Benutzer-Werkzeuge

Webseiten-Werkzeuge


howto:howto:thunderbird78_pgp

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
howto:howto:thunderbird78_pgp [2020/12/03 00:52]
yadda typos etc
howto:howto:thunderbird78_pgp [2021/01/24 12:35] (aktuell)
yadda [6. Ablaufdatum deines persönlichen Schlüssels verändern]
Zeile 3: Zeile 3:
 ===== 1. Vorbereitung ===== ===== 1. Vorbereitung =====
  
-Bei vielen Linux-Betriebssystemen ​ist Thunderbird bereits vorinstalliert. Benutze ​deinen ​ansonsten deinen Software-Manager oder lade das Programm ​auf der offiziellen Webseite vom Thunderbird-Projekt herunter: https://​www.thunderbird.net/​+Bei Ubuntu ​ist Thunderbird bereits vorinstalliert. Benutze ansonsten deinen Software-Manager oder lade es auf der offiziellen Webseite vom Thunderbird-Projekt herunter ​um es zu installieren: https://​www.thunderbird.net/​
  
 Bei älteren Versionen von Thunderbird war es für das Verschlüsseln von Mails nötig, zusätzliche Software zu installieren. Seit Version 78 ist das einfacher: Die Funktionalität zum Verschlüsseln nach OpenPGP-Standard ist jetzt bei Thunderbird eingebaut. Nachdem du Thunderbird installiert hast, kannst du im Menü unter "Hilfe -> Über Thunderbird"​ ein Info-Fenster aufrufen, um sicherzugehen welche Version benutzt. Bei älteren Versionen von Thunderbird war es für das Verschlüsseln von Mails nötig, zusätzliche Software zu installieren. Seit Version 78 ist das einfacher: Die Funktionalität zum Verschlüsseln nach OpenPGP-Standard ist jetzt bei Thunderbird eingebaut. Nachdem du Thunderbird installiert hast, kannst du im Menü unter "Hilfe -> Über Thunderbird"​ ein Info-Fenster aufrufen, um sicherzugehen welche Version benutzt.
  
 Bevor du die Verschlüsselung einrichten kannst, solltest du dein [[howto:​howto:​thunderbird_systemli|E-Mail-Konto in Thunderbird eingerichtet]] haben. Bevor du die Verschlüsselung einrichten kannst, solltest du dein [[howto:​howto:​thunderbird_systemli|E-Mail-Konto in Thunderbird eingerichtet]] haben.
 +
 +----
  
 ===== 2. OpenPGP verstehen ===== ===== 2. OpenPGP verstehen =====
  
-Um E-Mails mit OpenPGP zu verschlüsseln,​ ist es nötig ein bisschen ​das Konzept dahinter zu verstehen. ​+Um E-Mails mit OpenPGP zu verschlüsseln,​ ist es hilfreich ​das Konzept dahinter zu verstehen. ​ 
 + 
 +OpenPGP funktioniert über sogenannte "​public key cryptography"​. Das funktioniert grundlegend anders als die Verschlüsselung mithilfe von Passwörtern:​ Wenn man einen Inhalt mit einem Passwort verschlüsselt,​ sind alle die das Passwort kennen in der Lage, diesen Inhalt oder diese Nachrichten zu entschlüsseln. OpenPGP funktioniert hingegen so, dass Nachrichten für die Besitzerin eines öffentlichen OpenPGP-Schlüssels verschlüsselt werden: Nur die Besitzerin dieses PGP-Schlüssels soll in der Lage sein, die Nachricht zu entziffern. Für dieses Verfahren ist ein PGP-Schlüssel in zwei Teile unterteilt: ​
  
