Ihr könnt eure vertraulichen E-Mails mit PGP verschlüsseln, sodass nur ausgewählte Empfänger den Inhalt lesen können. Wenn man es einmal verstanden und richtig eingerichtet hat, ist die E-Mail-Verschlüsselung eine einfache Sache. Hier eine Erklärung und Anleitung zur E-Mail-Sicherheit in Thunderbird.
- 1.E-Mails verschlüsseln: So funktioniert’s!
- 2.Das braucht ihr zur Verschlüsselung eurer E-Mails
- 3.Gpg4win und Enigmail installieren und konfigurieren
- 4.Euer eigenes PGP-Schlüsselpaar erzeugen
- 5.Verschlüsselte E-Mails senden, Empfangene E-Mails entschlüsseln
- 6.Den eigenen öffentlichen Schlüssel weitergeben
- 7.Öffentliche Schlüssel finden und Schlüssel automatisch nachschlagen
- 8.Wie sicher ist PGP?
Um mit Thunderbird verschlüsselte E-Mails versenden zu können, braucht man natürlich Thunderbird. Außerdem das Addon Enigmail, das PGP-Programm Gpg4win und ein PGP-Schlüsselpaar. Letzteres könnt Ihr Euch relativ unkompliziert anlegen, wenn das Addon installiert ist
E-Mails verschlüsseln: So funktioniert’s!
Wenn alle ihre E-Mails verschlüsseln würden, dann hätte jeder von all seinen E-Mail-Kontakten die „Öffentlichen Schlüssel“ vorrätig. Diese Schlüssel werden, anders als oft angenommen, aber nicht zum Öffnen benutzt. Vielmehr nutzt man den Schlüssel, den man von seinem Mail-Partner bekommen hat, zum Verschlüsseln. Es wird also jede E-Mail für jeden Empfänger mit dessen eigenen Schlüssel kodiert.
So funktioniert eine E-Mail-Verschlüsselung mit PGP:
- Jemand will an mueller@maiermueller.de eine verschlüsselte E-Mail schicken.
- Er schreibt die E-Mail und verschlüsselt sie dann mit dem öffentlichen Schlüssel der Empfängers, die zur Empfänger-Adresse gehört.
- Der Empfänger bekommt die E-Mail und kann sie erst einmal nicht lesen.
- Nun entschlüsselt er sie mit seinem Passwort, mit dem er seinen Schlüssel gesichert hat und kann die E-Mail lesen.
Das funktioniert nur, wenn der Empfänger sein E-Mail-Programm entsprechend eingerichtet und sein Passwort parat hat. Empfängt er die Mail unterwegs auf einem anderen Rechner, dann sieht er nur den unlesbaren, verschlüsselten Text.
Das braucht ihr zur Verschlüsselung eurer E-Mails
In dieser Reihenfolge müsst ihr die Programme oder Addons downloaden und installieren, um dann verschlüsselte E-Mails schreiben und lesen zu können.
- Das Emailprogramm Thunderbird
- Das PGP-Programm Gpg4win
- Das Thunderbird-Addon Enigmail
- Ein PGP-Schlüsselpaar
Enigmail in Thunderbird braucht Gpg4win, um zu funktionieren. Darum ist es empfehlenswert, diese Reihenfolge einzuhalten. Das PGP-Schlüsselpaar könnt ihr dann in der Anwendung „Kleopatra“ erzeugen, das zusammen mit Gpg4win installiert wird.
Gpg4win und Enigmail installieren und konfigurieren
Wir setzen voraus, dass ihr das E-Mail-Programm Thunderbird bereits installiert habt und nutzt. Als nächstes solltet ihr Gpg4win herunterladen und installieren.
- Ladet das Paket Gpg4win herunter.
- Startet das Setup und passt gegebenenfalls den Installationspfad an. Üblicherweise wird das Programm unter C:\Program Files (x86)\GnuPG installiert.
- Zum Abschluss der Installation könnt ihr das Modul „Kleopatra“ starten, mit dem euer eigenes Schlüsselpaar erstellt wird. Das könnt ihr aber auch später nachholen.
- Startet Thunderbird und öffnet im Menü das Fenster „Addons“.
- Gebt oben rechts im Suchfeld „Enigmail“ ein.
- Klickt neben der Fundstelle auf den Button „Zu Thunderbird hinzufügen“.
- Ihr bekommt die Meldung, dass Enigmail erfolgreich installiert wurde.
Wenn diese Reihenfolge eingehalten wird, dann findet Enigmail den Pfad zu GnuPG allein und verbindet sich damit. Andernfalls müsst ihr das Addon Enigmail nachträglich konfigurieren und den Pfad selbst eintragen.
Euer eigenes PGP-Schlüsselpaar erzeugen
Nach der Installation von GnuPG findet ihr das Icon des Programms Kleopatra auf eurem Desktop. Beim ersten Start bietet es euch an, euer Schlüsselpaar zu erstellen.
- Dazu gebt ihr euren Namen und die dazugehörige E-Mail-Adresse ein, damit ihr die einzelnen Schlüssel zuordnen könnt. Hier könnt ihr auch erweiterte Einstellungen vornehmen, aber das ist eigentlich unnötig.
- Als nächstes müsst ihr dann zweimal hintereinander das Passwort eingeben, mit dem ihr euren privaten Schlüssel absichert. Das sorgt dafür, dass ihr die E-Mails entschlüsseln könnt, die jemand anderes für euch mit eurem öffentlichen Schlüssel gesichert hat.
Jetzt erzeugt „Kleopatra“ für jede E-Mail-Adresse in Thunderbird ein eigenes Schlüsselpaar, die allesamt mit demselben Passwort gesichert sind.
