Dies ist die archivierte Version des Blogs vom 05.01.2017. Aktuelle Beiträge findest du unter thomas-leister.de
 

Nachdem ich im letzten Beitrag die Einrichtung der PGP Verschlüsselung für den Desktop mit Mozilla Thunderbird und Enigmail erklärt habe, will ich im folgenden auf die Einrichtung der PGP Verschlüsselung unter Android eingehen.

Für Android gibt es die App „APG“ (Android Privacy Guard), die die Verschlüsselungsfunktionen übernimmt. Der Open Source Mailclient K9 kann auf dann auf APG zugreifen. Diese Anleitung soll die Einrichtung der Verschlüsselung unter Android mit APG und die Aktivierung der Verschlüsselungsfunktion in der K9 Mail-App erklären.

Wer das Prinzip der PGP Verschlüsselung verstehen will, sollte sich den entsprechenden Abschnitt zu Beginn der meiner Anleitung zu Thunderbird ansehen.

APG installieren

Bei der Installation von APG gibt es nichts besonderes zu beachten. Die App findet ihr im Google Play Store oder im F-Droid Store. Genauso wie bei K9 handelt es sich auch hierbei um Open Source Software. Die Weiterentwicklung von APG, „OpenPGP Keychain“, wird von K9 leider noch nicht unterstützt, aber APG leistet für uns noch gute Dienste.

(Update: OpenKeyChain wird inzwischen unterstützt und sollte statt APG genutzt werden!)

Damit APG funktioniert, wie es vorgesehen ist, ist noch die Installation der App „OI File Manager“ notwendig.

Schlüsselpaar generieren

Wer schon ein PGP Schlüsselpaar besitzt, kann diesen Abschnitt überspringen und direkt mit dem Import fortfahren.

Wählt im APG Menü (Menütaste!) den Menüpunkt „Private Schlüssel verwalten“ und im darauf folgenden Fenster im Menü „Schlüssel erzeugen“. Mit einem Tipp auf den „Passwort wählen“ Button erscheinen zwei Eingabefelder, die ihr mit einem sichereb Passwort zum Schutz des Private Keys füllen solltet. Dieses Passwort wird später benötigt, um den Private Key zum Entschlüsseln von Nachrichten wieder zu entsperren, vergesst es also nicht! ;)

Mit dem „Plus-Button“ neben dem Punkt „Benutzer-IDs“ fügt ihr eine neue Mailadresse hinzu, für die die Verschlüsselung funktionieren soll. Jede weitere E-Mail Adresse kann mit einem zusätzlichen Druck auf den Plus-Button hinzugefügt werden.

Mit dem Plus-Button neben „Schlüssel“ wird ein neuer Schlüssel hinzugefügt. Den Algorithmus könnt ihr auf „RSA“ lassen, aber die Schlüssellänge sollte mehr als 1024 betragen. 2048 Bit oder 4096 Bit sind sicher.

Nach dem Erzeugen des Schlüssels wird festgelegt, wie er verwendet werden soll. Wählt bei der Einstellung „Usage“ „Signieren und Verschlüsseln“ und als Ablaufdatum des Schlüssels („Expiry“) ein Datum, das 3-5 Jahre in der Zukunft liegt. Bis dahin könnt ihr mit dem Schlüsselpaar Nachrichten und Dateien verschlüsseln. Nach Ablauf der Zeit muss ein neues Schlüsselpaar generiert werden.

Noch ein Tipp auf „Speichern“ und der Private Schlüssel wird in der Übersicht („Private Schlüssel verwalten“) abgelegt. Den dazugehörigen öffentlichen Schlüssel findet ihr im APG Hauptmenü unter „Öffentliche Schlüssel verwalten“.

Schlüsselpaar importieren

Wer schon ein PGP Schlüsselpaar besitzt, kann dieses in APG importieren. Dazu werden Public- und Private-Key z.B. via USB auf dem Smartphone abgelegt. In der Übersicht zu den öffentlichen bzw privaten Schlüsseln kann die entsprechende Schlüsseldatei im Menü über den Punkt „Schlüssel importieren“ importiert werden.

