1. Funktionsweise von Public Key Verschlüsselung

Schema Public Key Verschlüsselung
Schema Public Key Verschlüsselung

Bei der Public Key Verschlüsselung wird ein Schlüsselpaar benutzt. Ein Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Die Schlüssel sind so aufgebaut, dass sich aus dem öffentlichen Schlüssel der private Schlüssel nicht ableiten lässt. Darüber hinaus können Daten, die mit einem öffentlichen Schlüssel verschlüsselt werden, nur mit dem dazu passenden privaten Schlüssel entschlüsselt werden.

Der öffentliche Schlüssel kann also aller Welt zugänglich gemacht werden. Sei es per E-Mail, als Datei auf einer Website oder auf einem speziellen Schlüssel-Server. Mit Hilfe des öffentlichen Schlüssels können dann beliebige Daten verschlüsselt werden, die nur der Besitzer des passenden privaten Schlüssels wieder entschlüsseln kann.

Für eine komplett verschlüsselte Kommunikation muss jeder Kommunikationspartner über die öffentlichen Schlüssel aller anderen Beteiligten verfügen.

Wie dieses System zur verschlüsselten Kommunikation via E-Mail eingerichtet und benutzt werden kann, erläutert diese Anleitung.

2. Hinweis

Wenn der Rechner, an dem die Mails verschlüsselt werden, bereits von Trojanern und Viren befallen ist, kann die Kommunikation trotzdem mit gelesen werden, unabhängig davon mit wie viel Sorgfalt verschlüsselt wird. Aus dem gleichen Grund ist auch davon abzuraten, die nötige Software per PortableApps oder ähnlichen Tools auf einem USB-Stick einzurichten und diesen dann an nicht sicheren Computern, beispielsweise in Internetcafés, zu verwenden. Sichere Kommunikation kann nur dann gewährleistet sein, wenn auch die Computer der Kommunikationspartner sicher sind.

Es sollte außerdem peinlichst genau darauf geachtet werden, dass weder der private Schlüssel noch das Kennwort dazu für Dritte zugänglich sind. Computer sollten ein Kennwort haben und nicht von Jedem ohne Weiteres benutzt werden können.

Benötigt wird:

  • GPG4Win
  • Thunderbird
  • Enigmail Add-On

3. GPG4Win

gpg4win.png
Installation fast abgeschlossen

GPG4Win ist ein Installationspaket von GnuPG und enthält alle Tools zur Mailverschlüsselung für Windows. In unserem Fall brauchen wir nur das GPG4Win-Light Paket, da Thunderbird mit dem Enigmail Add-On die restlichen Aufgaben übernimmt.

GPG4Win-Light kann unter http://gpg4win.de/download-de.html heruntergeladen werden.

Bevor nun die Installation beginnen kann, sollte geprüft werden, ob die gerade heruntergeladene Datei unverändert ist. Hinweise dazu finden sich unter: http://gpg4win.de/package-integrity-de.html. Im Normalfall sollte ein Vergleich der Dateigröße ausreichen.

Wenn alles in Ordnung ist, kann GPG4Win installiert werden. Im Light-Paket sind zusätzliche Komponenten enthalten, die zwar nicht schaden, aber auch nicht gebraucht werden. Während der Installation können alle Komponenten außer GnuPG abgewählt werden. Der Rest des Installationsassistenten kann einfach unter Verwendung der Vorgaben über „Weiter“ durch geklickt werden.

Am Ende der Installation muss das Häkchen bei „Wurzelzertifikat festgelegt oder Konfiguration überspringen“ gesetzt werden, bevor die Installation abgeschlossen werden kann.

4. Thunderbird

thunderbird_emailkonto.png
Auf SSL-Verbindung zum Server achten

Thunderbird ist ein Mailprogramm von Mozilla, das über Add-Ons um viele Funktionen erweitert werden kann. Darüber hinaus ist es kostenlos und relativ weit verbreitet. Die Installation von Thunderbird kann ohne große Anpassungen in den Dialogen durchgeführt werden.

