Benutzer-Werkzeuge

Webseiten-Werkzeuge


howto:howto:migration_enigmail

Dies ist eine alte Version des Dokuments!


Migration zu Thunderbird 78 für Enigmail-User

Bis vor kurzem musste man für die E-Mail-Verschlüsselung bei Thunderbird zusätzlich das Plugin „Enigmail“ und die PGP-Software GnuPG (GnuPrivacyGuard) installieren. Seit Version 78 ist die Verschlüsselung mit PGP bei Thunderbird integriert und es muss keine zusätzliche Software nötig. Hier werden Hinweise für den Wechsel zu Thunderbird Version 78 gesammelt:

PGP-Schlüssel importieren

Bei der Verschlüsselung mit Enigmail wurden die PGP-Schlüssel vom externen Programm GnuPG verwaltet. Seit Version 78 werden die PGP-Keys von Thunderbird selbst verwaltet. Thunderbird wird deswegen nach dem Update auf Version 78 prüfen, ob bisher Enigmail installiert war, und unter „Extras → Enigmail-Einstellungen migrieren“ die Möglichkeit anbieten deine PGP-Schlüssel von GnuPG zu übertragen.

Bei der Migration werden alle öffentlichen Schlüssel importiert. Falls du mehrere Schlüssel hast, kannst du vorher auswählen welche du importieren möchtest. Für das Importieren passwortgeschützter Schlüssel benötigst du natürlich das Passwort.

Nachdem die Migration abgeschlossen ist, kannst du Enigmail über die Add-On-Verwaltung deinstallieren.

Verschlüsselung für einen E-Mail-Account aktivieren

Öffne über das Menü „Konten Einstellungen“ und darin den Reiter „Ende-zu-Ende-Verschlüsselung“. Nach der Migration deiner PGP-Schlüssel sollte hier dein privater Schlüssel angezeigt werden. Ansonsten wähle „Schlüssel hinzufügen“ aus, um einen passenden Schlüssel zu suchen.

Damit du nicht für jede einzelne Mail die Verschlüsselung aktivieren musst (und im schlimmsten Fall vergisst), solltest du einstellen dass Mails standardmäßig verschlüsselt werden. Es ist empfohlen E-Mails auch standardmäßig mit PGP zu unterschreiben.

Alias Adressen

Für Alias-Adressen muss die Verschlüsselung mit PGP und der passende Schlüssel über ein eigenes Menü ausgewählt werden. Wähle unter Konto-Einstellungen „Weitere Identitäten“ aus, um die Alias-Adressen für das Konto zu verwalten:

Wähle die gewünschte Identität und dann „Bearbeiten…“ aus:

Öffne den Reiter „Ende-zu-Ende-Verschlüsselung“ und richte die Verschlüsselung ein wie vorher beschrieben.

Unterschiede zu Enigmail

Passwort-Schutz für OpenPGP-Schlüssel

GnuPG/Enigmail bietet an, jeden privaten PGP-Schlüssel den man besitzt mit einem eigenen Passwort zu schützen. Das wird empfohlen, weil so selbst jemand mit Lesezugriff auf deine persönlichen Dateien (einschließlich privater Schlüssel) nicht automatisch deine verschlüsselten Mails auslesen kann.

Ab Thunderbird v78 werden PGP-Schlüssel nicht mehr mit einem eigenen Passwort geschützt. Es ist empfohlen, unter „Einstellungen → Datenschutz & Sicherheit“ ein Masterpasswort für Thunderbird einzustellen, dann werden damit auch deine privaten Schlüssel geschützt. Andernfalls werden die privaten Schlüssel unverschlüsselt abgespeichert.

"Opportunistische Verschlüsselung"

In der Standardeinstellung hat Enigmail opportunistische Verschlüsselung verwendet: Sollte man für eine Empfänger-Adresse einen öffentlichen PGP-Schlüssel besitzen, würde Enigmail automatisch diesen Schlüssel benutzen und die E-Mail verschlüsseln, sonst nicht.

Seit Version 78 nutzt Thunderbird keine opportunistische Verschlüsselung mehr. Stattdessen muss man einen PGP-Schlüssel explizit als vertrauenswürdig einstufen. Das kann einerseits lästig sein, wird aber als sicherer eingeschätzt: Theoretisch keine jede:r einen PGP-Schlüssel mit einer beliebigen User-ID (z.B. user@example.org) erstellen, ein PGP-Schlüssel muss deswegen längst nicht der „eigentlichen“ Besitzerin einer E-Mail-Adresse gehören, und man sollte sowieso überprüfen, ob ein PGP-Schlüssel überhaupt authentisch ist.

Fortgeschritten

PGP-Smartcards

PGP-Verschlüsselung mit einer Smartcard oder einem Hardware-Token (zB yubikey, nitrokey etc) wird bisher noch nicht „out of the box“ unterstützt. Hier kannst du weiterlesen wie du Thunderbird dafür konfigurieren kannst:

Schleuder-Keyword x-resend

Thunderbird wird automatisch bei jeder signierten & verschlüsselten E-Mail den eigenen öffentlichen PGP-Schlüssel anhängen. Das kann unerwünscht sein, wenn man eine Schleuder-Mailingliste mit dem x-resend Keyword verwenden möchte. Beim Versenden einer solchen Mail muss manuell unter „Sicherheit“ das Häkchen für „Öffentlichen Schlüssel anhängen“ entfernt werden.

howto/howto/migration_enigmail.1605200856.txt.gz · Zuletzt geändert: 2020/11/12 18:07 von yadda