Schlüssel exportieren

Nachdem ein neues Schlüsselpaar erzeugt wurde, sollten Sicherungen von Public Key und Private Key angelegt werden. Abgesehen davon muss der Public Key sowieso exportiert werden, damit er verbreitet werden kann… ;)

Auf die Exportfunktion bekommt ihr Zugriff, wenn ihr einen langen Druck auf den entsprechenden Schlüssel in der Public- und der Private-Key Übersicht macht. („Einzelnen Schlüssel exportieren“). Der Schlüssel im angegebenen Ordner auf dem Smartphone abgelegt.

Nachricht oder Datei verschlüsseln

Die Verschlüsselungsfunktion ist jetzt einsatzbereit und kann nicht nur zum Verschlüsseln von E-Mails und anderen Texten eingesetzt werden, sondern auch zum Verschlüsseln von Dateien wie Fotos, Musik etc. Die entsprechenden Buttons sind im APG Hauptfenster zu sehen. Ich denke, die Einstellungen, die zum Verschlüsseln vorgenommen werden müssen, erklären sich von selbst ;)

E-Mails verschlüsseln – Integration in K9 Mail

Wie zu Beginn schon erwähnt, kann man APG in den K9 Mailclient integrieren und Mails direkt im Mailclient verschlüsseln, ohne dass der Umweg über die „Nachricht verschlüsseln“-Funktion in APG genommen werden muss. Die APG Unterstützung muss in K9 allerdings erst aktiviert werden.

Wechselt in K9 und öffnet die Konteneinstellungen eines Kontos eurer Wahl. Im Menüpunkt „Kryptographie“ setzt ihr den „OpenPGP-Provider“ dann auf „APG“. Damit ist die Verschlüsselung nun möglich. Im Nachrichteneditor werden zwei neue Optionsboxen angezeigt, mit denen ihr das Unterzeichnen oder Verschlüsseln der aktuellen Nachricht aktivieren könnt. Wurde die Verschlüsselungsoption gesetzt, öffnet sich ein APG Fenster, in dem ihr den Public Key des Empfängers auswählt. Dafür muss der Public Key aber in APG Importiert worden sein. Das kann wie oben erklärt über die Importieren-Funktion von APG passieren, oder über eine Suche auf den Keyservern, auf denen PGP Nutzer ihre Public Keys ablegen können.

Suche auf Public Key Servern

APG kann zwar keine Keys auf Server hochladen, aber die Suche und der Download von Keys funktioniert. Im Menü des APG Hauptfensters könnt ihr eine Suche auf einem Keyserver starten. (Button „Key Server“). Wenn ihr auf ein Suchergebnis tippt, wird der Public Key heruntergeladen und in APG importiert, sodass ihr eine verschlüsselte E-Mail, Nachricht oder Datei für diese Person generieren könnt.

 

Das war’s auch schon. Bei Problemen oder Fragen könnt ihr euch gerne über die Kommentare melden. :)


Post published on 30. September 2013 | Last updated on 20. Dezember 2014
Tags:             

Diesen Blog unterstützen

Wenn Dir der Beitrag gefallen hat, freue ich mich über einen kleinen Obolus :-) Bitcoin QR Code

PayPal-Seite: https://www.paypal.me/ThomasLeister
Meine Bitcoin-Adresse: 15z8 QkNi dHsx q9WW d8nx W9XU hsdf Qe5B 4s

Siehe auch: Unterstützung

Informationen zum Autor

Thomas Leister

Geb. 1995, Kurzhaar-Metaller, Geek und Blogger. Nutzt seit Anfang 2013 ausschließlich Linux auf Desktop und Servern. Student der Automobilinformatik an der Hochschule für angewandte Wissenschaften in Landshut.

