Benutzer-Werkzeuge

Webseiten-Werkzeuge


howto:howto:thunderbird78_pgp

Dies ist eine alte Version des Dokuments!


Mail-Verschlüsselung mit Mozilla Thunderbird

1. Vorbereitung

Bei vielen Linux-Betriebssystemen ist Thunderbird bereits vorinstalliert. Benutze deinen ansonsten deinen Software-Manager oder lade das Programm auf der offiziellen Webseite vom Thunderbird-Projekt herunter: https://www.thunderbird.net/

Bei älteren Versionen von Thunderbird war es für das Verschlüsseln von Mails nötig, zusätzliche Software zu installieren. Seit Version 78 ist das einfacher: Die Funktionalität zum Verschlüsseln nach OpenPGP-Standard ist jetzt bei Thunderbird eingebaut. Nachdem du Thunderbird installiert hast, kannst du im Menü unter „Hilfe → Über Thunderbird“ ein Info-Fenster aufrufen, um sicherzugehen welche Version benutzt.

Bevor du die Verschlüsselung einrichten kannst, solltest du dein E-Mail-Konto in Thunderbird eingerichtet haben.

2. OpenPGP verstehen

Um E-Mails mit OpenPGP zu verschlüsseln, ist es nötig ein bisschen das Konzept dahinter zu verstehen.

OpenPGP funktioniert über sogenannte „public key cryptography“. Das funktioniert grundlegend anders als die Verschlüsselung mithilfe von Passwörtern: Wenn man einen Inhalt mit einem Passwort verschlüsselt, sind alle Personen mit dem Wissen um das Passwort in der Lage, diesen Inhalt oder diese Nachrichten zu entschlüsseln. OpenPGP funktioniert hingegen so, dass Inhalte für die Besitzerin eines OpenPGP-Schlüssels verschlüsselt wird: Nur die Besitzerin dieses PGP-Schlüssels soll in der Lage sein, die Nachricht zu entziffern. Für dieses Verfahren ist ein PGP-Schlüssel in zwei Teile unterteilt:

  1. Der eine Teil ist der private Schlüssel. Diesen Teil hat nur die Besitzerin selbst, und er wird benötigt um Nachrichten zu entschlüsseln.
  2. Der andere Teil ist der öffentliche Schlüssel. Diesen Teil kannst du auf deiner Webseite hochladen, anderen als Mail-Anhang senden oder anderweitig verteilen. Die Information, die im öffentlichen Schlüssel-Teil gespeichert ist, können wiederum andere benutzen, um eine Nachricht an die Besitzerin des privaten Schlüssel-Teils eine Nachricht zu verschlüsseln.

2.1 Digitale Signaturen

PGP-Schlüssel haben außerdem noch eine andere Funktion: Nachrichten mit unfälschbaren digitale Signaturen zu erstellen. So können zwei Beteiligte einer Unterhaltung nicht nur sichergehen, dass die Nachrichten nicht mitgelesen können: Sondern auch, dass die Person, von der ich Nachrichten erhalte, wirklich diejenige ist, die ich erwarte.

Wer deinen öffentlichen Schlüssel besitzt, kann diesen also nicht nur benutzen, um die verschlüsselt zu schreiben: Ihr Mail-Programm kann deinen öffentlichen Schlüssel auch mit der digitalen Signatur deiner Mails vergleichen, und erkennen dass nur die Besitzerin des zugehörigen privaten Schlüssels diese Signatur erstellt haben kann.

2.2 Fingerprints

In der Regel haben PGP-Schlüssel zur Identifikation eine User-ID (z.B. User user@systemli.org) und einen Fingerprint in der Form einer Zeichenkette; Wie du auf der Webseite von Systemli nachsehen kannst, benutzen die Systemli-Admins einen PGP-Key mit dem Fingerprint 776E 7B48 BDE8 E769 CBBC D292 10D4 6141 EC77 D27B.

Die User-ID ist eher als Kommentar zum Schlüssel zu verstehen: Er kann helfen, einen Schlüssel jemandem zuzuordnen, ist aber noch längst kein Beweis dass der Schlüssel auch wirklich der Besitzerin dieser Mail-Adresse gehört. Der Fingerprint ist allerdings einmalig: Jeder PGP-Schlüssel hat einen anderen, daher der Name.

Im Fall der Systemli-Admins kannst du wohl vertrauen, dass niemand sonst die Inhalte auf der Webseite verändern wird. Du kannst also einigermaßen sicher sein, dass du den auf der Webseite genannten Schlüssel für die Kommunikation mit ihnen benutzen kannst. Es haben aber nicht alle eine eigene Webseite, in vielen Fällen ist es also nötig jemanden persönlich zu treffen, anzurufen oder irgendwie anders sicherzugehen, dass man der Schlüssel den man von jemandem zu haben glaubt authentisch ist.

