Skip to main content

Eigene PGP-Schlüssel verwenden

Wenn Sie bereits ein PGP-Schlüsselpaar für Ihre mailbox.org-Adresse verwenden, können Sie dieses Schlüsselpaar in der Schlüsselverwaltung hochladen und mit ihnen die vom Guard bei der Initialisierung generierten Schlüssel ersetzen. Details dazu finden Sie im Artikel Einen eigenen PGP-Schlüssel verwenden.

Es gibt gute Gründe dafür, einen privaten Verschlüsselungskey, z.B. für PGP nicht auf einen Server zu laden. Sie sollten immer so vorsichtig wie nur möglich mit diesen Schlüsseln umgehen. Bei mailbox.org wird Ihr privater Schlüssel - falls Sie ihn dem Guard anvertrauen - vielfach gesichert und mit einem nur Ihnen bekannten Passwort geschützt auf externen Datenspeichern in unseren Rechenzentren gespeichert.

Auf ihrem Desktop-PC oder ihrem Smartphone müssen sie darauf vertrauen, dass der Hersteller ihres Betriebssystems Sicherheitslücken schnellstmöglichst behebt, vor allem solche, die Dritten einen Zugriff auf ihre Daten ermöglichen. Ebenso müssen Sie sich darauf verlassen können, dass die von Ihnen verwendete Software nicht selbstständig z.B. durch Sammeln und Weitergeben von sensiblen Daten Ihre Sicherheit kompromittiert.

Selbstverständlich haben Sie die Möglichkeit, Ihren privaten Schlüssel nicht auf unsere Server hochzuladen. Sie können dann Ihre verschlüsselten E-Mails weiterhin mit IMAP oder POP3 abrufen und lokal mit dem E-Mail-Client Ihrer Wahl und dem jeweiligen PGP-Programm lesen.

Sie können das vom Guard bei der Einrichtung automatisch erzeugte PGP-Schlüsselpaar durch ein (nach Ihren Präferenzen) selbst erstelltes Schlüsselpaar ersetzen. Bedingung dafür ist, dass in diesem Ihre aktuelle Haupt-E-Mail-Adresse bei mailbox.org in der Benutzer-ID angegeben ist.

Verwaltung der PGP-Schlüssel

Arbeiten mit dem Guard

Um die in diesem Artikel beschriebenen Funktionen zu nutzen, müssen Sie den mailbox.org-Guard aktiviert haben. Er ist für die Arbeit mit Ihrer Haupt-E-Mail-Adresse konzipiert. Die Verwendung in Kombination mit Aliassen ist nicht vorgesehen.

Der mailbox.org Guard bietet eine Verwaltung für Ihre eigenen PGP-Schlüssel und die öffentlichen PGP-Schlüssel Ihrer Kommunikationspartner. In Ihrem mailbox.org-Office finden Sie diese Verwaltung unter "Einstellungen | mailbox.org Guard-Sicherheit | Guard-PGP-Einstellungen" (Abbildung 1).

Abbildung 1: Die mailbox.org-Sicherheitseinstellungen.

Mit der Aktivierung des Guard werden automatisch zwei Schlüsselpaare für Ihre Hauptadresse erzeugt. Damit ist der mailbox.org Guard bereits voll funktionsfähig. Wenn Sie Details interessieren, finden Sie in der Schlüssel­verwaltung die automatisch erzeugten zwei Schlüsselpaare:

  1. Der Hauptschlüssel (der obere Schlüssel im Bereich "Ihre Schlüsselliste") wird zum Signieren (Unterschreiben) von E-Mails genutzt. Er kann auch zum Beglaubigen bzw. Unterschreiben von anderen PGP-Schlüsseln genutzt werden (Web of Trust) - diese Funktion ist aber im mailbox.org-Guard bisher nicht implementiert.
  2. Der Unterschlüssel wird zum Ver- und Entschlüsseln der E-Mail-Kommunikation und von Dateien im Drive verwendet.

Sie können in der Schlüsselverwaltung die auf unserem Server erzeugten Schlüssel(-paare) herunterladen und - falls vorhanden - in Ihre lokale PGP-Installation bzw. Ihren lokalen Mailclient importieren. So können Sie sowohl im Webclient, als auch in Ihrem lokalen Mailclient auf die verschlüsselten E-Mails zugreifen.

