Inhaltsverzeichnis

Migration zu Thunderbird 78 für Enigmail-User

Bis vor kurzem musste man für die E-Mail-Verschlüsselung bei Thunderbird zusätzlich das Plugin „Enigmail“ und die PGP-Software GnuPG (GnuPrivacyGuard) installieren. Seit Version 78 ist die Verschlüsselung mit PGP bei Thunderbird integriert. Hier werden Hinweise für den Wechsel zu Thunderbird Version 78 gesammelt:

PGP-Schlüssel importieren

Bei der Verschlüsselung mit Enigmail wurden die PGP-Schlüssel vom externen Programm GnuPG verwaltet. Seit Version 78 werden die PGP-Keys von Thunderbird selbst verwaltet. Thunderbird wird deswegen nach dem Update auf Version 78 prüfen, ob bisher Enigmail installiert war, und unter „Extras → Enigmail-Einstellungen migrieren“ die Möglichkeit anbieten deine PGP-Schlüssel von GnuPG zu Thunderbird zu übertragen.

Bei der Migration werden alle öffentlichen Schlüssel importiert. Falls du mehrere private Schlüssel hast, kannst du vorher auswählen welche du importieren möchtest. Für den Import passwortgeschützter Schlüssel benötigst du natürlich das Passwort.

Nachdem die Migration abgeschlossen ist, kannst du Enigmail über die Add-On-Verwaltung deinstallieren.

Verschlüsselung für einen E-Mail-Account aktivieren

Öffne über das Menü „Konten-Einstellungen“ und darin den Reiter „Ende-zu-Ende-Verschlüsselung“. Nach der Migration deiner PGP-Schlüssel sollte hier dein privater Schlüssel angezeigt werden. Ansonsten wähle „Schlüssel hinzufügen“ aus, um einen passenden Schlüssel zu suchen.

Wichtig: Stell hier ein dass Nachrichten standardmäßig verschlüsselt werden. Sonst werden Nachrichten nicht automatisch verschlüsselt werden, selbst wenn du von der Empfängerin einen passenden Schlüssel besitzt. Es ist empfohlen E-Mails auch standardmäßig mit PGP zu unterschreiben.

Verschlüsselte E-Mails senden

Mit Enigmail wurden Mails standardmäßig „opportunistisch“ verschlüsselt: Sollte man für eine Empfänger-Adresse einen öffentlichen PGP-Schlüssel besitzen, würde Enigmail automatisch diesen Schlüssel benutzen und die E-Mail verschlüsseln. Dafür war es nicht wichtig, ob der Schlüssel als vertrauenswürdig galt oder nicht.

Seit Version 78 ist das nicht mehr so. Um jemandem eine verschlüsselte Mail schreiben zu können, muss deren PGP-Schlüssel explizit als vertrauenswürdig eingestuft sein. Öffne im Menü „Extras → OpenPGP-Schlüssel verwalten“, um öffentliche Schlüssel zu bearbeiten:

Dieses neue Verfahren mag lästig wirken, gilt aber auch als sicherer: Theoretisch keine jede:r einen PGP-Schlüssel mit einer beliebigen User-ID (z.B. user@example.org) erstellen, ein PGP-Schlüssel muss deswegen längst nicht der „eigentlichen“ Besitzerin einer E-Mail-Adresse gehören.

Alias Adressen

Für Alias-Adressen muss die Verschlüsselung mit PGP und der passende Schlüssel über ein eigenes Menü ausgewählt werden. Wähle unter Konto-Einstellungen „Weitere Identitäten“ aus, um die Alias-Adressen für das Konto zu verwalten:

Wähle die gewünschte Identität und dann „Bearbeiten…“ aus. Im Reiter „Ende-zu-Ende-Verschlüsselung“ kannst du jetzt die Verschlüsselung einrichten wie oben beschrieben.

Passwort-Schutz für OpenPGP-Schlüssel

Bei GnuPG/Enigmail war es möglich, PGP-Schlüssel jeweils mit Passwörtern zu schützen. Das wird empfohlen, denn so kann selbst jemand mit Lesezugriff auf deine persönlichen Dateien nicht automatisch deine verschlüsselten Mails auslesen.

Ab Thunderbird Version 78 werden PGP-Schlüssel nicht mehr mit einem eigenen Passwort geschützt. Es wird empfohlen, unter „Einstellungen → Datenschutz & Sicherheit“ ein Masterpasswort für Thunderbird einzustellen, um damit deine privaten Schlüssel und Account-Passwörter zu schützen. Andernfalls werden die privaten Schlüssel unverschlüsselt abgespeichert.

Öffentliche Schlüsselserver benutzen

Schlüssel veröffentlichen

Zurzeit ist es nicht möglich, einen Schlüssel aus der Schlüsselverwaltung heraus direkt auf einen Schlüsselserver hochzuladen, du musst deinen Schlüssel also in eine Datei oder die Zwischenablage exportieren und manuell auf https://keys.openpgp.org hochladen. Nutzer:innen einer Systemli-Adresse können ihren Schlüssel außerdem im Web Key Directory von Systemli veröffentlichen.

Schlüssel finden

In der Schlüsselverwaltung kannst du über das Menü „Schlüsselserver → Schlüssel online finden“ den Schlüsselserver https://keys.openpgp.org nach öffentlichen Schlüsseln durchsuchen. Es ist nicht möglich den Schlüsselserver selbst festzulegen. Falls der Mail-Provider deines Kontaktes ein Web Key Directory hat, wird Thunderbird auch dort nach einem passenden Schlüssel suchen.

Fortgeschritten

PGP-Smartcards

PGP-Verschlüsselung mit einer Smartcard oder einem Hardware-Token (zB yubikey, nitrokey etc) wird bisher noch nicht „out of the box“ unterstützt. Hier kannst du weiterlesen wie du Thunderbird dafür konfigurieren kannst:

Automatisches Anhängen des öffentlichen Schlüssels deaktivieren

Thunderbird wird automatisch bei jeder signierten & verschlüsselten E-Mail den eigenen öffentlichen PGP-Schlüssel anhängen. Das kann unerwünscht sein, insbesondere wenn man eine Schleuder-Mailingliste mit dem x-resend Keyword verwenden möchte.

Dieses Verhalten kann ab Version 78.5.0 deaktiviert werden: Unter „Einstellungen → Allgemein“, scrolle ganz nach unten und öffne „Konfiguration bearbeiten“. Es wird eine Warnung angezeigt, die du bestätigen kannst.

Suche jetzt nach dem Keyword mail.identity.default.attachPgpKey und setze den Wert mit einem Doppelklick auf false.

PGP-Keys mit unpassenden User-IDs

Mit Enigmail war es mit zusätzlichen Einstellungen möglich, Mails an eine Adresse zu versenden und dabei einen Schlüssel zu benutzen, dessen User-ID von dieser Mailadresse abweicht; Z.B. könnte man an anna@example.org eine mail senden, und einstellen das hierfür der PGP-Key mit der User-ID arthur@example.org benutzt wird.

Sowas ist mit der neuen Thunderbird-Version nicht mehr möglich.