Archiv für Kategorie PGP

Übersicht E-Mailverschlüsselung – thunderbird und enigmail

Hier folgt eine Übersicht (Links gehen nur zum Blog; nicht auf Drittseiten) zum Thema E-Mailverschlüsselung mit PGP und enigmail unter Thunderbird. Je nach verwendetem Betriebsystem unterscheidet sich die Installation. Ansonsten merkt man danach kaum mehr, unter welchem Betriebsystem man unterwegs ist:

  1. Grundlagen – Wie funktioniert PGP
  2. Installation – Wie installiert man die nötigen Programme
    1. Windows
    2. MacOS
    3. Linux
  3. Einrichtung – Wie richtet man Thunderbird richtig ein
  4. Einrichtung – Wie richtet man enigmail richtig ein
  5. Benutzung

Keine Kommentare

E-Mailverschlüsselung mit Thunderbird – Benutzung der Verschlüsselung

Für die alltägliche Benutzung von verschlüsselten E-Mails benötigt man nun nicht mehr viel, sondern im Wesentlichen noch den Austausch der jeweiligen öffentlichen Schlüssel zwischen den Kommunikationspartnern. Dies kann man grundsätzlich per Hand machen, indem man die Schlüsseldateien als E-Mailanhang versendet und von dort empfangene Schlüssel importiert (darum geht es hier) oder mit der Schlüsselverwaltung über Schlüsselserver (dazu später).

1. Fremde öffentliche Schlüssel importieren

Um E-Mails auch verschlüsseln zu können, fehlt noch ein entscheidender Bestandteil: Der öffentliche Schlüssel des Empfängers. Dieser muss erst importiert werden, damit eine E-Mail an diesem Empfänger verschlüsselt werden kann. Zu jedem Empfänger gehört also ein öffentlicher Schlüssel.

Wenn wir davon ausgehen, dass man einen öffentlichen Schlüssel per E-Mail als Anhang bekommt, klickt man diesen einfach in Thunderbird rechts an und dort auf OpenPGP-Schlüssel importieren. Es erscheint dann die Meldung, dass der Schlüssel erfolgreich importiert wurde.

Hat man die Datei beispielsweise per USB Stick bekommen geht man zum Importieren dazu wieder im Thunderbirdmenü zu OpenPGP und dort in die Schlüsselverwaltung. Dort geht man im Menü auf „Datei“ und dann auf importieren, dann wählt man die Schlüsseldatei aus und bekommt das Importieren des Schlüssels ebenfalls mit einer Meldung bestätigt.

Schließlich kann man auch über die Schlüsselverwaltung auf Schlüsselservern öffentliche Schlüssel suchen (Dazu später).

2. Verschlüsseln und Signieren

Warnung! Der Betreff wird nie verschlüsselt. Man sollte also genau abwägen, was man dort hineinschreibt, um nicht die Datensicherheit zu gefährden! Tipp: Nichts verrät am wenigsten über den Inhalt einer E-Mail.

Hat man wie von uns Empfohlen, bei der Einrichtung mit dem OpenPGP-Assistenten gewählt, dass man nicht jede E-Mail verschlüsseln und signieren will, kann man einzelne E-Mails verschlüsseln und signieren, indem man wahlweise im Menü der E-Mail unter OpenPGP „Nachricht unterschreiben“ auswählt oder durch Klick auf den gleichnamigen Button oder in dessen Drop-Down.

Am einfachsten verwendet man zu Beginn die Empfängerregeln. Hier legt man für jeden Empfänger fest, ob die E-Mail standardmäßig verschlüsselt und/oder signiert werden soll.

3. Anhänge

Anhänge kann man auch verschlüsseln. Sendet man das erste mal einen Anhang mit einer E-Mail die man verschlüsseln will, wird man gefragt, wie die Verschlüsselung erfolgen soll. Die zweite Option ist die deren Verwendung zu den wenigsten Komplikationen führt, insbesondere, wenn mit verschiedenen PGP Versionen gearbeitet wird. Allerdings sieht man bei dieser sowohl wie viele Dateien im Anhang sind, als auch Dateityp und Namen. Die erste Option verschlüsselt die Anhänge gar nicht! Die dritte Option verschlüsselt den Text und die Anhänge zusammen, so dass ein Betrachter nicht sagen kann, ob uns hier jemand einen ganzen Roman in E-Mailform schickt oder ein Geburtstagsvideo als Anhang.

