/privacy

Teuchtlurms Privacy Seite

Inhalt

• Einführung
• Mailverschlüsselung
• PGP und GPG - was ist das?
• Mailverschlüsselung mit PGP
• Mailverschlüsselung mit GPG
• Der Thunderbird und GPG
• Einrichten des Thunderbird
• Verschlüsselt Mailen mit Thunderbird
• Alternativen
• Instant Messaging
• Zugaben
• Anmerkungen
• Links
• Anleitungen
• FAQ
• News
• Kontakt
• Startseite / Inhalt

Tutorial: Verschlüsselt Mailen mit Thunderbird

Der Thunderbird ist endlich in der Version 3.1 (portabel) erschienen. Sobald alle Addons kompatibel sind und ich die nötige Zeit habe werde ich ein neues Tutorial basteln. Es kann sich nur um Tage Wochen Monate handeln...

Tutorial: Verschlüsseltes Mailen mit Thunderbird, GnuPG und Enigmail

1. Einleitung
2. Erstellen bzw. Importieren eines Schlüsselpaares
3. Generelle Enigmail-Einstellungen
4. Öffentlichen Schlüssel exportieren
5. Importieren von öffentlichen Schlüsseln
6. Unterschreiben von öffentlichen Schlüsseln
7. Mails entschlüsseln
8. Mails verschlüsseln und unterschreiben
9. Empfängerregeln
10. Bekannte Probleme

Einleitung

In diesem Tutorial möchte ich aufzeigen, wie man mit der Kombination Thunderbird/Enigmail/GnuPG verschlüsselt mailen kann. Lasst euch vom Umfang dieses Tutorials nicht abschrecken - fast jeder kleine Schritt wurde mit einem Screenshot untermalt, bzw. bei diesem Symbol wurden noch zusätzliche Screenshots hinterlegt.

Am besten ist es, das Thunderbird/GnuPG-Bundle von PortableApps zu nutzen (damit habe ich auch dieses Tutorial erstellt), aber im Prinzip ist diese Anleitung auf jede Kombination mit Thunderbird / GPG anwendbar.

Den Download des Bundles (bzw. der einzelnen Komponenten) und das Einrichten des ersten Mailkontos im Thunderbird setze ich voraus.

Alle Einstellungen, die mit GPG, dem Ver- und Entschlüsseln oder der Schlüsselverwaltung zu tun haben, findet man im Thunderbird unter dem Menupunkt OpenPGP

Erstellen bzw. Importieren eines Schlüsselpaares

Als erstes müssen wir ein Schlüsselpaar erstellen, damit wir überhaupt ver- und entschlüsseln können (solltest du bereits ein Schlüsselpaar besitzen, kannst du es unter "Schlüssel verwalten / Datei / importieren" in dieses Bundle importieren). Unter OpenPGP / Schlüssel verwalten finden wir die Schlüsselverwaltung, die jetzt natürlich noch recht leer ist.

Dort klicken wir in der Menuleiste auf "Erzeugen / Neues Schlüsselpaar". Enigmail hilft uns dann mit ein paar Schritten durch den Vorgang. Wichtig ist die Passphrase, die wir hier das erste mal eingeben:

Sie sollte lang genug sein, nach Möglichkeit auch Zahlen und Sonderzeichen beinhalten, und weder den Namen von Angehörigen noch das Geburtsdatum des Wellensittichs enthalten. Allerdings sollte sie auch nicht so lang sein, dass ihr euch bei jedem Mailöffnen die Finger wundtippt. Ihr könnt ein Datum angeben, wann der Schlüssel ablaufen soll - oder es auch lassen. Die Meinungen darüber sind geteilt. Anmerkung: Wenn sich der öffentliche Schlüssel eines Mailpartners irgendwann nicht öffnen oder importieren lässt, dann ist er wahrscheinlich abgelaufen. Leider gibt es bei Enigmail keine entsprechende Fehlermeldung! Nach einer Bestätigung wird das Schlüsselpaar erzeugt , was einige Minuten in Anspruch nehmen kann. Dann wird man aufgefordert, ein "Widerrufszertifikat" zu erstellen:

Man sollte das Zertifikat erstellen und an einem sicheren Ort abspeichern . Bei der Gelegenheit kann man direkt das erste mal testen, ob man seine Passphrase behalten hat.

Nun findet man in der Schlüsselverwaltung seinen Schlüsselring mit dem ersten eigenen Schlüsselpaar.

Es macht Sinn, seinen öffentlichen Schlüssel auf einem Schlüsselserver für andere zum Download bereitzustellen:

Man wählt den Server aus und schiebt mit einem Klick seinen öffentlichen Schlüssel auf den Server hoch.