-OpenPGP funktioniert über sogenannte "​public key cryptography"​Das funktioniert grundlegend anders als die Verschlüsselung mithilfe von Passwörtern:​ Wenn man einen Inhalt mit einem Passwort verschlüsseltsind alle die das Passwort kennen in der Lage, diesen Inhalt ​oder diese Nachrichten zu entschlüsselnOpenPGP funktioniert hingegen sodass Nachrichten für die Besitzerin eines OpenPGP-Schlüssels verschlüsselt werden: Nur die Besitzerin ​dieses PGP-Schlüssels soll in der Lage sein, die Nachricht zu entziffernFür dieses Verfahren ist ein PGP-Schlüssel ​in zwei Teile unterteilt: ​+  - Der eine Teil ist der **öffentliche Schlüssel**Diesen Teil kannst du auf deiner Webseite hochladenanderen als Mail-Anhang senden ​oder anderweitig verteilenDie Information, die im öffentlichen Schlüssel-Teil gespeichert ist, können andere benutzen, um eine Nachricht an die Besitzerin ​des privaten Schlüssel-Teils eine Nachricht zu **ver**schlüsseln 
 +  ​Der andere Teil ist der **private ​Schlüssel**. Diesen Teil hat nur die Besitzerin selbst, und er wird benötigt um Nachrichten an diese Person zu **ent**schlüsseln.
  
-  - Der eine Teil ist der **private Schlüssel**. Diesen Teil hat nur die Besitzerin selbst, und er wird benötigt um Nachrichten zu **ent**schlüsseln. 
-  - Der andere Teil ist der **öffentliche Schlüssel**. Diesen Teil kannst du auf deiner Webseite hochladen, anderen als Mail-Anhang senden oder anderweitig verteilen. Die Information,​ die im öffentlichen Schlüssel-Teil gespeichert ist, können wiederum andere benutzen, um eine Nachricht an die Besitzerin des privaten Schlüssel-Teils eine Nachricht zu **ver**schlüsseln. ​ 
  
 ==== 2.1 Digitale Signaturen ==== ==== 2.1 Digitale Signaturen ====
Zeile 22: Zeile 25:
 PGP-Schlüssel haben außerdem noch eine andere Funktion: Nachrichten mit unfälschbaren //digitale Signaturen// ​ zu erstellen. So können zwei Beteiligte einer Unterhaltung nicht nur sichergehen,​ dass die Nachrichten nicht mitgelesen können: Sondern auch, dass die Person, von der du Nachrichten erhältst, wirklich diejenige ist, die du erwartest. ​ PGP-Schlüssel haben außerdem noch eine andere Funktion: Nachrichten mit unfälschbaren //digitale Signaturen// ​ zu erstellen. So können zwei Beteiligte einer Unterhaltung nicht nur sichergehen,​ dass die Nachrichten nicht mitgelesen können: Sondern auch, dass die Person, von der du Nachrichten erhältst, wirklich diejenige ist, die du erwartest. ​
  
-Wer deinen öffentlichen Schlüssel besitzt, kann diesen also nicht nur benutzen, um die verschlüsselt zu schreiben: Ihr Mail-Programm kann deinen öffentlichen Schlüssel auch mit der digitalen Signatur deiner Mails vergleichen,​ und erkennen dass nur die Besitzerin des zugehörigen privaten Schlüssels diese Signatur erstellt haben kann.+Wer deinen öffentlichen Schlüssel besitzt, kann diesen also nicht nur benutzen, um die verschlüsselt zu schreiben: Ihr Mail-Programm kann deinen öffentlichen Schlüssel auch mit der digitalen Signatur deiner Mails vergleichen,​ und erkennen dass nur die Besitzerin des zugehörigen privaten Schlüssels diese Signatur erstellt haben kann und dass der Inhalt der Nachricht nicht nachträglich verändert wurde.
  
 ==== 2.2 Fingerprints ==== ==== 2.2 Fingerprints ====
Zeile 31: Zeile 34:
  
 Im Fall der Systemli-Admins kannst du wohl vertrauen, dass niemand sonst die Inhalte auf der Webseite verändern wird. Du kannst also einigermaßen sicher sein, dass du den auf der Webseite genannten Schlüssel für die Kommunikation mit ihnen benutzen kannst. Es haben aber nicht alle eine eigene Webseite, in vielen Fällen ist es nötig jemanden persönlich zu treffen, anzurufen oder irgendwie anders sicherzugehen,​ dass der Schlüssel den man von jemandem zu haben glaubt authentisch ist. Im Fall der Systemli-Admins kannst du wohl vertrauen, dass niemand sonst die Inhalte auf der Webseite verändern wird. Du kannst also einigermaßen sicher sein, dass du den auf der Webseite genannten Schlüssel für die Kommunikation mit ihnen benutzen kannst. Es haben aber nicht alle eine eigene Webseite, in vielen Fällen ist es nötig jemanden persönlich zu treffen, anzurufen oder irgendwie anders sicherzugehen,​ dass der Schlüssel den man von jemandem zu haben glaubt authentisch ist.
 +
 +
 +----
 +
  