Herunterladen kann man Thunderbird unter: http://www.mozilla.org/de/thunderbird/

Beim ersten Start wird Thunderbird die Zugangsdaten zum Postfach abfragen. Danach versucht es, die Servernamen zu erraten und eine Verbindung aufzubauen. Dies funktioniert meist ohne Probleme. Falls einmal doch keine Verbindung zu den Servern gefunden wird, sollten die nötigen Informationen auf den Hilfeseiten des jeweiligen Anbieters zu finden sein.

Unabhängig davon sollte darauf geachtet werden, dass Thunderbird für das Abfragen und Senden von Mails eine verschlüsselte Verbindung zum Server aufbaut.

Nun sollte man seine E-Mails mit Thunderbird abholen und auch verschicken können. Dabei macht es keinen Unterschied, ob das Konto per POP3 oder per IMAP eingebunden ist. IMAP bietet sich allerdings an, wenn man mit mehreren Geräten auf das E-Mail-Konto zugreift, da hier die Mails auf dem Server des Anbieters bleiben. Der Nachteil bei IMAP ist, dass die Mails, je nach Einstellung für die Zwischenspeicherung auf dem Computer, nur bei bestehender Internetverbindung gelesen werden können. Dies lässt sich aber einstellen.

5. Enigmail

OpenPGP-Assistent
Assistenten nicht benutzen

Das Add-On lässt sich über die interne Add-On-Verwaltung von Thunderbird installieren. Dazu öffnet man unter Extras und den Punkt Add-ons. Enigmail kann über die Suche oben rechts leicht gefunden und per Klick auf Installieren zu Thunderbird hinzugefügt werden. Nach Abschluss der Installation muss Thunderbird neu gestartet werden. Beim ersten Start nach der Installation von Enigmail erscheint der OpenPGP-Assistent. Dieser kann zwar alle Einstellungen vornehmen, es lassen sich aber nur Schlüsselpaare mit einer Stärke von 2048 Bit erzeugen. Deshalb sollte dieser Assistent über Nein Danke, ich werde alles manuell einstellen und einem Klick auf Weiter und im folgenden Fenster dann mit Fertigstellen zu beenden.

6. Schlüsselpaar erzeugen

An diesem Punkt ist es zwar schon möglich verschlüsselte E-Mail zu verschicken, es fehlt aber noch das eigene Schlüsselpaar, um selbst auch verschlüsselte E-Mails empfangen zu können. Das eigene Schlüsselpaar lässt sich nun direkt in Thunderbird erzeugen. Unter dem neuen Menüpunkt OpenPGP und dem Unterpunkt Schlüssel Verwalten… lässt sich die Schlüsselverwaltung öffnen. Hier lassen sich neben dem eigenen Schlüsselpaar auch die öffentlichen Schlüssel einsehen, die man bereits kennt. Der normale Zugriff erfolgt über die Suche, wenn man einfach nur eine Liste der vorhandenen Schlüssel sehen möchte, muss der Haken bei Standardmäßig alle Schlüssel anzeigen gesetzt werden.

Schlüsselerzeugung
Schlüsselerzeugung

In der Schlüsselverwaltung können nun über Erzeugen -> Neues Schlüsselpaar sowohl öffentlicher als auch privater Schlüssel für die gewünschte E-Mailadresse erzeugt werden. Sollten in Thunderbird mehrere E-Mail-Konten eingerichtet sein, muss im oberen Bereich das gewünschte Konto ausgewählt werden. Danach müssen nur noch die Passphrase für den Schlüssel sowie das Ablaufdatum festgelegt werden.

Die Passphrase sorgt dafür, dass bei Verlust des privaten Schlüssels noch ein gewisser Schutz für die verschlüsselten Mails besteht. Ohne Passphrase würde der private Schlüssel ausreichen, um alles zu entschlüsseln, was jemals mit dem dazugehörigen öffentlichen Schlüssel verschlüsselt wurde. Es ist also ratsam hier ein relativ sicheres Passwort zu wählen. Da diese Passphrase in Zukunft regelmäßig abgefragt wird, sollte sie so gewählt werden, dass man sie trotzdem noch einigermaßen komfortabel eingeben kann. Die Gültigkeitsdauer des Schlüssels sollte unverändert bleiben.