Verschlüsselte E-Mails senden, Empfangene E-Mails entschlüsseln
- Wenn ihr Gpg4win und das Addon Enigmail richtig installiert habt, werden nur die ausgehenden E-Mails verschlüsselt, von deren Empfängern ihr einen öffentlichen Schlüssel habt.
- Gleichzeitig seht ihr oben im Menü des Mailfensters ein Icon, neben dem „Schutz aktivieren“ steht, während unten in der Statuszeile des Fensters „Sicher & Vertraut“ steht, wenn die ausgehende Mail verschlüsselt wird.
- Das könnt ihr für jede einzelne Mail deaktivieren, indem ihr einfach oben auf das schildförmige Sicherheits-Icon klickt, was sich immer dann empfiehlt, wenn der Empfänger keinen Zugriff auf seinen Computer hat.
Wenn ihr neue E-Mails schreibt und versendet, prüft das Enigmail-Addon bei der Auswahl jeder Adresse, ob dafür ein öffentlicher Schlüssel vorliegt.
Den eigenen öffentlichen Schlüssel weitergeben
Grundsätzlich ist Enigmail so eingestellt, dass es den jeweiligen öffentlichen Schlüssel an jede ausgehende E-Mail hängt und eingehende Schlüssel gleich abspeichert. Wenn ihr euren Schlüssel also weitergeben wollt, damit der Empfänger die E-Mails an euch verschlüsseln kann, reicht es aus, ihm eine leere E-Mail zuzusenden.
Alternativ könnt ihr
- den öffentlichen Schlüssel in die Zwischenablage kopieren.
- ihn als Datei abspeichern.
- den Schlüssel per E-Mail versenden.
So wird‘s gemacht:
- Klickt im Menü von Thunderbird auf „Enigmail“ und wählt im Menü den Menüpunkt „Schlüssel verwalten…“.
- Anschließend klickt ihr die entsprechende E-Mail-Adresse mit der rechten Maustaste an.
- Wählt im Kontextmenü eine der drei obersten Optionen aus, um euren öffentlichen Schlüssel zu verschicken.
Ihr könnt euren öffentlichen Schlüssel auch auf Schlüsselserver hochladen, damit andere sie finden und euch verschlüsselte E-Mails schicken können.
Öffentliche Schlüssel finden und Schlüssel automatisch nachschlagen
Wenn ihr nicht fragen könnt und nach den öffentlichen Schlüsseln einer Person sucht, steht dafür in Enigmail eine Suchfunktion zur Verfügung.
- Klickt auf den Menüpunkt „Enigmail“ und wählt dort „Schlüssel verwalten…“.
- Im Menü des nachfolgenden Fensters klickt ihr auf „Schlüsselserver“ und anschließend auf „Schlüssel suchen“.
- Gebt im Suchfeld entweder die E-Mail-Adresse oder den Namen ein. Eine genauere Erklärung steht unter der Eingabezeile.
- Wurde ein passender Eintrag gefunden, markiert ihr ihn und importiert den Schlüssel, indem ihr auf „OK“ klickt.
Achtet bei der Auswahl auf das Ausstellungsdatum, falls ihr mehrere passende Einträge findet. Man kann davon ausgehen, dass der Urheber dieser Schlüssel immer die aktuelle Version verwendet.
In den Enigmail-Einstellungen gibt es die Option „Schlüssel automatisch auf Servern nachschlagen“:
- Klickt im Thunderbird-Menü auf „Enigmail“ und danach auf „Einstellungen“.
- Im Kartenreiter „Kompatibilität“ setzt einen Haken bei „Schlüssel automatisch auf Servern nachschlagen“.
Jetzt sucht das Tool automatisch nach einem passenden öffentlichen Schlüssel, wenn ihr eine neue E-Mail verfasst.
Ihr könnt eine praktische Funktion von Enigmail nutzen, um die öffentlichen Schlüssel zu allen E-Mail-Adressen in eurem Adressbuch zu finden:
- Klickt im Menü „Enigmail“ auf „Schlüssel verwalten…“.
- Im nächsten Fenster klickt auf den Menüpunkt „Schlüsselserver“ und dann im Menü auf „Schlüssel für alle Kontakte suchen“.
Das kann ziemlich lange dauern – abhängig von der Zahl der Adressen. Aber wenn alles geklappt hat, habt ihr die öffentlichen Schlüssel aller gespeicherten Kontakte, die E-Mail-Verschlüsselung nutzen.
Wie sicher ist PGP?
Nach allem was behauptet wird, wurde die PGP-Verschlüsselung einer Mail noch nie geknackt. Andererseits würde das auch kein Geheimdienst an die Öffentlichkeit dringen lassen. Die Schlagzeile „PGP-Verschlüsselung geknackt – E-Mails offen lesbar!“ wird man sicher auch dann nicht lesen, wenn es wahr ist. Insofern ist diese ganze Verschlüsselungstechnik eine Sache des Vertrauens. Und letztlich ist es damit genauso wie mit passwortgeschützten ZIP-Dateien oder TrueCrypt-Containern: Wenn euch jemand eine riesengroße Pistole an den Kopf hält und so aussieht, als würde er sie benutzen, dann braucht er nach eurem Passwort nur einmal zu fragen.
Doch wenn jemand zufällig an euer Schlüsselpaar kommt, dann wird er (vermutlich) damit nichts anfangen können – außer, um euch eine verschlüsselte Mail zu schicken. Denn erst mit dem richtigen, und hoffentlich klug gewähltem Passwort wird daraus ein Werkzeug, das alle E-Mails auf eurem Rechner entschlüsselt.