 ===== 3. Verschlüsselung in Thunderbird einrichten ===== ===== 3. Verschlüsselung in Thunderbird einrichten =====
Zeile 70: Zeile 77:
  
 Und fertig. Du kannst die Konto-Einstellungen jetzt schließen. Und fertig. Du kannst die Konto-Einstellungen jetzt schließen.
 +
 +----
  
 ===== 4. Verschlüsselt miteinander kommunizieren ===== ===== 4. Verschlüsselt miteinander kommunizieren =====
  
-==== 4.1 Nachrichten empfangen ==== 
  
-Thunderbird wird verschlüsselte E-Mails an dich automatisch entschlüsselnOben rechts in der Ansicht einer Mail kannst du sehen, wenn eine Mail verschlüsselt und/oder signiert ist: +==== 4.1 Öffentliche Schlüssel erhalten ====
  
-{{ :howto:​howto:​tb-crypt-view.png?​nolink&​300 |}}+Um eine verschlüsselte Nachricht zu senden, oder Signaturen in Mails zu überprüfen die dir von anderen geschickt wurden, musst du vorher den öffentlichen Schlüssel der anderen Person bei Thunderbird importiert haben:
  
 +=== a) Als Mail-Anhang ===
  
-==== 4.2 Verschlüsselte Nachrichten ​senden ​====+Wenn andere dir ihren Schlüssel per Mail senden, bietet Thunderbird beim Rechtsklick auf den Anhang an, den Schlüssel zu importieren
  
-Um eine verschlüsselte Nachricht zu senden, benötigst du den öffentlichen Schlüssel der anderen Person. Wenn andere dir ihren Schlüssel per Mail senden, kannst du mit Rechtsklick auf den Anhang auswählen ob den Schlüssel importieren möchtest. ​+=== b) Als Datei oder Text ===
  
-Oft musst du den Schlüssel als Datei irgendwo herunterladen oder als Text kopieren. In der Schlüsselverwaltung (Im Menü unter "​Extras -> OpenPGP-Schlüssel verwalten"​) kannst du öffentliche Schlüssel als Dateien oder aus der Zwischenablage importieren. ​Du kannst ​auch unter "​Schlüsselserver -> Schlüssel online finden"​ schauen, ob jemand ihren öffentlichen Schlüssel auf einem Schlüssel-Server ​oder per "Web Key Directory" ​hinterlegt hat (lies unten weiter, was das ist). +Oft musst du den Schlüssel als Datei irgendwo herunterladen oder als Text von einer Webseite ​kopieren. In der Schlüsselverwaltung (Im Menü unter "​Extras -> OpenPGP-Schlüssel verwalten"​) kannst du öffentliche Schlüssel als Dateien oder aus der Zwischenablage importieren. ​ 
 + 
 +=== c) Online suchen === 
 + 
 +Ebenfalls in der Schlüsselverwaltung ​kannst ​du unter "​Schlüsselserver -> Schlüssel online finden"​ schauen, ob jemand ihren öffentlichen Schlüssel auf einem Schlüsselserver ​oder per //Web Key Directory// hinterlegt hat (lies unten weiter, was das ist).  
 + 
 +==== 4.2 Öffentliche Schlüsseln als vertrauenswürdig einstufen ====
  
 Bevor du einen öffentlichen Schlüssel zum Verschlüsseln benutzen kannst, musst du ihn als vertrauenswürdig einstufen (Wie zuvor erklärt, ist die User-ID an sich noch kein Beweis dafür, dass der Schlüssel authentisch ist). Du kannst das direkt beim Importieren eines Schlüssels tun. Ansonsten wirst du vor dem Absenden an Adressen ohne verifizierte Schlüssel gefragt werden: Bevor du einen öffentlichen Schlüssel zum Verschlüsseln benutzen kannst, musst du ihn als vertrauenswürdig einstufen (Wie zuvor erklärt, ist die User-ID an sich noch kein Beweis dafür, dass der Schlüssel authentisch ist). Du kannst das direkt beim Importieren eines Schlüssels tun. Ansonsten wirst du vor dem Absenden an Adressen ohne verifizierte Schlüssel gefragt werden:
Zeile 90: Zeile 105:
 {{ :​howto:​howto:​tb-crypt-trust.png?​nolink&​700 |}} {{ :​howto:​howto:​tb-crypt-trust.png?​nolink&​700 |}}
  