Zu guter Letzt besteht noch die Möglichkeit, über den Reiter Erweitert die Stärke der verwendeten Verschlüsselung zu erhöhen. Der Standardwert für die Schlüsselstärke ist vollkommen OK, niedriger als 2048 Bit sollte die Schlüsselstärke aber unter keinen Umständen eingestellt werden. [update] Wenn keine technischen Gründe dagegen sprechen sollte eine Schlüsselstärke von 4096 Bit gewählt werden. [/update]

Ist alles eingestellt, wird mit Schlüsselpaar erzeugen der Vorgang abgeschlossen. Die folgende Sicherheitsabfrage kann mit Schlüssel erzeugen bestätigt werden. Je nach Rechenleistung des jeweiligen Computers kann die Erzeugung der Schlüssel einige Minuten dauern. Im Anschluss fragt OpenPGP, ob es auch ein Zertifikat zum Widerruf des Schlüssel erzeugen soll. Dies sollte ebenfalls mit Zertifikat erzeugen bestätigt werden. OpenPGP fragt nach einem Speicherplatz für das Zertifikat und im Anschluss daran nach der Passphrase, die bei Erzeugung des Schlüssels vergeben wurde. Der Warnhinweis am Schluss sollte beachtet werden. Mit OK wird die Schlüsselerzeugung beendet.

In der Schlüsselverwaltung taucht nun der neue Schlüssel auf.

7. Verschlüsselte Mails versenden und empfangen.

Öffentlichen Schlüssel laden
Öffentlichen Schlüssel laden

Nun muss der öffentliche Schlüssel verteilt werden, damit Kommunikationspartner ihn zur Verschlüsselung nutzen können. Dazu gibt es mehrere Möglichkeiten: die einfachste ist, den eigenen Schlüssel in der Schlüsselverwaltung mit der rechten Maustaste anzuklicken und dann den Punkt Öffentlichen Schlüssel per E-Mail senden zu verwenden. Es wird eine leere E-Mail erzeugt, an die der öffentliche Schlüssel angehängt ist. Diese Mail kann nun mit einem erklärenden Text an beliebig viele Empfänger verschickt werden. Außerdem sollte man im Gegenzug um die öffentlichen Schlüssel der Adressaten bitten.

Eine weitere Möglichkeit ist, den eigenen öffentlichen Schlüssel auf einen Schlüsselserver hoch zu laden. Es sei jedoch darauf hingewiesen, dass dadurch auch die zugehörige E-Mail-Adresse öffentlich wird. Dies kann zu einem erhöhten Spamaufkommen führen. Wenn man seinen Schlüssel und die dazugehörige E-Mail-Adresse trotzdem öffentlich machen möchte, kann man dies über einen Rechtsklick auf den eigenen Schlüssel und die Auswahl des Punktes Auf Schlüssel-Server hochladen… tun.

Erhält man den öffentlichen Schlüssel einer Person in einer solchen Mail, kann man ihn über einen Rechtsklick auf die Datei und den Menüpunkt OpenPGP-Schlüssel importieren zur eigenen Schlüsselverwaltung hinzufügen. Mit jeder Person, über deren öffentlichen Schlüssel man verfügt und welche den öffentlichen Schlüssel von einem selbst hat, kann man verschlüsselt per E-Mail kommunizieren.

In Thunderbird reicht es, innerhalb der neuen E-Mail, im Menü OpenPGP die Option Nachricht verschlüsseln zu wählen. Wenn der öffentliche Schlüssel des Empfängers bereits bekannt ist, verschlüsselt Thunderbird die E-Mail und versendet sie dann. Falls der öffentliche Schlüssel des Empfängers noch nicht bekannt ist, fragt Thunderbird nach. Man hat dann die Option, aus den bekannten Schlüsseln zu wählen, die Mail doch nicht zu verschlüsseln oder über Fehlende Schlüssel herunterladen auf den Schlüsselservern nach einem passenden öffentlichen Schlüssel für den Empfänger zu suchen.

