Benutzer-Werkzeuge

Webseiten-Werkzeuge


howto:howto:thunderbird_gpg

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung
Vorhergehende Überarbeitung
howto:howto:thunderbird_gpg [2013/11/05 14:46]
shadow angelegt
howto:howto:thunderbird_gpg [2017/06/27 13:41] (aktuell)
doobry Email -> E-Mail
Zeile 1: Zeile 1:
-====== ​Emails ​verschlüsseln mit gpg und Thunderbird ======+====== ​E-Mails ​verschlüsseln mit gpg und Thunderbird ====== 
 + 
 +===== Inhaltsverzeichnis ​ ===== 
 + 
 +  - Intro 
 +  - Software-Installation und Einrichtung unter Linux 
 +  - Software-Installation und Einrichtung unter Windows 
 +  - Kommunikation verschlüsseln (in Thunderbird) 
 +  - Die nächsten Schritte: 
 +          - Schlüsselpaar erzeugen  
 +          - Widerrufszertifikat erzeugen  
 +          - eigenen Öffentlichen Schlüssel verteilen 
 +          - fremde Öffentliche Schlüssel importieren  
 +          - mittels Fingerprint beglaubigen/​unterschreiben 
 +  - Fast geschafft: verschlüsselte E-Mails schreiben und empfangen 
 +  - last but not least: wichtige Verhaltensweisen im Umgang mit Schlüsseln 
  
 ===== Intro  ===== ===== Intro  =====
  
-Dies ist nur eine (weitere) kleine Anleitung, um auf deinem Rechner die nötigen Programme zu installieren,​ damit du möglichst simpel E-Mails verschlüsseln kannst. Zu Beginn wird es etwas kompliziert wirken, aber nach den ersten paar Mal ausprobieren wird  sich sicher zeigen, dass es auch nicht komplizierter ist als sich bei deinem gewohnten E-Mail-Anbieter per Browser anzumelden und den normalen Kram mit Emails ​zu machen. Diese Anleitung soll dich beim Einrichten und den ersten Schritten unterstützen. Am Ende bist du in der Lage, mit deinen E-Mail-Kontakten verschlüsselt hin und her zu mailen, mit deinen und fremden Schlüsseln umzugehen sowie Vertrauensregeln festzulegen. Für ein besseres Verständnis und  auch sichereres Arbeiten findest du hier einige andere vertiefenden Einführungen und Anleitungen,​ in die es sich lohnt mal einen Blick zu werfen: ​+Dies ist nur eine (weitere) kleine Anleitung, um auf deinem Rechner die nötigen Programme zu installieren,​ damit du möglichst simpel E-Mails verschlüsseln kannst. Zu Beginn wird es etwas kompliziert wirken, aber nach den ersten paar Mal ausprobieren wird  sich sicher zeigen, dass es auch nicht komplizierter ist als sich bei deinem gewohnten E-Mail-Anbieter per Browser anzumelden und den normalen Kram mit E-Mails ​zu machen. Diese Anleitung soll dich beim Einrichten und den ersten Schritten unterstützen. Am Ende bist du in der Lage, mit deinen E-Mail-Kontakten verschlüsselt hin und her zu mailen, mit deinen und fremden Schlüsseln umzugehen sowie Vertrauensregeln festzulegen. Für ein besseres Verständnis und  auch sichereres Arbeiten findest du hier einige andere vertiefenden Einführungen und Anleitungen,​ in die es sich lohnt mal einen Blick zu werfen: ​
  
   -   ​[[http://​www.itemis.de/​itemis-ag/​unternehmen/​publikationen/​fachartikel/​language=de/​29853/​sichere-e-mail-kommunikation-mit-openpgp |eine andere Anleitung]] ​   -   ​[[http://​www.itemis.de/​itemis-ag/​unternehmen/​publikationen/​fachartikel/​language=de/​29853/​sichere-e-mail-kommunikation-mit-openpgp |eine andere Anleitung]] ​
Zeile 13: Zeile 29:
   -   ​[[http://​www.thunderbird-mail.de/​wiki/​Enigmail_OpenPGP |Wiki zu der Kombi von von Thunderbird+Enigmail+OpenPGP ]]   -   ​[[http://​www.thunderbird-mail.de/​wiki/​Enigmail_OpenPGP |Wiki zu der Kombi von von Thunderbird+Enigmail+OpenPGP ]]
  
