Ihr habt einen Apple Mac und wollt E-Mails mit dem Thunderbird verschlüsseln? Dann lest bitte diese Anleitung und gebt mir Feedback oder Feuer, sofern es trotzdem nicht funktionieren sollte. Achtung: Die Software funktioniert auch zusammen mit dem neuen Betriebssystem OS X Mavericks. Wer ein anderes Betriebssystem benutzt, nicht verzagen. Die Einrichtung unter Linux oder Windows dürfte der von Mac OS X sehr ähnlich sein.
Bei der heute angewendeten asymmetrischen Verschlüsselung (Public Key Verschlüsselung) wird ein Schlüsselpaar erstellt. Es gibt zwei Schlüssel, die eine gemeinsame mathematische Basis haben. Einer dieser Schlüssel wird zur Verschlüsselung (öffentlich), der andere zur Entschlüsselung (privat) verwendet. Keiner der Schlüssel kann trotz der bestehenden mathematischer Basis aus dem anderen hergeleitet werden. Der Schlüssel, der zur Verschlüsselung verwendet wird kann daher beliebig verbreitet und sogar in öffentlichen Schlüsselservern hinterlegt werden.
Übrigens: Bei Thunderbird steht über jeder E-Mail, ob diese verschlüsselt ist. Nicht jede signierte E-Mail ist automatisch verschlüsselt!
Los geht’s:
- Ihr geht auf https://gpgtools.org/keychain und ladet Euch die GPG Suite herunter. Bitte zunächst etwas herunterscrollen, (die Software ganz oben) GPGMail ist nichts für Thunderbird. Das ist nur für Apple Mail geeignet. Wer seine E-Mails mit Mail verschlüsseln will, schaut sich bitte die Anleitung von meinem Freund und Mitstreiter Pascal Kuschlildgen an. Wir brauchen hingegen die kostenlose GPG Suite. Bitte die GPG Suite herunterladen und installieren.
- Wer Thunderbird noch nicht installiert hat, bitte hier besorgen! Dann Thunderbird starten. Oben auf Menüpunkt Extras gehen und dann Add-Ons auswählen. Dadurch öffnet sich der Add-Ons Manager in einem neuen Tab. Ganz oben links (Symbol: Schachtel mit grünem Pfeil nach unten) Add-ons suchen auswählen und nach Enigmail suchen. Thunderbird schlägt euch dann die aktuelle Version der Erweiterung vor. Momentan ist das Enigmail 1.6.
- Dann geht ihr bei Thunderbird nach einem Neustart des Programms (wird einem vorgeschlagen!) auf das neue Menü Open-PGP und dann auf OpenPGP-Assistent. Dort wählt ihr den oberen Menüpunkt „Ja, ich möchte vom Assistenten geholfen bekommen“ aus.
Unterschreiben
- Bei Unterschreiben auswählen „Ja, ich möchte alle Nachrichten unterschreiben.“ Damit teilt ihr allen Empfängern eurer E-Mails euren öffentlichen Schlüssel mit. Den brauchen sie, um eure Unterschriften zu überprüfen. Und auch, um E-Mails an Euch verschlüsselt zu verschicken.
- Beim nächsten Punkt des OpenPGP-Assistenten (Verschlüsseln) bitte auswählen: „Nein, ich möchte in Empfängerregeln festlegen, wann verschlüsselt werden soll“. Ganz am Anfang hat man noch nicht die öffentlichen Schlüssel seiner Empfänger.
- Beim nächsten Punkt des OpenPGP-Assistenten (Einstellungen) entweder Details ansehen oder einfach auf „Nein, Danke“ gehen.
- Wer das erste mal verschlüsselt, muss ein neues Schlüsselpaar erzeugen. Wer schon eins hat, bitte auf einen USB-Stick kopieren und damit auf alle weitere Computer kopieren. Auf keinen Fall das Schlüsselpaar mit dem Programm „GPG Schlüsselbund“ erzeugen, weil Enigmail damit leider nicht arbeiten kann.
- Auf jeden Fall muss eine Passphrase (Passwort) festgelegt werden. Bitte mindestens 8 Zeichen und auf jeden Fall mindestens 1 Sonderzeichen verwenden. Der Name der Katze, eures Hundes oder von eurer Freundin darf nicht verwendet werden, entsprechende Daten können Geheimdienste in Sekundenschnelle herausfinden. Benutzt eine Kombination aus mehreren Begriffen, die ihr sonst noch nie verwendet habt. Die Wörter dürfen wirklich nichts mit euren Hobbys, Mitmenschen oder dem Job zu tun haben.
- Und dann beim Punkt Zusammenfassung des Assistenten mit Fortsetzen bestätigen, fertig.
Schlüssel verwalten
Bei Thunderbird im Menü Open-PGP bitte testweise den Menüpunkt Schlüssel verwalten auswählen. Dort müsste auch euer eigenes Schlüsselpaar auftauchen. Und bitte nicht wundern, dass diese Schlüssel mit dem „GPG Schlüsselbund“ nicht angezeigt werden. E-Mails verschlüsseln mit Thunderbird und Enigmail geht leider nicht ohne die vorherige Installation der GPG Suite. Das mag zunächst verwirrend klingen. Man muss bei den Einstellungen ausschließlich bei Thunderbird bleiben, dann klappt es auch.
