Wer verschlüsselte Emails versenden möchte, kann dies mittels Thunderbird ganz einfach und unkompliziert realisieren. Dazu braucht man neben Thunderbird noch ein spezielles AddOn, das alles weitere so gut wie von automatisch übernimmt, sodass keine Email mehr unverschlüsselt versendet werden muss. Wir zeigen euch, wie das funktioniert.
Seit dem „Edward Snowden-Skandal” kam das Thema Sicherheit und Verschlüsselung immer mehr im Trend. Auch zwei Jahre später beschäftigen sich immer noch Leute damit, wie man „sicher” im Internet unterwegs sein kann und nicht alles direkt offenbaren muss.
Mittlerweile gibt es immer mehr Alternativen und Methoden, um beispielsweise Nachrichten im Netz verschlüsselt auszutauschen. Sei es die WhatsApp-„Konkurrenz” Threema, die verspricht, alle Nachrichten zwischen den Nutzern verschlüsselt auszutauschen oder auch OpenPGP, womit man verschlüsselte Emails versenden kann.
In diesem Beitrag spezialisieren wir uns nur darauf, wie man Emails sicher und verschlüsselt austauschen/versenden kann. In diesem Fall, um es ganz einfach und unkompliziert zu gestalten, greifen wir auf Thunderbird und OpenPGP/Enigmail zurück.
Thunderbird:
Das Programm Thunderbird ist dem ein oder anderen sicherlich schon mal über den Weg gelaufen. Es ist ein kostenloses Email-Programm, womit man seine Emails direkt vom Mailserver abrufen und verwalten kann.
Auch wir und ich persönlich nutze Thunderbird, da ich ein eigenen Mailserver betreibe und keine zusätzliche „Software” auf dem Server installieren mag, womit man auch am Browser seine Emails ansehen und verwalten kann. Das ist meiner Meinung nach Spielerei und nicht zwingend notwendig.
Um nun verschlüsselte Emails austauschen und versenden zu können, benötigt man logischerweise Thunderbird und das AddOn namens „Enigmail”. Die Installation und Einrichtung von Thunderbird ist meiner Meinung nach selbsterklärend. Man benötigt nur seine Zugangsdaten (Email, IMAP-Adresse (POP3 ist doof), Passwort, …) und schon ist das Konto eingerichtet.
Nachdem man soweit mit Thunderbird vertraut ist, schaut man in dem Programm selbst nach AddOns. Dort sucht man einfach nach „Enigmail” und installiert es. Nach der Installation wird noch ein Programm namens „OpenPGP” benötigt. Das bitte ebenfalls mitinstallieren.
Enigmail/OpenPGP:
Mit dem AddOn Enigmail verwaltet man quasi komplett OpenPGP und das sowas von einfach und unkompliziert. In dem Einrichtungsassistenten erzeugt man einen PGP-Schlüssel, um anschließend verschlüsselte Emails zu versenden.
Abschließend erstellt man sich noch einen Widerrufszertifikat, um seinen PGP-Schlüssel für ungültig zu erklären, sollte er mal entwendet worden sein oder ähnliches. Beide Sachen unbedingt bitte irgendwo sicher aufbewahren.
Man kann seinen PGP-Schlüssel auch eine „Passphrase” sowie eine „Gültigkeit” auftischen. Die Passphrase ist quasi ein Kennwort der benötigt wird, wenn man den PGP-Schlüssel nutzen möchte. Die „Gültigkeit” sagt logischerweise aus, wie lange der Schlüssel gültig sein soll.
In meinem Fall habe ich weder eine Passphrase benutzt, noch ein Ablaufdatum benutzt. Beides habe ich ausgelassen und nicht gesetzt. Bleibt aber jedem selbst überlassen, wie man es handhabt.
Email versenden:
Nachdem man nun den Schlüssel hat, gibt es nun zwei Möglichkeiten, um Emails verschlüsselt auszutauschen. Entweder teilt man dem Partner seinen Schlüssel mit und der Partner antwortet darauf mit seinem Schlüssel oder man lässt sich von seinem Partner den Schlüssel geben, portiert ihn (geschieht automatisch) und schreibt anschließend darauf eine Email. In beiden Fällen ist die Email schon verschlüsselt.