53 thoughts on “Android: PGP E-Mail Verschlüsselung mit K9 und APG

  • Schöner Beitrag, aber hältst du es für eine gute Idee den privaten Schlüssel aufs Smartphone zu packen nach Allem was man bisher über die NSA und ihre Zusammenarbeit mit Google weiß? Oder was passiert, wenn es mal verloren geht?

    LG WaTho

    • Das geht leider nicht anders. Irgendwo muss der Private Key zum Entschlüsseln ja herkommen ;)
      Die Sicherheit kann man aber erhöhen, indem man seinen Androiden verschlüsselt:

      https://legacy.thomas-leister.de/allgemein/android-smartphone-verschluesseln/

      … natürlich kann auch diese Verschlüsselung theoretisch Backdoors für die NSA enthalten. Halte ich aber für ziemlich unwahrscheinlich => Android ist OpenSource, zumindest sollte auch die Implementierung der Verschlüsselung darunter fallen.

      Wenn man aber ganz sicher gehen will, verzichtet man lieber auf seinen Androiden und nutzt die Verschlüsselung nur auf seinem vollverschlüsselten Linux-Rechner ;)

      Im Zweifel wäre übrigens noch das Passwort da, das den Private Key schützt… ;)

      LG Thomas

      • Danke für die Antwort. Kann ich APG auch ohne privaten Schlüssel nutzen? Dann könnte ich immerhin Emails zum versenden verschlüsseln.

      • Um die Paranoia noch etwas weiter zu treiben: Wenn bei APG das Schlüsselverzeichnis eingestellt werden kann, legt man den Schlüssel auf einer zusätzlichen Speicherkarte ab, die man nur steckt, wenn man Kryptographie benutzen will…..

      • Die beste Speicherverschlüsselung bringt nichts, wenn der Angreifer anwesend ist während die Verschlüsselung geöffnet ist. Beispiel: mein Smartphone-Speicher ist verschlüsselt, also geschützt gegen den Zugriff von außen, wenn ich mein Smartphone verliere. Aber eine App läuft dann, wenn das System die Verschlüsselung offen hat. Deshalb bringt die Speicherverschlüsselung nichts gegen die Hintertüren in Windows, iOS und Android. Da hilft nur in einer vertrauenswürdigen Umgebung zu arbeiten, die zuguckem darf während das Schloss offen ist. Für mich ist das Ubuntu und Sailfish/Jolla.

  • Super Anleitung. Allerdings hätte ich auch ein wenig Sorgen um meinen Privaten Schlüssel. So mache ich via Titanium-Backup regelmäßig ein automatisch Backup meiner Apps+Daten, was in die Dropbox hochgeladen wird. Irgendeine Ideen, ob man verhindern kann, dass das der Schlüssel da mit hochgeladen wird?
    Auch wenn demnächst Dropbox durch eine Owncloud ersetzt wird, wäre das gut, wenn ein Backup des Schlüssels unterbunden werden könnte.

  • Kann AGP/K9 mittlerweile denn beim Signieren PGP/MIME (wo die Signatur in einer kleinen signature.asc anhängt) oder nach wie vor (Stand: vor ca. 1 Jahr) nur dieses hässliche INLINE-GPG/Traditional, wo die Mail dann so aussieht:

    —–BEGIN PGP SIGNED MESSAGE—–
    Hash: SHA1

    this is some test text
    —–BEGIN PGP SIGNATURE—–
    Version: GnuPG v1.4.1 (GNU/Linux)

    iD8DBQFDDA1eN5XoxaHnMrsRAsOPAKCBrt/YQuI8/rSD3rfQpYxJZowFPACdEYS5
    VoXLQNhyvirGLwvIZjuJLHY=
    =xGk+
    —–END PGP SIGNATURE—–

    Viele Grüße!

    PS: Ist mein vorheriger Kommentar verschwunden oder muss der erst freigeschaltet werden?

    • Aktuell kann APG / K9 nur inline. Da hat sich anscheinend nicht verändert.

