Jetzt geht’s ans Eingemachte! In diesem Artikel knöpfen wir uns gleich die – zumindest unter Windows – aufwendigste Installation von OpenPGP zur Verschlüsselung von E-Mails vor. Der Artikel setzt Wissen voraus, das ich im vorangegangenen Artikel vermittelt habe. Am Ende werden wir das E-Mail-Programm Thunderbird mit der Erweiterung Enigmail zur Verschlüsselung von Mails verwenden.
Erster Schritt: Gnu Privacy Guard installieren 🔗
Wie im vorangegangenen Artikel erwähnt, bildet das Herzstück unserer Installation der Gnu Privacy Guard (GnuPG). Dies ist die Referenzimplementierung des OpenPGP-Standards.
Microsoft Windows 🔗
Unter allen gängigen Windows-Versionen besteht die einfachste und zumeist empfohlene Vorgehensweise darin, das Programmpaket GPG4Win zu installieren. Der Link zum Herunterladen des Installationsprogramms befindet sich direkt auf der Startseite.
Die Installation ist denkbar einfach, man muss nur auf Weiter klicken und die Standardvorgaben akzeptieren, so wie sie sind. Mit dem Gnu Privacy Guard haben wir ab jetzt allerdings nur noch dann zu tun, wenn es uns zur Eingabe unserer Passphrase, die wir weiter unten vergeben werden, auffordert.
Hinweis für Screen-Reader-Nutzer: Der Gnu Privacy Guard bzw. dessen Dialog zur Eingabe einer Passphrase ist ein nicht zugänglicher Dialog für die von mir getesteten Screen Reader (NVDA und JAWS). Wenn also ein Fenster kommt, das sich quasi wie eine Eingabeaufforderung anhört, ist das das Fenster zur Eingabe der Passphrase.
Linux & Co. 🔗
Die meisten Linux-Distributionen haben GnuPG bereits an Board. Ihr könnt dies am einfachsten herausfinden, indem ihr ein Terminal-Fenster öffnet und
gnupg --version
eingebt. Sollte es wider erwarten nicht installiert sein, sollte der Paketinstaller eures Vertrauens das Paket im Angebot haben. Da es für verschiedene Linux-Distributionen unterschiedliche Paketverwaltungen gibt und ich eh davon ausgehe, dass ihr euch relativ gut auskennt, wenn ihr euch traut, eine Linux-Installation produktiv einzusetzen, werdet ihr mit Sicherheit herausfinden, wie es geht. 😉
Mac OS X 🔗
Der Gnu Privacy Guard ist Bestandteil der GPGTools. Auch hier findet sich der Link zur Installation direkt auf der (allerdings englischsprachigen) Startseite.
Die Installation ist denkbar einfach: Das Disc Image herunterladen, öffnen (entweder durch Doppelklick oder im Finder mit Cmd+O, das Installationspaket durch Doppelklick oder Cmd+O ausführen und die Installation nach üblichem Schema befolgen.
Hinweis für VoiceOver-Nutzer: Die GPGTools sind weitgehend mit VoiceOver zugänglich. Da Thunderbird unter OS X es jedoch nicht ist, empfehle ich den Einsatz von Apple Mail (siehe dazu separaten Artikel), für das die GPGTools ebenfalls benötigt werden.
Thunderbird installieren 🔗
Thunderbird ist ein von der Mozilla-Gemeinde gepflegtes E-Mail-Programm. Sein Programmcode ist für jedermann einsehbar, es ist also quelloffen (Open Source). Unter Windows und Linux ist es mein E-Mail-Programm der Wahl, mit VoiceOver unter OS X ist es zur Zeit leider nicht kompatibel. Wer auf VoiceOver nicht angewiesen ist, kann es unter OS X aber genauso einsetzen und von seinen Funktionen profitieren.
Wer Thunderbird bereits nutzt, kann zur nächsten Überschrift weiterscrollen.
Für alle anderen: Die Startseite bietet fürs aktuell verwendete Betriebssystem und die Sprache bereits den passenden Download. Einfach herunterladen und installieren:
- Unter Windows läuft ein Installationsprogramm durch, das sehr nach dem Schema anderer Installationsprogramme verläuft.
