Mozilla Thunderbird mit GnuPG

Inhaltsverzeichnis

Voraussetzungen

Mozilla Thunderbird muss natür­lich instal­liert sein. Außer­dem bie­ten die mei­sten Distri­bu­tio­nen das Addon Enigmail für den Mozilla Thunderbird in Ihrer Paket­ver­wal­tung an. Sollte dies nicht der Fall sein, kann Enigmail auch aus dem Mozilla Thunderbird heraus instal­liert wer­den. Wie man das durchführt, ist in den Wikis zu Thunderbird beschrie­ben. Der Rest, den wir unter Linux brau­chen, wird standard­mäßig bereits bei der Instal­lation des Rech­ners mit instal­liert.

Wir gehen bei diesem Szenario vom Gnome-Desktop aus. Unter­schiede zu ande­ren Desktops (z. B. KDE) betref­fen nur die Schlüs­sel­ver­wal­tung. Die eigent­liche Ein­rich­tung des Mozilla Thunderbird für die Benut­zung von GnuPG ist iden­tisch.

Weiter­hin soll­ten Sie eine gül­tige E-Mail-Adresse besit­zen. Das Schlüs­sel­paar, das Sie für die Ver­schlüs­se­lung und die Erzeu­gung digi­ta­ler Sig­na­tu­ren brau­chen, ist immer mit einer E-Mail-Adresse ver­knüpft.

Achtung!

Sollten Sie bisher noch keinerlei Erfahrung mit Verschlüsselung und digitaler Signatur haben, sollten Sie sich unbedingt die Grundlagen zu dieser Thematik auf unserer Website durchlesen, bevor Sie hier weiter machen.

Einrichtung von GnuPG

Schlüsselverwaltung aufrufen

öffnen Sie das Menü Anwen­dun­gen und dort das Unter­menü Zubehör und dort klicken Sie auf Pass­wörter und Ver­schlüs­selung.


Schlüsselverwaltung

In der Schlüs­selver­wal­tung wäh­len Sie Schlüs­sel und dort Neuen Schlüs­sel erzeu­gen.


Auswahl Art des Schlüssels

Im fol­gen­den Dia­log kön­nen Sie die Art des Schlüs­sels aus­wäh­len. Wäh­len Sie PGP-Schlüs­sel und klicken Sie auf Weiter.


Daten fü den Schlüssels eingeben

In die­sem Dia­log soll­ten Sie gleich auf Erwei­terte Ein­stel­lun­gen klicken, damit Ihnen alle Mög­lich­keit­en gebo­ten wer­den, bestim­mte Para­meter für die Schlüs­sel­er­zeu­gung ein­zu­stel­len.


Schlüssels-Einstellungen

Geben Sie Ihre Daten ent­spre­chend den neben­ste­hen­den Vor­ga­ben ein. Der Voll­stän­dige Name kann frei gewählt wer­den. Die E-Mail-Adresse sollte der E-Mail-Adresse ent­spre­chen, der die zu erzeu­gen­den Schlüs­sel zuge­ord­net werden sol­len. Das Feld Kom­men­tar kann auch frei blei­ben. Bei Ver­schlüs­selungs-Typ las­sen Sie die Vor­gabe ste­hen, die ande­ren Mög­lich­kei­ten kön­nen nur zum Sig­nie­ren von Mails, nicht aber zu deren Ver­schlüs­se­lung ver­wen­det wer­den. Das näch­ste Feld zeigt Ihnen die Schlüs­sel­länge an. Je län­ger der Schlüs­sel, desto siche­rer ist die Vers­chlüs­se­lung. Zu lange Schlüs­sel haben aber auch den Nach­teil, dass der Rechen­au­fwand für die Ver­schlüs­se­lung stark ansteigt. Außer­dem macht sich die Länge natür­lich auch im Zeit­auf­wand für die Schlüs­sel­er­zeu­gung stark bemerk­bar. Aller­dings ist Letz­te­res weni­ger stö­rend, da es sich dabei um einen ein­ma­li­gen Vor­gang han­delt. Zuletzt besteht noch die Mög­lich­keit, dem (öffent­li­chen) Schlüs­sel ein Ablauf­da­tum zu ver­pas­sen. Nach dem hier even­tuell ein­ge­stell­ten Datum sehen Ihre Kom­mu­ni­ka­tions­part­ner dann, dass die Gütig­keits­dauer des Schlüs­sels abge­lau­fen ist. Die Ein­stel­lung eines solchen Ablauf­da­tums hat den Vor­teil, dass häufig gebrauchte Schlüs­sel auto­ma­tisch ungütig werden. Dies erspart Ihnen beim Wechsel der Schlüs­sel, dass Sie diese wider­rufen müs­sen, um sie ungültig zu machen. Sie müs­sen sich aber dann auch ein neues Schlüs­sel­paar erzeu­gen und Ihren neuen öffent­li­chen Schlüs­sel Ihren Kom­mu­ni­ka­tions­part­nern zur Ver­fü­gung stel­len, damit diese Ihnen weiter­hin ver­schlüs­selte Mails zuschicken und auch die von Ihnen erhal­tenen sig­nier­ten Mails veri­fi­zie­ren kön­nen. Wenn Sie alles ein­ge­stellt haben, über­prü­fen Sie noch­mals Ihre Anga­ben und klicken dann auf Erstel­len.


