Benutzer-Werkzeuge

Webseiten-Werkzeuge


howto:howto:migration_enigmail

Migration zu Thunderbird 78 für Enigmail-User

Bis vor kurzem musste man für die E-Mail-Verschlüsselung bei Thunderbird zusätzlich das Plugin „Enigmail“ und die PGP-Software GnuPG (GnuPrivacyGuard) installieren. Seit Version 78 ist die Verschlüsselung mit PGP bei Thunderbird integriert. Hier werden Hinweise für den Wechsel zu Thunderbird Version 78 gesammelt:

PGP-Schlüssel importieren

Bei der Verschlüsselung mit Enigmail wurden die PGP-Schlüssel vom externen Programm GnuPG verwaltet. Seit Version 78 werden die PGP-Keys von Thunderbird selbst verwaltet. Thunderbird wird deswegen nach dem Update auf Version 78 prüfen, ob bisher Enigmail installiert war, und unter „Extras → Enigmail-Einstellungen migrieren“ die Möglichkeit anbieten deine PGP-Schlüssel von GnuPG zu Thunderbird zu übertragen.

Bei der Migration werden alle öffentlichen Schlüssel importiert. Falls du mehrere private Schlüssel hast, kannst du vorher auswählen welche du importieren möchtest. Für den Import passwortgeschützter Schlüssel benötigst du natürlich das Passwort.

Nachdem die Migration abgeschlossen ist, kannst du Enigmail über die Add-On-Verwaltung deinstallieren.

Verschlüsselung für einen E-Mail-Account aktivieren

Öffne über das Menü „Konten-Einstellungen“ und darin den Reiter „Ende-zu-Ende-Verschlüsselung“. Nach der Migration deiner PGP-Schlüssel sollte hier dein privater Schlüssel angezeigt werden. Ansonsten wähle „Schlüssel hinzufügen“ aus, um einen passenden Schlüssel zu suchen.

Wichtig: Stell hier ein dass Nachrichten standardmäßig verschlüsselt werden. Sonst werden Nachrichten nicht automatisch verschlüsselt werden, selbst wenn du von der Empfängerin einen passenden Schlüssel besitzt. Es ist empfohlen E-Mails auch standardmäßig mit PGP zu unterschreiben.

Verschlüsselte E-Mails senden

Mit Enigmail wurden Mails standardmäßig „opportunistisch“ verschlüsselt: Sollte man für eine Empfänger-Adresse einen öffentlichen PGP-Schlüssel besitzen, würde Enigmail automatisch diesen Schlüssel benutzen und die E-Mail verschlüsseln. Dafür war es nicht wichtig, ob der Schlüssel als vertrauenswürdig galt oder nicht.

Seit Version 78 ist das nicht mehr so. Um jemandem eine verschlüsselte Mail schreiben zu können, muss deren PGP-Schlüssel explizit als vertrauenswürdig eingestuft sein. Öffne im Menü „Extras → OpenPGP-Schlüssel verwalten“, um öffentliche Schlüssel zu bearbeiten:

Dieses neue Verfahren mag lästig wirken, gilt aber auch als sicherer: Theoretisch keine jede:r einen PGP-Schlüssel mit einer beliebigen User-ID (z.B. user@example.org) erstellen, ein PGP-Schlüssel muss deswegen längst nicht der „eigentlichen“ Besitzerin einer E-Mail-Adresse gehören.

Alias Adressen

Für Alias-Adressen muss die Verschlüsselung mit PGP und der passende Schlüssel über ein eigenes Menü ausgewählt werden. Wähle unter Konto-Einstellungen „Weitere Identitäten“ aus, um die Alias-Adressen für das Konto zu verwalten:

Wähle die gewünschte Identität und dann „Bearbeiten…“ aus. Im Reiter „Ende-zu-Ende-Verschlüsselung“ kannst du jetzt die Verschlüsselung einrichten wie oben beschrieben.

Passwort-Schutz für OpenPGP-Schlüssel

Bei GnuPG/Enigmail war es möglich, PGP-Schlüssel jeweils mit Passwörtern zu schützen. Das wird empfohlen, denn so kann selbst jemand mit Lesezugriff auf deine persönlichen Dateien nicht automatisch deine verschlüsselten Mails auslesen.

Ab Thunderbird Version 78 werden PGP-Schlüssel nicht mehr mit einem eigenen Passwort geschützt. Es wird empfohlen, unter „Einstellungen → Datenschutz & Sicherheit“ ein Masterpasswort für Thunderbird einzustellen, um damit deine privaten Schlüssel und Account-Passwörter zu schützen. Andernfalls werden die privaten Schlüssel unverschlüsselt abgespeichert.

Fortgeschritten

PGP-Smartcards

PGP-Verschlüsselung mit einer Smartcard oder einem Hardware-Token (zB yubikey, nitrokey etc) wird bisher noch nicht „out of the box“ unterstützt. Hier kannst du weiterlesen wie du Thunderbird dafür konfigurieren kannst:

Schleuder-Keyword x-resend

Thunderbird wird automatisch bei jeder signierten & verschlüsselten E-Mail den eigenen öffentlichen PGP-Schlüssel anhängen. Das kann unerwünscht sein, wenn man eine Schleuder-Mailingliste mit dem x-resend Keyword verwenden möchte. Beim Versenden einer solchen Mail muss manuell unter „Sicherheit“ das Häkchen für „Öffentlichen Schlüssel anhängen“ entfernt werden.

howto/howto/migration_enigmail.txt · Zuletzt geändert: 2020/11/18 13:14 von yadda