugin verfügt noch nicht über die notwendigen öffentlichen bzw. privaten Keyfiles, um verschlüsselte Mails zu lesen oder zu erzeugen.
Wer bereits seine öffentlichen und privaten Schlüssel auf der Platte liegen hat, kann direkt zum Importieren übergehen – für alle anderen nun die Anleitung, wie man via Konsole ein GPG-Schlüsselpaar erzeugt und den öffentlichen Schlüssel der Allgemeinheit zur Verfügung stellt.
Öffentlichen und geheimen GPG/PGP-Schlüssel erzeugen
Wir starten die Konsole (Programme-Hilfsprogramme) und rufen mit dem Kommando
gpg --gen-key
die Key-Generierung auf. Wir wählen RSA/RSA als Kryptoverfahren. Die 4096 bit Schlüssellänge sind etwas paranoid, aber mit heutiger Rechenleistung keine Systembremse mehr. Unbegrenzte Schlüssellebensdauer mag Geschmackssache sein, im Beispiel wurde sie gewählt.
Anschließend wird Vor/Nachname verlangt – hier kann natürlich auch ein Pseudonym gewählt werden, das eben an den Key und die zugehörige Mailadresse gekoppelt wird. Die Mailadresse wird angegeben, mit der man verschlüsselt kommunizieren will, mit “f” ist das Prozedere “Fertig” und benötigt nur noch die Schlüsselphrase, mit der ein Zugriff auf das Keyfile authentifiziert wird. hier empfiehlt es sich, ein wirklich sicheres, alphanumerisches Passwort zu wählen.
Nun wird eine größere Menge von Zufallswerten erzeugt/gesammelt – hier dauerte das ungefähr drei Minuten, in denen normal am Rechner weitergearbeitet wurde. Anschließend war das Schlüsselpaar erstellt. Die Schlüssel-ID sollte man sich kopieren bzw. notieren: der hier mit 5AC8D5EC automatisch benannte Key kann mit Hilfe dieser ID via Keyserver den zukünftigen Korrespondenten zur Verfügung gestellt werden. Um den eigenen Public Key auf einem Keyserver zu hinterlegen, gibt man in der Konsole den folgenden Befehl ein:
gpg --send-key --keyserver wwwkeys.de.pgp.net (KEY-ID)
Das Ergebnis sollte folgendermaßen aussehen:
noname:~ richie$ gpg --send-key --keyserver wwwkeys.de.pgp.net 5AC8D5EC
gpg: sende Schlüssel 5AC8D5EC auf den hkp-Server wwwkeys.de.pgp.net
noname:~ richie$
Import bestehender PGP/GPG-Keys
Gängige GPG-Frontends legen die Dateien pubring.gpg und secring.gpg an, in denen die öffentlichen bzw. geheimen Schlüssel gespeichert sind. Diese können mit dem Konsolenbefehl
gpg --import (filename)
einfach importiert werden. Zu beachten ist zweierlei: entweder muss für/statt (filename) der korrekte Pfad zur Datei angegeben werden, oder man befindet sich alternativ bereits im Verzeichnis, in der sich das zu importierende Keyfile befindet. Im Beispiel wurden Pubring und Secring auf den Desktop kopiert und von dort importiert:
Weiter ist beim Import des Secring (der die eigenen, geheimen Schlüssel enthält) naturgemäß die Kenntnis der jeweils zum geheimen Schlüssel gehörenden Passphrasen notwendig. Diese werden beim Import angefragt. Weiter wandelt der Importvorgang gegebenenfalls Fileformate um – inwieweit das zu Problemen mit Nutzern der Public Keys führen kann, konnten wir bislang nicht nachvollziehen.
Auf diese Weise kann man sowohl komplette Keyring-Dateien importieren als auch einzelne Public Keys. Letztere können unter beliebigen Filenamen als ASCII-Datei gespeichert und anschließend importiert werden – wenn alle Stricke reißen, kann so auch ein GPG-Key im Browser berachtet, per CopyPaste im Editor der Wahl gespeichert und anschließend in den eigenen Pubring verfrachtet werden.
eMails verschlüsselt versenden und empfangen
Nach der Installation und der Auswahl eines Standardschlüssels steht bei jeder eMail, die man mit Mail verfasst, die Option zur Verschlüsselung bzw. Signierung zur Verfügung.