Noch ein paar Hinweise:
- Beim Verfassen einer neuen Nachricht habt ihr oben (rechts neben dem Punkt Anhang) das zusätzliche Menü OpenPGP. Dort könnt ihr entscheiden, ob ihr Nachrichten unterschreibt (würde ich immer tun) und ob ihr die Nachricht verschlüsseln wollt. Wenn ihr immer verschlüsselt, können eure E-Mails nicht gelesen werden, sofern der Empfänger diese nicht entschlüsseln kann. Dann wird dem Empfänger nur ein Ziffern- und Zahlensalat angezeigt.
- Auch beim Versand von Anhängen könnt ihr diese wahlweise verschlüsselt oder unverschlüsselt verschicken, das werdet ihr aber vor dem Absenden gefragt.
- Das war es eigentlich schon. Leider nicht ganz so simpel wie mit Apple Mail. Aber es geht trotzdem. Den öffentlichen und privaten Schlüssel bitte unbedingt auf eine CD-Rom brennen oder an einem anderen sicheren Ort hinterlegen. Irgendwann werdet ihr die beiden Schlüssel nochmals brauchen, ansonsten müssen sich alle Kontakte mit euren neuen Schlüsseln anfreunden.
- Die Passphrase (Passwort) zum Entschlüsseln sollte auf jeden Fall mindestens ein Sonderzeichen beinhalten und nicht zu kurz sein. Bitte nicht den Vor- und Nachnamen Eures Lebensgefährten oder des Vaters etc. verwenden !! Umso länger die Passphrase, umso schwerer ist es für die Geheimdienste, die Verschlüsselung zu knacken! Und kommt bitte nicht auf die Idee, euch selbst per E-Mail den privaten Schlüssel zuzuschicken, dann könnt ihr die Verschlüsselung auch gleich unterlassen.
Und keine Sorge: Die Einrichtung unter Linux oder Windows dürfte der von Mac OS X sehr ähnlich sein. Noch Fragen? Dann diese bitte hier stellen oder mir eine E-Mail schicken!
Wer will, kann seinen Public Key auf seiner Website einstellen. Diese Datei beginnt mit „—–BEGIN PGP PUBLIC KEY BLOCK—–“
Die Datei, wo der Private Key Bloc steht, hat in der Öffentlichkeit nichts zu suchen! Ansonsten ist keine E-Mail mehr privat!
Kontakte mit dem Programm GPG Schlüsselbund beglaubigen
Wer sich komplett absichern will, sollte sich noch gegenseitig beglaubigen. Das bedeutet nichts anderes, als zu bestätigen, dass man sein Gegenüber persönlich kennt und beglaubigen kann, dass genau diese Person auch der Absender der verschlüsselten E-Mails ist. Umso mehr Personen jemanden bestätigt haben, umso glaubwürdiger erscheint er gegenüber Dritten. Wie das geht? Ganz einfach. Das Programm GPG Schlüsselbund (Teil der GPG Suite) starten und öffnen. Seinen Kontakt persönlich treffen oder anrufen, Kontakte über Skype, Google Plus etc. fallen weg, sofern man sein Gegenüber nicht vom Aussehen her kennt. Die Person, deren Identität überprüft werden soll (beim GPG Schlüsselbund) anklicken und rechte Maustaste drücken. Der Menüpunkt Informationen öffnet ein neues Fenster mit Namen Schlüsselinspektor. Dort auf den Menüpunkt Schlüssel klicken. Dann liest man sich am Telefon oder bei einem Treffen gegenseitig die Buchstaben- bzw. Zahlenkombination vom Fingerabdruck vor, um sich zu überprüfen (siehe Bild oben). Unten kann man beim Punkt Vertrauen zwischen Absolut, Vollständig, Marginal, Nie und Undefiniert auswählen. Wenn Dein Gegenüber den Fingerabdruck (hier rot durchgestrichen) nicht vorlesen kann, ist es auch nicht die richtige Person.
Finale
Das eigentliche Beglaubigen geht dann ganz einfach. Zurück in die Übersicht (erstes Menü nach dem Start) vom GPG Schlüsselbund. Dort die Person inklusive Schlüssel anklicken und Beglaubigen (unter Informationen) anklicken. Unten kann man im Fenster auswählen, wie ausführlich man die Identität seines Gegenübers überprüft hat. (Wie genau haben Sie überprüft, ob der Schlussel, den Sie jetzt beglaubigen wollen, wirklich der o.g. Person gehört?) Am Schluss in der Übersichtsseite (des Programms GPG Schlüsselbund) den Punkt Öffentlichen Schlüssel an den Schlüsselserver senden auswählen. Damit macht man seine Beglaubigung gegenüber allen gemeinsamen Kontakten öffentlich. Wer das nicht will, muss das nicht zwingend tun.
Hallo Lars,
deine Anleitung und deine Hinweise und Kommentare waren sehr hilfreich. Vielen Dank dafür. Was ich nicht verstanden habe: wo stehen den meine privaten und öffentlichen Schlüssel auf meiner Festplatte? Ich habe keine Datei gefunden (auf dem MAC mit Spotlight) die mit “—–BEGIN PGP PUBLIC KEY BLOCK—–” beginnt oder das enthält. Was ist der „Private Key Bloc“ und wie heißt die Datei und wo finde ich sie?
Dir einen schönen Sonntag und alles Gute
Thomas