Enigmail-Einstellungen

Die meisten Einstellungen im Bereich "OpenPGP" kann man wie vorgeschlagen übernehmen. Wichtig ist immer, dass der Pfad zur GPG-Anwendung korrekt eingetragen ist (wird beim Bundle automatisch eingetragen). Unter "Senden" kann man wählen, ob man die Mails immer mit seinem eigenen Key verschlüsseln will:

Wenn man standardmäßig Mails mit dem eigenen Schlüssel verschlüsselt hat es zwar den Vorteil, dass man seine gesendeten Mails noch entschlüsseln, also lesen kann, andererseits: Je mehr Schlüssel verwendet werden, desto größer ist das Risiko, dass die Mail doch von fremden Augen gelesen werden kann. Sinnvollerweise wird unter "Erweitert" noch eingestellt, dass verschlüsselte Mails auch verschlüsselt beantwortet werden.

Wichtig ist, dass man für sein Mailkonto (bzw. alle Konten) die OpenPGP-Unterstützung aktiviert. Dies geschieht unter Kontoeigenschaften:

Öffentlichen Schlüssel exportieren

Um Mails an mich verschlüsseln zu können, benötigt der Mailpartner meinen öffentlichen Schlüssel. Man kann diesen öffentlichen Schlüssel auf einem Keyserver zum Download bereithalten, aber auch dem anderen per Mail zuschicken, via Diskette oder Stick persönlich überreichen, oder auf der Webseite zum Download anbieten. In jedem Fall aber sollten wir den öffentlichen Schlüssel exportieren. Dies kann man über "Schlüssel verwalten" Rechtsklick auf den Schlüssel und "In Zwischenablage exportieren" oder durch "In Datei exportieren" erledigen:

Ganz wichtig ist aber, dass man den privaten (geheimen) Schlüssel nicht exportiert!

Diese "öffentliche Schlüsseldatei" (eine .asc-Datei) darf nun fröhlich an die Mailpartner verteilt werden. Allerdings gilt: Nur persönlich überreichte Schlüssel sind wirklich vertrauensvoll.

Importieren von öffentlichen Schlüsseln

Nun möchte ich ja nicht nur mit mir selbst, sondern mit Mailpartnern kommunizieren. Um Mails an diese zu verschlüsseln, brauche ich deren öffentliche Schlüssel. Egal, wie ich an diese Schlüssel rankomme (Keyserver, Webseite, Mail, Datenträger), irgendwie muss ich sie in meine Schlüsselverwaltung hinein bekommen. Wenn in der Mail des Absenders bereits dessen Schlüssel vorhanden ist, geht der Import ganz einfach über "Schlüssel des Absenders / importieren":

Alternativ kann ich auch den Schlüssel über die Zwischenablage importieren. Dazu kopiere ich den kompletten Key inklusive der Einleitungs- und Ausleitungszeile in die Zwischenablage (markieren, kopieren)…

...und importiere ihn über "Bearbeiten / Aus Zwischenablage importieren":

Oder ich habe den öffentlichen Schlüssel bereits als asc-Datei auf meinem Rechner abgespeichert, dann kann ich ihn auch über "Datei / importieren" auswählen und importieren:

Unterschreiben von öffentlichen Schlüsseln

Um dem Schlüssel meines Mailpartners Vertrauen entgegenzubringen, kann ich diesen Schlüssel selbst unterschreiben. Dazu wähle ich in der Schlüsselverwaltung den entsprechenden Key aus und wähle im Kontextmenu (rechte Maustaste) "unterschreiben" aus:

Wichtig dabei ist allerdings, dass ich diesem Schlüssel auch wirklich vertraue! Wirklich vertrauenswert sind nur Schlüssel, die mir vom Inhaber persönlich (via Datenträger) überreicht werden. Wenn der Schlüssel via Mail kommt, dann bitte wiederum nur (mit meinem Schlüssel) zusätzlich verschlüsselt. Diese Vertrauensfrage ist wichtig, mit ihr steht und fällt die gesamte Sicherheit. Aus diesem Grunde wird man bei der Unterschrift des fremden Schlüssels auch noch einmal gefragt, ob man sich sicher ist, dass es wirklich der Schlüssel des Inhabers ist, und nicht etwa ein manipulierter:

Nach dem Unterschreiben kann man bei dem Schlüssel nochmal zusätzlich eine Vertrauenswürdigkeit festlegen:

Auch hier fragt das Programm noch mal nach . Wenn all diese Einstellungen erledigt sind, findet man unter "Schlüsseleigenschaften" alles aufgelistet, was man über den Key wissen muss:

Mails entschlüsseln

Die Schlüssel sind eingerichtet, der eigene verteilt und die Keys der Mailpartner sind importiert. So weit, so gut, aber irgendwas fehlt noch. Richtig, die Nutzung der Schlüssel!

