Verschlüsselter Mail-Verkehr ist nicht ganz trivial, mit den Open-Source-Tools Thunderbird, Enigmail und OpenPGP aber sehr alltagstauglich. Wir zeigen, wie Ihr in Thunderbird und Enigmail E-Mails verschlüsseln könnt. Das Prinzip dahinter ist recht simpel: Ihr erstellt zwei Schlüssel (in der Praxis sind das einfach Zeichenketten). Einen Schlüssel stellt ihr der Öffentlichkeit zur Verfügung, damit diese euch verschlüsselte Mails schicken kann. Den zweiten Schlüssel behaltet ihr für euch und könnt damit Mails entschlüsseln, die mit eurem öffentlichen Schlüssel verschlüsselt wurden. Übrigens: Wir nutzen hier zwar die Windows-Versionen, aber sowohl Tools als auch Prozedere funktionieren analog auch auf Linux- und Mac-OS-X-Rechnern.

Verschlüsselter Mail-Verkehr ist nicht ganz trivial, mit den Open-Source-Tools Thunderbird, Enigmail und OpenPGP aber sehr alltagstauglich. Wir zeigen, wie Ihr in Thunderbird und Enigmail E-Mails verschlüsseln könnt. Das Prinzip dahinter ist recht simpel: Ihr erstellt zwei Schlüssel (in der Praxis sind das einfach Zeichenketten). Einen Schlüssel stellt ihr der Öffentlichkeit zur Verfügung, damit diese euch verschlüsselte Mails schicken kann. Den zweiten Schlüssel behaltet ihr für euch und könnt damit Mails entschlüsseln, die mit eurem öffentlichen Schlüssel verschlüsselt wurden. Übrigens: Wir nutzen hier zwar die Windows-Versionen, aber sowohl Tools als auch Prozedere funktionieren analog auch auf Linux- und Mac-OS-X-Rechnern.

1. Installation
Installiert Thunderbird und Enigmail und startet die Schlüsseleinrichtung über das OpenPGP-Menü. (OpenPGP ist die Verschlüsselungstechnik, Enigmail stellt sie Thunderbird zur Verfügung.)

2. Schlüsselpaar
Erstellt nun ein erstes Schlüsselpaar über „Erzeugen/Neues Schlüsselpaar“.

3. Konto und Passphrase
Wählt folgend das gewünschte Konto und eine Passphrase – bedenkt hier, dass das Passwort einerseits möglichst sicher sein sollte, andererseits aber bisweilen auch jenseits eures Rechners und Passwort-Safes benötigt wird; da ist ein Kompromiss gefragt. Optional könnt ihr noch ein Ablaufdatum festlegen, was wir eher nicht empfehlen.

4. Widerrufszertifikat
Anschließend erstellt Enigmail noch ein Widerrufszertifikat, mit dem ihr die Schlüssel bei Bedarf wieder aus dem Verkehr nehmen können – ein Rechner-Dieb könnte sich sonst etwa problemlos als ihr ausgeben, und zwar verifiziert!

5. Erster Schlüsseleintrag
Zum Abschluss müsst ihr nun ein erstes Mal das Passwort eingeben und seht dann auch euren Eintrag in der Schlüsselverwaltung, die in Schritt 2 noch leer war.

6. Und Action!
Betrachten wir Enigmail nun in Aktion: Verschickt testweise ein Mail an euch selbst. Im Mail-Editor könnnt ihr nun vor dem Abschicken Häkchen im OpenPGP-Menü setzen, um die Nachricht zu unterschreiben/signieren, um sie zu verschlüsseln und um euren öffentlichen Schlüssel anzuhängen – den ein echter Empfänger bräuchte, um seine Antwort an euch ebenfalls zu verschlüsseln.

7. Anhänge
Die folgende Frage, wie mit dem Anhang umgegangen werden soll, könnt ihr einfach auf Standard belassen, dann werden Nachricht und Anhang verschlüsselt. Alternativ ließe der Anhang unverschlüsselt lassen oder die Nachricht via PGP/MIME verschicken – ein Format, das aber viele Mail-Clients gar nicht verstehen.

