Inhaltsverzeichnis

E-Mail-Verschlüsselung mit Mozilla Thunderbird

1. Vorbereitung

Bei Ubuntu ist Thunderbird bereits vorinstalliert. Benutze ansonsten deinen Software-Manager oder lade es auf der offiziellen Webseite vom Thunderbird-Projekt herunter um es zu installieren: https://www.thunderbird.net/

Bei älteren Versionen von Thunderbird war es für das Verschlüsseln von Mails nötig, zusätzliche Software zu installieren. Seit Version 78 ist das einfacher: Die Funktionalität zum Verschlüsseln nach OpenPGP-Standard ist jetzt bei Thunderbird eingebaut. Nachdem du Thunderbird installiert hast, kannst du im Menü unter „Hilfe → Über Thunderbird“ ein Info-Fenster aufrufen, um sicherzugehen welche Version benutzt.

Bevor du die Verschlüsselung einrichten kannst, solltest du dein haben.


2. OpenPGP verstehen

Um E-Mails mit OpenPGP zu verschlüsseln, ist es hilfreich das Konzept dahinter zu verstehen.

OpenPGP funktioniert über sogenannte „public key cryptography“. Das funktioniert grundlegend anders als die Verschlüsselung mithilfe von Passwörtern: Wenn man einen Inhalt mit einem Passwort verschlüsselt, sind alle die das Passwort kennen in der Lage, diesen Inhalt oder diese Nachrichten zu entschlüsseln. OpenPGP funktioniert hingegen so, dass Nachrichten für die Besitzerin eines öffentlichen OpenPGP-Schlüssels verschlüsselt werden: Nur die Besitzerin dieses PGP-Schlüssels soll in der Lage sein, die Nachricht zu entziffern. Für dieses Verfahren ist ein PGP-Schlüssel in zwei Teile unterteilt:

  1. Der eine Teil ist der öffentliche Schlüssel. Diesen Teil kannst du auf deiner Webseite hochladen, anderen als Mail-Anhang senden oder anderweitig verteilen. Die Information, die im öffentlichen Schlüssel-Teil gespeichert ist, können andere benutzen, um eine Nachricht an die Besitzerin des privaten Schlüssel-Teils eine Nachricht zu verschlüsseln.
  2. Der andere Teil ist der private Schlüssel. Diesen Teil hat nur die Besitzerin selbst, und er wird benötigt um Nachrichten an diese Person zu entschlüsseln.

2.1 Digitale Signaturen

Mit PGP können zwei Beteiligte einer Unterhaltung nicht nur sichergehen, dass ihre Nachrichten nicht von Dritten mitgelesen werden können: PGP-Schlüssel haben außerdem noch die Funktion, Nachrichten mit unfälschbaren digitale Signaturen zu erstellen. Indem dein Gegenüber ihre Nachricht an dich mit einer digitalen Unterschrift versieht, kann Thunderbird sichergehen, dass die Nachricht wirklich von der Person verfasst wurde von der du es erwartest, und umgekehrt.

Wer nun deinen öffentlichen Schlüssel besitzt, kann diesen also nicht nur benutzen, um dir verschlüsselt zu schreiben: Ihr Mail-Programm kann deinen öffentlichen Schlüssel auch mit der digitalen Signatur deiner Mails vergleichen, und erkennen dass nur die Besitzerin des zugehörigen privaten Schlüssels diese Signatur erstellt haben kann und dass der Inhalt der Nachricht nicht nachträglich verändert wurde.

2.2 Fingerprints

In der Regel haben PGP-Schlüssel zur Identifikation eine User-ID (z.B. User user@systemli.org) und einen Fingerprint in der Form einer Zeichenkette; Wie du auf der Webseite von Systemli nachsehen kannst, benutzen die Systemli-Admins einen PGP-Key mit dem Fingerprint 776E 7B48 BDE8 E769 CBBC D292 10D4 6141 EC77 D27B.

Die User-ID ist eher als Kommentar zum Schlüssel zu verstehen: Er kann helfen, einen Schlüssel jemandem zuzuordnen, ist aber noch längst kein Beweis dass der Schlüssel auch wirklich der Besitzerin dieser Mail-Adresse gehört. Der Fingerprint ist allerdings feinmalig: Jeder PGP-Schlüssel hat einen anderen, daher der Name.

Im Fall der Systemli-Admins kannst du wohl vertrauen, dass niemand sonst die Inhalte auf der Webseite verändern wird. Du kannst also einigermaßen sicher sein, dass du den auf der Webseite genannten Schlüssel für die Kommunikation mit ihnen benutzen kannst. Es haben aber nicht alle eine eigene Webseite, in vielen Fällen ist es nötig jemanden persönlich zu treffen, anzurufen oder irgendwie anders sicherzugehen, dass der Schlüssel den man von jemandem zu haben glaubt authentisch ist.


