Einleitung:
Seit Edward Snowden sollte nun bekannt sein, dass eine E-Mail gerade mal so sicher und geheim wie eine Postkarte ist. Denn durch Edward Snowdens Enthüllungen wissen wir nun, dass es ein System, namens „XKeyscore“ gibt, welches gewaltige Mengen an privaten Daten, darunter auch E-Mails, absaugen und speichern. Wobei nicht nur die Geheimdienste an solchen Daten interessiert sind. Einige Mail-Provider wie Google lesen den Inhalt von E-Mails die über deren System gehen, um dann personalisierte Werbung übertragen zu können. Ein weiteres Problem von Google ist auch, dass Google seinen Firmensitz in der USA hat und zudem auch noch ein bezahlter Partner der NSA im PRISM Programm ist. Dies ist insofern problematisch, da sich die NSA Daten zum Zwecke der Terrorbekämpfung nutzt, falls sie dies überhaupt tun, sondern auch wirtschaftlich interessante Daten auch der eigenen Wirtschaft zukommen lässt. Ein sehr prominentes Beispiel stellt der Fall Enercon dar. Aber es geht nicht nur um die Wirtschaft. Fast jeder Mensch hat schon mal irgendetwas in seinem Leben getan, was ihm sehr unangenehm ist, oder was ihm, bei Veröffentlichung der Informationen, ihm auch seinen Gesellschaftlichen Status nachhaltig schädigen kann. Diese Information machen diesen dann auch erpressbar. Da die NSA so ziemlich alles speichert, was sie über jede einzelne Person herausfinden kann, hat diese auch die Möglichkeit jede Person, die der NSA nicht passt auf zu erpressen und sie zu kooperativen Verhalten zu zwingen. Dies kann vor-allen bei politischen Gegnern stark von Nützen sein. Es ist sogar mehr als wahrscheinlich, dass dies auch tatsächlich praktiziert wird.

Schutzmöglichkeiten:
Um den Schnüffeleien ein Ende bereiten zu können muss konsequent verschlüsselt werden. Selbst Edward Snowden hat bestätigt, dass Verschlüsselung, sofern richtig implementiert, immer noch noch wirksam ist. Dies lässt sich mit OpenPGP bzw. der Abspaltung GnuPG durchführen, was von vielen E-Mail Programmen (darunter auch Thunderbird) und auch einem Browser Addon (Mailvelope) beherrscht wird. Ebenso ist die Verschlüsselung mit OpenPGP auch unter Android mit APG möglich. Allerdings gibt es bei der Verschlüsselung auf diesem Wege noch einen Nachteil. Die Metadaten, also Sender, Empfänger und Betreff bleiben dabei unverschlüsselt. Eine Alternative zur E-Mail, welche diesen Nachteil nicht hat ist Bitmessage. Bitmessage verschlüsselt die zu sendende Nachricht zuerst mit dem öffentlichen Schlüssel des Empfängers und sendet diese anschließend an alle verbundenen Bitmessage Clients, welche die Nachricht an deren verbundenen Clients weiter senden. Außerdem versuchen die Clients, welche die Nachricht in verschlüsselter Form erhalten haben die Nachricht mit ihrem privaten Schlüssel zu entschlüsseln. Dies klappt nur beim Empfänger, sodass nur dieser die Nachricht am Ende auch entschlüsseln und lesen kann. Auf diese Weise ist es durch Dritte nicht nachvollziehbar, an vom wen die Nachricht am Anfang erstellt und gesendet wurde und an wen diese gerichtet ist. Bitmessage hat aber den großen Nachteil, dass es kein Client für Android, geschweige denn IOS gibt. Aus diesem Grund ist Bitmessage eher ungeeignet, wenn man zu jederzeit online sein muss.

