Mozilla Thunderbird mit GnuPG
Inhaltsverzeichnis
Voraussetzungen
Mozilla Thunderbird muss natürlich installiert sein. Außerdem bieten die meisten Distributionen das Addon Enigmail für den Mozilla Thunderbird in Ihrer Paketverwaltung an. Sollte dies nicht der Fall sein, kann Enigmail auch aus dem Mozilla Thunderbird heraus installiert werden. Wie man das durchführt, ist in den Wikis zu Thunderbird beschrieben. Der Rest, den wir unter Linux brauchen, wird standardmäßig bereits bei der Installation des Rechners mit installiert.
Wir gehen bei diesem Szenario vom Gnome-Desktop aus. Unterschiede zu anderen Desktops (z. B. KDE) betreffen nur die Schlüsselverwaltung. Die eigentliche Einrichtung des Mozilla Thunderbird für die Benutzung von GnuPG ist identisch.
Weiterhin sollten Sie eine gültige E-Mail-Adresse besitzen. Das Schlüsselpaar, das Sie für die Verschlüsselung und die Erzeugung digitaler Signaturen brauchen, ist immer mit einer E-Mail-Adresse verknüpft.
Achtung!
Sollten Sie bisher noch keinerlei Erfahrung mit Verschlüsselung und digitaler Signatur haben, sollten Sie sich unbedingt die Grundlagen zu dieser Thematik auf unserer Website durchlesen, bevor Sie hier weiter machen.
Einrichtung von GnuPG
öffnen Sie das Menü Anwendungen und dort das Untermenü Zubehör und dort klicken Sie auf Passwörter und Verschlüsselung.
In der Schlüsselverwaltung wählen Sie Schlüssel und dort Neuen Schlüssel erzeugen.
Im folgenden Dialog können Sie die Art des Schlüssels auswählen. Wählen Sie PGP-Schlüssel und klicken Sie auf Weiter.
In diesem Dialog sollten Sie gleich auf Erweiterte Einstellungen klicken, damit Ihnen alle Möglichkeiten geboten werden, bestimmte Parameter für die Schlüsselerzeugung einzustellen.
Geben Sie Ihre Daten entsprechend den nebenstehenden Vorgaben ein. Der Vollständige Name kann frei gewählt werden. Die E-Mail-Adresse sollte der E-Mail-Adresse entsprechen, der die zu erzeugenden Schlüssel zugeordnet werden sollen. Das Feld Kommentar kann auch frei bleiben. Bei Verschlüsselungs-Typ lassen Sie die Vorgabe stehen, die anderen Möglichkeiten können nur zum Signieren von Mails, nicht aber zu deren Verschlüsselung verwendet werden. Das nächste Feld zeigt Ihnen die Schlüssellänge an. Je länger der Schlüssel, desto sicherer ist die Verschlüsselung. Zu lange Schlüssel haben aber auch den Nachteil, dass der Rechenaufwand für die Verschlüsselung stark ansteigt. Außerdem macht sich die Länge natürlich auch im Zeitaufwand für die Schlüsselerzeugung stark bemerkbar. Allerdings ist Letzteres weniger störend, da es sich dabei um einen einmaligen Vorgang handelt. Zuletzt besteht noch die Möglichkeit, dem (öffentlichen) Schlüssel ein Ablaufdatum zu verpassen. Nach dem hier eventuell eingestellten Datum sehen Ihre Kommunikationspartner dann, dass die Gütigkeitsdauer des Schlüssels abgelaufen ist. Die Einstellung eines solchen Ablaufdatums hat den Vorteil, dass häufig gebrauchte Schlüssel automatisch ungütig werden. Dies erspart Ihnen beim Wechsel der Schlüssel, dass Sie diese widerrufen müssen, um sie ungültig zu machen. Sie müssen sich aber dann auch ein neues Schlüsselpaar erzeugen und Ihren neuen öffentlichen Schlüssel Ihren Kommunikationspartnern zur Verfügung stellen, damit diese Ihnen weiterhin verschlüsselte Mails zuschicken und auch die von Ihnen erhaltenen signierten Mails verifizieren können. Wenn Sie alles eingestellt haben, überprüfen Sie nochmals Ihre Angaben und klicken dann auf Erstellen.
