E-Mailverschlüsselung mit Thunderbird+Enigmail

E-Mailverschlüsselung für Anfänger ohne viel Schnick-Schnack ;)

1] Thunderbird installieren
[E-Mailprogramm, welches deine E-Mailkonten verwalten wird]

2] E-Mailkonto anlegen

3] Enigmail-Addon installieren
- Thunderbird -> Extras -> Add-ons
- nach Add-on 'Enigmail' suchen und installieren

4] Enigmail Einrichtungs-Assistenten durchklicken

5] -

6] Gpg4Win (eigentliches Verschlüsselungsprogramm) installieren, falls nicht schon geschehen

7] -

8] -

9] -

10] Schlüsselpaar erzeugen

11] -

12] Widerrufszertifikat erzeugen [optional]. Mit diesem kann man seinen Schlüssel ungültig machen, falls man seine Passphrase verloren hat oder der eigene Schlüssel kompromittiert wurde. Wenn der öffentliche Schlüssel auf einem KeyServer aber nicht öffentlich zugänglich ist, braucht man auch kein Widerrufszertifikat (welches ohnehin auf einem separaten System hätte aufbewahrt werden müssen).

13] Falls man Widerrufszertifikat anlegt, dann sollte dieses auf einem anderen Rechner oder auf ein externes Speichermedium gespeichert werden. Denn falls der Rechner angegriffen wird, reicht das Widerrufszertifikat aus, um ohne Passphrase den Schlüssel ungültig zu machen.

14] -

15] -

16] Test-E-Mail zusammen mit eigenem öffentlichen Schlüssel an adele@gnupp.de schicken

17] Passphrase für eigenen Schlüssel eingeben zur Entschlüsselung der Mail

18] Mail entschlüsselt. Im Text findet sich der Public Key von adele. (Normalerweise kommen *.asc Dateien im Anhang - gleich mehr dazu)

19] Public Key Text markieren und in Zwischenablage kopieren (STRG+C):
-----BEGIN PGP PUBLIC KEY BLOCK----- ... -----END PGP PUBLIC KEY BLOCK-----

20] Schlüsselverwaltung: Thunderbird Menü->Enigmail->Schlüssel verwalten...
Dann: Bearbeiten->Aus Zwischenablage importieren

21] Public Key wurde erfolgreich importiert (Dialognachrichten manchmal falsch kodiert, einfach ignorieren)

22] Wenn Public Keys im Anhang verschickt werden, dann genügt ein Rechtsklick auf die *.asc-Datei zum Importieren des Schlüssels

23] Doppelklicken adele-Schlüssel

24]

25] Schlüsselechtheit verifizieren:
Fingerabdruck-Zahl (Fingerprint) des Schlüssels muss über einen zweiten, möglichst sicheren Kanal mit dem Eigentümer abgeglichen werden (Telefon, realer Kontakt)
Das ist notwendig, da ja der Mail-Übertragungsweg durch einen Angreifer kompromittiert sein kann.

26] Bei adele ist das nicht möglich, daher unterschreiben wir mit "Ich habe es nicht überprüft".

27] Die Einstellung zum Besitzervertrauen definiert die Vertrauenswürdigkeit des anderen Benutzers.

28] adele prüft als Bot die Fingerprints überhaupt nicht, daher nehmen wir in diesem Beispiel "Ich vertraue ihm NICHT".

29] Testkommunikation mit adele@gnupp.de Teil 2
- verschlüsselte und unterschriebene E-Mail an adele schreiben (siehe die gelben Buttons in der Enigmail-Symbolleiste)
-- E-Mailunterschrift sichert Integrität (Nachricht wurde nicht manipuliert) und Authentizität (Absender ist echt; unter Annahme Schlüssel ist gleich Absender), alles unter der Voraussetzung, dass man den Schlüssel des Absenders beim Importieren überprüft hat (Fingerabdruck/Fingerprint-Check über zweiten sicheren Kanal)

30] Sie erhalten daraufhin wieder eine verschlüsselte E-Mail mit der Klartext-Nachricht, die Sie eben verschlüsselt an adele geschickt haben.

31] Wenn Sie verschlüsselte E-Mails standardmäßig unterschreiben möchten:
- Extras->Konten-Einstellungen->OpenPGP-Sicherheit
- - Verschlüsselte Nachrichten unterschreiben

32] Bei verschlüsselten E-Mails mit Anhängen "Jeden Anhang einzeln verschlüsseln und unterschreiben ..." auswählen - dieser Auswahl-Dialog poppt beim Absenden auf

« »

---

1. Thunderbird installieren
   [E-Mailprogramm, welches deine E-Mailkonten verwalten wird]
2. E-Mailkonto anlegen
3. Enigmail-Addon installieren
   - Thunderbird -> Extras -> Add-ons
   - nach Add-on 'Enigmail' suchen und installieren
   - Enigmail Einrichtungs-Assistenten durchklicken und dabei
   - - automatisch Gpg4Win (eigentliches Verschlüsselungsprogramm) installieren lassen
   - - Schlüsselpaar erzeugen
4. Testkommunikation mit adele@gnupp.de Teil 1
   - Testemail zusammen mit eigenem öffentlichen Schlüssel an adele@gnupp.de schicken
   - nach ein paar Minuten erhält man verschlüsselte E-Mail, die automatisch entschlüsselt wird - dabei muss die Passphrase eingegeben werden
   - Gesamten PGP PUBLIC KEY BLOCK markieren und kopieren
   - eben kopierter öffentlicher Schlüssel in Enigmail-Schlüsselverwaltung einfügen per "Bearbeiten->Aus Zwischenablage importieren"
   - - für gewöhnlich schickt man sich *.asc Dateien als Anhang, die dann ganz leicht per Rechtsklick importiert werden, ohne dass Text markiert werden muss
5. Schlüsselverwaltung
   - in Schlüsselverwaltung auf importierten Schlüssel doppelklicken, um Schlüssel zu prüfen
   - - Fingerabdruck-Zahl muss über einen zweiten Kanal mit dem Eigentümer abgeglichen werden (Telefon, realer Kontakt)
   - - bei adele ist das nicht möglich, daher unterschreiben wir mit "Ich habe es nicht überprüft"
   - - das Besitzervertrauen regelt die Vertrauenswürdigkeit des anderen Benutzers
   - - adele prüft garantiert keine Fingerprints anderer Benutzer, daher in diesem Beispiel "Ich vertraue ihm NICHT" auswählen
6. Testkommunikation mit adele@gnupp.de Teil 2
   - verschlüsselte und unterschriebene E-Mail an adele schreiben
   - - Antwort mit verschlüsselter Nachricht von adele erhalten
7. Verschlüsselte E-Mails standardmäßig unterschreiben
   - Extras->Konten-Einstellungen->OpenPGP-Sicherheit
   - - Verschlüsselte Nachrichten unterschreiben
8. Bei verschlüsselten E-Mails mit Anhängen "Jeden Anhang einzeln verschlüsseln und unterschreiben ..." auswählen - dieser Auswahl-Dialog poppt beim Absenden auf

Nicht abgedeckt in diesem Tutorial werden: Keyserver, Experteneinstellungen, manuelle Key-Erstellung, Export von Unterschriften, Sicherheitsoptimierungen, ... Für tiefergehende Anleitungen und Erklärungen zu gpg verweise ich auf: http://www.hauke-laging.de/sicherheit/openpgp.html
Bei entsprechendem Bedarf folgen ggf. weitere Screenshot-Anleitungen.