      Sorry, mein Anti-Spam Plugin hat deinen Kommentar gefressen. Das ist auch der Grund, warum ich erst jetzt antworte. Hab mir gerade die Spamkommentare durchgeschaut. Wahrscheinlich wurde wegen dem wirren PGP Alarm geschlagen.

      LG Thomas

  • Ganz herzlichen Dank für diese ausführliche und klare Anleitung. Dank Dir habe heute erfolgreich meinen K9 Client mit der AGP Verschüsselung zum laufen bekommen nachdem ich gestern erst den Schwenk von google zu posteo volzogen habe :-). Wie bekommen ich eigendlich meinen Public Key (auf kurz oder lang) auf einen KeyServer?

    Lieben Gruß und ein schönes Wochenende.
    Marc

  • Hallo, erst einmal vielen Dank für die gute Anleitung, auch für die mit Thunderbird/Enigmail.
    Das Empfangen und lesen verschlüsselter Mails mit K9 klappt wunderbar, das Senden jedoch leider nicht. Über den „Umweg“ über APG klappt es. Wenn ich es jedoch direkt mit K9 versuche sagt er mir, für den Empfänger gäbe es keinen abgespeicherten Schlüssel (gibt es aber ;)).

    Weißt du da vielleicht einen Rat?

    Unabhängig davon, zur Not nehme ich halt den Umweg über APG, auch wenn es ein bisschen unkomfortabler ist, danke nochmal für die Anleitung.

    gruß

  • Hey,
    habe mit dieser Anleitung die Einrichtung generell hingekriegt, allerdings klappt das senden weder über K9 noch über APG.
    In K9 wird mir der Empfänger ausgegraut dargestellt und es steht dabei „kein Schlüssel“.
    Versuche ich die Nachricht in APG mithilfe des Schlüssels zu verschlüsseln erhalte ich eine Fehlermeldung.
    Die Verwendung des selben Schlüssels in Thunderbird funktioniert prima.
    Gruß

    • Bei mir ist es bei dem Auswahldialog beim verschlüsseln auch ausgegraut. Der schlüssel funktioniert aber am PC. Was ist falsch?

      • Wenn ich mich recht erinnere, kommt es auch auf die Installationsreihenfolge von APG und K9 an… Wahscheinlich muss APG zuerst installiert werden. Bin mir aber nicht mehr sicher.

        LG Thomas

        • Jupp, es ist so, dass APG zuerst vorhanden sein muss, damit es verwendet werden kann. K9 mag sonst nicht so recht mit APG sprechen. Ist natürlich sehr nervig, wenn man gerade alles eingerichtet hat, und dann merkt, dass man K9 neu installieren muss, damit das sorgenfrei klappt.

  • Für das Telefon kann man einen extra Schlüssel erstellen, der zusätzlich auf die geringere Sicherheit hinweist. Besser als nix, und man muß nicht den privaten Schlüssel kompromittieren. Ansonsten sollte man mal nach PGP Subkeys suchen. Das wäre die richtige Lösung für das Problem, ist aber auch komplexer in der Handhabung.

  • Hallo Thomas,

    wir haben folgendes Problem: Wir können verschlüsselte Mails mit K9 in Verbindung mit AGP nicht lesen. Es wird kein Button „entschlüsseln“ angezeigt. In der Mail steht nur „kein Nachrichtentext“. Ruft man die gleiche verschlüsselte Mail allerdings mit Thunderbird ab, dann wird die Mail einwandfrei entschlüsselt und lesbar. Wir wissen nicht mehr weiter! Hast du noch einen Tipp für uns?

    Vielen Dank im voraus für Antwort.

    Schöne Grüße
    Stefan

    • Das Problem hatte ich vor einigen Wochen auch. Es lag daran, dass der Mailtext nicht direkt in die Mail geschrieben wurde, sondern in einem .pgp Anhang mitgeschickt wurde. Dieser Enthält dann den Text.

      Was man für APG braucht, ist „Inline-Verschlüsselung“. Das sollte bei Enigmail in Thunderbird standardmäßig so eingestellt sein. Vermutlich nutzt der Absender aber das Anhang-System.