-LOS GEHT'S+**Benötigt werdenGnuPG + Thunderbird + Enigmail + E-Mail-Konto** ​
  
-Benötigt werden: GnuPG + Thunderbird + Enigmail + email-Konto +----
  
 ===== Software-Installation und Einrichtung unter Linux  ===== ===== Software-Installation und Einrichtung unter Linux  =====
  
-  - **GnuPG**: sollte bereits installiert sein. Welche Version du hast kannst du mit folgendem Befehl rausfinden:  +**1.GnuPG**: sollte bereits installiert sein. Welche Version du hast kannst du mit folgendem Befehl rausfinden:​ 
-       ​<​code>​gpg --version </​code>​  + 
-       ​{{ :​howto:​howto:​gpg-version.jpg?​200 |}}+<​code>​ gpg --version </​code>​ 
 + 
 +{{ :​howto:​howto:​gpg-version.jpg?​300 |}} 
 → Ausgabe z.B.: gpg (GnuPG) 1.4.14 (Die aktuelle Version sollte mind Version 1.4.x sein → Ausgabe z.B.: gpg (GnuPG) 1.4.14 (Die aktuelle Version sollte mind Version 1.4.x sein
  
-  - **Thunderbird** ist in der Regel bereits installiert  +**2.Thunderbird** ist in der Regel bereits installiert  
-  ​-  ​Enigmail kann über das Software-Center installiert werden oder per Befehl über+ 
 +**3.Enigmail** kann über das Software-Center installiert werden 
 + 
 +{{ :​howto:​howto:​enigmail_softwarecenter.jpg?​300 |}} 
 + 
 + oder per Befehl über
  <​code>​sudo apt-get install enigmail </​code>​  <​code>​sudo apt-get install enigmail </​code>​
 +
 und das deutsche Sprachpaket mittels ​ und das deutsche Sprachpaket mittels ​
 <​code>​sudo apt-get install enigmail-locale-de </​code>​ <​code>​sudo apt-get install enigmail-locale-de </​code>​
  
 +**4.Thunderbird Einstellungen**
 +
 +Nach einem Neustart von Thunderbird ist nun ein neues Menü vorhanden: "​OpenPGP"​. ​
 +
 +**4.1 Pfad kontrollieren**
 +
 +Ein letzter Schritt ist eventuell noch erforderlich. Im Menü "​OpenPGP -> Einstellungen"​ muss unter "Pfad zur GnuPG Anwendung"​ folgendes eingetragen werden: /​usr/​bin/​gpg,​ falls es nicht schon angegeben ist. 
 +
 +{{ :​howto:​howto:​pfad_thunderbird.jpg?​300 |}}
 +
 +**4.2 Verschlüsselung aktivieren**
 +
 +Die Verschlüsselung muss in Thunderbird aktiviert werden: ​
 +
 +** 1) Menü: "​Bearbeiten → Konten-Einstellungen"​**
 +Hier findest du dein angelegtes Konto (mehrere, falls du mehrere E-Mail-Adressen benutzt benutzt und angelegt hast). ​
 +Zu jedem Konto findest du verschiedene Unterpunkte. Zu jedem Konto findet sich der Punkt OpenPGP-Sicherheit. Dort musst du den Haken in das Kästchen bei "​OpenPGP Unterstützung für diese Identität aktivieren"​ setzen und "​E-Mail-Adresse dieses Kontos verwenden, um OpenPGP-Schlüssel zu identifizieren"​ auswählen, du kannst hierbei selbstverständlich auch die Option "​Spezielle Open-Gpg-SchlüsselID verwenden"​ und deinen Schlüssel manuell auswählen - dazu musst du aber zuerst deinen Schlüssel erstellt haben (siehe unten). ​
 +
 +{{ :​howto:​howto:​verschluesselung_aktivieren.jpg?​300 |}}
 +
 +**4.3  "​OpenPGP → Einstellungen"​** ​
 +
 +Auf die Fläche "​Experten-Optionen anzeigen"​ klicken. Es werden mehrere neue Reiter sichtbar. Hier den Reiter "​Senden"​ auswählen. Hier das Häkchen von "​Schlüsseln immer vertrauen"​ entfernen. Diese geänderte Einstellung bewahrt Dich davor, eine verschlüsselte E-Mail an eine Person zu senden, deren Schlüssel Du nicht vertrauet. Enigmail zwingt Dich auf diese Weise dazu, dich zunächst davon zu überzeugen,​ dass dieser Schlüssel tatsächlich der öffentliche Schlüssel des Empfängers ist. Wenn Du dies geprüft hast, bestätigst Du es durch deine digitale Unterschrift (siehe xxx). Enigmail wird Dich danach nie wieder wegen dieses Schlüssels behelligen. ​
 +
 +{{ :​howto:​howto:​open_gpg_einstellungen.jpg?​300 |}}
 +
 +
 +----
  
