Eigene PGP-Schlüssel verwenden
Eigenes PGP-Schlüsselpaar bei mailbox verwenden
Wenn Sie bereits ein PGP-Schlüsselpaar für Ihre mailbox-Adresse verwenden, können Sie dieses Schlüsselpaar in der Schlüsselverwaltung hochladen und damit die vom Guard bei der Initialisierung generierten Schlüssel ersetzen. Sie müssen dazu auf den Menüpunkt Ihre Schlüssel navigieren.
Es gibt gute Gründe dafür, einen privaten Verschlüsselungsschlüssel – zum Beispiel für PGP – nicht auf einen Server zu laden. Sie sollten immer so vorsichtig wie möglich mit diesen Schlüsseln umgehen. Bei mailbox wird Ihr privater Schlüssel – falls Sie ihn dem Guard anvertrauen – mehrfach gesichert und mit einem nur Ihnen bekannten Passwort geschützt auf externen Datenspeichern in unseren deutschen Rechenzentren gespeichert.
Auf Ihrem Desktop-PC oder Ihrem Smartphone müssen Sie darauf vertrauen, dass der Hersteller Ihres Betriebssystems Sicherheitslücken schnellstmöglich behebt, vor allem solche, die Dritten einen Zugriff auf Ihre Daten ermöglichen. Ebenso müssen Sie sich darauf verlassen können, dass die von Ihnen verwendete Software nicht eigenständig – zum Beispiel durch Sammeln und Weitergeben sensibler Daten – Ihre Sicherheit kompromittiert.
Selbstverständlich haben Sie die Möglichkeit, Ihren privaten Schlüssel nicht auf unsere Server hochzuladen. Sie können dann Ihre verschlüsselten E-Mails weiterhin mit IMAP oder POP3 abrufen und lokal mit dem Mail-Client Ihrer Wahl und dem jeweiligen PGP-Programm lesen.
Sie können das vom Guard bei der Einrichtung automatisch erzeugte PGP-Schlüsselpaar durch ein von Ihnen selbst erstelltes Schlüsselpaar ersetzen. Bedingung dafür ist, dass in diesem Ihre aktuelle Haupt-Mail-Adresse bei mailbox in der Benutzer-ID angegeben ist.
Verwaltung der PGP-Schlüssel
Arbeiten mit dem Guard
Um die in diesem Artikel beschriebenen Funktionen zu nutzen, müssen Sie den mailbox Guard aktiviert haben. Er ist für die Arbeit mit Ihrer Haupt-Mail-Adresse konzipiert. Die Verwendung in Kombination mit Alias-Adressen ist nicht vorgesehen.
Der mailbox Guard bietet eine Verwaltung für Ihre eigenen PGP-Schlüssel sowie die öffentlichen PGP-Schlüssel Ihrer Kommunikationspartner. In Ihrem mailbox Office finden Sie diese Verwaltung unter
Alle Einstellungen | mailbox Guard | mailbox Guard-Standardeinstellungen (siehe Abbildung 1).
Abbildung 1: Der mailbox Guard.
Schlüsselpaare im mailbox Guard
Mit der Aktivierung des Guard werden automatisch zwei Schlüsselpaare für Ihre Hauptadresse erzeugt. Damit ist der mailbox Guard bereits voll funktionsfähig. Wenn Sie Details interessieren, finden Sie in der Schlüsselverwaltung die automatisch erzeugten zwei Schlüsselpaare:
Hauptschlüssel
Der Hauptschlüssel (der obere Schlüssel im Bereich Ihre Schlüsselliste) wird zum Signieren (Unterschreiben) von Mails genutzt. Er kann auch zum Beglaubigen bzw. Unterschreiben von anderen PGP-Schlüsseln genutzt werden (Web of Trust) – diese Funktion ist aber im mailbox Guard bisher nicht implementiert.
Unterschlüssel
Der Unterschlüssel wird zum Ver- und Entschlüsseln der Mail-Kommunikation und von Dateien im Drive verwendet.
Verwendung in lokalen Programmen
Sie können in der Schlüsselverwaltung die auf unserem Server erzeugten Schlüssel(-paare) herunterladen und – falls vorhanden – in Ihre lokale PGP-Installation bzw. Ihren lokalen Mailclient importieren. So können Sie sowohl im Webclient als auch in Ihrem lokalen Mailclient auf die verschlüsselten Mails zugreifen.