Passworteingabe

Zu guter Letzt wer­den Sie noch auf­ge­fordert, ein Pass­wort (zwei mal) ein­zu­ge­ben, um Ihren pri­va­ten Schlüs­sel zu schüt­zen. Gehen Sie hier beson­ders sorg­fältig vor und ver­wen­den Sie auf jeden Fall ein genügend langes und sicheres Pass­wort. Da die mit Ihrem pri­va­ten Schlüs­sel erzeug­ten digi­ta­len Sig­na­turen auch Ihre Iden­ti­tät bezeugen, muss ein star­kes Pass­wort gewählt wer­den. Schwa­che Pass­wörter bein­hal­ten die Gefahr, dass unbe­fugte Per­so­nen an Ihren pri­va­ten Schlüs­sel kom­men und damit Ihre Iden­ti­tät anneh­men kön­nen.


Schlüsselerstellung

Nach­dem Sie den vor­he­ri­gen Dia­log mit OK bestä­tigt haben, wird Ihr Schlüs­sel­paar erstellt. Dies kann je nach ein­ge­stell­ter Länge eine Weile dauern. üben Sie sich in Geduld und gehen Sie Kaffee trin­ken.


Schlüssel

Danach sehen Sie im Register Eigene Schlüs­sel ihr Schlüs­sel­paar.


Obwohl das Addon Enigmail für den Mozilla Thunderbird es auch erlaubt, Schlüs­sel zu erzeu­gen bzw. zu impor­tie­ren sind wir hier den Weg über die Schlüs­sel­ver­wal­tung des Gnome-Desktops gegangen. Dies hat den Vor­teil, dass so Ihre Schlüs­sel nicht nur dem Mozilla Thunderbird son­dern auch ande­ren Anwen­dun­gen zur Ver­fü­gung ste­hen. So kön­nen Sie z. B. Dateien in Ihrem Home-Ver­zeich­nis ver­schlüs­seln und sig­nie­ren.

Damit Andere von Ihrer neu erwor­be­nen Fähig­keit, ver­schlüs­selte E-Mails einst­wei­len erst mal empfan­gen und E-Mails digital sig­nie­ren zu kön­nen, auch erfah­ren, müs­sen Sie die­sen Ihren öffent­li­chen Schlüs­sel auch bekannt geben. Dies kann über die unter­schied­lich­sten Wege erfol­gen. Zum einen kön­nen Sie Ihren öffent­li­chen Schlüs­sel in eine nor­male ASCII-Datei expor­tie­ren, die Sie dann an Ihre E-Mails anhän­gen und an Kom­mu­ni­ka­tions­part­ner ver­schicken, mit denen Sie ver­schlüs­selte und digi­tal sig­nierte Nach­rich­ten aus­tau­schen wol­len (Ja, offen­sicht­lich fehlt da noch was: Sie brau­chen natür­lich auch deren öffent­liche Schlüs­sel. Doch dazu später mehr).

öffentlichen Schlüssel exportieren

Zum Export des öffent­li­chen Schlüs­sels wäh­len Sie im Haupt­menü öffent­lichen Schlüs­sel expor­tie­ren, wonach der Stan­dard-Speichern-unter Dia­log erscheint. Jetzt kön­nen Sie ihren öffent­lichen Schlüs­sel an einer belie­bi­gen Stelle Ihres Home-Ver­zeich­nis­ses abspei­chern, um ihn später in alle Welt zu ver­schicken.


