Benutzer-Werkzeuge

Webseiten-Werkzeuge


howto:howto:thunderbird_gpg

E-Mails verschlüsseln mit gpg und Thunderbird

Inhaltsverzeichnis

  1. Intro
  2. Software-Installation und Einrichtung unter Linux
  3. Software-Installation und Einrichtung unter Windows
  4. Kommunikation verschlüsseln (in Thunderbird)
  5. Die nächsten Schritte:
    1. Schlüsselpaar erzeugen
    2. Widerrufszertifikat erzeugen
    3. eigenen Öffentlichen Schlüssel verteilen
    4. fremde Öffentliche Schlüssel importieren
    5. mittels Fingerprint beglaubigen/unterschreiben
  6. Fast geschafft: verschlüsselte E-Mails schreiben und empfangen
  7. last but not least: wichtige Verhaltensweisen im Umgang mit Schlüsseln

Intro

Dies ist nur eine (weitere) kleine Anleitung, um auf deinem Rechner die nötigen Programme zu installieren, damit du möglichst simpel E-Mails verschlüsseln kannst. Zu Beginn wird es etwas kompliziert wirken, aber nach den ersten paar Mal ausprobieren wird sich sicher zeigen, dass es auch nicht komplizierter ist als sich bei deinem gewohnten E-Mail-Anbieter per Browser anzumelden und den normalen Kram mit E-Mails zu machen. Diese Anleitung soll dich beim Einrichten und den ersten Schritten unterstützen. Am Ende bist du in der Lage, mit deinen E-Mail-Kontakten verschlüsselt hin und her zu mailen, mit deinen und fremden Schlüsseln umzugehen sowie Vertrauensregeln festzulegen. Für ein besseres Verständnis und auch sichereres Arbeiten findest du hier einige andere vertiefenden Einführungen und Anleitungen, in die es sich lohnt mal einen Blick zu werfen:

Benötigt werden: GnuPG + Thunderbird + Enigmail + E-Mail-Konto


Software-Installation und Einrichtung unter Linux

1.GnuPG: sollte bereits installiert sein. Welche Version du hast kannst du mit folgendem Befehl rausfinden:

 gpg --version 

→ Ausgabe z.B.: gpg (GnuPG) 1.4.14 (Die aktuelle Version sollte mind Version 1.4.x sein

2.Thunderbird ist in der Regel bereits installiert

3.Enigmail kann über das Software-Center installiert werden

oder per Befehl über

sudo apt-get install enigmail 

und das deutsche Sprachpaket mittels

sudo apt-get install enigmail-locale-de 

4.Thunderbird Einstellungen

Nach einem Neustart von Thunderbird ist nun ein neues Menü vorhanden: „OpenPGP“.

4.1 Pfad kontrollieren

Ein letzter Schritt ist eventuell noch erforderlich. Im Menü „OpenPGP → Einstellungen“ muss unter „Pfad zur GnuPG Anwendung“ folgendes eingetragen werden: /usr/bin/gpg, falls es nicht schon angegeben ist.

4.2 Verschlüsselung aktivieren

Die Verschlüsselung muss in Thunderbird aktiviert werden:

1) Menü: „Bearbeiten → Konten-Einstellungen“ Hier findest du dein angelegtes Konto (mehrere, falls du mehrere E-Mail-Adressen benutzt benutzt und angelegt hast). Zu jedem Konto findest du verschiedene Unterpunkte. Zu jedem Konto findet sich der Punkt OpenPGP-Sicherheit. Dort musst du den Haken in das Kästchen bei „OpenPGP Unterstützung für diese Identität aktivieren“ setzen und „E-Mail-Adresse dieses Kontos verwenden, um OpenPGP-Schlüssel zu identifizieren“ auswählen, du kannst hierbei selbstverständlich auch die Option „Spezielle Open-Gpg-SchlüsselID verwenden“ und deinen Schlüssel manuell auswählen - dazu musst du aber zuerst deinen Schlüssel erstellt haben (siehe unten).