Seinem Partner kann man auf unterschiedlichste Weise seinen Schlüssel mitteilen. Wie ihr das macht, bleibt euch überlassen. Am einfachsten ist es, wenn man eine „normale” Email verfasst und die .asc-Datei im Anhang beifügt. Das macht Enigmail/Thunderbird automatisch, sobald die passende Option gesetzt ist.
Natürlich kann man sie auch irgendwo hochladen und ihm den passenden Link dazu geben oder einfach den Inhalt per Facebook oder sonst wo mitteilen. Hierbei handelt es sich ausschließlich nur um den Public-Key, worüber man sich keine Sorgen machen muss, wenn ihn jemand kennt.
Hat der Partner die Datei oder den Inhalt erhalten, importiert der Partner einfach den Schlüssel von euch und schon kann man untereinander verschlüsselte Emails versenden. Dazu gibt der Partner einfach an, dass er die Email verschlüsseln möchte und schon geschieht es durch Enigmail ganz automatisch. In der Regel ist diese Option schon ausgewählt, da der bekannte Public-Key des Empfängers schon bekannt ist.
Fallbeispiel:
Nora und ich haben Thunderbird installiert, unsere Email-Konten eingerichtet und zum Schluss noch das AddOn Enigmail installiert. Wir beide haben nun durch den Assistenten im Anschluss unseren PGP-Schlüssel generiert.
Fallbeispiel A:
Ich schreibe der Nora eine normale, unverschlüsselte Email und füge meinen PGP-Schlüssel an. Dazu klicke ich oben zuerst auf „Meinen öffentlichen Schlüssel anhängen”, danach auf „Nachricht wird weder unterschrieben noch verschlüsselt” und in dem neuen PopUp auf „Inline-PGP”.
Die Nora erhält meine Email und sieht, dass ich mein Schlüssel beigefügt habe. Nun gilt es zu überprüfen, ob der angekommene Schlüssel auch wirklich von mir stammt. Dazu kann man sich beispielsweise den Fingerabdruck anzeigen lassen und mit mir vergleichen. Wir ihr das macht, bleibt euch überlassen. Anschließend importiert die Nora den Anhang mit meinem Schlüssel.
Danach antwortet Nora mir auf diese Email und setzt den Haken oben auf „Nachricht verschlüsseln”, der aber eigentlich schon automatisch gesetzt ist, da Enigmail zu meiner Email-Adresse den PGP-Schlüssel kennt. Schon ist diese Antwort verschlüsselt und wir können munter hin- und herschreiben. Auch neue Emails sind automatisch verschlüsselt, da wir unseren Public-Key schon kennen.
Schon beim Empfang der ersten Email von der Nora greift Enigmail ein und teilt mit, dass diese Nachricht verschlüsselt ist und der Public-Key von ihr importiert wird/werden kann.
Fallbeispiel B:
Ich versende mein Schlüssel als Inhalt beispielsweise über Facebook, Skype oder sonst wo. Die Nora kopiert sich den Inhalt heraus, öffnet Thunderbird, wählt oben rechts „Enigmail” und anschließend auf „Schlüssel verwalten”. In dem neuen PopUp kann sie unter „Bearbeiten”, „Aus Zwischenablage importieren” den Schlüssel importieren lassen.
Möchte man seinen Schlüssel exportieren, klickt man einfach in dem PopUp mit einem Rechtsklick auf seinen PGP-Schlüssel und anschließend auf „In Zwischenablage exportieren”.
Sendet mir nun die Nora eine Email, wird diese sofort verschlüsselt, da sie meinen Public-Key kennt und ich mit dem Empfang der verschlüsselte Email etwas anfangen kann, da auch ihr Public-Key angefügt wird.
Fallbeispiel C:
Ich besuche die Nora und gebe ihr beispielsweise durch meinen USB-Stick mein Schlüssel. In diesem Fall kann man sich den Schlüssel als .asc-Datei exportieren lassen. Dort klickt man wie beim Fallbeispiel B ebenfalls auf sein Schlüssel und anschließend auf „In Datei exportieren”. Die Nora importiert mein Schlüssel und schon kann sie mir verschlüsselte Emails senden.