- Unter Linux ist Thunderbird wahrscheinlich schon installiert, ansonsten übernimmt diese Aufgabe der Paket-Manager des Vertrauens.
- Unter Mac OS X einfach die DMG-Datei herunterladen, doppelklicken bzw. mit Cmd+O öffnen und das darin enthaltene Thunderbird-Programmpaket auf den Programme-ordner ziehen bzw. mit Cmd+C kopieren und dann im Programme-Ordner mit Cmd+V einfügen.
Beim ersten Start von Thunderbird meldet sich gleich der Einrichtungsassistent für ein E-Mail-Konto. Thunderbird sollte mit allen gängigen E-Mail-Providern wie Gmail, GMX, web.de, T-Online oder auch FastMail klarkommen. Also einfach Namen, E-Mail-Adresse und Kennwort eintragen sollte genügen. Bei etwas exotischeren Mailprovidern kann es vorkommen, dass Thunderbird die richtigen Einstellungen nicht erkennt. In diesem Fall auf „Manuelle Einrichtung“ klicken und die Server- und Portdaten, die man in der Regel auf der Webseite des E-Mail-Anbieters findet, entsprechend eintragen. Die meisten E-Mail-Provider bieten auch Anleitungen für Thunderbird auf ihrer Webseite an.
Sind schon E-Mails im Postfach vorhanden, sollten diese nach erfolgreicher Einrichtung im Hauptbereich angezeigt werden.
Enigmail installieren 🔗
Hinweis: Das folgende gilt analog nicht nur für Thunderbird, sondern auch für die mit diesem eng verwandte SeaMonkey-Suite. Wer diese anstatt von Thunderbird nutzt, sollte also mit denselben Schritten ebenfalls zum Ziel kommen.
Enigmail ist eine Erweiterung für Thunderbird. Erweiterungen sind kleine Pakete, die den Funktionsumfang von Thunderbird, Firefox und anderen erweitern. Sie integrieren sich dabei nahtlos in die Benutzeroberfläche. Enigmail stellt für uns die Verbindung zwischen Thunderbird und dem Gnu Privacy Guard her, ist also eine Benutzeroberfläche für letzteren, die sich aber eben nahtlos in Thunderbird integriert und uns so den Umgang mit OpenPGP erleichtert, E-Mail-Ver- und Entschlüsselung veranlasst usw.
Erweiterungen (oder auch Add-Ons) werden in Thunderbird über das Menü und dort den Menüpunkt Add-Ons installiert. Unter Windows klickt man das Thunderbird-Menü und wählt Add-Ons. Alternativ kann man mit der Tastatur mit Alt+X das Extras-Menü öffnen und dort den entsprechenden Menüpunkt wählen. Unter Linux und OS X findet sich der Menüpunkt im entsprechenden Menü Extras.
Im Add-Ons-Manager wählt man nun den Reiter „Nach Add-Ons suchen“, dem ersten verfügbaren. In das Suchfelt gibt man nun „Enigmail“ ein und drückt die Eingabetaste.
Thunderbird durchsucht nun die verfügbaren Add-Ons nach Enigmail und zeigt die Ergebnisse in einer Liste an. Man klickt einfach auf Installieren bzw. wählt diesen Punkt mit der Tastatur im Kontextmenü des Suchergebnisses aus.
Nach der Installation fordert Thunderbird zum Neustart auf. Dieser ist notwendig, um die Installation abzuschließen. Einfach mit „Jetzt neu starten“ bestätigen.
Die Ersteinrichtung von Enigmail 🔗
Nach dem Neustart startet der Ersteinrichtungsassistent von Enigmail. Hier können die wichtigsten Grundeinstellungen vorgenommen und das erste Schlüsselpaar erzeugt werden.
Hinweis: Sollte der Assistent wider Erwarten nicht starten, findet man ihn unter dem neuen Pulldown-Menü/Reiter „Enigmail“ in der Menüleiste von Thunderbird.