4.3 „OpenPGP → Einstellungen“

Auf die Fläche „Experten-Optionen anzeigen“ klicken. Es werden mehrere neue Reiter sichtbar. Hier den Reiter „Senden“ auswählen. Hier das Häkchen von „Schlüsseln immer vertrauen“ entfernen. Diese geänderte Einstellung bewahrt Dich davor, eine verschlüsselte E-Mail an eine Person zu senden, deren Schlüssel Du nicht vertrauet. Enigmail zwingt Dich auf diese Weise dazu, dich zunächst davon zu überzeugen, dass dieser Schlüssel tatsächlich der öffentliche Schlüssel des Empfängers ist. Wenn Du dies geprüft hast, bestätigst Du es durch deine digitale Unterschrift (siehe xxx). Enigmail wird Dich danach nie wieder wegen dieses Schlüssels behelligen.


Software-Installation und Einrichtung unter Windows

1.GnuPG: Hier heisst das Programm GPG4win und kann über folgende Seite installiert werden http://www.gpg4win.de/

2.Thunderbird: Kann über diesen Link installiert werden http://www.mozilla.org/de/thunderbird/ Nach einem Neustart von Thunderbird ist nun ein neues Menü vorhanden: „OpenPGP“. Ein letzter Schritt ist eventuell noch erforderlich. Im Menü „OpenPGP → Einstellungen“ muss unter „Pfad zur GnuPG Anwendung“ folgendes eingetragen werden, falls es nicht schon angegeben ist.: C:\Program Files\GnuPG\gpg.exe oder C:\Programme\GnuPG\gpg.exe (je nachdem, wo es installiert wurde)

3.Enigmail: Ist ein Add-on für Thunderbird und stellt eine grafische Oberfläche für die Verschlüsselung zur Verfügung. Die Verschlüsselung selbst wird von GnuPG vorgenommen und sollte daher bereits installiert sein. In Thunderbird über das Menü: Extras → Add-ons in der Suche Enigmail eingeben und installieren (evtl. musst du bei den Suchergebnissen auf „alle Ergebnisse anzeigen“ klicken, um Enigmail zu sehen und installieren zu können.)

4.Thunderbird-Einstellungen:

4.1 Verschlüsselung aktivieren Menü: „Bearbeiten → Konten-Einstellungen“ Hier findest du dein angelegtes Konto (mehrer, falls du mehrere E-Mails benutzt und angelegt hast). Zu jedem Konto findest du verschiedene Unterpunkte. Zu jedem Konto findet sich der Punkt OpenPGP-Sicherheit. Dort musst du den Haken in das Kästchen bei „OpenPGP Unterstützung für diese Identität aktivieren“ setzen und „E-Mail-Adresse dieses Kontos verwenden, um OpenPGP-Schlüssel zu identifizieren“ auswählen.

4.2 „OpenPGP → Einstellungen“

Auf die Fläche „Experten-Optionen anzeigen“ klicken. Es werden mehrere neue Reiter sichtbar. Hier den Reiter „Senden“ auswählen. Hier das Häkchen von „Schlüsseln immer vertrauen“ entfernen. Diese geänderte Einstellung bewahrt Dich davor, eine verschlüsselte E-Mail an eine Person zu senden, deren Schlüssel Du nicht vertrauest. Enigmail zwingt Dich auf diese Weise dazu, dich zunächst davon zu überzeugen, dass dieser Schlüssel tatsächlich der öffentliche Schlüssel des Empfängers ist. Wenn Du dies geprüft hast, bestätigst Du es durch deine digitale Unterschrift (siehe „5. Schlüssel beglaubigen/unterschreiben“ ). Enigmail wird Dich danach nie wieder wegen dieses Schlüssels behelligen.


Kommunikation verschlüsseln (in Thunderbird)

Diese Punkte sind für Windows und Linux gleich - das Aussehen der Fenster wird sich aber unterscheiden - davon sollte man sich nicht verwirren lassen.

Starte Thunderbird. Über den neuen Menüpunkt „OpenPGP → Schlüssel verwalten…“ könnt ihr

  • Ein eigenes Schlüsselpaar für ein E-Mail-Konto erstellen („Erzeugen → Neues Schlüsselpaar…“)
  • Das eigene Schlüsselpaar (öffentlich und/oder geheim) in einer Datei speichern: Eigenes, fett gedrucktes Schlüsselpaar auswählen, dann („Datei → exportieren“)
  • öffentliche Schlüssel anderer importieren („Datei → importieren“)
  • öffentlichen Schlüssel per Mail verschicken: Einen Schlüssel anwählen, dann („Datei → Öffentliche Schlüssel per Mail versenden“)

Die nächsten Schritte:

  • 1) Schlüsselpaar erzeugen
  • 2) Widerrufszertifikat erzeugen
  • 3) eigenen Öffentlichen Schlüssel verteilen
  • 4) fremde Öffentliche Schlüssel importieren
  • 5) mittels Fingerprint beglaubigen/unterschreiben

1. Über Enigmail einen GPG-Schlüssel für ein E-Mail-Konto erstellen

Öffne über „OpenPGP –> Schlüssel verwalten…“ die Schlüsselverwaltung. Hier öffnest du über „Erzeugen –> Neues Schlüsselpaar…“ den Dialog, um das Schlüsselpaar zu erzeugen.

