E-Mailverschlüsselung mit Thunderbird (Teil 2b) – Einrichtung von Enigmail


Um PGP in Thunderbird für eine komfortable Nutzung einzurichten gilt es zwei Dinge zu tun: Man muss einen Schlüssel erstellen und diesen mit dem gewünschten E-Mailkonto verknüpfen. Eine an die Individuellen Bedürfnisse und Gewohnheiten angepasste Konfiguration von Enigmail erleichtert den Arbeitsfluss erheblich. Man kann die beiden beschriebenen Schritte einfach erledigen, indem man den OpenPGP-Assistenten aufruft, in der Menüleiste von Thunderbird, findet man diesen unter dem gleichnamigen Eintrag.

Enigmail ist das Plugin für Thunderbird, das uns die Nutzung von PGP möglichst einfach macht, indem es PGP nahtlos in Thunderbird integriert. Ist das einmal richtig konfiguriert muss man eigentlich nur noch ab und an das Passwort für den privaten Schlüssel eingeben und die eine oder andere Empfängerregel bearbeiten, sobald man Freunde und Bekannte dazu gebracht hat sich fortan via verschlüsselter E-Mails auszutauschen.

Den OpenPGP-Assistenten findet man, wie gesagt, in der Thunderbird Menüleiste unter OpenPGP. Diese Konfiguration kann für jedes einzelne E-Mailkonto oder für alle E-Mailkonten gemeinsam durchgeführt werden.

  • Hat man mehrere E-Mailkonten legt man zuerst fest, für welche Konten die folgenden Einstellungen gelten.
  • Als zweites legt man fest, ob Nachrichten grundsätzlich unterschrieben werden sollen.Die Unterschrift zeigt einem Empfänger – der ebenfalls PGP verwendet und den passenden öffentlichen Schlüssel hat – dass die Nachricht tatsächlich von demjenigen stammt der Schlüsselinhaber ist.Signiert man jede Nachricht, muss für jedes Senden einer E-Mail grundsätzlich das Passwort des privaten Schlüssels eingegeben werden.Wir empfehlen nachdrücklich für den Einstieg nicht alles zu signieren, sondern das ganze mit Empfängerregeln (dazu später) zu lösen. So kann man nur dort signieren, wo bekannt ist, dass am anderen Ende auch PGP verwendet wird und die Signatur keine Verwirrung stiftet. Damit ist der Ablauf erfahrungsgemäß am besten.
  • Dann legt man fest, ob man grundsätzlich alle E-Mails verschlüsseln will. Wählt man das grundsätzliche Verschlüsseln und hat für einen Empfänger keinen Schlüssel, so kann (und muss) man im Einzelfall die Verschlüsselung ausschalten, um die E-Mail senden zu können.Wählt man das grundsätzliche unverschlüsselte senden, so muss man für jede Mail die verschlüsselt werden soll entsprechende Haken setzen oder aber einmalig für die entsprechenden Empfänger Regeln festlegen.Wir empfehlen nachdrücklich für den Einstieg nicht alles zu verschlüsseln, sondern mit Empfängerregeln zu arbeiten und festzulegen, für welchen Kommunikationspartner man einen öffentliche Schlüssel hat.
  • Schließlich kann man Detaileinstellungen vornehmen. Die Standardeinstellungen sind aber ohnehin einwandfrei.
  • Zu letzt wählt man noch aus, welchen Schlüssel man für das Konto verwenden möchte.Für den Anfang muss man hier einen neuen Schlüssel erstellen. Hat man schon einen Schlüssel kann man auch diesen verwenden.
    • Neuen Schlüssel erstellen
      • Sofern man nicht im OpenPGP-Assistenten ist und einen Schlüssel erstellen möchte geht man in Thunderbird’s Menüleiste und findet dort OpenPGP. In diesem Menü gibt es den Eintrag „Schlüssel verwalten“ welchen man anklickt. Dies ist die Schlüsselverwaltung. Dort kann man unter dem Menüpunkt „erzeugen“ mit einem Klick auf „neues Schlüsselpaar“ einen neuen Schlüssel erstellen.
      • Sowohl über den OpenPGP-Assistenten als auch über die Schlüsselverwaltung sieht man nun ein Fenster, indem man die Identität (=E-Mailkonto), zu welcher der Schlüssel gehört festlegen und ein Passwort eingeben kann.
        Ansonsten gibt man dort die Passphrase ein, also das Passwort, welches man zum signieren von eigenen E-Mails und zum Entschlüsseln fremder E-Mails benötigen wird. Die Passphrase ist wichtig, denn es handelt sich lokal um DEN Schwachpunkt im System! Es sollte sich um ein wirklich sicheres Passwort handeln! Je länger je besser.
      • Über Sinn und Unsinn eines Ablaufdatums soll hier nicht diskutiert werden. In Kürze: Verwendet man regelmäßig neue Schlüssel erhöht dies den Verwaltungsaufwand und senkt den Komfort aller Beteiligten, die diese neuen Schlüssel immer wieder in ihre Schlüsselverwaltung aufnehmen müssen. Andererseits verbessert dies aber auch die Sicherheit. Insgesamt raten wir daher jedenfalls für den Einstieg kein Ablaufdatum zu wählen.
      • Unter dem Reiter „Erweitert“ kann man die Schlüssellänge auf 4096 bit einstellen.1 Erfahrungsgemäß empfiehlt sich dies, da man seinen ersten Schlüssel oft länger benutzt, als man zunächst plant.
      • Klickt man auf „Schlüssel erzeugen“ fragt die Anwendung nochmal nach, ob der Schlüssel erzeugt werden soll. Sobald das bejaht wurde, wird der Schlüssel generiert. Nachdem hierfür ein Zufallsgenerator verwendet wird, der mit Hilfe der Aktivität des PCs mit Daten gefüttert wird kann man in der Zeit zum Beispiel surfen oder Filme oder Musik laufen lassen und sich einen Tee machen.
      • Am Ende kann man noch ein Widerrufszertifikat erstellen, welches dazu dient einen nicht mehr verwendeten oder kompromittierten Schlüssel für ungültig zu erklären (Dazu später). Das kann nützlich sein, falls die private Schlüsseldatei abhanden gekommen ist oder man einfach einen neuen Schlüssel verwenden will. Will man dieses erzeugen muss man dazu sein vorhin gesetztes Passwort eingeben, da hierzu der private Schlüssel benötigt wird. Klickt man dann auf „standardmäßig alle Schlüssel anzeigen“, sieht man auch den eben erstellten Schlüssel. Danach kann man die Schlüsselverwaltung schließen und loslegen.
    • Vorhandene Schlüssel mit E-Mailkonto verknüpfen
      • Hat man anderweitig einen Schlüssel erstellt, lässt sich auch dieser komfortabel in Thunderbird verwenden.
      • Am einfachsten geht dies über den OpenPGP-Assistenten. Dort kann man im letzten Schritt wählen, welchen Schlüssel man verwenden möchte. Vorhandene PGP-Schlüssel werden vom Assistenten erkannt.

Danach sieht man noch eine Zusammenfassung der Einstellungen und dann ist der Assistent fertig. Enigmail ist jetzt konfiguriert.

Herzlichen Glückwunsch!

  1. Bisher keine Kommentare.
(wird nicht veröffentlicht)