Grundeinstellungen 🔗
Im ersten Schritt wird man gefragt, ob man den Assistenten überhaupt verwenden möchte. Diese Frage sollte beim ersten Mal mit Ja beantwortet werden.
Im nächsten Schritt wird gefragt, ob Enigmail für alle Konten eingerichtet werden soll. Auch diese Frage sollte für die besten Ergebnisse mit Ja beantwortet werden, es sei denn, ihr möchtet eine genauere Kontrolle haben und nicht alle Konten, die ihr in Thunderbird bereits eingerichtet habt, mit OpenPGP-Verschlüsselung versorgen. Achtung Fallstrick: Dies aktiviert nur die prinzipielle Unterstützung für Enigmail im jeweiligen Konto bzw. allen Konten. Bei der später erfolgten Schlüsselerzeugung werden nicht automatisch alle hier gefundenen E-mail-Adressen als zusätzliche Benutzerkennungen in den Schlüssel eingetragen.
Im folgenden Schritt wird gefragt, welchen Arbeitsmodus man verwenden möchte. Wie die Erklärung im oberen Bereich besagt, bedeutet die Voreinstellung „bequem“, dass verschlüsselt wird, wenn möglich, und nicht, wenn kein öffentlicher Schlüssel für einen oder mehrere Empfänger vorliegt. Praktischerweise sollte man diesen Modus ruhig wählen.
Im nächsten Schritt wird nach dem generellen Arbeitsmodus für das Unterschreiben von Nachrichten gefragt. Hier ist die Voreinstellung „Alle Unterschreiben“. Das ist auch in Ordnung, denn auch nicht verschlüsselte Nachrichten sind für den Empfänger unterschrieben immer noch lesbar. Außerdem ist es eine gute Möglichkeit, dem Empfänger anzuzeigen, dass man OpenPGP verwendet. Der Empfänger kann dann also nicht nur die Signatur überprüfen, sondern auch entscheiden, dass er z. B. verschlüsselt antworten möchte. So kann auch eine Initiierung verschlüsselter Kommunikation erfolgen, selbst wenn man nicht wusste, dass dieser bestimmte Empfänger ebenfalls OpenPGP verwendet.
Im nun folgenden Schritt wird gefragt, ob man Enigmail so anpassen möchte, dass es „besser funktioniert“. Die Antwort auf diese Frage beantworte ich grundsätzlich mit „nein, danke!“, und ich empfehle, dies auch zu tun. Der Grund ist, dass hier einige Einstellungen getroffen werden, die in der heutigen Zeit anachronistisch anmuten. So würde in Zukunft grundsätzlich nur noch Mail im reinen Textformat mit fester Zeilenlänge erzeugt. Wie ich im vorigen Artikel erkläre, ist das in Zeiten von Smartphones, Tablets und anderen unterschiedlichen Bildschirmgrößen einfach nicht mehr zeitgemäß und sorgt für „Flatterabsätze“, die nun wahrlich nicht mehr schön zu lesen sind.
Erzeugung des Schlüsselpaares 🔗
Im nächsten Schritt geht es nun an die Erzeugung des Schlüsselpaares. Ist, aus welchem Grund auch immer, schon eines vorhanden, was bei einer kompletten Neuinstallation unwahrscheinlich ist, wird man gefragt, ob man das vorhandene Schlüsselpaar verwenden oder ein neues erzeugen möchte. Ist noch keines vorhanden, entfällt diese Frage.
Als erstes wird man nach seiner Benutzerkennung und der Passphrase gefragt. Die Benutzerkennung besteht aus Namen und E-Mail-Adresse. Hat man angegeben, dass man für alle Konten konfigurieren will, werden alle E-Mail-Adressen, die Thunderbird bereits kennt, hier angezeigt, und man kann die gewünschte primäre Kennung auswählen. Weitere Kennungen können später hinzugefügt werden, so dass man mit einem Schlüsselpaar unter mehreren E-Mail-Adressen sowohl senden als auch verschlüsselt empfangen kann. Achtung: Dieses Hinzufügen muss später in der Schlüsselverwaltung erfolgen, dieser Schritt des Assistenten erzeugt den Schlüssel lediglich für die hier angegebene E-Mail-Adresse!