Beim Entschlüsseln der Anhänge kann es entsprechend zu Unterschieden kommen. Entweder ist der Anhang nach Eingabe der Passphrase gleich mit entschlüsselt (dies erkennt man daran, dass er eine normale Dateiendung (.pdf, .txt, .mp3 etc.) hat) oder er muss noch gesondert entschlüsselt werden. Eine gesonderte Entschlüsselung der Anhänge nimmt man vor, indem man diese rechts anklickt und im dortigen Kontextmenü auswählt.

4. Eigenen öffentlichen Schlüssel versenden

Damit man nun auch tatsächlich verschlüsselte E-Mails bekommt, die man entschlüsseln kann, muss man auch seinen eigenen öffentlichen Schlüssel verteilen. Auch dies geht sehr einfach: Hat man eine neue E-Mail erstellt, findet sich in diesem Fenster im Menü auch der Eintrag „OpenPGP“, worin man die Option findet „meinen öffentlichen Schlüssel anhängen“. Klickt man diese an, wird beim Senden der E-Mail der eigene öffentliche Schlüssel als Anhang mit versendet. Das dies passiert, sieht man nicht sofort, sondern erst, wenn man die E-Mail tatsächlich versendet.

Wahlweise kann man den eigenen Schlüssel auch auf einen Schlüsselserver laden (dazu später).

5. Entschlüsseln

Erhält man eine verschlüsselte E-Mail sieht das nicht anders aus als unverschlüsselte E-Mails. Der Unterschied liegt darin, dass man bis zur korrekten Eingabe seines Passworts nur Buchstabensalat zu lesen bekommt. Nach der Eingabe sieht man wie gewohnt den E-Mailtext und kann wie gewohnt mit der E-Mail arbeiten.

6. Überprüfen von Signaturen

Enigmail gibt einem schon selbst genug Informationen über gegebenenfalls vorhandene Unterschriften, aber nur sofern man den entsprechenden öffentlichen Schlüssel hat. Hierbei wird mit Hilfe des öffentlichen Schlüssels überprüft, ob die Signatur korrekt ist – also tatsächlich vom Inhaber des entsprechenden privaten Schlüssels stammt.

Den Grad des Vertrauens kann man selbst festlegen: Unter Details kann man das „Besitzervertrauen des Absenders festlegen“. Für eine schnelle Übersicht ist das nützlich, sobald man mehrere Kommunikationspartner hat, da verschiedene Vertrauensgrade farblich untermalt werden.

Keine Kommentare

E-Mailverschlüsselung mit Thunderbird (Teil 2b) – Einrichtung von Enigmail

Um PGP in Thunderbird für eine komfortable Nutzung einzurichten gilt es zwei Dinge zu tun: Man muss einen Schlüssel erstellen und diesen mit dem gewünschten E-Mailkonto verknüpfen. Eine an die Individuellen Bedürfnisse und Gewohnheiten angepasste Konfiguration von Enigmail erleichtert den Arbeitsfluss erheblich. Man kann die beiden beschriebenen Schritte einfach erledigen, indem man den OpenPGP-Assistenten aufruft, in der Menüleiste von Thunderbird, findet man diesen unter dem gleichnamigen Eintrag.

Enigmail ist das Plugin für Thunderbird, das uns die Nutzung von PGP möglichst einfach macht, indem es PGP nahtlos in Thunderbird integriert. Ist das einmal richtig konfiguriert muss man eigentlich nur noch ab und an das Passwort für den privaten Schlüssel eingeben und die eine oder andere Empfängerregel bearbeiten, sobald man Freunde und Bekannte dazu gebracht hat sich fortan via verschlüsselter E-Mails auszutauschen.

Den OpenPGP-Assistenten findet man, wie gesagt, in der Thunderbird Menüleiste unter OpenPGP. Diese Konfiguration kann für jedes einzelne E-Mailkonto oder für alle E-Mailkonten gemeinsam durchgeführt werden.