 ===== Software-Installation und Einrichtung unter Windows ===== ===== Software-Installation und Einrichtung unter Windows =====
 +
 +**1.GnuPG:​** Hier heisst das Programm GPG4win und kann über folgende Seite installiert werden http://​www.gpg4win.de/ ​
 +
 +**2.Thunderbird:​** Kann über diesen Link installiert werden http://​www.mozilla.org/​de/​thunderbird/ ​
 +Nach einem Neustart von Thunderbird ist nun ein neues Menü vorhanden: "​OpenPGP"​. Ein letzter Schritt ist eventuell noch erforderlich. Im Menü "​OpenPGP → Einstellungen"​ muss unter "Pfad zur GnuPG Anwendung"​ folgendes eingetragen werden, falls es nicht schon angegeben ist.: 
 +C:\Program Files\GnuPG\gpg.exe oder C:​\Programme\GnuPG\gpg.exe (je nachdem, wo es installiert wurde) ​
 +
 +**3.Enigmail:​** Ist ein Add-on für Thunderbird und stellt eine grafische Oberfläche für die Verschlüsselung zur Verfügung. Die Verschlüsselung selbst wird von GnuPG vorgenommen und sollte daher bereits installiert sein. 
 +In Thunderbird über das Menü: Extras → Add-ons in der Suche Enigmail eingeben und installieren (evtl. musst du bei den Suchergebnissen auf "alle Ergebnisse anzeigen"​ klicken, um Enigmail zu sehen und installieren zu können.) ​
 +
 +**4.Thunderbird-Einstellungen:​** ​
 +
 +**4.1 Verschlüsselung aktivieren** ​
 +Menü: "​Bearbeiten → Konten-Einstellungen"​ Hier findest du dein angelegtes Konto (mehrer, falls du mehrere E-Mails benutzt und angelegt hast). ​
 +Zu jedem Konto findest du verschiedene Unterpunkte. Zu jedem Konto findet sich der Punkt OpenPGP-Sicherheit. ​
 +Dort musst du den Haken in das Kästchen bei "​OpenPGP Unterstützung für diese Identität aktivieren"​ setzen und "​E-Mail-Adresse dieses Kontos verwenden, um OpenPGP-Schlüssel zu identifizieren"​ auswählen. ​
 +
 +**4.2 "​OpenPGP → Einstellungen"​**
 +
 +Auf die Fläche "​Experten-Optionen anzeigen"​ klicken. Es werden mehrere neue Reiter sichtbar. Hier den Reiter "​Senden"​ auswählen. Hier das Häkchen von "​Schlüsseln immer vertrauen"​ entfernen. Diese geänderte Einstellung bewahrt Dich davor, eine verschlüsselte E-Mail an eine Person zu senden, deren Schlüssel Du nicht vertrauest. Enigmail zwingt Dich auf diese Weise dazu, dich zunächst davon zu überzeugen,​ dass dieser Schlüssel tatsächlich der öffentliche Schlüssel des Empfängers ist. Wenn Du dies geprüft hast, bestätigst Du es durch deine digitale Unterschrift (siehe "5. Schlüssel beglaubigen/​unterschreiben"​ ). Enigmail wird Dich danach nie wieder wegen dieses Schlüssels behelligen. ​
 +
 +----
 +
 +===== Kommunikation verschlüsseln (in Thunderbird) =====
 +
 +Diese Punkte sind für Windows und Linux gleich - das Aussehen der Fenster wird sich aber unterscheiden - davon sollte man sich nicht verwirren lassen. ​
 +
 +Starte Thunderbird. Über den neuen Menüpunkt "​OpenPGP → Schlüssel verwalten..."​ könnt ihr 
 +
 +{{ :​howto:​howto:​schluessel_verwalten.jpg?​300 |}}
 +
 +  *  Ein **eigenes Schlüsselpaar** für ein E-Mail-Konto **erstellen** ("​Erzeugen → Neues Schlüsselpaar..."​) ​