Im nächsten Schritt wird man aufgefordert, die vorgenommenen Einstellungen zu bestätigen. Anzumerken ist hier, dass Enigmail nicht abfragt, wie stark die Verschlüsselung sein soll oder nach welcher Berechnungsmethode er erzeugt wird. Für diesen Assistenten wurden Voreinstellungen getroffen, die für die allermeisten Fälle ausreichen sollten. Es wird ein Schlüssel nach der RSA-Methode erzeugt, der eine Länge von 2048 Bit hat (Alternativen wären mindestens 1024 oder auch hohe 4096 Bit). Das bedeutet, dass immer 2048 Bit = 256 Zeichen (1 Zeichen = 8 Bit) auf einmal verschlüsselt werden. Um das zu knacken, bräuchten heutige Supercomputer schon mindestens die halbe Zeit vom Urknall bis heute, um die richtige Zahlenkombination zum Entschlüsseln zu erraten, also in etwa 10 Milliarden Jahre. Da in dieser Standardinstallation der Schlüssel, wie in der nächsten Zeile zu sehen, auf fünf Jahre Gültigkeit ausgelegt ist, kann man aber ganz beruhigt sein. 😉
Apropos Gültigkeit: Der Schlüssel kann vor Ablauf dieser fünf Jahre verlängert werden, es muss also dann kein neuer Schlüssel erzeugt werden, wenn man feststellt, dass man den Schlüssel weiterhin verwenden möchte. Gleichzeitig gibt diese zeitliche Begrenzung aber auch die Sicherheit, dass, sollte was schiefgehen und man den Schlüssel nicht ordnungsgemäß für ungültig erklären können, nach fünf Jahren er automatisch von den Servern gelöscht und als ungültig bzw. abgelaufen gekennzeichnet wird.
Der Schlüssel wird nun erzeugt. Auf heutigen schnellen Rechnern ist die Meldung, dass dies mehrere Minuten dauern kann, eine glatte Übertreibung, denn auf meinem 2012er MacBook Air dauerte dies keine 10 Sekunden mehr.
Im letzten Schritt wird nun empfohlen, ein Widerrufszertifikat zu erstellen. Das sollte dringend gemacht und dieses auf einem externen Medium gespeichert oder ausgedruckt werden, um den Schlüssel bei Bedarf für ungültig zu erklären. Beim Erstellen des Widerrufszertifikats wird das erste Mal die Passphrase abgefragt. Na, habt ihr sie euch auch gut gemerkt? 😉
Nach dem Speichern des Widerrufszertifikats wird mit „Fertigstellen“ der Assistent beendet.
Weitere Einstellungen 🔗
Durch die Installation von Enigmail sind in Thunderbird an verschiedenen Stellen Dinge hinzugekommen. Zum einen ist da das Menü Enigmail, das verschiedene Funktionen enthält wie Ver- und Entschlüsselungseinstellungen, Zugriff auf die Schlüsselverwaltung und das Verändern von Einstellungen.
Zum zweiten ist in den Konten-Einstellungen von Thunderbird, also dort, wo man fortgeschrittene Einstellungen zu seinen E-Mail-Konten ändert, ein Reiter „OpenPGP-Sicherheit“ hinzugekommen. Dieser enthält folgende Einstellungen:
- Enigmail-Unterstützung für dieses Konto aktivieren: Ist standardmäßig aktiviert, wenn man für dieses Konto oder für alle Konten Enigmail angewiesen hat, die Unterstützung einzuschalten.
- Zu verwendender Schlüssel: Hier wird angezeigt, welcher private Schlüssel für diese Unterstützung verwendet wird. Normalerweise hat man ja nur einen, aber wenn man mehrere hat, kann hier auswählen, welcher der privaten Schlüssel verwendet werden soll.
- Nachrichten standardmäßig verschlüsseln: Ist normalerweise nicht aktiviert und besagt, ob alle Nachrichten standardmäßig verschlüsselt werden sollen oder nicht.
