Nachdem ich vor ein paar Tagen Ärger damit hatte, dass mir unterstellt wurde, eine E-Mail verschickt zu haben, die jedoch letztendlich nicht von mir kam, habe ich beschlossen ab sofort alle meine Mails digital zu signieren. Als überzeugter Anwender von Googlemail brauchte ich jedoch eine Lösung, die sich möglichst nahtlos in das Webinterface und den Browser integriert, da ich schon lange bewusst auf eine lokale Mailapplikation wie Thunderbird oder Outlook verzichte.

Die Lösung kommt in Form des Firefox-Addons FireGPG, welches sich zwar noch im Beta-Stadium befindet, aber dennoch sehr zufriedenstellende Resultate liefert. Im Folgenden möchte ich die Installation unter Windows XP bzw. Windows Vista einmal näher erläutern, Grundvoraussetzung ist ein bereits installierter Firefox-Browser:

1. Installation von GnuPG

FireGPG selbst bietet keine Möglichkeit zur Verwaltung von digitalen Schlüsseln, weswegen zunächst die Installation von GnuPG zwingend erforderlich ist. Auf der Download-Seite [1] des GnuPG Projekts findet man unter dem Abschnitt "Binaries" die passende Version für das eigene Betriebssystem. Nach kurzer Zeit ist GnuPG installiert, da es sich jedoch im Prinzip um ein Kommandozeilen-Tool handelt, finden sich im Windows Startmenü keine aufrufbaren Einträge.

2. Erzeugen eines eigenen Schlüsselpaares

Über Start > Ausführen > "C:\Programme\GNU\GnuPG\gpg.exe --gen-key" fordert man GnuPG nun dazu auf, ein neues Schlüsselpaar zu erstellen. Für meine Zwecke habe ich die folgenden Optionen gewählt:

• Schlüsselart: DSA und Elgamal
• Schlüssellänge: 2048 Bit
• Gültigkeit: Schlüssel verfällt nie
• Name: Mein Vorname, gefolgt von meinem Nachnamen
• E-Mail Adresse: Meine E-Mail-Adresse
• Kommentar: Meine Website-URL (hier kann jedoch auch ein belibiger anderer Wert stehen)

3. Installation von FireGPG

Das Firefox-Addon FireGPG ist direkt von der FireGPG-Website [2] installierbar. Nach kurzer Installation muss der Browser neu gestartet werden. Unter Extras > FireGPG > Optionen im Firefox findet man dann die Konfigurationseinstellungen, hier sollte man beachten, dass unter dem Karteireiter "Gmail" die Gmail-Unterstützung aktiviert ist.

4. Digital signierte und verschlüsselte Mails versenden

Der Rest ist kinderleicht: Beim Schreiben neuer E-Mails innerhalb der Googlemail-Weboberfläche findet man ab sofort ein paar neue Buttons direkt neben "Absenden", "Jetzt speichern" und "Entwurf löschen" oberhalb des Eingabefensters.

Damit ist der Umstieg auf digital signierte und verschlüsselte Mails abgeschlossen und ich kann in Zukunft jede Verwechselung direkt durch den einfachen Hinweis wiederlegen, dass meine digitale Signatur fehlt.

Weiterführende Links:
[1] GnuPG Binaries Download
[2] FireGPG Firefox-Addon (auf Englisch)

Immer wieder muss ich mit Entsetzen feststellen, wie fehlerhaft und anfällig die meisten dieser Kontaktformular-Scripte in PHP jedoch sind: So ist es dann ohne Weiteres möglich, die Formulare als Spamschleudern zu missbrauchen.

Einen guten Einstieg in das Thema "E-Mail Injektion" (durchaus verwandt mit der SQL Injektion) bieten die folgenden Artikel in der Wikipedia und bei Dr. Web.

Generell sollte jedoch jeder, der sich in irgendeiner Form mit Webentwicklung auseinandersetzt, ständig folgendes im Hinterkopf behalten: Die Eingaben eines Benutzers in Formularfelder dürfen niemals ungeprüft bleiben!

Links:
Wikipedia: E-Mail Injektion
Dr. Web - Spamgefahr durch Kontaktformulare

Link:
heise Security - Know-how - Sicherheit von Webanwendungen

Der richtige Weg zu einer sauberen XP Installation und Methoden zur Verbesserung der Systemsicherheit, inklusive Konfigurationsvorschlägen für gängige Software.

Links:
The Right Way To Install Windows XP (auf Englisch)
Securing Windows XP (auf Englisch)