Die Kommunikation per E-Mail ist unkompliziert und wird daher immer noch häufig genutzt. Sie benötigen dafür nicht mehr als die E-Mail-Adresse des Empfängers. Dadurch wird jedoch auch der Missbrauch durch Spammer erleichtert. Ferner sollte man zumindest beim Austausch von Nachrichten mit vertraulichen Inhalten auf mehr Sicherheit setzen und die Nachrichten mit PGP (Pretty Good Privacy) verschlüsseln und/oder signieren. Vertrauenswürdige Schlüssel stellen dabei sicher, dass nur der jeweilige Empfänger die Nachrichten entschlüsseln, lesen oder die Echtheit prüfen kann.
PGP, das es bereits seit 1991 gibt, genießt allerdings keine breite Akzeptanz. Die nötigen Tools müssen erst installiert werden, die Konfiguration gilt als zu kompliziert. Zumindest für Thunderbird-Nutzer ab Version 78 könnte sich das ändern. Open PGP ist hier bereits integriert und lässt sich ohne großen Aufwand einsetzen.
Wie Open PGP funktioniert
Das Prinzip von Open PGP ist einfach. Ein Nutzer mit der E-Mail-Adresse „sepp@beispiel.de“ erzeugt selbst ein Schlüsselpaar. Seinen öffentlichen Schlüssel teilt er seinen Kommunikationspartnern mit, die E-Mails an ihn damit verschlüsseln. Der Empfänger, sepp@beispiel.de, kann die Nachrichten dann mit seinem privaten Schlüsseln entschlüsseln. Beim Signieren einer E-Mail erzeugt sepp@beispiel.de eine digitale Unterschrift mit seinem eigenen privaten und öffentlichen Schlüssel. Der Empfänger verwendet den öffentlichen Schlüssel, um die Integrität des Inhalts und den Absender zu prüfen.
Bei der Vertrauenswürdigkeit setzte PGP bisher auf ein System von Beglaubigungen durch andere Benutzer (Web of Trust). Das wurde jedoch missbraucht, weshalb der von Thunderbird für die Suche nach Schlüsseln genutzte Server https://keys.openpgp.org dieses Verfahren nicht mehr unterstützt. Für mehr Sicherheit kann man den eigenen Schlüssel auch von einer übergeordneten Instanz beglaubigen lassen. Für Besitzer eines Personalausweises mit aktivierter Online-Ausweisfunktion ist das kostenlos über https://pgp.governikus.de/pgp möglich. Auch diese Beglaubigung ignoriert https://keys.openpgp.org . Es ist daher sinnvoll, den Schlüssel auf anderen Wegen zu veröffentlichen, beispielsweise auf dem eigenen Webserver.
Open PGP in Thunderbird konfigurieren
Thunderbird sollte möglichst aktuell sein, damit Open PGP einwandfrei funktioniert. Gehen Sie auf das Menü mit den drei horizontalen Linien („Hamburger-Menü“) am rechten Rand des Fensters und dann auf „Hilfe –› Über Thunderbird“.
Damit dieses Tutorial funktioniert, benötigen Sie Thunderbird ab Version 78 . Sollte noch keine Aktualisierung auf eine ausreichend neue Version vorliegen, verwenden Sie ein PPA. Fügen Sie es im Terminal hinzu (Ubuntu 20.04 und Linux Mint 20):
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppasudo apt-get updatesudo apt-get upgradeWir haben nach der Aktualisierung die Konfiguration unter Ubuntu 20.04 in Thunderbird 78.5.1 durchgeführt.
Schritt 1: Wir gehen davon aus, dass Thunderbird bereits für Ihr E-Mail-Konto konfiguriert ist. Klicken Sie im Hamburger-Menü auf „Konto-Einstellungen“ und dann beim gewünschten Konto auf „Ende-zu-Ende- Verschlüsselung“. Klicken Sie auf „Schlüssel hinzufügen“.
Schritt 2a: Wenn Sie bereits über Schlüssel verfügen, wählen Sie die Option „Bestehende OpenPGP-Schlüssel importieren“, klicken auf „Weiter“ und dann auf „Datei für den Import auswählen“. Wählen Sie Ihren privaten Schlüssel, klicken Sie auf “Öffnen“ und danach auf „Weiter“. Dann tippen Sie das Passwort für den Schlüssel ein und bestätigen mit „OK“. Per Klick auf „Weiter“ schließen Sie den Assistenten. Zurück in den „Konto-Einstellungen“ wählen Sie den eben importierten Schlüssel aus.