Ele­gan­ter geht die Sache aber über die Ver­wen­dung öffent­licher Schlüs­sel­server. Dazu müs­sen Sie aber der Schlüs­sel­ver­wal­tung erst ein­mal mit­tei­len, wel­chen öffent­li­chen Schlüs­sel­server sie als Standard-Schlüs­sel­server in Zukunft ver­wen­den wol­len.

Standard-Schlüsselserver festlegen

Wäh­len Sie dazu aus dem Haupt­menü Bear­bei­ten und dann Vor­ein­stel­lun­gen und im darauf­fol­gen­den Dia­log das Register Schlüs­sel­server. In der Grund­ein­stel­lung ist kein Schlüs­sel­server fest­ge­legt, und Ihr öffent­licher Schlüs­sel würde somit auch nicht ver­öffent­licht. Wäh­len Sie einen Schlüs­sel­server aus. Die bei­den unten ste­hen­den Käst­chen kön­nen Sie auch akti­vie­ren, wenn Sie wol­len, dass Ihre Schlüs­sel immer auf dem neue­sten Stand bleiben. Bestä­ti­gen Sie das Ganze mit OK.


öffentlichen Schlüssel veröffentlichen

Jetzt kön­nen Sie dran­ge­hen, Ihren öffent­li­chen Schlüs­sel auf dem gerade einge­stell­ten Schlüs­sel­server zu ver­öffentlichen. Wählen Sie dazu im Hauptmenü Entfernt und dort Synchronisiere und veröf­fent­liche Schlüs­sel. Hier­bei wird nicht nur Ihr Schlüs­sel ver­öf­fent­licht, son­dern auch ände­run­gen an Ihrem öffent­lichen Schlüs­sel, nämlich Sig­na­tu­ren ande­rer Per­so­nen (siehe unten) mit Ihrem Schlüs­sel syn­chroni­siert.


Obwohl sowohl das Erzeu­gen unse­res Schlüs­sel­paars als auch das Expor­tie­ren bzw. das Hoch­la­den des öffent­li­chen Schlüs­sels auch im Addon Enigmail des Mozilla Thunderbird vor­ge­nom­men wer­den kann, haben wir hier den Weg über die Schlüs­sel­ver­wal­tung des Gnome-Desktop genom­men. Dies hat in Zukunft den Vor­teil, dass GnuPG bzw. Ihre Schlüs­sel nicht nur Ihrem E-Mail-Client zur Ver­fü­gung stehen, son­dern Sie auch Dateien in Ihrem Home-Ver­zeich­nis ver­schlüs­seln und digi­tal sig­nie­ren kön­nen.

Die wei­te­ren Ein­stel­lun­gen, die Schlüs­sel­ver­wal­tung betref­fend, wer­den wir inner­halb des Addons Enigmail vor­neh­men.

So, nun ist es aber genug mit der Schlüs­sel­ver­wal­tung des Gnome-Desktop, kom­men wir zu unse­rem Mozilla Thunderbird und der Kon­fi­gu­ra­tion für das Arbei­ten mit GnuPG.

Einrichten des Mozilla Thunderbird für die Verwendung von GnuPG

Wir gehen davon aus, dass Sie ent­we­der wie in den Wikis zu Thunderbird beschrie­ben oder über die Paket­ver­waltung das Addon Enigmail bereits instal­liert haben. Im Hauptmenü Ihres E-Mail-Clients fin­den Sie jetzt einen neuen Menü­punkt namens OpenPGP, den Sie jetzt aus­wäh­len soll­ten. Soll­ten Sie nach der Instal­la­tion von Enigmail das erste Mal auf diesen Menü­punkt klicken, erscheint ein Assistent, der Sie durch die Anfänge der Kon­fi­gu­ra­tion führt. Die­ser Assi­stent erscheint aber nur ein Mal, weshalb ich Ihn hier nicht vor­füh­ren kann. Soll­ten Sie also diesen Assistenten auch schon aufgerufen haben, geht es Ihnen wie mir. Wir nehmen einfach den normalen Weg.

Nach Auswahl des Menüpunkts OpenPGP im Hauptmenü von Mozilla Thunderbird klicken Sie zuerst mal auf Einstellungen.