Wenn du nun also eine solch kryptisch anmutende Mail vor dir hast, klickst du einfach auf den Button "entschlüsseln", gibst bei Aufforderung deine Passphrase ein, und schon zeigt sich die Mail im Klartext. Das war’s auch schon!

Es kann allerdings auch sein, dass du die Fehlermeldung "Fehlender geheimer Schlüssel" bekommst. Entweder hat in diesen Fällen der Mailpartner den falschen öffentlichen Schlüssel genutzt (oder eine Mail an mehrere Leute geschickt, und ausgerechnet deinen Key vergessen), oder du hast dich beim Eintippen deiner Passphrase vertan. In dem Falle kannst du über das Menu "OpenPGP / Passphrase aus Cache löschen" deine falsch eingetippte Passphrase löschen und einen neuen Versuch starten:

Sollte sich die Mail immer noch nicht entschlüsseln lassen, scheint ein falscher Key verwendet worden zu sein. Da hilft nur, dem Absender eine Mail zu schicken, drauf hinzuweisen und ihn zu bitten, die Mail nochmal zu schicken.

Mails verschlüsseln und unterschreiben

Das Verschlüsseln der Mails ist ebenso einfach: Über den Button "OpenPGP" kannst du einstellen, ob du die Mail verschlüsseln, unterschreiben oder beides möchtest:

Unten rechts in deinem Editorfenster siehst du einen grünen Kugelschreiber, wenn du die Mail signiert hast, und einen grünen Schlüssel, wenn du sie verschlüsselt hast. Ansonsten sind die beiden Enbleme ausgegraut.

Empfängerregeln

Um die tägliche Arbeit mit der Verschlüsselung zu erleichtern, kann man Empfängerregeln aufstellen. Für gewöhnlich wird bei der Verschlüsselung automatisch die Mail mit dem Schlüssel verschlüsselt, der zu der entsprechenden Mailadresse passt. Nun haben aber nicht alle Menschen einen Schlüssel, der sich auf ihre aktuelle Adresse bezieht. Um dann nicht jedesmal den Key von Hand zu suchen, erstellt man einmalig sogenannte Empfängerregeln :

Zuerst erstellt man eine neue Regel, in dem man bei "OpenPGP / Empfangsregeln" auf "Hinzufügen" klickt:

Dann gibt man die Mailadresse(n) ein, auf die sich die neue Regel bezieht:

Über "Auswählen" wählt man nun in der Schlüsselliste den entsprechenden Schlüssel aus. Da man zu einer Mailadresse mehrere Schlüssel hinzufügen kann, lässt sich auf diese Weise auch eine komplette Mailingliste mit Regeln einrichten. Schließlich lassen sich noch mehrere Optionen (z.B. immer oder auf Anfrage verschlüsseln oder signieren) einstellen.

Das war’s auch schon! Nun hilft eigentlich nur noch üben, üben, üben!

Bekannte Probleme

Hin und wieder kann es vorkommen, dass beim Quoten (zitierten Antworten) der ursprüngliche Text nicht wie gewohnt im Editor zu sehen ist. In dem Falle einfach mit der Kombination "Umschalt+STRG+V" den Text in den Editor kopieren.

Wie oben beschrieben kommt es mitunter vor, dass sich eine Mail nicht mit dem ausgewählten Schlüssel verschließen oder sich ein Schlüssel nicht importieren lässt. In dem Falle ist die Gültigkeit des Schlüssels wahrscheinlich abgelaufen. In dem Falle den Schlüsselbesitzer auf den Missstand aufmerksam machen.

Gebastelt mit Thunderbird 1.5, zur Version 2 gibt es aber bzgl. der Verschlüsselung keine großen Änderungen. Wenn dann - voraussichtlich im Frühsommer 2009 - die Version 3 des TB rauskommt werde ich die Tutorials noch mal aktualisieren. Der Thunderbird ist endlich in der Version 3.0 erschienen. Sobald alle Addons kompatibel sind und ich die nötige Zeit habe werde ich ein neues Tutorial basteln.

Falls du hier nicht fündig wirst: Websuche mit Ixquick

Die Seite wurde zuletzt aktualisiert am 11.12.2009 19:35:06
© 2005-2010 privacy.teuchtlurm.de | Impressum | nach oben