Eigene Schlüssel verwenden
Sie können die automatisch erzeugten Schlüssel auch durch ein eigenes, bereits vorhandenes Schlüsselpaar ersetzen. Dieses Schlüsselpaar muss mindestens Ihre aktive Mail-Adresse von mailbox als UID enthalten. Sie können dabei selbst entscheiden, ob Sie nur einen öffentlichen Schlüssel hochladen wollen (um ihn anderen Guard-Nutzern zur Verfügung zu stellen) oder auch den privaten Schlüssel auf unserem Server speichern wollen, um verschlüsselte Inhalte im Webclient lesen zu können.
Schlüssel auf dem Server nötig
Das Lesen verschlüsselter Mails im Webclient und das Öffnen von verschlüsselten Dateien im Drive sind nur möglich, wenn der entsprechende, gültige private Schlüssel auf dem Server vorhanden ist.
Einen neuen Schlüssel hochladen
Öffnen Sie die Schlüsselverwaltung (unter Alle Einstellungen | mailbox Guard | Ihre Schlüssel). Laden Sie bitte immer zuerst Ihre neue Schlüsseldatei hoch. Löschen Sie erst nach dem erfolgreichen Hochladen Ihres Schlüsselpaares den automatisch erzeugten alten Schlüssel.
Um das selbst erstellte Schlüsselpaar hochzuladen, klicken Sie einfach auf das zutreffende Feld unter Ihre Schlüssel. Daraufhin erscheint der Dialog aus Abbildung 2:
Abbildung 2: PGP-Schlüsselliste.
Nur den öffentlichen Schlüssel hochladen
Als Anwender mit hohen Ansprüchen an die Sicherheit der Verschlüsselung können Sie natürlich darauf verzichten, Ihren privaten Schlüssel auf unseren Server zu laden. Es besteht die Möglichkeit, nur Ihren öffentlichen Schlüssel hochzuladen, um damit anderen Guard-Nutzern die Option zu geben, ihrerseits verschlüsselt mit Ihnen kommunizieren zu können.
Es ist dann aber verständlicherweise nicht möglich, verschlüsselte Mails im Webclient zu lesen, da auf dem Server der Schlüssel zum Entschlüsseln fehlt. Sie können stattdessen Ihren lokalen Mailclient mit der entsprechenden PGP-Installation dafür verwenden.
Ein neues Passwort festlegen
Wenn Sie Ihren privaten Schlüssel bzw. das Schlüsselpaar (Ihr privater und Ihr öffentlicher Schlüssel) hochladen, werden Sie aufgefordert, zwei Passwörter einzugeben (siehe Abbildung 3):
-
Das aktuelle Passwort Ihres privaten Schlüssels
Dieses wird verwendet, um auf den privaten Schlüssel nach dem Hochladen zugreifen zu können. -
Ein neues Passwort für diesen Schlüssel
Das neue Passwort sollte mit Ihrem bisherigen Guard-Passwort identisch sein. Es wird verwendet, um den Zugriff auf den privaten Schlüssel im Guard zu schützen.
Wenn Sie ein Passwort verwenden, das nicht mit dem bisher verwendeten Guard-Passwort identisch ist, haben Sie hinterher keinen Zugriff mehr auf Ihre alten, bereits vorhandenen Schlüssel – und können diese auch nicht mehr löschen!
Abbildung 3: Einen privaten Schlüssel hochladen.
Hinweis: Durch das Hochladen werden die neuen Schlüssel automatisch als "Aktiv" markiert. Gleichzeitig werden Ihre vorhandenen, älteren Schlüssel als "Inaktiv" markiert.
Ablaufdatum bei PGP-Keys
In der Regel sind PGP Schlüssel mit einem Ablaufdatum versehen. Ist Ihr PGP Schlüssel abgelaufen, kann er nicht mehr für die Postfachverschlüsselung verwendet werden. Damit wird sichergestellt, dass keine alten und potenziell kompromittierten Schlüssel mehr in Gebrauch sind. Wenn Sie einen Schlüssel mit Ablaufdatum verwenden, nutzen Sie am besten eine Erinnerung, um kurz vor Ablauf des Schlüssels aktiv zu werden.