Setzte bei „Schlüssel zum unterschreiben verwenden“ einen Haken, falls dort noch keiner ist. Dann tippe die Passphrase ein. Diese sollte möglichst aus 18 Zeichen bestehen, Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen (AbCd23„!) enthalten und trotzdem merkbar sein. Auf Umlaute verzichten! Beispiel aus dem Internet: „We could be heroes just for one day“ –> “!=!wCbH7f0D#?!„

Ablaufdatum festlegen

Neben dem Reiter „Ablaufdatum“ auf den Reiter „Erweitert“ klicken. Hier Schlüsselstärke „4096“ und „RSA“ auswählen und „Schlüsselpaar erzeugen“ drücken. Das generieren des Schlüssels dauert eine Weile. Hierfür werden Zufallszahlen gesammelt. In der Zwischenzeit am besten wild Programme öffnen und schliessen, im Browser durch die Seiten klicken und hin und her scrollen.


2. Widerrufszertifikat erzeugen

Im Anschluss ein Widerrufszertifikat erzeugen, um den Schlüssel eventuell für ungültig erklären zu können. Auf „Zertifikat erzeugen“ klicken. Du wirst aufgefordert dein Passwort einzugeben. Gib es ein und klick auf „entsperren“

Es ist geschafft! Du hast dein eigenes Schlüsselpaar erzeugt.


3. eigenen Öffentlichen Schlüssel verteilen

a) öffentlichen Schlüssel per Mail versenden

Wie oben beschrieben kannst du den öffentlichen Schlüssel nun über die Schlüsselverwaltung („OpenPGP → Schlüssel verwalten…“) per Mail an deine Kontakte, von denen du verschlüsselte Mails erhalten willst versenden. Hierfür wählst du deinen Schlüssel an und gehst denn im Menü über („Datei → Meinen öffentlichen Schlüssel per Mail versenden). Es sollte sich eine neue Nachricht öffnen in der dein öffentlicher Schlüssel bereits als Anhang enthalten ist.

Alternativ kannst du auch beim Verfassen einer Mail über das Thunderbird-Menü ( „OpenPGP → Meinen öffentlichen Schlüssel anhängen“) den Schlüssel anhängen und so jedes Mal mitschicken.

b) (öffentlichen) Schlüssel in Datei exportieren

Du kannst den öffentlichen Schlüssel auch über die Schlüsselverwaltung exportieren und z.b. auf einem Stick speichern und so weitergeben. Hierfür mit Rechts-Klick auf den Schlüssel klicken und oben im Menü „In Datei exportieren…“ auswählen. !Hier nur „Nur öffentliche Schlüssel exportieren“ auswählen! Ansonsten gibst du deinen privaten Schlüssel weiter und der Schlüssel kann nicht mehr als sicher gelten!

In der Datei erkennst du den öffentlichen (public) Schlüssel an der Endung xxxpub.asc z.B: test benutzer@example.com (0xDA2AF660) pub.asc Das gesamte Schlüsselpaar (public+secret) endet auf pub-sec: test benutzer@example.com (0xDA2AF660) pub-sec.asc

c) öffentlichen Schlüssel an Schlüsselserver senden

Die dritte Variante ist den Schlüssel auf einen Server hochzuladen. So können alle, die dir eine verschlüsselte Mail schicken wollen, aber deinen öffentlichen Schlüssel noch nicht haben, dort nachsehen, ob du einen hinterlegt hast.