Zu guter Letzt werden Sie noch aufgefordert, ein Passwort (zwei mal) einzugeben, um Ihren privaten Schlüssel zu schützen. Gehen Sie hier besonders sorgfältig vor und verwenden Sie auf jeden Fall ein genügend langes und sicheres Passwort. Da die mit Ihrem privaten Schlüssel erzeugten digitalen Signaturen auch Ihre Identität bezeugen, muss ein starkes Passwort gewählt werden. Schwache Passwörter beinhalten die Gefahr, dass unbefugte Personen an Ihren privaten Schlüssel kommen und damit Ihre Identität annehmen können.
Nachdem Sie den vorherigen Dialog mit OK bestätigt haben, wird Ihr Schlüsselpaar erstellt. Dies kann je nach eingestellter Länge eine Weile dauern. üben Sie sich in Geduld und gehen Sie Kaffee trinken.
Danach sehen Sie im Register Eigene Schlüssel ihr Schlüsselpaar.
Obwohl das Addon Enigmail für den Mozilla Thunderbird es auch erlaubt, Schlüssel zu erzeugen bzw. zu importieren sind wir hier den Weg über die Schlüsselverwaltung des Gnome-Desktops gegangen. Dies hat den Vorteil, dass so Ihre Schlüssel nicht nur dem Mozilla Thunderbird sondern auch anderen Anwendungen zur Verfügung stehen. So können Sie z. B. Dateien in Ihrem Home-Verzeichnis verschlüsseln und signieren.
Damit Andere von Ihrer neu erworbenen Fähigkeit, verschlüsselte E-Mails einstweilen erst mal empfangen und E-Mails digital signieren zu können, auch erfahren, müssen Sie diesen Ihren öffentlichen Schlüssel auch bekannt geben. Dies kann über die unterschiedlichsten Wege erfolgen. Zum einen können Sie Ihren öffentlichen Schlüssel in eine normale ASCII-Datei exportieren, die Sie dann an Ihre E-Mails anhängen und an Kommunikationspartner verschicken, mit denen Sie verschlüsselte und digital signierte Nachrichten austauschen wollen (Ja, offensichtlich fehlt da noch was: Sie brauchen natürlich auch deren öffentliche Schlüssel. Doch dazu später mehr).
Zum Export des öffentlichen Schlüssels wählen Sie im Hauptmenü öffentlichen Schlüssel exportieren, wonach der Standard-Speichern-unter Dialog erscheint. Jetzt können Sie ihren öffentlichen Schlüssel an einer beliebigen Stelle Ihres Home-Verzeichnisses abspeichern, um ihn später in alle Welt zu verschicken.
Eleganter geht die Sache aber über die Verwendung öffentlicher Schlüsselserver. Dazu müssen Sie aber der Schlüsselverwaltung erst einmal mitteilen, welchen öffentlichen Schlüsselserver sie als Standard-Schlüsselserver in Zukunft verwenden wollen.
Wählen Sie dazu aus dem Hauptmenü Bearbeiten und dann Voreinstellungen und im darauffolgenden Dialog das Register Schlüsselserver. In der Grundeinstellung ist kein Schlüsselserver festgelegt, und Ihr öffentlicher Schlüssel würde somit auch nicht veröffentlicht. Wählen Sie einen Schlüsselserver aus. Die beiden unten stehenden Kästchen können Sie auch aktivieren, wenn Sie wollen, dass Ihre Schlüssel immer auf dem neuesten Stand bleiben. Bestätigen Sie das Ganze mit OK.
Jetzt können Sie drangehen, Ihren öffentlichen Schlüssel auf dem gerade eingestellten Schlüsselserver zu veröffentlichen. Wählen Sie dazu im Hauptmenü Entfernt und dort Synchronisiere und veröffentliche Schlüssel. Hierbei wird nicht nur Ihr Schlüssel veröffentlicht, sondern auch änderungen an Ihrem öffentlichen Schlüssel, nämlich Signaturen anderer Personen (siehe unten) mit Ihrem Schlüssel synchronisiert.
Obwohl sowohl das Erzeugen unseres Schlüsselpaars als auch das Exportieren bzw. das Hochladen des öffentlichen Schlüssels auch im Addon Enigmail des Mozilla Thunderbird vorgenommen werden kann, haben wir hier den Weg über die Schlüsselverwaltung des Gnome-Desktop genommen. Dies hat in Zukunft den Vorteil, dass GnuPG bzw. Ihre Schlüssel nicht nur Ihrem E-Mail-Client zur Verfügung stehen, sondern Sie auch Dateien in Ihrem Home-Verzeichnis verschlüsseln und digital signieren können.
