Wer ver­schlüs­sel­te Emails ver­sen­den möch­te, kann dies mit­tels Thun­der­bird ganz ein­fach und unkom­pli­ziert rea­li­sie­ren. Dazu braucht man neben Thun­der­bird noch ein spe­zi­el­les AddOn, das alles wei­te­re so gut wie von auto­ma­tisch über­nimmt, sodass kei­ne Email mehr unver­schlüs­selt ver­sen­det wer­den muss. Wir zei­gen euch, wie das funktioniert.

Seit dem „Edward Snow­den-Skan­dal” kam das The­ma Sicher­heit und Ver­schlüs­se­lung immer mehr im Trend. Auch zwei Jah­re spä­ter beschäf­ti­gen sich immer noch Leu­te damit, wie man „sicher” im Inter­net unter­wegs sein kann und nicht alles direkt offen­ba­ren muss.

Mitt­ler­wei­le gibt es immer mehr Alter­na­ti­ven und Metho­den, um bei­spiels­wei­se Nach­rich­ten im Netz ver­schlüs­selt aus­zu­tau­schen. Sei es die WhatsApp-„Konkurrenz” Three­ma, die ver­spricht, alle Nach­rich­ten zwi­schen den Nut­zern ver­schlüs­selt aus­zu­tau­schen oder auch OpenPGP, womit man ver­schlüs­sel­te Emails ver­sen­den kann.

In die­sem Bei­trag spe­zia­li­sie­ren wir uns nur dar­auf, wie man Emails sicher und ver­schlüs­selt austauschen/versenden kann. In die­sem Fall, um es ganz ein­fach und unkom­pli­ziert zu gestal­ten, grei­fen wir auf Thun­der­bird und OpenPGP/Enigmail zurück.

Thun­der­bird:
Das Pro­gramm Thun­der­bird ist dem ein oder ande­ren sicher­lich schon mal über den Weg gelau­fen. Es ist ein kos­ten­lo­ses Email-Pro­gramm, womit man sei­ne Emails direkt vom Mail­ser­ver abru­fen und ver­wal­ten kann.

Auch wir und ich per­sön­lich nut­ze Thun­der­bird, da ich ein eige­nen Mail­ser­ver betrei­be und kei­ne zusätz­li­che „Soft­ware” auf dem Ser­ver instal­lie­ren mag, womit man auch am Brow­ser sei­ne Emails anse­hen und ver­wal­ten kann. Das ist mei­ner Mei­nung nach Spie­le­rei und nicht zwin­gend notwendig.

Um nun ver­schlüs­sel­te Emails aus­tau­schen und ver­sen­den zu kön­nen, benö­tigt man logi­scher­wei­se Thun­der­bird und das AddOn namens „Enig­mail”. Die Instal­la­ti­on und Ein­rich­tung von Thun­der­bird ist mei­ner Mei­nung nach selbst­er­klä­rend. Man benö­tigt nur sei­ne Zugangs­da­ten (Email, IMAP-Adres­se (POP3 ist doof), Pass­wort, …) und schon ist das Kon­to eingerichtet.

Nach­dem man soweit mit Thun­der­bird ver­traut ist, schaut man in dem Pro­gramm selbst nach AddOns. Dort sucht man ein­fach nach „Enig­mail” und instal­liert es. Nach der Instal­la­ti­on wird noch ein Pro­gramm namens „OpenPGP” benö­tigt. Das bit­te eben­falls mitinstallieren.

Enigmail/OpenPGP:
Mit dem AddOn Enig­mail ver­wal­tet man qua­si kom­plett OpenPGP und das sowas von ein­fach und unkom­pli­ziert. In dem Ein­rich­tungs­as­sis­ten­ten erzeugt man einen PGP-Schlüs­sel, um anschlie­ßend ver­schlüs­sel­te Emails zu versenden.