8. In der Inbox
Kommt die Nachricht nun an, sieht sie in der Inbox zunächst wie hier im Bild aus – eben verschlüsselt.

9. Entschlüsselte Mail
Nach korrekter Passworteingabe erstrahlt eure erste sichere Mail in vollem Glanz – mit Bestätigung der Verschlüsselung sowie, grün unterlegt, des Absenders.

10. Erster Versand
Versucht nun aber mal eine verschlüsselte Mail an einen eurer Kontakte zu schicken. Ihr werdet nebenstehende Fehlermeldung bekommen, da ihr den öffentlichen Schlüssel des Empfängers noch nicht habt. Klickt daher untern auf „Fehlende Schlüssel suchen“.

11. Schlüssel suchen
Als Schlüssel-Server könnt ihr einfach den ersten Eintrag wählen, die Schlüssel werden über alle verteilt.

12. Schlüssel importieren
In unserem Beispiel hatten wir als Empfänger-Adresse rms@gnu.org gewählt – denn natürlich war klar, dass sich für rms (Richard M. Stallman) ein PGP-Key finden lässt. Klickt den Eintrag an und schon könnt ihr Herrn Stallman verschlüsselte Mails schicken.

13. Schlüssel veröffentlichen
Damit auch andere PGP-User euch auf dieselbe Art und Weise finden können, solltet ihr zu guter Letzt noch in der Schlüsselverwaltung euren eigenen Schlüssel via Kontextmenü auf einen Schlüssel-Server hochladen. Und nur, falls ihr euch Sorgen macht: Mit eurem öffentlichen Schlüssel können ausschließlich Mails an euch verschlüsselt und Mails von euch entschlüsselt werden – es kann also niemand in eurem Namen agieren, solange euer privater Schlüssel geheim bleibt.

14. Automatisierung
Optional lohnt sich zunächst noch eine wichtige Einstellung für mehr Komfort – die Empfängerregel. Ruft die OpenPGP-Optionen auf, lasst die erweiterten Optionen anzeigen und erstellt Empfängerregeln für unterschiedliche Adressen. So könnt ihr etwa vollautomatisch alle Mails an rms mit dem eben erzeugten Schlüssel verschlüsseln und signieren lassen. Richtet ihr solche Regeln für alle Empfänger mit PGP ein, werdet ihr von der ganzen Kryptographie nach kurzer Zeit schon nichts mehr merken – erst wieder, wenn der Rest der Welt mal wieder gehackt wurde.

Eine komplette OpenPGP-Implementation findet Ihr auch im GNU Privacy Guard (GnuPG). Für Windows liefert Gpg4Win eine praktische Anwendung für OpenPGP, inklusive eines eigenen Mail Clients und praktischer Datei-/Ordnerverschlüsselung.

Über den Autor

Mirco Lang

Mirco Lang

Am Anfang war der C-64 des großen Bruders des besten Freundes in der Grundschule ...

Der echte Technikwahn kam dann mit einer Ausbildung bei Saturn - als Computer noch erklärt werden mussten, Soundkarten benötigten, ein gutes Monatsgehalt kosteten und das Internet nur bei Nerds und mit 38 kbp/s lief, bestenfalls.

Ein Studium der Informationswirtschaft und ein paar Jahre als Redakteur bei Data Becker später, sitzt hier ein freier Journalist, der auf Old-School-Computing (cli ftw!), Free Software, Frickelei, Kodi und "Hundedinger" steht - und Grauseligkeiten wie Bild und Heftig.co zutiefst verabscheut.

Und sonst so? Sauerländer, BSI-Mitarbeiter, untalentierter Musikinstrumentebesitzer und seit 24 Jahren Skateboarder, ein ziemlich alter. Und manchmal kommt das abgebrochene Philo-Studium wieder durch ...

Sag' Deine Meinung

Kommentare