3. Verschlüsselung in Thunderbird einrichten

3.1 Persönlichen Schlüssel erstellen

Falls du dein E-Mail Postfach gerade eingerichtet hast, wird Thunderbird ein Menü mit weiteren Einstellungen präsentieren, darunter „Ende-zu-Ende-Verschlüsselung“:

Außerdem kannst du immer über die Konten-Einstellungen für das jeweilige Mail-Konto öffnen, für das du OpenPGP benutzen möchtest, und den Reiter „Ende-zu-Ende-Verschlüsselung“ auswählen:

Für Mail-Verschlüsselung mit OpenPGP braucht jede der beteiligten Personen einen persönlichen Schlüssel (oder „PGP-Key“). Du hast vermutlich noch keinen persönlichen Schlüssel. Wähle „Schlüssel hinzufügen“ aus, um einen neuen Schlüssel zu erstellen:

Du kannst jetzt auswählen auf welche Identität der Schlüssel erstellt werden soll. Falls du mehrere Identitäten für das selbe Postfach eingerichtet hast, könntest du hier die passende Identität auswählen.

Es ist nicht ratsam ein „unendliches“ Ablaufdatum zu wählen. 3 Jahre ist für die meisten Fälle gut. Du kannst das Ablaufdatum nachträglich ändern.

Mit Schlüsseltyp und -Größe ist der kryptografische Algorithmus gemeint, du kannst den vorgeschlagenen Wert so lassen.

Nun wirst du nach Bestätigung gefragt:

Glückwunsch! Du hast deinen persönlichen PGP-Schlüssel erstellt. In den Einstellungen wird jetzt angezeigt dass du einen passenden Schlüssel für dein Mailkonto hast und dass dieser Schlüssel benutzt werden soll:

3.2 Standardmäßige Verschlüsselung

Du besitzt jetzt einen privaten Schlüssel und kannst einzelne E-Mails verschlüsseln. Damit du es nicht vergisst, und versehentlich vertrauliche Inhalte unverschlüsselt versendest, ist es ratsam weiter unten im Menü einstellen standardmäßig zu verschlüsseln. Es wird dann immer noch möglich sein, jemandem, die kein OpenPGP verwenden, unverschlüsselt zu schreiben.

Die anderen Einstellungen kannst du so belassen wie sie von Thunderbird vorgegeben werden.

Falls es dir umständlich erscheint, dass jede Mail standardmäßig verschlüsselt wird, und du dir keine Sorgen machst versehentlich eine unverschlüsselte Mail zu versehenden, kannst du alternativ „Automatische Verschlüsselung“ einstellen. So werden Mails immer dann verschlüsselt automatisch werden, wenn du einen gültigen öffentlichen Schlüssel der Adresse besitzt, an die du die Mail verfasst.

Diese Einstellungen wird nicht pro Postfach in den Konto-Einstellungen festgelegt, sondern gilt für alle eingerichteten Postfächer. Du findest sie deswegen in den „globalen“ Einstellungen unter „Datenschutz & Sicherheit“:


4. Verschlüsselt miteinander kommunizieren

4.1 Öffentliche Schlüssel erhalten

Um eine verschlüsselte Nachricht zu senden, oder Signaturen in Mails zu überprüfen die dir von anderen geschickt wurden, musst du vorher den öffentlichen Schlüssel der anderen Person bei Thunderbird importiert haben:

a) Als Mail-Anhang

Wenn andere dir ihren Schlüssel per Mail senden, bietet Thunderbird beim Rechtsklick auf den Anhang an, den Schlüssel zu importieren

b) Als Datei oder Text

Oft musst du den Schlüssel als Datei irgendwo herunterladen oder als Text von einer Webseite kopieren. In der Schlüsselverwaltung (Im Menü unter „Extras → OpenPGP-Schlüssel verwalten“) kannst du öffentliche Schlüssel als Dateien oder aus der Zwischenablage importieren.

c) Online suchen

Ebenfalls in der Schlüsselverwaltung kannst du unter „Schlüsselserver → Schlüssel online finden“ schauen, ob jemand ihren öffentlichen Schlüssel auf einem Schlüsselserver oder per Web Key Directory hinterlegt hat (lies unten weiter, was das ist).

4.2 Öffentliche Schlüsseln als vertrauenswürdig einstufen

Bevor du einen öffentlichen Schlüssel zum Verschlüsseln benutzen kannst, musst du ihn als vertrauenswürdig einstufen (Wie zuvor erklärt, ist die User-ID an sich noch kein Beweis dafür, dass der Schlüssel authentisch ist). Du kannst das direkt beim Importieren eines Schlüssels tun. Ansonsten wirst du vor dem Absenden an Adressen ohne verifizierte Schlüssel gefragt werden:

4.3 Deinen öffentlichen Schlüssel bekanntmachen

Damit andere dir verschlüsselt schreiben können, brauchen sie deinen PGP-Schlüssel:

a) Per Mail senden

Beim Verfassen einer neuen Nachricht kannst du über den Button „Sicherheit“ auswählen, dass dein öffentlicher Schlüssel als Anhang versendet wird.