Abschlie­ßend erstellt man sich noch einen Wider­rufs­zer­ti­fi­kat, um sei­nen PGP-Schlüs­sel für ungül­tig zu erklä­ren, soll­te er mal ent­wen­det wor­den sein oder ähn­li­ches. Bei­de Sachen unbe­dingt bit­te irgend­wo sicher aufbewahren.

Man kann sei­nen PGP-Schlüs­sel auch eine „Pass­phra­se” sowie eine „Gül­tig­keit” auf­ti­schen. Die Pass­phra­se ist qua­si ein Kenn­wort der benö­tigt wird, wenn man den PGP-Schlüs­sel nut­zen möch­te. Die „Gül­tig­keit” sagt logi­scher­wei­se aus, wie lan­ge der Schlüs­sel gül­tig sein soll.

In mei­nem Fall habe ich weder eine Pass­phra­se benutzt, noch ein Ablauf­da­tum benutzt. Bei­des habe ich aus­ge­las­sen und nicht gesetzt. Bleibt aber jedem selbst über­las­sen, wie man es handhabt.

Email ver­sen­den:
Nach­dem man nun den Schlüs­sel hat, gibt es nun zwei Mög­lich­kei­ten, um Emails ver­schlüs­selt aus­zu­tau­schen. Ent­we­der teilt man dem Part­ner sei­nen Schlüs­sel mit und der Part­ner ant­wor­tet dar­auf mit sei­nem Schlüs­sel oder man lässt sich von sei­nem Part­ner den Schlüs­sel geben, por­tiert ihn (geschieht auto­ma­tisch) und schreibt anschlie­ßend dar­auf eine Email. In bei­den Fäl­len ist die Email schon verschlüsselt.

Sei­nem Part­ner kann man auf unter­schied­lichs­te Wei­se sei­nen Schlüs­sel mit­tei­len. Wie ihr das macht, bleibt euch über­las­sen. Am ein­fachs­ten ist es, wenn man eine „nor­ma­le” Email ver­fasst und die .asc-Datei im Anhang bei­fügt. Das macht Enigmail/Thunderbird auto­ma­tisch, sobald die pas­sen­de Opti­on gesetzt ist.

Natür­lich kann man sie auch irgend­wo hoch­la­den und ihm den pas­sen­den Link dazu geben oder ein­fach den Inhalt per Face­book oder sonst wo mit­tei­len. Hier­bei han­delt es sich aus­schließ­lich nur um den Public-Key, wor­über man sich kei­ne Sor­gen machen muss, wenn ihn jemand kennt.

Hat der Part­ner die Datei oder den Inhalt erhal­ten, impor­tiert der Part­ner ein­fach den Schlüs­sel von euch und schon kann man unter­ein­an­der ver­schlüs­sel­te Emails ver­sen­den. Dazu gibt der Part­ner ein­fach an, dass er die Email ver­schlüs­seln möch­te und schon geschieht es durch Enig­mail ganz auto­ma­tisch. In der Regel ist die­se Opti­on schon aus­ge­wählt, da der bekann­te Public-Key des Emp­fän­gers schon bekannt ist.

Fall­bei­spiel:
Nora und ich haben Thun­der­bird instal­liert, unse­re Email-Kon­ten ein­ge­rich­tet und zum Schluss noch das AddOn Enig­mail instal­liert. Wir bei­de haben nun durch den Assis­ten­ten im Anschluss unse­ren PGP-Schlüs­sel generiert.

Fall­bei­spiel A:
Ich schrei­be der Nora eine nor­ma­le, unver­schlüs­sel­te Email und füge mei­nen PGP-Schlüs­sel an. Dazu kli­cke ich oben zuerst auf „Mei­nen öffent­li­chen Schlüs­sel anhän­gen”, danach auf „Nach­richt wird weder unter­schrie­ben noch ver­schlüs­selt” und in dem neu­en PopUp auf „Inline-PGP”.