  • Hat man mehrere E-Mailkonten legt man zuerst fest, für welche Konten die folgenden Einstellungen gelten.
  • Als zweites legt man fest, ob Nachrichten grundsätzlich unterschrieben werden sollen.Die Unterschrift zeigt einem Empfänger – der ebenfalls PGP verwendet und den passenden öffentlichen Schlüssel hat – dass die Nachricht tatsächlich von demjenigen stammt der Schlüsselinhaber ist.Signiert man jede Nachricht, muss für jedes Senden einer E-Mail grundsätzlich das Passwort des privaten Schlüssels eingegeben werden.Wir empfehlen nachdrücklich für den Einstieg nicht alles zu signieren, sondern das ganze mit Empfängerregeln (dazu später) zu lösen. So kann man nur dort signieren, wo bekannt ist, dass am anderen Ende auch PGP verwendet wird und die Signatur keine Verwirrung stiftet. Damit ist der Ablauf erfahrungsgemäß am besten.
  • Dann legt man fest, ob man grundsätzlich alle E-Mails verschlüsseln will. Wählt man das grundsätzliche Verschlüsseln und hat für einen Empfänger keinen Schlüssel, so kann (und muss) man im Einzelfall die Verschlüsselung ausschalten, um die E-Mail senden zu können.Wählt man das grundsätzliche unverschlüsselte senden, so muss man für jede Mail die verschlüsselt werden soll entsprechende Haken setzen oder aber einmalig für die entsprechenden Empfänger Regeln festlegen.Wir empfehlen nachdrücklich für den Einstieg nicht alles zu verschlüsseln, sondern mit Empfängerregeln zu arbeiten und festzulegen, für welchen Kommunikationspartner man einen öffentliche Schlüssel hat.
  • Schließlich kann man Detaileinstellungen vornehmen. Die Standardeinstellungen sind aber ohnehin einwandfrei.
  • Zu letzt wählt man noch aus, welchen Schlüssel man für das Konto verwenden möchte.Für den Anfang muss man hier einen neuen Schlüssel erstellen. Hat man schon einen Schlüssel kann man auch diesen verwenden.
    • Neuen Schlüssel erstellen
      • Sofern man nicht im OpenPGP-Assistenten ist und einen Schlüssel erstellen möchte geht man in Thunderbird’s Menüleiste und findet dort OpenPGP. In diesem Menü gibt es den Eintrag „Schlüssel verwalten“ welchen man anklickt. Dies ist die Schlüsselverwaltung. Dort kann man unter dem Menüpunkt „erzeugen“ mit einem Klick auf „neues Schlüsselpaar“ einen neuen Schlüssel erstellen.
      • Sowohl über den OpenPGP-Assistenten als auch über die Schlüsselverwaltung sieht man nun ein Fenster, indem man die Identität (=E-Mailkonto), zu welcher der Schlüssel gehört festlegen und ein Passwort eingeben kann.
        Ansonsten gibt man dort die Passphrase ein, also das Passwort, welches man zum signieren von eigenen E-Mails und zum Entschlüsseln fremder E-Mails benötigen wird. Die Passphrase ist wichtig, denn es handelt sich lokal um DEN Schwachpunkt im System! Es sollte sich um ein wirklich sicheres Passwort handeln! Je länger je besser.
      • Über Sinn und Unsinn eines Ablaufdatums soll hier nicht diskutiert werden. In Kürze: Verwendet man regelmäßig neue Schlüssel erhöht dies den Verwaltungsaufwand und senkt den Komfort aller Beteiligten, die diese neuen Schlüssel immer wieder in ihre Schlüsselverwaltung aufnehmen müssen. Andererseits verbessert dies aber auch die Sicherheit. Insgesamt raten wir daher jedenfalls für den Einstieg kein Ablaufdatum zu wählen.
      • Unter dem Reiter „Erweitert“ kann man die Schlüssellänge auf 4096 bit einstellen.1 Erfahrungsgemäß empfiehlt sich dies, da man seinen ersten Schlüssel oft länger benutzt, als man zunächst plant.
      • Klickt man auf „Schlüssel erzeugen“ fragt die Anwendung nochmal nach, ob der Schlüssel erzeugt werden soll. Sobald das bejaht wurde, wird der Schlüssel generiert. Nachdem hierfür ein Zufallsgenerator verwendet wird, der mit Hilfe der Aktivität des PCs mit Daten gefüttert wird kann man in der Zeit zum Beispiel surfen oder Filme oder Musik laufen lassen und sich einen Tee machen.
      • Am Ende kann man noch ein Widerrufszertifikat erstellen, welches dazu dient einen nicht mehr verwendeten oder kompromittierten Schlüssel für ungültig zu erklären (Dazu später). Das kann nützlich sein, falls die private Schlüsseldatei abhanden gekommen ist oder man einfach einen neuen Schlüssel verwenden will. Will man dieses erzeugen muss man dazu sein vorhin gesetztes Passwort eingeben, da hierzu der private Schlüssel benötigt wird. Klickt man dann auf „standardmäßig alle Schlüssel anzeigen“, sieht man auch den eben erstellten Schlüssel. Danach kann man die Schlüsselverwaltung schließen und loslegen.
    • Vorhandene Schlüssel mit E-Mailkonto verknüpfen
      • Hat man anderweitig einen Schlüssel erstellt, lässt sich auch dieser komfortabel in Thunderbird verwenden.
      • Am einfachsten geht dies über den OpenPGP-Assistenten. Dort kann man im letzten Schritt wählen, welchen Schlüssel man verwenden möchte. Vorhandene PGP-Schlüssel werden vom Assistenten erkannt.

