E-Mail Verschlüsselung mit Thunderbird, Enigmail und gnuPG

Eine ausführliche englischsprachige Anleitung (einschließlich der Installation und Einrichtung von Thunderbird) mit Screenshots gibt es bei der Electronic Frontier Foundation.

PGP (Pretty Good Privacy) ist ein Kryptographiesystem, das zur Verschlüsselung und Entschlüsselung von Daten sowie zur Erzeugung und Prüfung von elektronischen Signaturen dient. GnuPG (Gnu Privacy Guard) ist eine freies Kryptographiesystem  für Linux, Microsoft Windows und MacOS. Bei der Verschlüsselung von E-Mails sollte man immer bedenken, dass Sender, Empfänger und Betreff nicht verschlüsselt werden (es sollte also ggf. ein neutraler Betreff gewählt werden).

Wegen der als EFAIL bekannten Sicherheitslücken in E-Mail-Systemen empfiehlt u.a. die Electronic Frontier Foundation bei der Erstellung bzw. Darstellung von E-Mails von HTML auf Rein-Text zu wechseln (Thunderbird: Ansicht > Nachrichtentext > Rein-Text).

Für den Beitrag habe ich die Linux-Distribution Fedora 28,  Thunderbird (60.0) und das Add-On Enigmail (2.0.8) sowie GnuPG (1.4.23) verwendet. (Laut Enigmail-Entwickler wird GnuPG – falls noch nicht installiert – zusammen mit dem Add-on Enigmail installiert.)

Setup des Thunderbird Add-ons Enigmail

Ist das Add-on installiert, sollte man Thunderbird neu starten. Die Einrichtung von Enigmail erfolgt mithilfe des Setup Wizards (Einrichtungsassistenten), der über den Enigmail-Eintrag im Menü aufgerufen wird; dann im Willkommen-Fenster Start setup now und im Konfigurations-Fenster I prefer a standard configuartion (recommneded for beginners) auswählen. Im nächsten Schritt muss bei mehreren E-Mail-Konten das gewünschte Konto ausgewählt werden, im anderen Fall gelangt man gleich zur Schlüssel-Generierung.

Exkurs: Schlüssel werden (bei der asymmetrischen Verschlüsselung) immer paarweise erstellt: der öffentliche Schlüssel wird benötigt, um eine Nachricht an den Schlüssel-Besitzer, also den Empfänger zu verschlüsseln. Folgerichtig kann und sollte dieser entsprechend geteilt werden. Der private Schlüssel wird benötigt, um eine empfangene Nachricht, die mit dem öffentlichen Schlüssel verschlüsselt wurde, zu entschlüsseln. Folgerichtig sollte dieser auf dem privaten PC verbleiben und unter gar keinen Umständen geteilt werden.

Schlüssel-Generierung & Widerrufs-Zertifikat: Vor der Schlüssel-Generierung gibt man im Setup Wizard ein Passwort ein, das den privaten Schlüssel schützt. Mit Next startet man dann die Schlüssel-Generierung. Ist diese abgeschlossen, erstellt man ein Widerrufs-Zertifikat (Create Revocation Certificate), das es einem ermöglicht, beide Schlüssel bei Verlust oder Diebstahl des privaten Schlüssels für ungültig zu erklären. Hierzu ist die Eingabe des eben erstellten Passwortes notwendig. Danach kann das Zertifikat gespeichert werden.

Exkurs: Das Schlüssel-Paar hat eine Gültigkeitsdauer von fünf Jahren; danach muss ein neues Paar erzeugt werden. Die Gültigkeit seines Schlüssel-Paars kann man unter Enigmail > Key Management mit einem Doppelklick auf das Paar abrufen und gff. auch verändern.

Damit ist die Einrichtung abgeschlossen. Jetzt sollte man seinen öffentlichen Schlüssel teilen – am einfachsten geht das per E-Mail: im Verfassen-Fenster unter Enigmail Attach My  Public Key auswählen, E-Mail mit entsprechendem Inhalt schreiben und abschicken.

Wenn man die Verschlüsselung von E-Mails auch auf anderen Geräten (z.B. Smartphone) einrichten möchte, muss man sein Schlüssel-Paar exportieren und dann auf das entsprechende Gerät transferieren. Der Export erfolgt über Enigmail > Key Management, dann Schlüssel-Paar auswählen und File > Export Keys To File.

Beim Verfassen einer E-Mail an einen Empfänger, der den Schlüssel des Senders hat, sind die Symbole (im Verfassen-Fenster) für Verschlüsselung (Schloss) und Signatur (Stift) gelb und haben ein grünes Häkchen bzw. können die Funktionen entsprechend aktiviert werden. (Die Signatur ermöglicht dem Empfänger die eindeutige Identifikation des Senders.) Nachdem man auf senden geklickt hat, wird man zur Eingabe seines Passwortes aufgeforder. Beim Verfassen einer E-Mail an einen Empfänger, der den Schlüssel des Senders nicht hat, sind die Symbolde grau und haben ein rotes Kreuz und können die Funktionen auch nicht aktiviert werden – eine Verschlüsselung und Signierung ist dann also sinnvoller Weise nicht möglich.

Will man eine verschlüsselte E-Mail lesen, wird man dazu aufgefordert, sein Passwort einzugeben, um diese zu entschlüsseln.

Das war’s auch schon – sobald der Austausch von Schlüsseln erfolgt ist, steht der verschlüsselten Kommunikation mit E-Mails nichts mehr im Weg.

Abschließend und notwendiger Weise noch der Hinweis auf eine aktuelle Meldung von c’t: Enigmail [unter Windows] verschickt Krypto-Mails im Klartext (die ausführliche Beschreibung des Problems und seiner Lösung gibt es bei c’t), die Kurzfassung der Lösung hier: Windows-Benutzer sollten über Bearbeiten > Einstellungen > Einstellungen / Datenschutz bei “Enigmail Junior-Modus” “Nutzung von S/MIME und Enigmail erzwingen” wählen.