Es sei noch darauf hingewiesen, dass Thunderbird E-Mails an mehrere Empfänger zwar verschlüsselt, wenn für einige Empfänger kein öffentlicher Schlüssel vorliegt, wird die Mail Diesen aber nicht unverschlüsselt geschickt, sondern mit einem der vorhandenen Schlüssel verschlüsselt. Dies macht sie für die Empfänger ohne öffentlichen Schlüssel unlesbar.

8. Weitere Einstellungen

Um Probleme beim Unterschreiben und Verschlüsseln zu vermeiden, sollten die folgenden Einstellungen angepasst werden:

Hinweis: Wer die folgenden Einstellungen nicht von Hand vornehmen möchte kann über OpenPGP -> OpenPGP-Assisten den Assistenten vom Anfang aufrufen und ihn mit den Standardeinstellungen über Weiter durchklicken. Wenn es um den Schlüssel geht, sollte darauf geachtet werden, dass der nach obiger Anleitung erzeugte Schlüssel ausgewählt wird. Alle anderen Optionen können auf Standard bleiben.

  • Unter Extras -> Konten-Einstellungen… -> Verfassen & Adressieren den Haken bei Nachrichten im HTML-Format verfassen entfernen
  • Unter Ansicht -> Nachrichteninhalt die Option Reiner Text auswählen
  • Unter OpenPGP -> Einstellungen… -> Experten-Optionen anzeigen -> Erweitert den Haken bei Anhänge nur herunterladen, wenn diese geöffnet werden sollen entfernen

Als Ergebnis der zweiten Einstellung werden bunte Newsletter oder anderweitig per HTML formatierte Mails nicht mehr schön dargestellt. Das hat den Vorteil, dass einige dreckige Tricks nicht mehr funktionieren: Wie Beispielsweise mittels nachgeladener Grafik innerhalb der Mail ohne Wissen des Empfängers festzustellen, wann er diese Mail geöffnet hat.

Das ist ein schöner Nebeneffekt, aber manchmal möchte man seine Mails in Bunt lesen. Natürlich kann man jedes mal die Ansicht wieder umstellen, es geht aber auch einfacher: Über Extras -> Add-ons nach Allow HTML Temp suchen und installieren. Zu guter Letzt je nach Geschmack in der Hauptsymbolleiste oder im Kopfbereich der Nachrichtenleiste (bei Antworten, Weiterleiten usw.) über Rechtsklick -> Anpassen… den HTML zeigen Knopf hinzufügen. Nun kann man bei Mails, die man in bunt möchte, einfach per Klick die HTML-Version anzeigen lassen.

Links:

Für weitere Hilfestellungen und Tipps seien hier noch ein paar Anlaufstellen genannt:

Updates:

  • 20.02.2014 – Hinweis auf Schlüsselstärke von 4096 Bit hinzugefügt
  • 23.02.2014 – Link hinzugefügt: Enigmail OpenPGP – Einstellungen
  • 06.03.2014 – Hinweis auf Assistenten eingefügt
  • 06.03.2014 – 8. Weitere Einstellungen hinzugefügt
  • 14.11.2014 – Gpg4Win-Vanilla heißt jetzt Gpg4Win-Light

2 Gedanken zu „E-Mail Verschlüsseln mit Thunderbird, GnuPG und Enigmail [update 14.11.2014]

  1. So, hab mal versucht, dir eine verschlüsselte Mail zu schicken mit weiteren Problemen. Ich hoffe, dass die lesbar bei dir ankommt. Thunderbird hat noch nach zig Sachen gefragt, bevor die Mail rausging. Deinen Schlüssel hats jetzt hinzugefügt. Hab auch grad das Vertrauen auf absolut gestellt. Ist das richtig so?

    Kommentiere
  2. das Häkchen bei “Wurzelzertifikat festgelegt oder Konfiguration überspringen”

    habe ich bei der Installation nicht gesehen und daher immer auf „weiter“ geklickt. Ist das schlimm? Kann ich da noch was ändern oder sollte ich das Programm de- und dann neu installieren?

    Kommentiere

Schreibe eine Antwort

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

Erforderlich