Wie funktioniert die asymmetrische Verschlüsselung, welche bei OpenPGP/GnuPG zum Einsatz kommt?
Im Gegensatz zu symmetrischen Verschlüsselung, wo das Passwort zum Verschlüsseln auch gleichzeitig das Passwort zum entschlüsseln ist, besitzen asymmetrische Verfahren zwei Schlüssel. Zum einen den öffentlichen Schlüssel und zum anderen den privaten Schlüssel. Beide Schlüssel sind mathematisch miteinander verbunden, wobei sich der zweite Schlüssel nicht aus einem bekannten berechnen lässt. Beim Verschlüsseln wird der zu verschlüsselnde Text mit dem öffentlichen Schlüssel so verschlüsselt, dass dieser nach dem Vorgang nicht mehr mit dem öffentlichen Schlüssel entschlüsselt werden kann. Dieser verschlüsselte Text kann jetzt nur noch mit dem privaten Schlüssen wieder entschlüsselt werden. Daraus ergibt sich nun der Vorteil, dass man sein öffentlichen Schlüssel öffentlich teilen kann, so dass Gesprächspartner in der Lage sind, eine verschlüsselte Nachricht zu erstellen, die dann auch nur vom richtigen Empfänger, welcher den privaten Schlüssel besitzt entschlüsselt werden kann. Man muss also keine Angst haben, dass Dritte die Kommunikation belauschen können, wenn diese im Besitz des öffentlichen Schlüssels sind. Ein Nachteil asymmetrischer Verschlüsselungen ist aber, dass es länger dauert eine Nachricht asymmetrisch zu verschlüsseln als mit einem symmetrischen Verfahren. OpenPGP und GnuPG bilden deshalb ein Zwischending. Die Nachricht selber wird mit einem symmetrischen Verfahren verschlüsselt. Der Schlüssel, welcher zum Entschlüsseln der symmetrisch verschlüsselten Nachricht benötigt wird, wird jedoch asymmetrisch mit RSA verschlüsselt. Dadurch wird, besonders bei langen Nachrichten, viel Zeit eingespart.

Beispiel für symmetrische Verschlüsselung: AES
Beispiel für asymmetrische Verschlüsselung: RSA

Welche Apps werden für dieses Tutorial benötigt?
APG
K-9 Mail (optional, aber komfortabler)

Installationshinweise:
Um spätere Fehler beim Zugriff von K-9 Mail auf APG zu vermeiden sollten Sie APG zuerst installieren und danach erst K-9 Mail.

Einrichten von APG:
Erstellen eines neuen Schlüssels:
Sobald Sie APG das erste Mal gestartet haben, bekommen Sie die Möglichkeit einen neuen Schlüssel zu erstellen oder ein bereits existierenden Schlüssel zu importieren:

Tippen Sie auf den ersten Eintrag um einen neuen Schlüssel zu erstellen. Dieser Vorgang wird nach dem Tippen dann vollautomatisch ausgeführt und kann, besonders bei älteren Android Geräten, mehrere Minuten in Anspruch nehmen. In meinem Fall dauerte es bei meinem Avus A24 in etwa eine Minute die beiden Schlüssel zu generieren.
Nach Abschluss des Vorgangs können Sie noch Ihre persönlichen Daten in den Schlüssel eintragen, sowie ein Passwort, welches zum Entschlüsseln, sowie dem Ändern von persönlichen Daten benötigt wird. Das Eintragen dieser Informationen ist weitestgehend optional. Um ein Passwort zu verwenden tippen Sie auf „Passwort setzen“ und tragen im darauf folgenden Dialog das Passwort in beiden Feldern ein. Um es zu ändern tippen Sie auf „Passwort ändern“ und verfahren wie beim Setzen des Passwortes. Falls Sie kein Passwort setzen möchten, brauchen Sie nur die Option „Kein Passwort“ zu aktivieren. Anschließend müssen Sie in mindestens einem der drei Felder im Bereich „BENUTZER-IDS“ ausfüllen. Es spielt dabei auch keine Rolle, welches der Drei Felder Sie ausfüllen, oder ob die Daten der Wahrheit entsprechen. Lediglich bei der E-Mail sollten Sie Ihre richtige Adresse hinschreiben und nicht so wie ich im folgenden Bild ein Rechtschreibfehler einbauen. Die E-Mail Adresse ich wichtig, falls Sie später noch vorhaben, Ihren Schlüssel auf einen Schlüsselserver zu übertragen. Nachdem Sie mehr oder weniger alle Angaben getätigt haben, können Sie nun oben rechts auf „Speichern“ tippen:

Anschließend sind Sie wieder im Hauptbereich, wo Sie Ihren Schlüssel nun sehen können.
Falls Sie bereits einen Schlüssel erstellt haben und noch einen weiteren zum Beispiel für eine weitere E-Mail Adresse generieren möchten, könne Sie mit der Menü Taste ihres Smartphones und anschließendem tippen auf „Schlüssel erstellen“ weitere Schlüssel generieren lassen.

