E-Mail Verschlüsselung auf dem PC

zuletzt aktualisiert am:

Eine englischsprachige Anleitung mit Screenshots gibt es bei Enigmail.

PGP (Pretty Good Privacy) ist ein Kryptographiesystem, das zur Verschlüsselung und Entschlüsselung von Daten sowie zur Erzeugung und Prüfung von elektronischen Signaturen dient. GnuPG (Gnu Privacy Guard) ist eine freies Kryptographiesystem  für Linux, Microsoft Windows und MacOS. Bei der Verschlüsselung von E-Mails sollte man immer bedenken, dass Sender, Empfänger und Betreff nicht verschlüsselt werden (es sollte also ggf. ein neutraler Betreff gewählt werden).

Wegen der als EFAIL bekannten Sicherheitslücken in E-Mail-Systemen empfiehlt u.a. die Electronic Frontier Foundation bei der Erstellung bzw. Darstellung von E-Mails von HTML auf Rein-Text zu wechseln (Thunderbird: Ansicht > Nachrichtentext > Rein-Text).

Für den Beitrag habe ich die Linux-Distribution Fedora 31,  Thunderbird (68.4) und das Add-On Enigmail (2.1.5) sowie GnuPG (2.2.18) verwendet. (Laut Enigmail wird GnuPG – falls noch nicht installiert – zusammen mit dem Add-on Enigmail installiert.)

benötigte Software:

Setup des Thunderbird Add-ons Enigmail

Ist Enigmail installiert, solltet ihr Thunderbird neu starten. Die Einrichtung von Enigmail erfolgt mithilfe des Setup Wizards (Einrichtungsassistenten), der über den Enigmail-Eintrag im Menü aufgerufen wird. Wählt dann im Willkommen-Fenster Start setup now und im Konfigurations-Fenster I prefer a standard configuartion (recommended for beginners). Im nächsten Schritt müsst ihr bei mehreren E-Mail-Konten das gewünschte Konto ausgewählen, im anderen Fall gelangt ihr gleich zur Schlüssel-Generierung.

Exkurs: Schlüssel werden (bei der asymmetrischen Verschlüsselung) immer paarweise erstellt: der public Key (öffentlicher Schlüssel) wird benötigt, um eine Nachricht an den Schlüssel-Besitzer, also den Empfänger zu verschlüsseln. Folgerichtig kann und sollte dieser entsprechend geteilt werden. Der private Key (private Schlüssel) wird benötigt, um eine empfangene Nachricht, die mit dem öffentlichen Schlüssel verschlüsselt wurde, zu entschlüsseln. Folgerichtig sollte dieser auf dem privaten PC verbleiben und unter gar keinen Umständen geteilt werden.

Schlüssel-Generierung & Widerrufs-Zertifikat: Vor der Schlüssel-Generierung gebt im Setup Wizard ein Passwort ein, das den privaten Schlüssel schützt. Mit Next startet ihr dann die Schlüssel-Generierung. Ist diese abgeschlossen, erstellt man ein Widerrufs-Zertifikat (Create Revocation Certificate), das es euch ermöglicht, beide Schlüssel bei Verlust oder Diebstahl des privaten Schlüssels für ungültig zu erklären. Hierzu ist die Eingabe des eben erstellten Passwortes notwendig. Danach könnt ihr das Zertifikat speichern.

Exkurs: Das Schlüssel-Paar hat eine Gültigkeitsdauer von fünf Jahren; danach muss ein neues Paar erzeugt werden. Die Gültigkeit eures Schlüssel-Paars könnt ihr unter Enigmail > Key Management mit einem Doppelklick auf das Paar abrufen und ggf. auch verändern.

Damit ist die Einrichtung abgeschlossen.


Key Management

Jetzt solltet ihr euren public Key teilen – am einfachsten geht das per E-Mail: im Verfassen-Fenster unter Enigmail Attach My  Public Key auswählen, E-Mail schreiben und abschicken. (Wenn ihr eine solche E-Mail mit dem public Key einer anderen Person bekommt, könnt ihr den Schlüssel mit einem Rechtsklick darauf und Import OpenPGP Key speichern.) Eine andere Möglichkeit ist es, euren public Key auf einen sogenannten Keyserver hochzuladen, wo er von anderen unter Angabe eurer E-Mail-Adresse abgerufen werden kann. Das geht über Enigmail > Key Management > Rechtsklick auf euren Schlüssel > Upload Public Keys to Keyserver. (Wenn ihr eine E-Mail an eine Person schreiben wollt, deren Schlüssel ihr nicht habt, verfasst zunächst die E-Mail. Beim Klicken auf Senden öffnet sich ein Popup, in dem ihr Download Missing Keys auswählen könnt, um den Schlüssel vom Keyserver herunterzuladen. Voraussetzung dafür ist natürlich, dass die Person ihn zuvor hochgeladen hat.)

Wenn ihr die Verschlüsselung von E-Mails (oder Dateien) auch auf anderen Geräten (z.B. Smartphone) einrichten möchtet, müsst ihr euer Schlüssel-Paar exportieren und dann auf das entsprechende Gerät transferieren. Der Export erfolgt über Enigmail > Key Management, dann Schlüssel-Paar auswählen und File > Export Keys To File.

Beim Verfassen einer E-Mail an einen Empfänger, der den Schlüssel des Senders hat, sind die Symbole (im Verfassen-Fenster) für Verschlüsselung (Schloss) und Signatur (Stift) gelb und haben ein grünes Häkchen bzw. können die Funktionen entsprechend aktiviert werden. (Die Signatur ermöglicht dem Empfänger die eindeutige Identifikation des Senders.) Nachdem ihr auf senden geklickt habt, werdet ihr zur Eingabe eures Passwortes aufgefordert. Beim Verfassen einer E-Mail an einen Empfänger, der den Schlüssel des Senders nicht hat, sind die Symbolde grau, haben ein rotes Kreuz und die Funktionen können nicht aktiviert werden – eine Verschlüsselung und Signierung ist dann nicht möglich.

Wollt ihr eine verschlüsselte E-Mail lesen, werdet ihr dazu aufgefordert, euer Passwort einzugeben, um diese zu entschlüsseln.

Das war’s auch schon – sobald der Austausch von Schlüsseln erfolgt ist, steht der verschlüsselten Kommunikation mit E-Mails nichts mehr im Weg.