Die Nora erhält mei­ne Email und sieht, dass ich mein Schlüs­sel bei­gefügt habe. Nun gilt es zu über­prü­fen, ob der ange­kom­me­ne Schlüs­sel auch wirk­lich von mir stammt. Dazu kann man sich bei­spiels­wei­se den Fin­ger­ab­druck anzei­gen las­sen und mit mir ver­glei­chen. Wir ihr das macht, bleibt euch über­las­sen. Anschlie­ßend impor­tiert die Nora den Anhang mit mei­nem Schlüssel.

Danach ant­wor­tet Nora mir auf die­se Email und setzt den Haken oben auf „Nach­richt ver­schlüs­seln”, der aber eigent­lich schon auto­ma­tisch gesetzt ist, da Enig­mail zu mei­ner Email-Adres­se den PGP-Schlüs­sel kennt. Schon ist die­se Ant­wort ver­schlüs­selt und wir kön­nen mun­ter hin- und her­schrei­ben. Auch neue Emails sind auto­ma­tisch ver­schlüs­selt, da wir unse­ren Public-Key schon kennen.

Schon beim Emp­fang der ers­ten Email von der Nora greift Enig­mail ein und teilt mit, dass die­se Nach­richt ver­schlüs­selt ist und der Public-Key von ihr impor­tiert wird/werden kann.

Fall­bei­spiel B:
Ich ver­sen­de mein Schlüs­sel als Inhalt bei­spiels­wei­se über Face­book, Sky­pe oder sonst wo. Die Nora kopiert sich den Inhalt her­aus, öff­net Thun­der­bird, wählt oben rechts „Enig­mail” und anschlie­ßend auf „Schlüs­sel ver­wal­ten”. In dem neu­en PopUp kann sie unter „Bear­bei­ten”, „Aus Zwi­schen­ab­la­ge impor­tie­ren” den Schlüs­sel impor­tie­ren lassen.

Möch­te man sei­nen Schlüs­sel expor­tie­ren, klickt man ein­fach in dem PopUp mit einem Rechts­klick auf sei­nen PGP-Schlüs­sel und anschlie­ßend auf „In Zwi­schen­ab­la­ge exportieren”.

Sen­det mir nun die Nora eine Email, wird die­se sofort ver­schlüs­selt, da sie mei­nen Public-Key kennt und ich mit dem Emp­fang der ver­schlüs­sel­te Email etwas anfan­gen kann, da auch ihr Public-Key ange­fügt wird.

Fall­bei­spiel C:
Ich besu­che die Nora und gebe ihr bei­spiels­wei­se durch mei­nen USB-Stick mein Schlüs­sel. In die­sem Fall kann man sich den Schlüs­sel als .asc-Datei expor­tie­ren las­sen. Dort klickt man wie beim Fall­bei­spiel B eben­falls auf sein Schlüs­sel und anschlie­ßend auf „In Datei expor­tie­ren”. Die Nora impor­tiert mein Schlüs­sel und schon kann sie mir ver­schlüs­sel­te Emails senden.

Sehr wich­tig:
Äußerst wich­tig hier­bei ist, nach­dem man sich die Schlüs­seln aus­ge­tauscht hat, den Besit­zer­ver­trau­en fest­zu­legt. Dazu öff­net man wie­der über Thun­der­bird Enig­mail, rechts-klickt auf den Schlüs­sel und anschlie­ßend auf „Besit­zer­ver­trau­en fest­le­gen”. Nach­dem man sich zu 100% sicher ist, dass der impor­tier­te Public-Key auch vom ech­ten Absen­der stammt, klickt man in dem PopUp auf „Ich ver­traue ihm absolut”.

Anschlie­ßend ver­wen­det man bei jeder neu­en Email nicht nur die Opti­on „Nach­richt ver­schlüs­seln”, son­dern auch „Nach­richt unter­schrei­ben”. So wer­den die Emails nicht nur ver­schlüs­selt hin- und her­ge­tauscht, son­dern auch unter­schrie­ben. Das garan­tiert euch, dass kein Drit­ter sich dazwi­schen gefunkt hat und sich als Absen­der ausgibt.