-==== 4.3 Öffentliche Schlüsselserver ​====+==== 4.3 Deinen öffentlichen Schlüssel bekanntmachen ​====
  
-Damit andere dir verschlüsselt schreiben können, brauchen sie deinen PGP-SchlüsselBeim Verfassen einer neuen Nachricht kannst du über den Button "​Sicherheit"​ auswählen, dass dein öffentlicher Schlüssel als Anhang versendet wird. +Damit andere dir verschlüsselt schreiben können, brauchen sie deinen PGP-Schlüssel
 + 
 +=== a) Per Mail senden === 
 + 
 +Beim Verfassen einer neuen Nachricht kannst du über den Button "​Sicherheit"​ auswählen, dass dein öffentlicher Schlüssel als Anhang versendet wird.  
 + 
 +=== b) Öffentliche Schlüsselserver ===
  
 Bequemer ist es aber, deinen Öffentlichen Schlüssel über einen öffentlichen Schlüssel-Server wie https://​keys.openpgp.org/​ bekannt zu machen: So kann jede:r deinen öffentlichen Schlüssel finden und dir verschlüsselt schreiben, ohne vorher mit dir Schlüssel ausgetauscht zu haben. ​ Bequemer ist es aber, deinen Öffentlichen Schlüssel über einen öffentlichen Schlüssel-Server wie https://​keys.openpgp.org/​ bekannt zu machen: So kann jede:r deinen öffentlichen Schlüssel finden und dir verschlüsselt schreiben, ohne vorher mit dir Schlüssel ausgetauscht zu haben. ​
  