Sehr wichtig:
Äußerst wichtig hierbei ist, nachdem man sich die Schlüsseln ausgetauscht hat, den Besitzervertrauen festzulegt. Dazu öffnet man wieder über Thunderbird Enigmail, rechts-klickt auf den Schlüssel und anschließend auf „Besitzervertrauen festlegen”. Nachdem man sich zu 100% sicher ist, dass der importierte Public-Key auch vom echten Absender stammt, klickt man in dem PopUp auf „Ich vertraue ihm absolut”.
Anschließend verwendet man bei jeder neuen Email nicht nur die Option „Nachricht verschlüsseln”, sondern auch „Nachricht unterschreiben”. So werden die Emails nicht nur verschlüsselt hin- und hergetauscht, sondern auch unterschrieben. Das garantiert euch, dass kein Dritter sich dazwischen gefunkt hat und sich als Absender ausgibt.
Noch weiter gehen kann man, indem man sich gegenseitig die Schlüsseln unterschreibt unter Enigmail. Bedenkt aber, dass auch andere Personen eure Email-Adresse sehen kann, mit der ihr unterschrieben hat, wenn die andere Person jeweils den Public-Key zugesendet bekommt, wenn man untereinander verschlüsselt schreiben mag.
Key-Servern:
Man kann auch seinen Public-Key auf diversen Key-Servern hochladen und speichern lassen. In Enigmail sind schon drei sehr bekannte Servern eingetragen. Aber ich persönlich mag das nicht, dass dort mein Public-Key zu finden ist.
Zum einen gibt es keine Möglichkeit, seinen Key wieder austragen/entfernen zu lassen, zum anderen sind es für die Bots eigentlich ein Kinderspiel, die ganzen Email-Adressen auszulesen und dann SPAM zu versenden. Auch, wenn es bisher kaum oder gar nicht der Fall war. Mein Ding ist es nicht.
Wie ich es mache:
Zum Unterschreiben meiner versendeten Emails nutze ich nicht OpenPGP, sondern S/MIME. Das hat aber nur sekundär etwas mit OpenPGP/Enigmail zu tun, da meine Identität von meinem SSL-Anbieter legitimiert wurde und diese Unterschrift bei alles und jedem als gültig/vertrauensvoll anerkannt wird.
Wenn ich das über OpenPGP machen möchte, müsste zuerst der Empfänger meinen Public-Key haben und der Empfänger ihn anschließend als vertrauensvoll ansehen. Dieser Schritt wird mit S/MIME komplett übergangen.
Dafür werden meine Emails aber nicht verschlüsselt übertragen. Jede meiner ausgehenden Emails werden nur mit meinem S/MIME Zertifikat unterschrieben, sodass der Empfänger sicherstellen kann, dass ich auch wirklich der Absender bin.
Möchte ich meine Emails verschlüsseln, nutze ich logischerweise Enigmail/OpenPGP. Dazu teile ich meinem Partner einfach den Inhalt meines Public-Keys mit, der Partner importiert diesen und setzt diesen Key als vertrauenswürdig. Schreibt er mir nun eine Email, hat er ja nun meinen Public-Key und die Email kommt automatisch verschlüsselt an.
Abschließend:
Es klingt vielleicht viel oder auch kompliziert, ist es aber in Wirklichkeit überhaupt nicht. Gerade die Kombination mit Thunderbird und Enigmail macht alles zum Kinderspiel. Beides installieren, mit Enigmail sein Schlüssel generieren und dem Partner mitteilen. Schon kann man verschlüsselte Nachrichten austauschen.
Wer das mal testen möchte, kann uns gerne eine PGP/-Email zukommen lassen. Meinen Public-Key findet ihr hier, sonst schaut einfach mal auf unsere Kontakt-Seite mal nach. Dort findet ihr noch viele andere Möglichkeiten.
Übrigens: Dein Besuch auf unsere Webseite ist ebenfalls verschlüsselt. Deine Verbindung zwischen dir und unserem Server wird mit einem SSL-Zertifikat verschlüsselt. Selbst dein Internetprovider kann hier keine Daten abfangen.