Einstellungen

In den Ein­stel­lun­gen soll­ten Sie erst mal die Zeit, wie lange Ihr Passwort für den pri­va­ten Schlüs­sel nicht wie­der abge­fragt wird, erhöhen. Stellen Sie hier einen Wert ein, der Ihren Gepflo­gen­hei­ten am Nähe­sten kommt. Nie nach einer Passphrase fragen würde ich nie ankreu­zen, da anson­sten in Ihrer Abwe­sen­heit bei lau­fen­dem Rechner jeder E-Mails mit Ihrer Iden­ti­tät ver­schicken könnte und natür­lich auch ver­schlüs­selte an Sie gesandte E-Mails für jeden lesbar wären. Außer­dem soll­ten Sie gleich mal das Käst­chen Experten-Einstellungen zeigen ankreu­zen, da anson­sten keine sinn­vol­len Ein­stel­lun­gen vor­ge­nom­men wer­den kön­nen. Been­den Sie den Dia­log erst einmal mit einem Klick auf die Schalt­fläche OK.


Experten-OpenPGP-Menü

Jetzt präsen­tiert sich das Menü OpenPGP gleich in einem ande­ren Gewand, vor Allem in einem, mit dem man gleich viel mehr anfan­gen kann. Doch nicht nur das Menü ist erweitert ….


Experten-Einstellungen

son­dern auch die Ein­stel­lun­gen las­sen jetzt viel mehr Mög­lich­kei­ten zu. Doch die­sem Dia­log kön­nen Sie sich auch später zuwen­den.


Schlüsselverwaltung

Wich­tig ist auch hier wie­der die Schlüs­sel­ver­wal­tung. Enigmail arbei­tet mit den glei­chen Daten wie die Schlüs­sel­ver­wal­tung des Desktops, so dass Sie sowohl die Schlüs­sel­ver­wal­tung von Enigmail als auch die des Gnome-Desktop verwen­den kön­nen.

Damit Sie mit Ande­ren in zwei Rich­tun­gen ver­schlüs­selte und digi­tal sig­nierte Mails aus­tau­schen kön­nen, brau­chen Sie natür­lich auch deren öffent­li­che Schlüs­sel. Die geschieht eben­falls im Menü­punkt Entfernt. Dort können Sie auf den Schlüs­sel­servern nach Ihnen bekann­ten E-Mail-Adressen suchen.

Sie kön­nen sich natür­lich auch von Ihren Kom­muvni­ka­tions­part­nern deren öffent­liche Schlüs­sel per E-Mail zuschicken las­sen und diese dann in die Schlüs­sel­ver­wal­tung impor­tie­ren.

Auf diese Weise erhält man mit der Zeit einen mehr oder weniger umfang­rei­chen Schlüs­sel­bund (public key ring) und kann mit immer mehr Kom­mu­ni­ka­tions­part­nern ver­trau­li­che und authen­ti­fi­zier­te Mails aus­tau­schen.

Man sollte auch die Stufe des Ver­trauens zu dem jewei­li­gen Schlüs­sel ande­rer Per­so­nen ein­stel­len. Dies erreicht man, indem man den jewei­li­gen Schlüs­sel mit der rech­ten Maus­taste anklickt und den ent­spre­chen­den Menü­punkt aus dem Kontext­menü aus­wählt. Gehen Sie hier besonders sorg­fältig vor. Schen­ken Sie keines­falls allen Schlüs­seln blind­lings Ihr Ver­trauen. Ver­gewis­sern Sie sich, dass der jewei­lige Schlüs­sel und die dazu­gehö­rige E-Mail-Adresse wirk­lich zu der ange­ge­be­nen Per­son gehören! Fragen Sie im Zweifels­fall persön­lich nach und lassen Sie sich vom Besit­zer des öffent­li­chen Schlüs­sels die Key-ID, eine ein­deu­tige Ken­nung, und auch den digi­talen Fingerabdruck des Schlüs­sels geben.