Nach Eingabe der Keyphrase (des Senders) wird die Mail verschlüsselt und verschickt – vorausgesetzt, für die Empfängeradresse ist ein Public Key bereits gespeichert oder kann per Keyserver geladen werden. Verschlüsselt man die Mail nicht wie per Default eingestellt auch an sich selbst, entfällt die Eingabe der Keyphrase – nur ist die Mail anschließend nicht mehr für den Sender, sondern nur noch für den Empfänger entschlüsselbar.
Auf Empfängerseite ist wiederum die Eingabe der Keyphrase (des Empfängers) notwendig, damit die Mail entschlüsselt werden kann.
Troubleshooting
Einige Details lassen sich mit dem grafischen Mac-Frontend für GnuPG, GPGPreferences, einstellen. Die aktuelle Version auf SourceForge arbeitet auch mit den jetzigen Versionen von GPGMail und MacGPG2 zusammen und erlaubt beispielsweise das automatische Herunterladen der Public Keys Dritter von Keyservern, falls sie nicht im Pubring gefunden werden.
Eine allgemeine, deutschsprachige Einführung in GnuPG (mit kommandozeilenoptionen auch für Mac OS X) findet sich bei GnuPG.org.
Volker meint:
Ich glaub ich bin zu dämlivh dafür.
Direkt im ersten Schritt habe ich nur
(1) DSA und Elgamal (voreingestellt)
(2) DSA (nur unterschreiben/beglaubigen)
(5) RSA (nur signieren/beglaubigen)
zur Auswahl!? *help*
rj meint:
grmpf… dann hab ich moeglicherweise die Pakete vertauscht. Installier mal das macgpg2 von hier und sag, obs dann tut:
http://sourceforge.net/projects/macgpg2/
greetz und sorry, falls es daran lag,
Richie
Volker meint:
Danke für den neuen Link, aber geändert hat sich leider nichts.
Gibt es eine Möglichkeit alles zu löschen und nochmal sauber mit den richtigen Files von vorne anzufangen?
rj meint:
Einfach die GnuPG-verzeichnisse loeschen, die dir via Systemsteuerung-GnuPG angezeigt werden – letzter Screenshot, sie muessten in usr/local/bin und users/(home) liegen…
Volker meint:
Mist, ich bekomme gpg (GnuPG) 1.4.9 einfach nicht mehr weg/auf 2.0.14 upgedated, egal wie oft ich es drüberbügel.
Ich werd dann mal auf Gnu-Dateienjagd gehen :D
Aber den Downloadlink von MacGPG solltest du oben ändern, der führt immer noch zur Version 1.4.9 und nicht zur. 2.0.14
key meint:
das ganze thema habe wir schon in verschiedene blogs behandelt. doch leider scheint die sicherheit der mailkommunikation nicht viele zu interessieren. auch ist der technische aspekt kein einfacher, so, dass jeder sich dem thema ohne weiteres widmen kann. schade. vielleicht kommt jetzt eine etwas größere welle in bewegung. bin gespannt.
http://www.keyblog.de/archives/678
http://www.keyblog.de/archives/399
http://www.keyblog.de/archives/313
http://www.station9111.de/2010/01/26/aktion-pgp-unter-das-blogvolk/
GPG-Aktion geht weiter. Macht mit. » Keyblog meint:
[...] und Privatsphäre der Kommunikation angeht. Auch wurde gestern eine weitere ausführliche Anleitung für GPG am Mac auf Macnotes.de veröffentlicht. Vielleicht kommt jetzt eine etwas größere GPG-Fan-Gemeinde [...]