Noch wei­ter gehen kann man, indem man sich gegen­sei­tig die Schlüs­seln unter­schreibt unter Enig­mail. Bedenkt aber, dass auch ande­re Per­so­nen eure Email-Adres­se sehen kann, mit der ihr unter­schrie­ben hat, wenn die ande­re Per­son jeweils den Public-Key zuge­sen­det bekommt, wenn man unter­ein­an­der ver­schlüs­selt schrei­ben mag.

Key-Ser­vern:
Man kann auch sei­nen Public-Key auf diver­sen Key-Ser­vern hoch­la­den und spei­chern las­sen. In Enig­mail sind schon drei sehr bekann­te Ser­vern ein­ge­tra­gen. Aber ich per­sön­lich mag das nicht, dass dort mein Public-Key zu fin­den ist.

Zum einen gibt es kei­ne Mög­lich­keit, sei­nen Key wie­der austragen/entfernen zu las­sen, zum ande­ren sind es für die Bots eigent­lich ein Kin­der­spiel, die gan­zen Email-Adres­sen aus­zu­le­sen und dann SPAM zu ver­sen­den. Auch, wenn es bis­her kaum oder gar nicht der Fall war. Mein Ding ist es nicht.

Wie ich es mache:
Zum Unter­schrei­ben mei­ner ver­sen­de­ten Emails nut­ze ich nicht OpenPGP, son­dern S/MIME. Das hat aber nur sekun­där etwas mit OpenPGP/Enigmail zu tun, da mei­ne Iden­ti­tät von mei­nem SSL-Anbie­ter legi­ti­miert wur­de und die­se Unter­schrift bei alles und jedem als gültig/vertrauensvoll aner­kannt wird.

Wenn ich das über OpenPGP machen möch­te, müss­te zuerst der Emp­fän­ger mei­nen Public-Key haben und der Emp­fän­ger ihn anschlie­ßend als ver­trau­ens­voll anse­hen. Die­ser Schritt wird mit S/MIME kom­plett übergangen.

Dafür wer­den mei­ne Emails aber nicht ver­schlüs­selt über­tra­gen. Jede mei­ner aus­ge­hen­den Emails wer­den nur mit mei­nem S/MIME Zer­ti­fi­kat unter­schrie­ben, sodass der Emp­fän­ger sicher­stel­len kann, dass ich auch wirk­lich der Absen­der bin.

Möch­te ich mei­ne Emails ver­schlüs­seln, nut­ze ich logi­scher­wei­se Enigmail/OpenPGP. Dazu tei­le ich mei­nem Part­ner ein­fach den Inhalt mei­nes Public-Keys mit, der Part­ner impor­tiert die­sen und setzt die­sen Key als ver­trau­ens­wür­dig. Schreibt er mir nun eine Email, hat er ja nun mei­nen Public-Key und die Email kommt auto­ma­tisch ver­schlüs­selt an.

Abschlie­ßend:
Es klingt viel­leicht viel oder auch kom­pli­ziert, ist es aber in Wirk­lich­keit über­haupt nicht. Gera­de die Kom­bi­na­ti­on mit Thun­der­bird und Enig­mail macht alles zum Kin­der­spiel. Bei­des instal­lie­ren, mit Enig­mail sein Schlüs­sel gene­rie­ren und dem Part­ner mit­tei­len. Schon kann man ver­schlüs­sel­te Nach­rich­ten austauschen.

Wer das mal tes­ten möch­te, kann uns ger­ne eine PGP/-Email zukom­men las­sen. Mei­nen Public-Key fin­det ihr hier, sonst schaut ein­fach mal auf unse­re Kon­takt-Sei­te mal nach. Dort fin­det ihr noch vie­le ande­re Möglichkeiten.

Übri­gens: Dein Besuch auf unse­re Web­sei­te ist eben­falls ver­schlüs­selt. Dei­ne Ver­bin­dung zwi­schen dir und unse­rem Ser­ver wird mit einem SSL-Zer­ti­fi­kat ver­schlüs­selt. Selbst dein Inter­net­pro­vi­der kann hier kei­ne Daten abfangen.