Inhaltsverzeichnis
Dieser Artikel erklärt, wie Sie mit Thunderbird Nachrichten signieren, verschlüsseln und entschlüsseln können, um sie sicher zu machen.
Einführung
Die von uns allen verwendete E-Mail-Infrastruktur ist grundlegend nicht sicher. Auch wenn sich inzwischen die meisten Leute über eine sichere Verbindung („SSL“) mit ihrem Server verbinden, erlauben manche Server noch unverschlüsselten Zugriff. Des Weiteren kann es auf dem langen Übertragungsweg vom Absender zum Empfänger unsichere Verbindungen zwischen zwei Servern geben. Das ermöglicht es Dritten, Nachrichten während der Übertragung abzufangen, zu lesen oder zu verändern.
Durch das digitale Signieren Ihrer Nachrichten fügen Sie der Nachricht Informationen hinzu, mit denen der Empfänger Ihre Identität überprüfen kann. Wenn Sie eine Nachricht verschlüsseln, erscheint diese „chiffriert“ und kann nur von Empfängern, die den Entschlüsselungsschlüssel besitzen, im Klartext gelesen werden. Das digitale Signieren verifiziert also, dass die Nachricht vom angegebenen Absender stammt, und das Verschlüsseln sichert sie gegen das Lesen oder Verändern durch Dritte ab.
Um Nachrichten zu verschlüsseln, können Sie ein Asymmetrisches Kryptosystem (englisch: public key ≙ öffentlicher Schlüssel) nutzen. In diesem System hat jeder Teilnehmer zwei Schlüssel: einen öffentlichen Verschlüsselungsschlüssel und einen privaten Entschlüsselungsschlüssel. Wenn Ihnen jemand eine verschlüsselte Nachricht senden möchte, verwendet er Ihren öffentlichen Schlüssel, um den Verschlüsselungsalgorithmus zu generieren. Wenn Sie eine verschlüsselte Nachricht erhalten, können Sie diese mit Ihrem privaten Schlüssel entschlüsseln.
Das zur E-Mail-Verschlüsselung verwendete Protokoll heißt PGP (engl.: Pretty Good Privacy). Um PGP in Thunderbird zu verwenden, müssen Sie Folgendes installieren:
- GnuPG: (GNU Privacy Guard): Eine freie Software-Implementierung von PGP
- Enigmail: ein Add-on für Thunderbird
Mit diesen beiden Anwendungen können Sie auch Nachrichten digital signieren.
GPG und Enigmail installieren
Um GnuPG zu installieren, laden Sie das entsprechende Paket von dieser englischsprachigen GnuPG-Seite herunter. Folgen Sie dort der Installationsanleitung für Ihr Paket. Weitere Informationen über die Installation von PGP erhalten Sie in diesen englischsprachigen Artikeln:
Um Enigmail zu installieren:
- Wählen Sie in Thunderbird ➔ .
- Suchen Sie in der Suchleiste links oben nach „Enigmail“.
- Wählen Sie in den Suchergebnissen Enigmail aus und folgen Sie den Installationsanleitungen.
PGP-Schlüssel erzeugen
Erzeugen Sie Ihr Schlüsselpaar (bestehend aus öffentlichem und privatem Schlüssel):
- Klicken Sie in Thunderbirds Menüleiste auf und wählen Sie .
- Wählen Sie Ja, ich möchte vom Assistenten geholfen bekommen, wie im folgenden Bild. Klicken Sie auf , um fortzufahren.
- Falls Sie mehrere Konten in Thunderbird eingerichtet haben, fragt der Assistent, ob Sie PGP für alle Konten bzw. Identitäten einrichten möchten. Sie können hier Ja auswählen, um es für alle Konten einzurichten, oder Nein, nur für die folgenden Konten bzw. Identitäten:, um einzelne Konten bzw. Identitäten auszuwählen.
- Der Assistent fragt, ob Sie alle ausgehenden Nachrichten signieren möchten oder ob Sie für verschiedene Empfänger unterschiedliche Regeln anlegen möchten. Es ist sinnvoll, alle ausgehenden E-Mails zu signieren, damit der Empfänger Ihre Identität überprüfen kann. Empfänger müssen weder digitale Signaturen noch PGP verwenden, um digital signierte Nachrichten lesen zu können. Wählen Sie Ja und klicken Sie auf , um fortzufahren.
- Als Nächstes fragt der Assistent, ob Sie alle Ihre E-Mails verschlüsseln möchten. Wählen Sie diese Option nicht, wenn Sie nicht von allen Empfängern, denen Sie E-Mails senden werden, einen öffentlichen Schlüssel besitzen. Wählen Sie Nein, ich möchte in Empfängerregeln festlegen, wann verschlüsselt werden soll und klicken Sie auf , um fortzufahren.
- Der Assistent fragt, ob er einige E-Mail-Einstellungen anpassen darf, damit sie besser mit PGP zusammenpassen. Hier sollten Sie Ja wählen. Klicken Sie auf , um fortzufahren.
- Falls Sie bereits Schlüssel in Thunderbird eingerichtet haben, folgt eine Seite, auf der Sie Ich möchte ein neues Schlüsselpaar erzeugen auswählen müssen, um fortzufahren.
- Wählen Sie das E-Mail-Konto aus, für das Sie die Schlüssel erstellen möchten. Sie müssen im Textfeld Passphrase ein Passwort eingeben, das verwendet wird, um Ihren privaten Schlüssel zu schützen. Merken Sie sich das Passwort gut: Sie brauchen es später zum Entschlüsseln von Nachrichten. Das Passwort sollte aus mindestens 8 Zeichen bestehen und nicht in Wörterbüchern zu finden sein. In diesem Wikipedia-Artikel erfahren Sie mehr über sichere Passwörter. Geben Sie Ihr Passwort zweimal ein und klicken Sie auf , um fortzufahren.