3. Verschlüsselung in Thunderbird einrichten

3.1 Persönlichen Schlüssel erstellen

Öffne über das Menü die Konten-Einstellungen und öffne für das Mail-Konto, für das du OpenPGP benutzen möchtest, den Reiter „Ende-zu-Ende-Verschlüsselung“ aus:

Für Mail-Verschlüsselung mit OpenPGP braucht jede der beteiligten Personen einen persönlichen Schlüssel (oder „PGP-Key“). Du hast vermutlich noch keinen persönlichen Schlüssel. Wähle „Schlüssel hinzufügen“ aus, um einen neuen Schlüssel zu erstellen:

Du kannst jetzt auswählen auf welche Identität der Schlüssel erstellt werden soll. Falls du mehrere Identitäten für das selbe Postfach eingerichtet hast, könntest du hier die passende Identität auswählen.

Es ist nicht ratsam ein „unendliches“ Ablaufdatum zu wählen. 3 Jahre ist für die meisten Fälle gut. Du kannst das Ablaufdatum nachträglich ändern.

Mit Schlüsseltyp und -Größe ist der kryptografische Algorithmus gemeint, du kannst den vorgeschlagenen Wert so lassen.

Nun wirst du nach Bestätigung gefragt:

Glückwunsch! Du hast deinen persönlichen PGP-Schlüssel erstellt. In den Einstellungen wird jetzt angezeigt dass du einen passenden Schlüssel für dein Mailkonto hast und dass dieser Schlüssel benutzt werden soll:

3.2 Standardmäßige Verschlüsselung

Du besitzt jetzt einen privaten Schlüssel und kannst einzelne E-Mails verschlüsseln. Damit du es nicht vergisst, und versehentlich vertrauliche Inhalte unverschlüsselt versendest, solltest du unbedingt weiter unten im Menü einstellen standardmäßig zu verschlüsseln. Es wird dann immer noch möglich sein, jemandem, die kein OpenPGP verwenden, unverschlüsselt zu schreiben, aber du wirst es bewusst für jede einzelne Mail auswählen müssen.

Es ist außerdem empfohlen, Nachrichten standardmäßig zu unterschreiben.

Und fertig. Du kannst die Konto-Einstellungen jetzt schließen.

4. Verschlüsselt miteinander kommunizieren

4.1 Nachrichten empfangen

Thunderbird wird verschlüsselte E-Mails an dich automatisch entschlüsseln. Oben rechts in der Ansicht einer Mail kannst du sehen, wenn eine Mail verschlüsselt und/oder signiert ist:

4.2 Verschlüsselte Nachrichten senden

Um eine verschlüsselte Nachricht zu senden, benötigst du den öffentlichen Schlüssel der anderen Person. Wenn andere dir ihren Schlüssel per Mail senden, kannst du mit Rechtsklick auf den Anhang auswählen ob den Schlüssel importieren möchtest.

Oft musst du den Schlüssel als Datei irgendwo herunterladen oder als Text kopieren. In der Schlüsselverwaltung (Im Menü unter „Extras → OpenPGP-Schlüssel verwalten“) kannst du öffentliche Schlüssel als Dateien oder aus der Zwischenablage kopieren. Du kannst auch unter „Schlüsselserver → Schlüssel online finden“ schauen, ob jemand ihren öffentlichen Schlüssel auf einem Schlüssel-Server oder per „Web Key Directory“ hinterlegt hat (lies unten weiter, was das ist).

Bevor du einen öffentlichen Schlüssel zum Verschlüsseln benutzen kannst, musst du ihn als vertrauenswürdig einstufen (Wie zuvor erklärt, ist die User-ID an sich noch kein Beweis dafür, dass der Schlüssel authentisch ist). Du kannst das direkt beim Importieren eines Schlüssels tun. Ansonsten wirst du vor dem Absenden an einen unverifizierten Schlüssel gefragt werden:

4.3 Öffentliche Schlüsselserver

Damit andere dir verschlüsselt schreiben können, brauchen sie deinen PGP-Schlüssel. Beim Verfassen einer neuen Nachricht kannst du über den Button „Sicherheit“ auswählen, dass dein öffentlicher Schlüssel als Anhang versendet wird.

Bequemer ist es aber, deinen Öffentlichen Schlüssel über einen öffentlichen Schlüssel-Server wie https://keys.openpgp.org/ bekannt zu machen: So kann jede:r deinen öffentlichen Schlüssel finden und dir verschlüsselt schreiben, ohne vorher mit dir Schlüssel ausgetauscht zu haben.

Als Systemli-Nutzerin kannst du in der Account-Verwaltung deinen öffentlichen Schlüssel auch über das „Web Key Directory“ von Systemli öffentlich machen. Diese Methode ist sogar relativ sicher, weil andere so wissen können dass du als Besitzerin einer Mail-Adresse diesen Schlüssel veröffentlich hast (Fingerprints vergleichen schadet trotzdem nicht).

Um deinen Schlüssel über den Browser hochzuladen, musst du den öffentlichen Schlüsselteil in einer Datei speichern. In der Schlüsselverwaltung kannst du mit Rechtsklick auf deinen persönlichen Schlüssel auswählen, den öffentlichen Schlüssel in eine Datei zu exportieren.

howto/howto/thunderbird78_pgp.1606950102.txt.gz · Zuletzt geändert: 2020/12/03 00:01 von yadda