Schritt 2b: Wer noch keinen Schlüssel besitzt, belässt die Option „Neuen OpenPGP-Schlüssel erzeugen“, klickt auf „Weiter“ und dann auf „Schlüssel erzeugen“. Klicken Sie auf „Bestätigen“. Der neue Schlüssel wird automatisch für das Konto aktiviert.
Schritt 3: Klicken Sie auf „OpenPGP-Schlüssel verwalten“. Wählen Sie den Schlüssel aus und gehen Sie im Menü auf „Datei –› Sicherheitskopie für geheime(n) Schlüssel erstellen“. Wählen Sie einen Speicherort und klicken Sie auf „Speichern“. Vergeben Sie ein sicheres Passwort, das Sie mit „OK“ bestätigen. Gehen Sie auf „Datei –› Schlüssel in Datei exportieren“ und speichern Sie darüber auch den öffentlichen Schlüssel. Sie benötigen beide Dateien und das Passwort, wenn Sie Thunderbird auf einem anderen PC oder nach einer Neuinstallation mit Open PGP einrichten wollen.
Schritt 4: Die Schlüsseldaten sind ungeschützt in der Datei „key4.db“ im Thunderbird-Benutzerprofil gespeichert. Für mehr Sicherheit gehen Sie im Hamburger-Menü auf „Einstellungen“ und dann auf „Datenschutz & Sicherheit“. Setzen Sie ein Häkchen vor „Master-Passwort verwenden“ und legen Sie das Passwort fest. Abschließend können Sie Ihren öffentlichen Schlüssel bei https://keys.openpgp.org hochladen oder – bei Bedarf beglaubigt – auch an anderen Orten veröffentlichen.
E-Mails verschlüsseln und signieren
Wenn Sie einem Empfänger, der ebenfalls PGP nutzt, erstmals eine Nachricht senden, wählen Sie unter der Schaltfläche „Sicherheit“ die Einträge „Nicht verschlüsseln“, „Nachricht unterschreiben“ und „Meinen öffentlichen Schlüssel anhängen“. Der Empfänger kann dann in Thunderbird über die Schaltfläche „OpenPGP“ Ihren öffentlichen Schlüssel importieren. Bei der Antwort auf die E-Mail wählt der Empfänger die gleichen Einstellungen und Sie importieren seinen öffentlichen Schlüssel. Danach können Sie verschlüsselte E-Mails austauschen oder Nachrichten signieren.
Den öffentlichen Schlüssel, etwa von der Webseite eines Empfängers, können Sie auch vorab importieren. Öffnen Sie die Schlüsselverwaltung über „Extras –› Open- PGP-Schlüssel verwalten“ und gehen Sie auf „Datei –› Öffentliche(n) Schlüssel aus Datei importieren“.
Wer einen Schlüssel prüfen möchte, öffnet per Doppelklick die „Schlüsseleigenschaften“, notiert die Angabe hinter „Fingerabdruck“ und fragt den Besitzer, ob der Wert mit dem Original übereinstimmt.
PGP für Webmail nutzen
Wer E-Mails im Browser liest, muss nicht auf PGP verzichten. Mailvelope gibt es als Add-on für Chrome, Edge und Firefox. Für Privatanwender ist die Nutzung kostenlos. Mailvelope arbeitet mit Google Mail, GMX, Web.de, 1&1, T-Online und einigen anderen Webmaildiensten zusammen.
Nach der Installation importieren Sie über die Schlüsselverwaltung des Add-ons vorhandene Schlüssel oder erstellen ein neues Schlüsselpaar. Öffnen Sie dann beispielsweise https://mail.google.com . Neben der Schaltfläche „Schreiben“ klicken Sie das Mailvelope-Symbol an und müssen dem Add-on danach die Nutzung der Gmail-API erlauben. Die verschlüsselte oder signierte E-Mail verfassen Sie danach in einem eigenen Editorfenster.
Autor: Thorsten Eggeling
Thorsten Eggeling schreibt seit gut 20 Jahren Artikel für die PC-WELT.