Danach sieht man noch eine Zusammenfassung der Einstellungen und dann ist der Assistent fertig. Enigmail ist jetzt konfiguriert.

Herzlichen Glückwunsch!

Keine Kommentare

E-Mailverschlüsselung mit Thunderbird (Teil 2a) – Einrichtung von Thunderbird

Die Einrichtung von Thunderbird und enigmail läuft unter allen Betriebssystemen identisch ab.

Thunderbird ist ein E-Mailclient aus dem Hause Mozilla. Wir verwenden und empfehlen ihn, weil er sehr funktional ist und zudem mit enigmail über eine gute Integration von PGP verfügt. Ähnlich wie andere E-Mailclients hat auch Thunderbird einen integrierten Kalender in Form eines Plugins (Lighting), wo die meisten gebräuchlichen Formate für Kalenderdateien eingelesen werden können.

Im Folgenden eine kurze Erläuterung, wie man Thunderbird zur Benutzung mit seinen E-Mailadressen einrichtet:

Zunächst muss ein E Mailkonto eingerichtet werden. Sofern dies noch nicht geschehen ist, fordert einen Thunderbird hierzu beim ersten Start dazu auf.

Dort gibt man dann seinen gewünschten Namen (dieser wird beim Empfänger angezeigt) ein, die E Mailadresse und das dazugehörige Passwort. Thunderbird kann keine E-Mailadressen registrieren. Es wird hierfür eine bereits registrierte E-Mailadresse bei einem E-Mailprovider benötigt!

Thunderbird ermittelt dann grundsätzlich automatisch die Zugangsdaten für die jeweiligen POP (= Post Office Protocol ist ein Übertragungsprotokoll, über das ein Client E-Mails von einem E-Mailserver abholen kann) und IMAP Server (=Internet Message Access Protocol ist ein Netzwerkprotokoll, das ein Netzwerkdateisystem für E-Mails bereitstellt) des eingegebenen E Mailproviders. Bei dieser automatischen Konfiguration treten in der Regel keine Schwierigkeiten mehr auf. Bei kleineren E Mailanbietern ist dies mitunter noch möglich, aber selten der Fall.

Das häufigste Problem tritt auf, wenn Thunderbird IMAP Konfiguration wählt, obwohl man selbst keinen Zugriff auf diese meist kostenpflichtige Variante des Angebots hat – hierauf sollte man also achten.

Für den Einsatz von verschlüsselten E-Mails ist egal, ob POP oder IMAP verwendet wird.

Sobald man das E-Mailkonto erstellt hat, findet man sich im Hauptfenster von Thunderbird wieder.

Das senden und empfangen von E-Mails ist selbsterklärend. Weitere Details zur Benutzung von Thunderbird sind an anderer Stelle besser erklärt.1

Keine Kommentare

E-Mailverschlüsselung mit Thunderbird (Teil 1c) – Installation unter ‚Linux‘

Folgende Komponenten benötigen wir:

  • thunderbird (unter debian: icedove)
  • gnupg
  • enigmail

Diese lassen sich bei allen uns bekannten (Debian basierten) Systemen einfach über die Paketverwaltung installieren.

Wenn diese Programme jeweils installiert sind, geht es weiter mit der Einrichtung.

Keine Kommentare

E-Mailverschlüsselung mit Thunderbird (Teil 1b) – Installation unter MacOS

Folgende Komponenten benötigen wir:

  • ThunderbirdDies ist ein E-Mailclient. Ein Programm mit dem beliebig viele E-Mailadressen zentral verwaltet werden können. Man kann damit verschiedene E-Mailadressen abrufen und auch E-Mails von diesen aus versenden.

    erhältlich unter:

    https://www.mozilla.org/de/thunderbird/

    Die Thunderbirdinstallation ist selbsterklärend und nicht weiter kompliziert.