Die weiteren Einstellungen, die Schlüsselverwaltung betreffend, werden wir innerhalb des Addons Enigmail vornehmen.
So, nun ist es aber genug mit der Schlüsselverwaltung des Gnome-Desktop, kommen wir zu unserem Mozilla Thunderbird und der Konfiguration für das Arbeiten mit GnuPG.
Einrichten des Mozilla Thunderbird für die Verwendung von GnuPG
Wir gehen davon aus, dass Sie entweder wie in den Wikis zu Thunderbird beschrieben oder über die Paketverwaltung das Addon Enigmail bereits installiert haben. Im Hauptmenü Ihres E-Mail-Clients finden Sie jetzt einen neuen Menüpunkt namens OpenPGP, den Sie jetzt auswählen sollten. Sollten Sie nach der Installation von Enigmail das erste Mal auf diesen Menüpunkt klicken, erscheint ein Assistent, der Sie durch die Anfänge der Konfiguration führt. Dieser Assistent erscheint aber nur ein Mal, weshalb ich Ihn hier nicht vorführen kann. Sollten Sie also diesen Assistenten auch schon aufgerufen haben, geht es Ihnen wie mir. Wir nehmen einfach den normalen Weg.
Nach Auswahl des Menüpunkts OpenPGP im Hauptmenü von Mozilla Thunderbird klicken Sie zuerst mal auf Einstellungen.
In den Einstellungen sollten Sie erst mal die Zeit, wie lange Ihr Passwort für den privaten Schlüssel nicht wieder abgefragt wird, erhöhen. Stellen Sie hier einen Wert ein, der Ihren Gepflogenheiten am Nähesten kommt. Nie nach einer Passphrase fragen würde ich nie ankreuzen, da ansonsten in Ihrer Abwesenheit bei laufendem Rechner jeder E-Mails mit Ihrer Identität verschicken könnte und natürlich auch verschlüsselte an Sie gesandte E-Mails für jeden lesbar wären. Außerdem sollten Sie gleich mal das Kästchen Experten-Einstellungen zeigen ankreuzen, da ansonsten keine sinnvollen Einstellungen vorgenommen werden können. Beenden Sie den Dialog erst einmal mit einem Klick auf die Schaltfläche OK.
Jetzt präsentiert sich das Menü OpenPGP gleich in einem anderen Gewand, vor Allem in einem, mit dem man gleich viel mehr anfangen kann. Doch nicht nur das Menü ist erweitert ….
sondern auch die Einstellungen lassen jetzt viel mehr Möglichkeiten zu. Doch diesem Dialog können Sie sich auch später zuwenden.
Wichtig ist auch hier wieder die Schlüsselverwaltung. Enigmail arbeitet mit den gleichen Daten wie die Schlüsselverwaltung des Desktops, so dass Sie sowohl die Schlüsselverwaltung von Enigmail als auch die des Gnome-Desktop verwenden können.
Damit Sie mit Anderen in zwei Richtungen verschlüsselte und digital signierte Mails austauschen können, brauchen Sie natürlich auch deren öffentliche Schlüssel. Die geschieht ebenfalls im Menüpunkt Entfernt. Dort können Sie auf den Schlüsselservern nach Ihnen bekannten E-Mail-Adressen suchen.
Sie können sich natürlich auch von Ihren Kommuvnikationspartnern deren öffentliche Schlüssel per E-Mail zuschicken lassen und diese dann in die Schlüsselverwaltung importieren.
Auf diese Weise erhält man mit der Zeit einen mehr oder weniger umfangreichen Schlüsselbund (public key ring) und kann mit immer mehr Kommunikationspartnern vertrauliche und authentifizierte Mails austauschen.
Man sollte auch die Stufe des Vertrauens zu dem jeweiligen Schlüssel anderer Personen einstellen. Dies erreicht man, indem man den jeweiligen Schlüssel mit der rechten Maustaste anklickt und den entsprechenden Menüpunkt aus dem Kontextmenü auswählt. Gehen Sie hier besonders sorgfältig vor. Schenken Sie keinesfalls allen Schlüsseln blindlings Ihr Vertrauen. Vergewissern Sie sich, dass der jeweilige Schlüssel und die dazugehörige E-Mail-Adresse wirklich zu der angegebenen Person gehören! Fragen Sie im Zweifelsfall persönlich nach und lassen Sie sich vom Besitzer des öffentlichen Schlüssels die Key-ID, eine eindeutige Kennung, und auch den digitalen Fingerabdruck des Schlüssels geben.