Eigene Schlüssel verwenden

Sie können die automatisch erzeugten Schlüssel auch durch ein eigens, bereits vorhandenes Schlüsselpaar ersetzen. Dieses Schlüsselpaar muss mindestens Ihre aktive E-Mail-Adresse von mailbox.org als UID enthalten. Sie können dabei selbst entscheiden, ob Sie nur einen öffentlichen Schlüssel hochladen wollen (um ihn anderen Guard Nutzern zur Verfügung zu stellen) oder auch den privaten Schlüssel auf unserem Server speichern wollen, um verschlüsselte Inhalte im Webinterface lesen zu können.

Schlüssel auf dem Server nötig

Das Lesen verschlüsselter E-Mails im Webinterface und das Öffnen von verschlüsselten Dateien im Drive sind nur möglich, wenn der entsprechende, gültige private Schlüssel auf dem Server vorhanden ist.

Einen neuen Schlüssel hochladen

Öffnen Sie die Schlüsselverwaltung (unter "Einstellungen | mailbox.org Guard-Sicherheit | Erweiterte Einstellungen"). Laden Sie bitte immer zuerst Ihre neue Schlüsseldatei hoch. Löschen Sie erst nach dem erfolgreichen Hochladen Ihres Schlüsselpaares den automatisch erzeugten, alten Schlüssel.
Um das selbst erstellte Schlüsselpaar hochzuladen, klicken Sie einfach auf das "+"-Symbol hinter "Ihre Schlüsselliste". Daraufhin erscheint der Dialog aus Abbildung 2:

Abbildung 2: Dem Guard einen Schlüssel hinzufügen

Nur den öffentlichen Schlüssel hochladen

Als Anwender mit hohen Ansprüchen an die Sicherheit der Verschlüsselung können Sie natürlich darauf verzichten, ihren privaten Schlüssel auf unseren Server zu laden. Es besteht die Möglichkeit, nur Ihren öffentlichen Schlüssel hochzuladen, um damit anderen Guard-Nutzern die Option zu geben, ihrerseits verschlüsselt mit Ihnen kommunizieren zu können. Es ist dann aber verständlicherweise nicht möglich, verschlüsselten E-Mails im Webclient zu lesen, da auf dem Server dann der Schlüssel zum Entschlüsseln fehlt. Sie können statt dessen Ihren lokalen E-Mail-Client mit der entsprechenden PGP-Installation dafür verwenden.

Ein neues Passwort festlegen

Wenn Sie Ihren privaten Schlüssel bzw. das Schlüsselpaar (Ihr privater und Ihr öffentlicher Schlüssel) hochladen, dann werden Sie aufgefordert, zwei Passwörter einzugeben (Abbildung 3):

  1. Das aktuelle Passwort Ihres privaten Schlüssels.
    Dieses wird verwendet, um auf den privaten Schlüssel nach dem Hochladen zugreifen zu können.
  2. Ein neues Passwort für diesen Schlüssel.Das neue Passwort sollte mit Ihrem bisherigen Guard-Passwort identisch sein. Es wird verwendet, um den Zugriff auf den privaten Schlüssel im Guard zu schützen. Wenn Sie ein Passwort verwenden, dass nicht mit dem bisher verwendeten Guard-Passwort identisch ist, dann haben Sie hinterher keinen Zugriff mehr auf Ihre alten, bereits vorhandenen Schlüssel - und können diese auch nicht mehr löschen!

Abbildung 3: Einen privaten Schlüssel hochladen. 

Durch das Hochladen werden die neuen Schlüssel automatisch als "Aktiv" markiert. Gleichzeitig werden Ihre vorhandenen, älteren Schlüssel als "Inaktiv" markiert.

Ablaufdatum bei PGP-Keys

In der Regel sind PGP Schlüssel mit einem Ablaufdatum versehen. Ist Ihr PGP Schlüssel abgelaufen, kann er nicht mehr für die Postfachverschlüsselung verwendet werden. Damit wird sichergestellt, dass keine alten und potenziell kompromittierten Schlüssel mehr in Gebrauch sind. Wenn Sie einen Schlüssel mit Ablaufdatum verwenden, nutzen Sie am besten eine Erinnerung, um kurz vor Ablauf des Schlüssels aktiv zu werden.