  • enigmailDies ist ein Plugin für Thunderbird, das die jeweilige Installation von PGP in Thunderbird integriert.

    Dieses installiert man aus Thunderbird heraus. Man startet also Thunderbird und geht dann in der Menüleiste auf „Extras“, dort wiederrum auf „Addons“ und dann sucht man nach nach „enigmail“. Dann klickt man bei dem gefundenen gleichnamigen Eintrag auf „installieren“. Das dauert insgesamt weniger als eine Minute.

    Um die Installation abzuschließen muss Thunderbird neu gestartet werden.

  • gpgtoolshttps://gpgtools.org/

Wenn diese Programme jeweils installiert sind, geht es weiter mit der Einrichtung.

Keine Kommentare

E-Mailverschlüsselung mit Thunderbird (Teil 1a) – Installation unter Windows

Hier beschreiben wir, wie man Thunderbird und die für die Verschlüsselung nötigen Komponenten unter Windows installiert:

Folgende Komponenten benötigen wir:

  • Thunderbird
    Dies ist ein E-Mailclient. Ein Programm mit dem beliebig viele E-Mailadressen zentral verwaltet werden können. Man kann damit verschiedene E-Mailadressen abrufen und auch E-Mails von diesen aus versenden.erhältlich unter: https://www.mozilla.org/de/thunderbird/ Die Thunderbirdinstallation ist selbsterklärend und nicht weiter kompliziert.
  • enigmail
    Dies ist ein Plugin (Ein Plugin ist ein Softwaremodul, welches in eine Anwendung, hier zum Beispiel Thunderbird, eingebunden wird und deren Funktionalität erweitert.) für Thunderbird, das die jeweilige Installation von PGP in Thunderbird integriert.
    Dieses installiert man aus Thunderbird heraus. Man startet also Thunderbird und geht dann in der Menüleiste auf „Extras“, dort wiederrum auf „Addons“ und dann sucht man nach „enigmail“. Dann klickt man bei dem gefundenen gleichnamigen Eintrag auf „installieren“. Das dauert insgesamt weniger als eine Minute.Um die Installation abzuschließen muss Thunderbird neu gestartet werden.
  • gpg4win
    Das ist unter Windows der Kern, das Verschlüsselungsprogramm. Dies kann man herunterladen unter https://gpg4win.org/download.html Bei der Installation steht eine Auswahl von 7 Paketen zur Verfügung (GnuPG, Kleapatra, GPA etc). Es muss nur GnuPG installiert werden, so dass alle anderen Haken entfernt werden können (von unten nach oben, da andere Pakete von Kleopatra abhängen). Bei der restlichen Installation muss nichts weiter beachtet werden. Einzig muss am Ende der Installation noch ein Haken gesetzt werden. Die Installation dauert etwa drei Minuten.

Wenn diese Programme jeweils installiert sind, geht es weiter mit der Einrichtung.

Keine Kommentare

E-Mailverschlüsselung mit PGP – Grundlagen

PGP1 (pretty good privacy) das System, dessen Implementierung wir hier (in GnuPG, GPGTools und GPG4Win) verwenden ist ein Verschlüsselungsverfahren, bei dem jeder Teilnehmer zwei Schlüssel hat: Den privaten und den öffentlichen Schlüssel. Wie der Name verrät, hält man den privaten Schlüssel bei sich und kann den öffentlichen frei verteilen und zwar über jeden beliebigen Kanal. Es macht also nichts, wenn ein böser Bube den öffentlichen Schlüssel bekommt.

Der öffentliche Schlüssel dient dazu, Nachrichten an den Inhaber des passenden privaten Schlüssels zu verschlüsseln. Entschlüsselt werden diese dann mit dem privaten Schlüssel.

Also dient der private Schlüssel dazu, Nachrichten zu entschlüsseln.

Eine weitere Funktion ist das signieren. Hiermit stellt man sicher, dass die Nachricht vom Inhaber des Schlüssels kommt – Es handelt sich um eine gute Möglichkeit den Gesprächspartner zu authentifizieren.
Signiert wird mit dem privaten Schlüssel. Überprüft werden kann die Signatur mit dem öffentlichen Schlüssel.

Dieses System hat den Vorteil, dass man sehr leicht alle zum verschlüsselten und authentifizierten Kommunizieren nötigen Informationen austauschen kann (insbesondere den öffentlichen Schlüssel), da diese nicht geheim sein müssen.

Keine Kommentare