 +  *  Das **eigene Schlüsselpaar (öffentlich und/oder geheim) in einer Datei speichern**:​ Eigenes, fett gedrucktes Schlüsselpaar auswählen, dann ("​Datei → exportieren"​) ​
 +  *  **öffentliche Schlüssel anderer importieren** ("​Datei → importieren"​) ​
 +  *  **öffentlichen Schlüssel per Mail verschicken**:​ Einen Schlüssel anwählen, dann ("​Datei → Öffentliche Schlüssel per Mail versenden"​) ​
 +
 +==== Die nächsten Schritte: ====
 +
 +  * 1) Schlüsselpaar erzeugen ​
 +  * 2) Widerrufszertifikat erzeugen ​
 +  * 3) eigenen Öffentlichen Schlüssel verteilen
 +  * 4) fremde Öffentliche Schlüssel importieren ​
 +  * 5) mittels Fingerprint beglaubigen/​unterschreiben
 +
 +----
 +
 +==== 1. Über Enigmail einen GPG-Schlüssel für ein E-Mail-Konto erstellen ====
 +
 +Öffne über "​OpenPGP --> Schlüssel verwalten..."​ die Schlüsselverwaltung. ​
 +Hier öffnest du über "​Erzeugen --> Neues Schlüsselpaar..."​ den Dialog, um das Schlüsselpaar zu erzeugen.
 +
 +{{ :​howto:​howto:​schluessel_erzeugen1.jpg?​300 |}} 
 +
 +Setzte bei "​Schlüssel zum unterschreiben verwenden"​ einen Haken, falls dort noch keiner ist. 
 +Dann tippe die Passphrase ein. Diese sollte möglichst aus 18 Zeichen bestehen, Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen (AbCd23"​!) enthalten und trotzdem merkbar sein. Auf Umlaute verzichten! Beispiel aus dem Internet: "We could be heroes just for one day" --> "​!=!wCbH7f0D#?​!" ​
 +
 +**Ablaufdatum festlegen**
 +
 +Neben dem Reiter "​Ablaufdatum"​ auf den Reiter "​Erweitert"​ klicken. ​
 +Hier Schlüsselstärke "​4096"​ und "​RSA"​ auswählen und "​Schlüsselpaar erzeugen"​ drücken. ​
 +Das generieren des Schlüssels dauert eine Weile. Hierfür werden Zufallszahlen gesammelt. In der Zwischenzeit am besten wild Programme öffnen und schliessen, im Browser durch die Seiten klicken und hin und her scrollen.
 +
 +{{ :​howto:​howto:​schluessel_erzeugen2.jpg?​300 |}} 
 +
 +----
 +
 +==== 2. Widerrufszertifikat erzeugen ====
 +
 +Im Anschluss ein Widerrufszertifikat erzeugen, um den Schlüssel eventuell für ungültig erklären zu können. Auf "​Zertifikat erzeugen"​ klicken. Du wirst aufgefordert dein Passwort einzugeben. Gib es ein und klick auf "​entsperren" ​
 +
 +{{ :​howto:​howto:​revoke.jpg?​300 |}}
 +
 +{{ :​howto:​howto:​enterpassword.jpg?​300 |}}
 +
 +{{ :​howto:​howto:​revoke2.jpg?​300 |}}
 +
 +<​note>​Es ist geschafft! Du hast dein eigenes Schlüsselpaar erzeugt.</​note>​
 +
 +
 +----
 +
 +==== 3. eigenen Öffentlichen Schlüssel verteilen ​ ====
 +
 +**a) öffentlichen Schlüssel per Mail versenden** ​
 +
 +Wie oben beschrieben kannst du den öffentlichen Schlüssel nun über die Schlüsselverwaltung ("​OpenPGP → Schlüssel verwalten..."​) per Mail an deine Kontakte, von denen du verschlüsselte Mails erhalten willst versenden. Hierfür wählst du deinen Schlüssel an und gehst denn im Menü über („Datei → Meinen öffentlichen Schlüssel per Mail versenden). Es sollte sich eine neue Nachricht öffnen in der dein öffentlicher Schlüssel bereits als Anhang enthalten ist.
 +