Eigenen Schlüssel importieren:
Falls Sie sich bereits ein Schlüsselpaar angelegt haben, müssen Sie dieses zuerst irgendwie auf die MicroSD Karte ihres Smartphones kopieren. Dies können Sie entweder mit ihrem USB Kabel, was bei jedem Android Smartphone gleich ist, oder auch direkt über die MicroSD durchführen.
Anschließend tippen Sie links oben auf den goldenen Schlüssel, das Symbol von APG und anschließend auf „Schlüssel“ importieren. Tippen Sie rechts neben dem Symbol von APG auf „Schlüsselserver“ und anschließend auf „Datei“. Tippen Sie als nächstes auf „Öffnen…“ worauf Sie in den meisten Fällen die Auswahl bekommen, mit welcher App diese Aktion ausgeführt werden soll. Tippen Sie nun ihren Dateimanager an. Es kann jedoch auch vorkommen, dass Ihr Dateimanager nicht unterstützt wird. Dies war auch bei mein Gerät der Fall. Um dies Problem zu lösen, installieren Sie sich bitte den OI Dateimanager oder den CyanogenMod Dateimanager. Anschließend können Sie zu APG zurückkehren und ihren Schlüssel importieren. Tippen Sie nochmals auf „Öffnen…“ und nun sollte sich in der Liste der Apps auch der gerade installierte Dateimanager befinden. Navigieren Sie nun zu Ihrer asc Schlüsseldatei und tippen Sie diese an, um diese zu importieren. gegebenenfalls müssen Sie noch ihr Passwort der Schlüsseldatei, wenn Sie diese zuvor noch mit einem Passwort geschützt haben.

Andere öffentliche Schlüssel importieren:
Über einen Schlüsselserver: Damit das Importieren des öffentlichen Schlüssels gelingt, müssen Sie sicherstellen, dass Ihr Kommunikationspartner seinen öffentlichen Schlüssel auf einem Schlüsselserver hochgeladen hat. Dies ist bei mir zum Beispiel nicht der Fall. Wenn diese Voraussetzung gegeben ist, brauchen Sie dann bloß auf das APG Symbol oben links anzutippen und darauf „Schlüssel importieren“ anzuwählen:

Im darauf folgenden Fenster sollte dann neben dem APG Symbol „Schlüsselserver“ stehen. Falls dies nicht der Fall ist, so tippen Sie einfach das, was bei Ihnen neben dem Symbol von APG steht, an und wählen Sie anschließend Schlüsselserver aus:

Geben Sie nun im Feld „Öffentliche Schlüssel suchen“ den Namen oder die E-Mail Adresse Ihres Kommunikationspartners ein und tippen auf das Suchsymbol. Anschließend erhalten Sie eine Auflistung gefundener Schlüssel. tippen Sie anschließend die Schlüssel an, die Sie importieren wollen und danach auf „Ausgewählte Schlüssel importieren“:

Andere Methoden: Der öffentliche Schlüssel kann auch auf anderen wegen importiert werden. Für weitere Methoden gehen Sie wieder auf „Schlüssel importieren“ (siehe im Abschnitt: „Über einen Schlüsselserver“) und tippen Sie anschließend auf den Text neben dem APG Symbol. daraufhin sehen Sie alle Möglichkeiten zum Schlüsselimport. Beim Import über eine Datei verhält es sich wie beim Import des eigenen Schlüssels über eine Datei, was ich im Abschnitt „Eigenen Schlüssel importieren“ bereits beschrieben habe.