thd meint:
Wegen GPG 1.4.9 / 2.0.14: Die Versionen werden unabhängig voneinander installiert und können auch unabhängig voneinander benutzt werden; die 2.x Version ist auch nicht einfach eine “neuere” Version als die 1.x Version, sondern folgt in Teilen auch einem anderen Konzept (ist modulbasiert, unterstützt S/MIME); vgl. http://gnupg.org/download/index.de.html. Wenn beide Versionen installiert habt und sichergehen wollt, dass ihr die 2.x-Version ausführt, dann solltet ihr in der Kommandozeile einfach “gpg2″ statt “gpg” aufrufen. Zu Schlüsselerzeugung lautet der Befehl dann
gpg2 --gen-key.Arne meint:
Da bei mir das GPGMail-Plugin nicht wollte (Installation wegen ungenügender Rechte trotz Adminrechte fehlgeschlagen), habe ich nach einer neueren Version geschaut. Unter http://github.com/gpgmail/GPGMail/downloads findet man schon Version 1.3.0. Die ging bei mir.
rj meint:
Die 1.3 kam gestern raus laut Erstellungsdatum… das freut mich einerseits und ich denke weiterhin, dass da bald auch das .dmg bei gpgmail.net liegt… bis dahin mal eine peinliche Frage: wie installiert man das .mailbundle?
thd meint:
@rj: Die .mailbundle-Datei muss in folgendes Verzeichnis kopiert werden:
Users/[Benutzername]/Library/Mail/Bundles/thd meint:
@rj: Oh, und ggf. muss für Mail.app noch die Benutzung von Bundles aktiviert werden; dafür im Terminal ausführen:
defaults write com.apple.mail EnableBundles -bool trueGPG für alle | coburg-life.de meint:
[...] Und wie binde ich PGP / GPG jetzt ein? Für Windows gibt es >>> hier die entsprechende Software und auch die Anleitung, für den Mac-Fanboy gibt es eine sehr aktuelle Anleitung bei macnotes.de (>>> klick). [...]
Alex meint:
Kleines Update: wir haben das Projekt nun auf http://www.gpgmail.org umgezogen und seit heute gibt es Version 1.3.0.
videotrainingsworkshop meint:
Einfacher geht es immer noch mit dem Orginal: http://www.pgp.de
GPGMail 1.3 erschienen » Keyblog meint:
[...] süßen Beigeschmack. Noch (vor)gestern nahmen auch andere Blogs, darunter Coburg-Life und Macnotes das Thema in Angriff, erscheint heute das neue GPGMail-Plugin für Mac OSX in der Version [...]
Felix meint:
Hi Richard,
could you please update the download link for GPGMail. It is
http://www.gpgmail.org/download/index.html
But elese very good article, great job!
Greetings
Felix
mike meint:
@videotrainingsworkshop
was für ein quatsch. Das “original” ist mittlerweile sehr problembehaftet. der support äußerst mangelhaft und der anschaffungspreis mit 100€ astornomisch. was ist daran bitte toll?
mike meint:
@rj wie man das installiert steht auf http://www.gpgmail.org Dort ist auch ein Installer verfügbar, du mußt also einfach zuerst GnuPG 1 oder 2 (geht beides) installieren, dann den Installer laufen lassen und dann schlüssel erstellen (entweder über terminal oder über gpg keychain access, achtung nur PPC, daher bei intel macs rosetta erforderlich).
Bei frage kannst du dich auch an die user-mailing-liste wenden:
http://lists.gpgmail.org/mailman/listinfo/gpgmail-users
Vielleicht magst du die ganzen neuerungen in den artikel einfließen lassen?
beste grüße,
mike
.musslautsein › Links von Interesse (21) meint:
[...] Digitales Leben: GPGMail-Anleitung: PGP/GPG-Mailverschlüsselung mit Mac OS X Snow Leopard und Mail [...]
Mac OS X Mail mit PGP Verschlüsseln | Gabriel Bretschner meint:
[...] das wars dann auch schon Have Fun! Ansonsten kann ich auch noch das Tutorial auf Macnotes.de [...]
sabbeljan meint:
Alles wunderbar installiert. Wie hängt man seinen eigenen Schlüssel an (nicht verschlüsseln oder signieren)? Die Thunderbirdnutzer haben dafür eine Option, aber unter Mail?
Tebai meint:
Hallo,
ich würde sehr gerne verschlüsselte Mails versenden, leider komme ich ab dem Punkt: “Import bestehender PGP/GPG-Keys” nicht mehr weiter, da ich nicht weiß, wie man die Dateien pubring.gpg und secring.gpg auf den Desktop kopiert.