 +{{ :​howto:​howto:​schluesselverteilen1.jpg?​300 |}}
 +
 +Alternativ kannst du auch beim Verfassen einer Mail über das Thunderbird-Menü (
 +"​OpenPGP → Meinen öffentlichen Schlüssel anhängen"​) den Schlüssel anhängen und so jedes Mal mitschicken. ​
 +
 +
 +**b) (öffentlichen) Schlüssel in Datei exportieren**
 +
 +Du kannst den öffentlichen Schlüssel auch über die Schlüsselverwaltung exportieren und z.b. auf einem Stick speichern und so weitergeben. ​
 +Hierfür mit Rechts-Klick auf den Schlüssel klicken und oben im Menü "In Datei exportieren..."​ auswählen. !Hier nur "Nur öffentliche Schlüssel exportieren"​ auswählen! Ansonsten gibst du deinen privaten Schlüssel weiter und der Schlüssel kann nicht mehr als sicher gelten! ​
 +
 +{{ :​howto:​howto:​schluesselverteilen2.jpg?​300 |}}
 +
 +In der Datei erkennst du den öffentlichen (**public**) Schlüssel an der **Endung** xxx**pub**.asc
 + z.B: test benutzer@example.com (0xDA2AF660) **pub.asc** ​
 +Das __gesamte Schlüsselpaar (public+secret)__ endet auf __pub-sec__:​ test benutzer@example.com (0xDA2AF660) __pub-sec.asc__ ​
 +
 +**c) öffentlichen Schlüssel an Schlüsselserver senden**
 +
 +Die dritte Variante ist den Schlüssel auf einen Server hochzuladen. So können alle, die dir eine verschlüsselte Mail schicken wollen, aber deinen öffentlichen Schlüssel noch nicht haben, dort nachsehen, ob du einen hinterlegt hast.
 +
 + {{ :​howto:​howto:​schluesselverteilen3.jpg?​300 |}}
 +
 +
 +----
 +
 +==== 4. andere Schlüssel importieren und beglaubigen ​ ====
 +
 +Genauso, wie du deinen öffentlichen Schlüssel verteilt hast (versenden über die Schlüsselverwaltung/​über Stick/über einen Schlüsselserver) können andere dir ihren öffentlichen Schlüssel zukommen lassen. ​
 +
 +**a) als Anhang importieren**
 +Entweder per Mail: Mit Rechts-Klick auf den Anhang und dann "​OpenPGP-Schlüssel importieren..."​. Enigmail legt ihn dann automatisch in der Schlüsselverwaltung ab. 
 +
 +{{ :​howto:​howto:​import1.jpg?​300 |}}
 +
 +**b) als Text/aus Text importieren**
 +Hat dir jemand seinen Schlüssel als Text geschickt, kannst du auch ihn auch so importieren:​ Alles markieren (von BLOCK BEGIN bis BLOCK END inklusive "​----"​ ) und in den Zwischenspeicher kopieren (Strg+C). Im Menü der Schlüsselverwaltung ("​OpenPGP → Schlüssel verwalten..."​) kannst du über ("​Bearbeiten → Aus Zwischenablage importieren"​) auch einen Schlüssel einfügen. ​
 +
 +{{ :​howto:​howto:​import2.jpg?​300 |}}
 +
 +**c) über einen Schlüssel-Server**
 +Du kannst auf einem Server nach dem Schlüssel suchen: Im Menü der Schlüsselverwaltung ("​Schlüssel-Server → Schlüssel suchen..."​) ​
 +
 +{{ :​howto:​howto:​import3.jpg?​300 |}}
 +
 +Wer will kann auch über ("​Schlüssel-Server → Schlüssel für alle Kontakte"​) nach eben jene suchen.
 +
 +
 +----
 +
 +==== 5. Schlüssel beglaubigen/​unterschreiben ​ ====
 +
 +**1)  Fingerabdruck überprüfen**
 +Zum Schluss musst du noch die Richtigkeit der erhaltenen Schlüssel überprüfen. ​
 +Dies geschieht über den Fingerabdruck,​ den du abgleichen musst. ​