Schlüssel unterschreiben

Ein wei­te­rer wich­ti­ger Punkt bei GnuPG ist das Sig­nie­ren öffent­li­cher Schlüs­sel ande­rer Per­so­nen. Dazu klicken Sie mit der rech­ten Maus­taste auf den zu unter­schrei­ben­den Schlüs­sel und wäh­len im Kontext­menü Unter­schrei­ben. Hier­bei ist aber eben­falls beson­dere Sorg­falt ange­sagt. Sig­nie­ren Sie nur öffent­liche Schlüs­sel ande­rer Per­so­nen, die Ihnen per­sön­lich bekannt sind, und bei denen Sie sicher sind, dass die ange­ge­bene E-Mail-Adresse wirk­lich dieser Per­son zuzu­ordnen ist. Hinter­grund ist fol­gen­der. Da im Internet und schon gar nicht bei E-Mail immer klar ist, wel­che Per­son hin­ter wel­cher E-Mail-Adresse steckt, erhält man durch die über­prü­fung von Sig­na­turen öffent­licher Schlüs­sel Infor­ma­tio­nen über eine sol­che Zuord­nung. Fin­det man Sig­na­tu­ren von Per­so­nen, die man kennt und denen man ver­traut, dann kann man davon aus­ge­hen, die beson­dere Sorg­falt die­ser Per­son vor­aus­ge­setzt, dass diese Per­son die­sen öffent­lichen Schlüs­sel nur des­halb unter­schrie­ben hat, weil diese sich sicher ist, dass die Zuord­nung dieser Per­son zu der betref­fen­den E-Mail-Adresse auch stimmt. Mann kann des­halb die­ser E-Mail-Adresse folg­lich auch ver­trauen. Auf diese Weise kann ein so genann­tes Web of Trust, also ein Netz des Ver­trauens auf­ge­baut wer­den.

Zum Unter­schrei­ben eines Schlüs­sels müs­sen Sie das Passwort ein­ge­ben, das Sie bei der Erzeu­gung Ihres Schlüs­sel­paares fest­ge­legt haben. Die Erstel­lung der digi­talen Sig­na­tur erfor­dert den Zugriff auf Ihren pri­va­ten Schlüs­sel, der durch eben die­ses Pass­wort geschützt wird. Nähe­res dazu fin­den Sie auf der Seite Grundlagen zum Thema Ver­schlüs­se­lung und digi­tale Sig­na­tur.


Unterschriftenliste

Um die Unter­schrif­ten auf einem öffent­li­chen Schlüs­sel anzu­sehen, wählt man im Kon­text­menü des jewei­li­gen Schlüs­sels Unter­schrif­ten anzei­gen. Unter­schrif­ten von Per­so­nen, deren öffent­liche Schlüs­sel sich in Ihrem Schlüs­sel­bund befin­den, sind als solche zu erken­nen, wie auch solche, die Ihnen unbe­kannt sind. So kön­nen Sie sehr leicht über­prü­fen, ob ein öffent­licher Schlüs­sel von einer Ihnen bekann­ten Per­son, d. h., einer Per­son, deren öffent­licher Schlüs­sel sich an Ihrem Schlüs­sel­bund befin­det, unter­schrie­ben wurde. Dadurch kön­nen sie abschät­zen, in wie weit Sie die­sem öffent­lichen Schlüs­sel eben­falls ver­trauen kön­nen. Das Käst­chen mit dem Plus­zeichen vor manchen Schlüs­seln signa­li­siert übri­gens, dass diese Schlüs­sel für meh­rere E-Mail-Adressen gelten.

Noch­mals sei hier aus­ge­spro­chen, dass das Unter­schrei­ben frem­der öffent­licher Schlüs­sel nur nach einge­hen­der Prü­fung erfol­gen sollte. Der Wert eines web of trust hängt immer auch von der Sorg­falt seiner Teil­neh­mer ab.

Verschlüs­seln und sig­nie­ren von E-Mails mit dem Addon Enigmail im Mozilla Thunderbird

Bevor Sie jetzt los­legen, soll­ten Sie noch einige Ein­stel­lun­gen im Mozilla Thunderbird vor­neh­men. Wäh­len Sie im Haupt­menü Bear­beit­en (unter Windows wieder sinniger Weise Extras) und dort Konten

Kontoeinstellungen

Hier fin­den Sie jetzt einen neuen Menü­punkt OpenPGP-Sicher­heit. Set­zen Sie bei OpenPGP-Sicher­heit für diese Iden­ti­tät akti­vie­ren ein Häk­chen und stel­len Sie Ihren E-Mail-Client ent­spre­chend des neben­ste­hen­den Bil­des ein.


Jetzt kön­nen Sie Ihre E-Mails digi­tal sig­nie­ren, wobei Sie beim ersten Zugriff auf Ihren pri­va­ten Schlüs­sel nach dem dazu­ge­hö­ri­gen Pass­wort gefragt wer­den. Danach wird das Pas­swort, ent­spre­chend der Anga­ben, die Sie bei den OpenPGP-Ein­stel­lun­gen gemacht haben, eine Zeit lang nicht mehr abge­fragt. Sofern Sie im Besitz öffent­li­cher Schlüs­sel ande­rer Per­so­nen sind, kön­nen Sie die­sen auch ver­schlüs­selte E-Mails zusen­den.