- Die folgende Seite fasst die von Ihnen ausgewählten Einstellungen zusammen. Wenn alles in Ordnung ist, klicken Sie auf , um fortzufahren.
- Sobald der Schlüsselerstellungs-Prozess abgeschlossen ist, klicken Sie auf , um fortzufahren.
- Der Assistent fragt nun, ob Sie ein Widerrufszertifikat erstellen möchten, das Sie verwenden können, wenn die Sicherheit Ihres Zertifikates eingeschränkt wurde und Sie alle anderen Empfänger darüber informieren möchten. Wenn Sie die Datei erstellen möchten, klicken Sie auf und folgen Sie den Anweisungen der nachfolgenden Seiten. Andernfalls klicken Sie auf .
- Zum Schluss informiert Sie der Assistent darüber, dass der Prozess abgeschlossen ist. Klicken Sie auf , um den Assistenten zu schließen.
Öffentliche Schlüssel (englisch: public keys) versenden und empfangen
Ihren öffentlichen Schlüssel per E-Mail versenden
Um verschlüsselte Nachrichten empfangen zu können, müssen Sie diesen Absendern zuerst Ihren öffentlichen Schlüssel zuschicken:
- Erstellen Sie eine neue Nachricht, indem Sie in Thunderbird auf klicken.
- Wählen Sie in der Menüleiste dieser Nachricht
- Senden Sie die Nachricht ab.
Einen öffentlichen Schlüssel per E-Mail empfangen
Um verschlüsselte Nachrichten an andere Empfänger senden zu können, müssen Sie zuerst deren öffentliche Schlüssel erhalten und gespeichert haben:
- Öffnen Sie die Nachricht, die den öffentlichen Schlüssel enthält.
- Klicken Sie am unteren Rand des Fensters auf den Pfeil links, um die Anhänge einzeln anzuzeigen, dann mit einem Doppelklick auf den Anhang, der auf .asc endet. (Diese Datei enthält den öffentlichen Schlüssel.)
- Thunderbird erkennt die Datei automatisch als PGP-Schlüssel. Ein Dialogfenster mit den Auswahlmöglichkeiten
- Eine Bestätigungsmeldung zeigt Ihnen an, dass der Schlüssel erfolgreich importiert wurde. Klicken Sie auf , um den Vorgang abzuschließen.
Eine digital signierte und/oder verschlüsselte E-Mail versenden
- Erstellen Sie eine neue Nachricht, indem Sie in Thunderbird auf klicken.
- Wählen Sie in der Menüleiste
- Wenn Ihre E-Mail-Adresse mit einem PGP-Schlüssel verknüpft ist, wird die Nachricht mit diesem verschlüsselt. Ist das nicht der Fall, werden Sie aufgefordert, aus einer sich öffnenden Liste einen Schlüssel auszuwählen.
- Versenden Sie die Nachricht wie gewohnt.
Eine digital signierte und/oder verschlüsselte E-Mail lesen
Wenn Sie eine verschlüsselte E-Mail erhalten, fragt Sie Thunderbird nach Ihrer geheimen Passphrase, um die Nachricht entschlüsseln zu können. Um festzustellen, ob die Nachricht signiert und/oder verschlüsselt wurde, müssen Sie den Text in der Informationsleiste über dem Hauptteil der Nachricht lesen.
Wenn Thunderbird die Signatur erkennt, wird über der Nachricht die folgende grüne Leiste angezeigt:
Wenn die Nachricht sowohl signiert als auch verschlüsselt wurde, enthält die grüne Leiste zusätzlich den Text „Entschlüsselte Nachricht“:
Wenn die Nachricht zwar verschlüsselt, jedoch nicht signiert wurde, sieht die Leiste so aus:
Ihren Schlüssel zurückziehen
Wenn Sie Hinweise darauf haben, dass die Sicherheit Ihres Schlüssels beeinträchtigt wurde (das heißt, dass z. B. jemand Zugriff auf die Datei mit Ihrem privaten Schlüssel hatte), sollten Sie Ihr aktuelles Schlüsselpaar so schnell wie möglich für ungültig erklären und ein neues erstellen.
So erklären Sie Ihr aktuelles Schlüsselpaar für ungültig:
- Klicken Sie in Thunderbirds Menüleiste auf
- Es öffnet sich ein Dialogfenster, in dem Sie Standardmäßig alle Schlüssel anzeigen auswählen können, um alle Schlüssel anzeigen zu lassen.
- Mit einem Rechtsklick wählen Sie den Schlüssel, den Sie zurückziehen möchten, dann klicken Sie auf Zurückziehen.
- Daraufhin öffnet sich ein Dialogfenster, in dem Sie den Vorgang durch einen Klick auf bestätigen müssen.
- Ein weiteres Dialogfenster wird geöffnet, in welchem Sie Ihre Passphrase eingeben und klicken müssen, um den Schlüssel endgültig zurückzuziehen.
Senden Sie das zurückgezogene Zertifikat an alle Empfänger, mit denen Sie in Kontakt stehen, bzw. an alle, die das Zertifikat zuvor besaßen, um sie darüber zu informieren, dass es jetzt zurückgezogen wurde. Dadurch wissen alle Empfänger, dass das Schlüsselpaar ungültig ist, wenn jemand in Ihrem Namen und mit Ihrer für ungültig erklärten Signatur eine E-Mail versendet.