 +In der Schlüsselverwaltung → Rechts-Klick auf den Schlüssel → Schlüsseleigenschaften. ​
 +
 +{{ :​howto:​howto:​trust_sign1.jpg?​300 |}}
 +
 +Den Fingerabdruck musst du auf einem verlässlichem Weg erhalten. Entweder persönlich,​ aufgeschrieben auf einem Zettel oder über eine andere verschlüsselte Verbindung , wenn du dir sicher bist, dass du auch wirklich mit der richtigen Person sprichst.
 +
 +**2) fremden Schlüssel unterschreiben **
 +Wenn du den Fingerprint überprüft hast, kannst du den öffentlichen Schlüssel einer anderen Person unterschreiben. Hier gibst du an, wie genau du den Fingerabdruck geprüft hast. 
 +
 +{{ :​howto:​howto:​trust_sign2.jpg?​300 |}}
 +
 +**3) Besitzervertrauen festlegen**
 +Neben dem Unterschreiben kannst du über einen Rechts-Klick auf einen fremden öffentlichen Schlüssel auch das "​Besitzervertrauen festlegen..." ​
 +
 +{{ :​howto:​howto:​trust_sign3.jpg?​300 |}}
 +
 +Wenn sich die Person zum Beispiel sehr gut mit Verschlüsselung auskennt und sehr Gewissenhaft vorgeht (z.B. immer auch den Fingerprint überprüft,​...) kannst du festlegen, dass du ihr voll vertraust und dein Vertrauen demnach abstufen. ​
 +** Der Vorteil: **
 +Hiermit kannst du z.B. bei anderen fremden, öffentlichen Schlüsseln erkennen, ob du ihnen vertrauen kannst. Wenn bereits ein oder zwei andere Personen, denen du voll vertraust, diesen Schlüssel unterschrieben haben, kannst du davon ausgehen, dass es der richtige Schlüssel ist, auch wenn du den Fingerprint nicht selber überprüfen kannst. ​
 +** Absolut solltest du jedoch nur deinem eigenen Schlüssel vertrauen! **
 +
 +**4) Unterschriften anzeigen**
 +Die Unterschriften kannst du über einen Rechts-Klick über "​Unterschriften anzeigen"​ sehen.
 +
 +
 +----
 +
 +===== Fast geschafft: verschlüsselte E-Mails schreiben und empfangen =====
 +
 +Ob wir eine Mail schreiben können wir an dem goldenen Schlüssel erkennen, dass sie vor dem senden verschlüsselt wird. Der Stift in diesem Beispiel ist grau, was bedeutet, dass wir die Mail nicht vor dem absenden unterzeichnen werden.
 +
 +{{ :​howto:​howto:​writemail1.jpg?​300 |}}
 +
 +Ob die Mail verschlüsselt und unterschrieben werden soll, kann entweder durch einen Klick auf die beiden Symbole in der unteren rechten Ecke (Schlüssel,​ Stift) oder über das Menü ausgewählt werden. („OpenPGP → und dann die entsprechenden Häckchen setzen“)
 +
 +{{ :​howto:​howto:​writemail2.jpg?​300 |}}
 +
 +
 +----
 +
 +===== last but not least: wichtige Verhaltensweisen im Umgang mit Schlüsseln =====
 +
 +<note important>​
 +  - **NIEMALS DEN PRIVATEN SCHLÜSSEL RAUSGEBEN/​VERSCHICKEN/​UNVERSCHLÜSSELT SPEICHERN**
 +  - Sich die Mühe machen, die Fingerabdrücke der anderen Schlüssel auch wirklich zu überprüfen und dann zu unterschreiben.
 +  - Möglichst viel verschlüsselte Mails verschicken.
 +  - Denkt beim verschicken daran, dass der Absender, der Empfänger und der Betreff nicht verschlüsselt werden.
 +</​note>​
 +
howto/howto/thunderbird_gpg.1383659212.txt.gz · Zuletzt geändert: 2013/11/05 14:46 von shadow