      LG Thomas

      • Hallo Thomas,

        danke für deine schnelle Antwort. Eigentlich wurden die Mails schon im Mailfenster verfaßt. Wo kann ich denn im Thunderbird die „Inline-Verschlüsselung“ einstellen?

        Liebe Grüße
        Stefan

        • In Thunderbird mit Enigmail wird die inline-Verschlüsselung genutzt. Hab gerade nochmal nachgeschaut… anscheinend kann man das auch nicht umstellen. Wenn du von Thunderbird aus eine verschlüsselte Mail schreibst und diese mit K9 empfängst, sollte sich die eigentlich direkt entschlüsseln lassen. Hab das gerade nochmal mit meinen Installationen ausprobiert – funktioniert ohne Probleme.

          Du kannst mir mal zum Test eine verschlüsselte Mail an leisterthomas{ääääääät}gmx .net schicken. PGP Schlüssel findest du hier: http://crypto.thomas-leister.de/ (Public Key Download) … dann kann ich mir das mal genauer ansehen :)

          LG Thomas

          • Dass Thunderbird/Enigmail standardmäßig inline-Verschlüsselung benutzt, hat bei mir nicht gestimmt und man kann es problemlos umstellen. Standardeinstellung für ein e-mail Konto unter Konten-Einstellungen/OpenPGP-Sicherheit/“PGP/MIME standardmäßig verwenden“. Wenn angehakt dann kann K9 die verschlüsselten e-mails nicht lesen. Die Verschlüsselungsmethode kann aber auch einzeln für eine e-mail im „Verfassen“ Fenster unter OpenPGP gewählt werden, mit „PGP/Mime verwenden“. Falls man Empfängerregeln benutzt kann man es auch da noch einstellen.

            Peter

      • Hallo Thomas,

        ich habe das gleiche Problem wie Stefan B., es wird kein entschlüsseln-Button und kein Nachrichtentext mehr angezeigt. Erst ging es eine ganze Weile und dann plötzlich nicht mehr, ohne dass ich bzw. der Absender etwas an den Einstellungen verändert hat. Meine eigenen Nachrichten, die ich über Thunderbird an ihn verschlüsselt gesendet habe und im Sent-Ordner bei K9-Mail abrufe, kann ich entschlüsseln.
        Das Problem taucht auf meinem Handy (wo ich APG zum ent- und verschlüsseln installiert habe) und auf meinem Tablet auf.
        Hast du eine Idee? Wir sind mit unserem Latein am Ende :(.
        Gruß
        Vanessa

  • Der Filemanager heißt OI und nicht IO.
    Ansonsten prima Anleitung.

  • Hallo Thomas. Vielen Dank für Deine ausführliche Anleitung. Ich habe nur ein Problem: ich bekomme meinen bereits vorhandenen privaten Schlüssel nicht aufs Smartphone. APG zeigt jedes Mal an, dass kein privater Schlüssel hinzugefügt wurde, z.T. findet er die Datei im Astro-Dateimanager nicht, obwohl die dort abgelegt sind. Mit öffentlichen Schlüsseln klappte es problemlos.

  • Hi

    In einem Kommentar weiter oben wurde erwähnt, dass es Probleme gibt, wenn der Absender PGP als Anhang versendet. Nun erscheint es mir absurd, jedem meiner Kontakte, die verschlüsseln, vorzuschreiben, wie er sein Mail Programm einzustellen hat – nur weil ich jetzt zusätzlich auf dem Handy Mails lesen will.

    Kann man irgendwie auch Anhänge entschlüsseln?

    M.

    PS: Danke für die Anleitung.