Damit ist die grundlegende Einrichtung von APG nun abgeschlossen.

Verschlüsseln ohne K-9 Mail
APG bietet seit der Version 1.1.0 fast alle Funktionen die OpenKeychain besitzt. Darunter auch das Verschlüsseln (und Entschlüsseln) einer Nachricht innerhalb der App, welche sich dann entweder in die Zwischenablage kopieren, oder über externe Apps teilen lässt.
Um eine Nachricht zu verschlüsseln, tippen Sie auf das Symbol von APG (oben links). Darauf folgend tippen Sie auf „Verschlüsseln“.
Folgender Bildschirm sollte nun erscheinen:

Nun können Sie ihre zu verschlüsselnde Nachricht im dafür vorgesehenen Textfeld unterhalb von „Nachricht“ eintippen. Um die Nachricht zu verschlüsseln müssen Sie zuerst noch den öffentlichen Schlüssel des Empfängers auswählen. Tippen Sie dazu auf „Auswählen“ rechts neben „Empfänger“. Im darauf folgenden Fenster tippen Sie einfach den Schlüssel an, mit dem die Nachricht verschlüsselt werden soll und anschließend auf „OKAY“ (rechts oben). Als letztes tippen Sie dann auf „Teilen mit…“ und wählen Ihr E-Mail Programm oder Kommunikationsprogramm aus, mit dem Sie die soeben verschlüsselte Nachricht senden wollen. Alternativ können Sie sich auch den verschlüsselten Text auch in die Zwischenablage kopieren lassen, um diese dann im Kommunikationsprogramm manuell einfügen zu können.

Entschlüsseln ohne K-9 Mail
Das Entschlüsseln geht einfach und schnell. Kopieren Sie sich als erstes die verschlüsselte Nachricht in den Zwischenspeicher. Anschließend tippen Sie in APG links oben auf das Symbol von APG (den goldenen Schlüssel) und als letztes auf „Entschlüsseln“. APG durchsucht daraufhin automatisch den Zwischenspeicher und entschlüsselt die Nachricht auch vollautomatisch, sofern der richtige private Schlüssel vorhanden ist.
Die entschlüsselte Nachricht wird ihnen dann im Textfeld ausgegeben:

Abschluss:
Nun wissen Sie, wie Sie eine Nachricht ver- und entschlüsseln können. Zu Ihrer Sicherheit sollten Sie dieses Wissen, insbesondere, wenn es um wirtschaftlich wichtige Details geht, auch jederzeit anwenden, denn nur so kann Sichergestellt werden, dass Ihre Informationen nicht in fremde Hände gelangen können. Selbst die NSA kann diese Verschlüsselung bei der Stärke von mindestens 2048 Bit (4096 Bit empfohlen) noch nicht in angemessener Zeit knacken. Solange es noch keine Quantencomputer gibt kann man RSA 4096 Bit, welches auf Primfaktorzerlegung basiert, als sicher betrachten. Danach sollte man sich schleunigst nach Quantencomputer resistenten Verschlüsselungen wie NTRUEncrypt, welches auf mathematische Gitter basiert, umsehen. Es gibt aber trotzdem Möglichkeiten für die NSA, die selbst am stärksten verschlüsselten Nachrichten einfach zu knacken: Euch und Eurer Computer. Speziell bei Windows hat die NSA gar keine Schwierigkeiten Euch über noch unbekannte Sicherheitslücken in Windows einen Trojaner unterzuschieben, welcher dann Euren privaten Schlüssel abgreift. Gerade bei Windows ist dies relativ einfach, da Windows voller Sicherheitslücken ist und die NSA sogar früher als der Nutzer über entsprechende Lücken informiert wird.

Der zweite und letzte Teil dieser Serie zeigt dann, wie man das Ver- und Entschlüsseln der Nachrichten mit K-9 Mail vereinfachen und komfortabler gestalten kann. Dieser zweite Teil wird dann direkt im Anschluss an diesem Teil folgen.

Und im diesem Sinne: Einen schönen Tag noch :).

Android: E-Mail Verschlüsselung leicht gemacht mit APG Teil 1