- Nachrichten Standardmäßig unterschreiben: Besagt, ob alle Nachrichten standardmäßig eine Signatur bekommen. Dieser Punkt ist normalerweise aktiviert.
- PGP/MIME standardmäßig verwenden: Besagt, dass der modernere Standard für die Verschlüsselung und/oder das Unterschreiben von Mails verwendet werden soll. Dieser ist auch mit HTML-Mails bzw. Mails in formatiertem Text kompatibel. Diesen Punkt solltet ihr unbedingt aktivieren, egal was die Standardvorgabe ist.
- Unverschlüsselte Nachrichten unterschreiben und Verschlüsselte Nachrichten unterschreiben unter der Überschrift „Nach dem Anwenden von Standards und Regeln“ besagt, dass, wenn alle Standardeinstellungen und empfängerspezifischen Regeln abgearbeitet sind, wie das übrig gebliebene Verhalten aussehen soll.
- Entwürfe verschlüsselt speichern: Bedeutet, dass auch Mailentwürfe verschlüsselt gespeichert werden, also nicht für jedermann einsehbar sind.
Darunter gibt es noch zwei Schalter: Erweitert enthält Einstellungen, die man in der Regel nicht anpassen muss, und Enigmail-Einstellungen enthalten die übergeordneten Grundeinstellungen zur Verschlüsselung und Signierung von E-Mails. Hier findet sich auch ein Hilfe-Schalter, der zu der Enigmail-eigenen Hilfe führt, die auch in deutsch verfügbar und sehr hilfreich ist.
Schlüsselverwaltung 🔗
Ein weiterer Punkt ist die Schlüsselverwaltung. Hier sind sowohl das eigene Schlüsselpaar als auch sämtliche importierten öffentlichen Schlüssel von Kontakten hinterlegt. Weiß man, dass ein Schlüssel definitiv von einem vertrauenswürdigen Kontakt stammt, weil man den Schlüsselfingerabdruck abgeglichen hat, kann man diese öffentlichen Schlüssel mit seinem eigenen privaten Schlüssel unterschreiben und somit die Vertrauensstellung erhöhen.
Man kann nach Schlüsseln auf Schlüsselservern suchen (man braucht hierbei die Standardvorgabe des Schlüsselservers in der Regel nicht zu verändern), man kann sogar sein ganzes Adressbuch durchsuchen und die öffentlichen Schlüssel, die gefunden wurden, nach Prüfung importieren.
Weiterhin werden hier Schlüssel zurückgezogen oder der öffentliche Schlüssel auf Schlüsselserver hochgeladen oder eine Datei mit dem öffentlichen Schlüssel kann exportiert werden, um diesen auf der eigenen Webseite zu veröffentlichen.
Hier werden auch zusätzliche Benutzerkennungen ins eigene Schlüsselpaar eingetragen, damit alle in Thunderbird vorhandenen E-Mail-Konten, bei denen die Enigmail-Unterstützung aktiviert ist, auch verschlüsselt senden und empfangen können und die Schlüsselsignaturen als gültig anerkannt werden.
Schlusswort 🔗
Die Menge an Optionen und Einstellmöglichkeiten kann leicht überfordern. Ich empfehle, sich langsam heranzutasten und ansonsten den Standardeinstellungen zu vertrauen. Das Finetuning kommt, wenn man ein bisschen Erfahrung gesammelt und sich auf den Hilfeseiten umgeschaut hat, die jede Menge an guten Infos liefern. Auch sollte man immer das Angebot der eingebauten Hilfe nutzen.
Die oben beschriebenen Schritte, also im Prinzip das Durchlaufen des Assistenten bis auf die letzte Frage nach den Einstellungen zum „besseren Funktionieren“, plus dem Einschalten von PGP/MIME in den Konteneinstellungen, sollten für die meisten Anwendungsfälle zum Start vollkommen ausreichen. Bei Fragen kann man sich immer im Forum oder der Mailingliste an andere Mitglieder wenden. Der Umgangston ist, wie fast überall im Internet, weitgehend freundlich.
Ich wünsche nun viel Spaß beim verschlüsselten Kommunizieren mit Thunderbird!