4. andere Schlüssel importieren und beglaubigen

Genauso, wie du deinen öffentlichen Schlüssel verteilt hast (versenden über die Schlüsselverwaltung/über Stick/über einen Schlüsselserver) können andere dir ihren öffentlichen Schlüssel zukommen lassen.

a) als Anhang importieren Entweder per Mail: Mit Rechts-Klick auf den Anhang und dann „OpenPGP-Schlüssel importieren…“. Enigmail legt ihn dann automatisch in der Schlüsselverwaltung ab.

b) als Text/aus Text importieren Hat dir jemand seinen Schlüssel als Text geschickt, kannst du auch ihn auch so importieren: Alles markieren (von BLOCK BEGIN bis BLOCK END inklusive “—-„ ) und in den Zwischenspeicher kopieren (Strg+C). Im Menü der Schlüsselverwaltung („OpenPGP → Schlüssel verwalten…“) kannst du über („Bearbeiten → Aus Zwischenablage importieren“) auch einen Schlüssel einfügen.

c) über einen Schlüssel-Server Du kannst auf einem Server nach dem Schlüssel suchen: Im Menü der Schlüsselverwaltung („Schlüssel-Server → Schlüssel suchen…“)

Wer will kann auch über („Schlüssel-Server → Schlüssel für alle Kontakte“) nach eben jene suchen.


5. Schlüssel beglaubigen/unterschreiben

1) Fingerabdruck überprüfen Zum Schluss musst du noch die Richtigkeit der erhaltenen Schlüssel überprüfen. Dies geschieht über den Fingerabdruck, den du abgleichen musst. In der Schlüsselverwaltung → Rechts-Klick auf den Schlüssel → Schlüsseleigenschaften.

Den Fingerabdruck musst du auf einem verlässlichem Weg erhalten. Entweder persönlich, aufgeschrieben auf einem Zettel oder über eine andere verschlüsselte Verbindung , wenn du dir sicher bist, dass du auch wirklich mit der richtigen Person sprichst.

2) fremden Schlüssel unterschreiben Wenn du den Fingerprint überprüft hast, kannst du den öffentlichen Schlüssel einer anderen Person unterschreiben. Hier gibst du an, wie genau du den Fingerabdruck geprüft hast.

3) Besitzervertrauen festlegen Neben dem Unterschreiben kannst du über einen Rechts-Klick auf einen fremden öffentlichen Schlüssel auch das „Besitzervertrauen festlegen…“

Wenn sich die Person zum Beispiel sehr gut mit Verschlüsselung auskennt und sehr Gewissenhaft vorgeht (z.B. immer auch den Fingerprint überprüft,…) kannst du festlegen, dass du ihr voll vertraust und dein Vertrauen demnach abstufen. Der Vorteil: Hiermit kannst du z.B. bei anderen fremden, öffentlichen Schlüsseln erkennen, ob du ihnen vertrauen kannst. Wenn bereits ein oder zwei andere Personen, denen du voll vertraust, diesen Schlüssel unterschrieben haben, kannst du davon ausgehen, dass es der richtige Schlüssel ist, auch wenn du den Fingerprint nicht selber überprüfen kannst. Absolut solltest du jedoch nur deinem eigenen Schlüssel vertrauen!

4) Unterschriften anzeigen Die Unterschriften kannst du über einen Rechts-Klick über „Unterschriften anzeigen“ sehen.


Fast geschafft: verschlüsselte E-Mails schreiben und empfangen

Ob wir eine Mail schreiben können wir an dem goldenen Schlüssel erkennen, dass sie vor dem senden verschlüsselt wird. Der Stift in diesem Beispiel ist grau, was bedeutet, dass wir die Mail nicht vor dem absenden unterzeichnen werden.

Ob die Mail verschlüsselt und unterschrieben werden soll, kann entweder durch einen Klick auf die beiden Symbole in der unteren rechten Ecke (Schlüssel, Stift) oder über das Menü ausgewählt werden. („OpenPGP → und dann die entsprechenden Häckchen setzen“)


last but not least: wichtige Verhaltensweisen im Umgang mit Schlüsseln

  1. NIEMALS DEN PRIVATEN SCHLÜSSEL RAUSGEBEN/VERSCHICKEN/UNVERSCHLÜSSELT SPEICHERN
  2. Sich die Mühe machen, die Fingerabdrücke der anderen Schlüssel auch wirklich zu überprüfen und dann zu unterschreiben.
  3. Möglichst viel verschlüsselte Mails verschicken.
  4. Denkt beim verschicken daran, dass der Absender, der Empfänger und der Betreff nicht verschlüsselt werden.

howto/howto/thunderbird_gpg.txt · Zuletzt geändert: 2017/06/27 13:41 von doobry