Für eure Hilfe wäre ich sehr dankbar.
GPGMail nach Update auf Mac OS X 10.6.5 und Mail 4.4 meint:
[...] aktualisierte Version von GPGMail soll demnächst erscheinen. Ein Howto zur Installation und Verwendung von GPGMail für Mac ist auf Macnotes verfügbar. Autor: Datum: Kategorie: Tags: Richard [...]
Wil_Riker meint:
Hallo,
ich verwende MacGPG2-2.0.16 und GPGMail-1.3.1, da ich die Rechnungs-Zustellung von T-Mobile nutze. Das Entschlüsseln der E-Mail ist auch kein Problem, aber wenn ich den Zip-Anhang mit der Rechnung auf den Desktop ziehe und entpacken möchte, funktioniert das nicht :-( (“Fehler 1 – der Vorgang ist nicht zugelassen”). Woran könnte das liegen?
Danke und Gruß,
Wil_Riker
Alex meint:
@Wil_Riker Schau’ mal auf http://www.gpgmail.org/issue
Wil_Riker meint:
@Alex Sorry, aber da blicke ich irgendwie nicht durch :-(. Kannst Du mir evtl. direkt helfen? An gpgmail kann’s ja eigentlich nicht liegen, da die Mails wie gesagt korrekt entschlüsselt werden. Nur das Entpacken von angehängten Zip-Archiven schlägt immer wieder fehl :-(…
Alex meint:
In dem Zusammenhang: GPGMail ist nun Teil von GPGTools. Siehe http://gpgtools.org
@Wil_Riker: sollte das Problem noch bestehen, bitte einfach mal eine Mail (siehe gpgtools.org/about.html).
rj meint:
Heute geladen, noch nicht draufgeworfen, angesichts der ToDo-Liste Gänsehaut bekommen. Nun Feierabend, aber ich muss mir das angucken, versprochen.
danny meint:
Hallo, ich kann meinen key nicht uppen
gpg –send-key –keyserver wwwkeys.de.pgp.net $keyID
gpg: sende Schlüssel 04E0BF30 auf den hkp-Server wwwkeys.de.pgp.net
gpg: Schlüsselserver-Zeitüberschreitung
gpg: Senden an Schlüsselserver fehlgeschlagen: Schlüsselserverfehler
Hat sich die URL geändert?
Alex meint:
@danny: ich würde pool.sks-keyservers.net – z.Z. sind einige Server down. Und des Weiteren ggf. lieber an gpgtools-users@lists.gpgtools.org schreiben – da ist denke ich die Antwort auf deine Frage höher ;)
Alex meint:
@rj: wir sind noch immer sehr fleißig dabei GPGTools aufzubauen und mittlerweile ist sogar MacGPG2 mit im Team. Würden uns über einen Artikel freuen (bekommen recht viele Besucher von dieser Seite).
Pretty good privacy | Hals & Beinbruch meint:
[...] wenn man mehr über das Thema wissen will. Wenn nicht, einfach runterladen, Einleitung lesen: http://www.macnotes.de/2010/07/26/gpgmail-anleitung-pgpgpg-mailverschlusselung-mit-mac-os-x-snow-leo…, [...]
Alex meint:
Ab heute gibt es auch einen GPGTools Installer für OS X Lion und dazu noch ein schönen Screencast dazu unter http://gpgtools.org.
Neuer Artikel? Bitte? ;)
kg meint:
@Alex das stand gestern tatsächlich auf der ToDo, haben es aber nicht mehr geschafft ;)
Marcel meint:
Hallo,
kurz vor Weihnachten widmete ich mich auch noch einmal diesem Thema, dank der GPGTools ist es ja mittlerweile wirklich einfach, das ganze einzurichten.
Der recht umfangreiche Artikel ist auch für technisch wenig Interessierte gut nachvollziehbar geschrieben:
http://www.macon.cc/blog/2011/12/e-mail-verschlusselung-unter-mac-os-x/
Beste Grüße,
Marcel