  • Hallo,
    ich bekomme das Passwort zum Schutz des Private Keys nicht mehr zusammen. Gibt es eine Möglichkeit, das Passwort neu einzurichten/zu ändern/… also das Programm weiterhin zu nutzen? :)

    LG GF

  • Hi,

    hm, reden wir vom selben Passwort? :)
    Es geht mir nicht um das zum Schutz des Schlüssels an sich, sondern jenes, das man in APG zusätzlich einstellen kann…. da geht auch gar nix? Seufz…

    LG GF

  • Hallo

    ich habe so eben versucht K9 samt AGP einzurichten und beim Versuch schließlich eine verschlüsselte Mail zu versenden (nachdem ich meinen Schlüssel generiert habe und auch K9 auf AGP eingestellt habe), erschien diese Fehlermeldung: „k9 mail openpgp fehler:null“.

    Hast Du eine Idee was ich falsch gemacht habe?

    Schönen Gruß

  • hai,
    mir ist nicht verständlich, wozu ich den OI File Manager zum verschlüsseln mit agp und k9 brauche.
    kannst du das bitte erklären?
    beste grüße

  • Morgen,
    Ich habe seit kurzem ein kleines Problem mit APG (v1.1.1).
    Seit ich ein backup von meinem CM wiederherstellen musste sind natürlich die keys alle nicht mehr in APG eingebunden (sind aber als file auf dem gerät abgelegt) – aber beim importieren aus Datei öffnet APG immer nur die blöde Galerie und nicht den Dateibrowser… Irgendeine Idee, wie man die default datei-browsing-methode ändern kann?
    Ich habe nichts gefunden…
    Danke

  • Das wäre, danke!

  • Schade, bei mir funktioniert das Zusammenspiel von K9 und APG gar nicht, obwohl ich alles so gemacht habe wie in diversen Anleitungen beschrieben.
    APG für sich funktioniert, wenn auch äüßerstunkompfortabel und nicht mal ansatzweise intuitiv. Privaten Schlüssel exportieren? Fehlanzeige, langer Druck auf den Schlüssel bewirkt GAR NICHTS.
    Fazit: APG und K9 ab in die Tonne.

  • Es gibt zwei Probleme:

    1. K9 / APG:
    Bin o.g. Anweisungen gefolgt.
    Habe dann eine Testnachricht erzeugt, „verschlüsseln“ markiert und absenden wollen.
    Es kommt ein Menü „Ampfänger auswählen“, die in APG erzeugte Adresse ist gelistet, sagt aber „kein Schlüssel obwohl zuvor Schlüssel erzeigt wurden, öffentliche als auch private.
    Folglich kann man diese Adresse auch nicht auswählen.
    Das Senden der verschlüsselten Nachricht ist nicht möglich.

    2. In Thunderbird mit Enigmail verschlüsselte Nachrichten lassen sich nicht öffnen.
    Der öffentliche Schlüssel wurde angehängt, dann abgespeichert.
    Beim Öffnen wähle ich den zuvor abgespeicherten (=importierten) Schlüssel aus.
    Fehlermeldung: Es ist kein Schlüssel vorhanden.
    Ich kann das mehrfach wiederholen, ohne Ergebnis.

    Was läuft falsch… ?!?

    gruß
    Stephan

  • Hallo Thomas,

    sehr schöne Seite, vor allem der Verweis auf openkeychain ist toll, da APG wohl nicht mehr weiter entwickelt wird…

    Ich habe folgendes Problem:
    Ich kann meine Schlüssle weder in APG noch in opnkeychain importieren. Beide Apss werden beim auswählen der Schlüssel „angehalten“.
    K9 wurde vor APG bzw. openkeychain installiert – ist das immer noch ein Problem?
    Ich möchte ungern meine gesendten E-Mails durch eine Neuinstallation verlieren.

    Was läuft falsch???
    Gibt es einen Weg, der App die Schlüssel direkt unterzuschieben?

    Vielen Dank für Deine Unterstützung!

    Nobody

    Hardware Galaxy S5, Android 5.0.

  • Wie immer eine super Anleitung!

  • Sehr hilfreich, wobei bei K9 Verschlüsselung via PGP/MIME nicht unterstützt. Habe diesbezüglich mal was zusammengetragen, vielleicht hilft es wem:

    http://ghagerer.wordpress.com

    Danke & schöne Grüße

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.