Ein weiterer wichtiger Punkt bei GnuPG ist das Signieren öffentlicher Schlüssel anderer Personen. Dazu klicken Sie mit der rechten Maustaste auf den zu unterschreibenden Schlüssel und wählen im Kontextmenü Unterschreiben. Hierbei ist aber ebenfalls besondere Sorgfalt angesagt. Signieren Sie nur öffentliche Schlüssel anderer Personen, die Ihnen persönlich bekannt sind, und bei denen Sie sicher sind, dass die angegebene E-Mail-Adresse wirklich dieser Person zuzuordnen ist. Hintergrund ist folgender. Da im Internet und schon gar nicht bei E-Mail immer klar ist, welche Person hinter welcher E-Mail-Adresse steckt, erhält man durch die überprüfung von Signaturen öffentlicher Schlüssel Informationen über eine solche Zuordnung. Findet man Signaturen von Personen, die man kennt und denen man vertraut, dann kann man davon ausgehen, die besondere Sorgfalt dieser Person vorausgesetzt, dass diese Person diesen öffentlichen Schlüssel nur deshalb unterschrieben hat, weil diese sich sicher ist, dass die Zuordnung dieser Person zu der betreffenden E-Mail-Adresse auch stimmt. Mann kann deshalb dieser E-Mail-Adresse folglich auch vertrauen. Auf diese Weise kann ein so genanntes Web of Trust, also ein Netz des Vertrauens aufgebaut werden.
Zum Unterschreiben eines Schlüssels müssen Sie das Passwort eingeben, das Sie bei der Erzeugung Ihres Schlüsselpaares festgelegt haben. Die Erstellung der digitalen Signatur erfordert den Zugriff auf Ihren privaten Schlüssel, der durch eben dieses Passwort geschützt wird. Näheres dazu finden Sie auf der Seite Grundlagen zum Thema Verschlüsselung und digitale Signatur.
Um die Unterschriften auf einem öffentlichen Schlüssel anzusehen, wählt man im Kontextmenü des jeweiligen Schlüssels Unterschriften anzeigen. Unterschriften von Personen, deren öffentliche Schlüssel sich in Ihrem Schlüsselbund befinden, sind als solche zu erkennen, wie auch solche, die Ihnen unbekannt sind. So können Sie sehr leicht überprüfen, ob ein öffentlicher Schlüssel von einer Ihnen bekannten Person, d. h., einer Person, deren öffentlicher Schlüssel sich an Ihrem Schlüsselbund befindet, unterschrieben wurde. Dadurch können sie abschätzen, in wie weit Sie diesem öffentlichen Schlüssel ebenfalls vertrauen können. Das Kästchen mit dem Pluszeichen vor manchen Schlüsseln signalisiert übrigens, dass diese Schlüssel für mehrere E-Mail-Adressen gelten.
Nochmals sei hier ausgesprochen, dass das Unterschreiben fremder öffentlicher Schlüssel nur nach eingehender Prüfung erfolgen sollte. Der Wert eines web of trust hängt immer auch von der Sorgfalt seiner Teilnehmer ab.
Verschlüsseln und signieren von E-Mails mit dem Addon Enigmail im Mozilla Thunderbird
Bevor Sie jetzt loslegen, sollten Sie noch einige Einstellungen im Mozilla Thunderbird vornehmen. Wählen Sie im Hauptmenü Bearbeiten (unter Windows wieder sinniger Weise Extras) und dort Konten
Hier finden Sie jetzt einen neuen Menüpunkt OpenPGP-Sicherheit. Setzen Sie bei OpenPGP-Sicherheit für diese Identität aktivieren ein Häkchen und stellen Sie Ihren E-Mail-Client entsprechend des nebenstehenden Bildes ein.
Jetzt können Sie Ihre E-Mails digital signieren, wobei Sie beim ersten Zugriff auf Ihren privaten Schlüssel nach dem dazugehörigen Passwort gefragt werden. Danach wird das Passwort, entsprechend der Angaben, die Sie bei den OpenPGP-Einstellungen gemacht haben, eine Zeit lang nicht mehr abgefragt. Sofern Sie im Besitz öffentlicher Schlüssel anderer Personen sind, können Sie diesen auch verschlüsselte E-Mails zusenden.