b) Öffentliche Schlüsselserver

Bequemer ist es aber, deinen Öffentlichen Schlüssel über einen öffentlichen Schlüssel-Server wie https://keys.openpgp.org/ bekannt zu machen: So kann jede:r deinen öffentlichen Schlüssel finden und dir verschlüsselt schreiben, ohne vorher mit dir Schlüssel ausgetauscht zu haben.

c) Web Key Directory

Als Systemli-Nutzerin kannst du in der Account-Verwaltung deinen öffentlichen Schlüssel auch über das Web Key Directory von Systemli öffentlich machen. Diese Methode ist sogar relativ sicher, weil andere so wissen können dass du, als Besitzerin einer Adresse mit Zugriff auf deinen Systemli-Account, diesen Schlüssel veröffentlich hast (Fingerprints vergleichen schadet trotzdem nicht).

d) Als Datei speichern

Um deinen Schlüssel über den Browser hochzuladen, musst du den öffentlichen Schlüsselteil in einer Datei speichern. In der Schlüsselverwaltung kannst du mit Rechtsklick auf deinen persönlichen Schlüssel auswählen, den öffentlichen Schlüssel in eine Datei zu exportieren oder als Text in die Zwischenablage zu kopieren.

4.4 Verschlüsselte Nachrichten empfangen

Thunderbird wird verschlüsselte E-Mails an dich automatisch entschlüsseln. Oben rechts in der Ansicht einer Mail kannst du sehen, ob eine Mail verschlüsselt und/oder signiert ist.

4.5 Verschlüsselte Nachrichten senden

Wenn du eingestellt hast dass Nachrichten standardmäßig verschlüsselt werden sollen, musst du nichts weiter machen. In der unteren Statusleiste wird mit einem kleinen Schloss angezeigt werden, dass die Nachricht verschlüsselt wird:

Falls du für die Empfänger:innen keinen passenden Schlüssel hast, oder zwar den Schlüssel importiert aber nicht beglaubigt hast, wird Thunderbird eine Fehlermeldung zurückgeben und deine Nachricht nicht versenden.

Über den Button „Sicherheit“ kannst du beim Verfassen einer Nachricht manuell einstellen, ob sie verschlüsselt und/oder signiert werden soll.


5. Deinen persönlichen Schlüssel sicher verwahren

5.1 Master-Passwort für Thunderbird

Thunderbird hinterlegt deinen privaten Schlüssel und deine Login-Passwörter für deine Mail-Konten in einer Datenbank auf dem Gerätespeicher. Es ist empfohlen, unter „Einstellungen → Datenschutz & Sicherheit“ ein Master-Passwort zu setzen, mit dem diese geschützt werden. Das Master-Passwort wird bei jedem Programmstart abgefragt und schützt die verschlüsselten Mails in deinem Postfach auch vor Personen mit Zugriff auf dein Gerät.

5.2 Backup

Solltest du deinen persönlichen Schlüssel verlieren, wirst du nicht mehr in der Lage sein verschlüsselte Mails an zu entschlüsseln, selbst wenn du Zugriff auf dein Mail-Postfach hast. Es ist ratsam, eine Kopie deines PGP-Schlüssels auf einem anderen Computer oder Datenträger zu haben.

In der Schlüsselverwaltung kannst du das über das Menü „Datei → Sicherheitskopie für geheime(n) Schlüssel erstellen)“ machen. Der private Schlüssel, den du exportieren möchtest, muss ausgewählt sein. Du wirst beim Exportieren aufgefordert ein Passwort zu setzen, mit dem die Schlüssel-Kopie geschützt wird.


6. Ablaufdatum deines persönlichen Schlüssels verändern

Ein PGP-Schlüssel wird mit einer festgelegten Gültigkeitsdauer erstellt. Nach Ablaufdatum ist es nicht mehr möglich, Mails an die Besitzerin zu verschlüsseln oder als Besitzerin digitale Signaturen zu machen (bber auch mit einem abgelaufenen Schlüssel kannst du bereits verschlüsselte Mails entschlüsseln).

Wenn dein Schlüssel abläuft, ist es nicht nötig einen ganz neuen Schlüssel zu erstellen. Als Besitzerin kannst du das Ablaufdatum jederzeit verändern. Wähle in der Schlüsselverwaltung („Extras → OpenPGP-Schlüssel verwalten“) deinen privaten Schlüssel aus. Oben rechts in der Schlüsseleinstellung kannst du das Ablaufdatum verändern:

Es ist nicht empfohlen, kein Ablaufdatum zu setzen. Solltest du jemals den Zugriff auf den Schlüssel verlieren, könntest du ihn nicht mehr für ungültig erklären. Andere die noch im Besitz deines öffentlichen Schlüssel sind könnten den Schlüssel noch Jahre später benutzen, um Mails an dich zu verschlüsseln, die du dann nicht mehr entschlüsseln kannst.

Nachdem du deinen Schlüssel aktualisiert hast, musst du die Veränderungen nur noch bekanntmachen