-Als Systemli-Nutzerin kannst du in der [[https://​users.systemli.org|Account-Verwaltung]] deinen öffentlichen Schlüssel auch über das "Web Key Directory" ​von Systemli öffentlich machen. Diese Methode ist sogar relativ sicher, weil andere so wissen können dass du, als Besitzerin einer Mail-Adresse ​und mit Zugriff auf deinen Systemli-Account,​ diesen Schlüssel veröffentlich hast (Fingerprints vergleichen schadet trotzdem nicht). ​+=== c) Web Key Directory === 
 + 
 +Als Systemli-Nutzerin kannst du in der [[https://​users.systemli.org|Account-Verwaltung]] deinen öffentlichen Schlüssel auch über das //Web Key Directory// von Systemli öffentlich machen. Diese Methode ist sogar relativ sicher, weil andere so wissen können dass du, als Besitzerin einer Adresse mit Zugriff auf deinen Systemli-Account,​ diesen Schlüssel veröffentlich hast (Fingerprints vergleichen schadet trotzdem nicht). ​ 
 + 
 +=== d) Als Datei speichern === 
 + 
 +Um deinen Schlüssel über den Browser hochzuladen,​ musst du den öffentlichen Schlüsselteil in einer Datei speichern. In der Schlüsselverwaltung kannst du mit Rechtsklick auf deinen persönlichen Schlüssel auswählen, den öffentlichen Schlüssel in eine Datei zu exportieren oder als Text in die Zwischenablage zu kopieren.  
 + 
 +==== 4.4 Verschlüsselte Nachrichten empfangen ==== 
 + 
 +Thunderbird wird verschlüsselte E-Mails an dich automatisch entschlüsseln. Oben rechts in der Ansicht einer Mail kannst du sehen, ob eine Mail verschlüsselt und/oder signiert ist.  
 + 
 +{{ :​howto:​howto:​tb-crypt-view.png?​nolink&​300 |}} 
 + 
 +==== 4.5 Verschlüsselte Nachrichten senden ==== 
 + 
 +Wenn du eingestellt hast dass Nachrichten standardmäßig verschlüsselt werden sollen, musst du nichts weiter machen. In der unteren Statusleiste wird mit einem kleinen Schloss angezeigt werden, dass die Nachricht verschlüsselt wird: 
 + 
 +{{ :​howto:​howto:​tb-crypt-send1.png?​nolink&​500 |}} 
 + 
 +Falls du für die Empfänger:​innen keinen passenden Schlüssel hast, oder zwar den Schlüssel importiert aber nicht beglaubigt hast, wird Thunderbird eine Fehlermeldung zurückgeben und deine Nachricht nicht versenden.  
 + 
 +Über den Button "​Sicherheit"​ kannst du beim Verfassen einer Nachricht manuell einstellen, ob sie verschlüsselt und/oder signiert werden soll. 
 + 
 + 
 +---- 
 + 
 + 
 +===== 5. Deinen persönlichen Schlüssel sicher verwahren ===== 
 + 
 +==== 5.1 Master-Passwort für Thunderbird ==== 
 + 
 +Thunderbird hinterlegt deinen privaten Schlüssel und deine Login-Passwörter für deine Mail-Konten in einer Datenbank auf dem Gerätespeicher. Es ist empfohlen, unter "​Einstellungen -> Datenschutz & Sicherheit"​ ein Master-Passwort zu setzen, mit dem diese geschützt werden. Das Master-Passwort wird bei jedem Programmstart abgefragt und schützt die verschlüsselten Mails in deinem Postfach auch vor Personen mit Zugriff auf dein Gerät.  
 + 
 +==== 5.2 Backup ==== 
 + 
 +Solltest du deinen persönlichen Schlüssel verlieren, wirst du nicht mehr in der Lage sein verschlüsselte Mails an zu entschlüsseln,​ selbst wenn du Zugriff auf dein Mail-Postfach hast. Es ist ratsam, eine Kopie deines PGP-Schlüssels auf einem anderen Computer oder Datenträger zu haben.  
 + 
 +In der Schlüsselverwaltung kannst du das über das Menü "Datei -> Sicherheitskopie für geheime(n) Schlüssel erstellen)"​ machen. Du wirst beim Exportieren aufgefordert ein Passwort zu setzen, mit dem die Schlüssel-Kopie geschützt wird.  
 + 
 + 
 + 
 +---- 
 + 
 + 
 +===== 6. Ablaufdatum deines persönlichen Schlüssels verändern ===== 
 + 
 +Ein PGP-Schlüssel wird mit einer festgelegten Gültigkeitsdauer erstellt. Nach Ablaufdatum ist es nicht mehr möglich, Mails an die Besitzerin zu verschlüsseln oder als Besitzerin digitale Signaturen zu machen (bber auch mit einem abgelaufenen Schlüssel kannst du bereits verschlüsselte Mails entschlüsseln). 
 + 
 +Wenn dein Schlüssel abläuft, ist es nicht nötig einen ganz neuen Schlüssel zu erstellen. Als Besitzerin kannst du das Ablaufdatum jederzeit verändern. Wähle in der Schlüsselverwaltung ("​Extras -> OpenPGP-Schlüssel verwalten"​) deinen privaten Schlüssel aus. Oben rechts in der Schlüsseleinstellung kannst du das Ablaufdatum verändern:  
 + 
 +{{ :​howto:​howto:​tb-crypt-expiration1.png?​nolink&​700 |}} 
 + 
 +Es ist nicht empfohlen, kein Ablaufdatum zu setzen. Solltest du jemals den Zugriff auf den Schlüssel verlieren, könntest du ihn nicht mehr für ungültig erklären. Andere die noch im Besitz deines öffentlichen Schlüssel sind könnten den Schlüssel noch Jahre später benutzen, um Mails an dich zu verschlüsseln,​ die du dann nicht mehr entschlüsseln kannst.  
 + 
 +{{ :​howto:​howto:​tb-crypt-expiration2.png?​nolink&​700 |}} 
 + 
 +Nachdem du deinen Schlüssel aktualisiert hast, musst du die Veränderungen nur noch [[howto:​howto:​thunderbird78_pgp#​deinen_oeffentlichen_schluessel_bekanntmachen|bekanntmachen]]
  
-Um deinen Schlüssel über den Browser hochzuladen,​ musst du den öffentlichen Schlüsselteil in einer Datei speichern. In der Schlüsselverwaltung kannst du mit Rechtsklick auf deinen persönlichen Schlüssel auswählen, den öffentlichen Schlüssel in eine Datei zu exportieren. ​ 
  
howto/howto/thunderbird78_pgp.1606953163.txt.gz · Zuletzt geändert: 2020/12/03 00:52 von yadda