HowTo: Veschlsselung mit Thunderbird 78

HowTo: Veschlüsselung mit Thunderbird 78

EG HH - Technik AG

14. November 2020
Version 1.0.1

PDF-Download: https://codeberg.org/EG-HH/HowTo-Thunderbird78-PGP/releases

Online-Version: https://eg-hh.codeberg.page/Thunderbird.html

Inhaltsverzeichnis

1 Einführung
2 Für Enigmail-Umsteiger*innen
3 Eigene PGP-Schlüssel verwalten
3.1 PGP-Schlüssel erzeugen
3.2 Einstellungen ändern
4 Master-Passwort anlegen
5 Einen öffentlichen Schlüssel importieren
6 Schlüssel überprüfen & akzeptieren
6.1 Neue Schlüssel beim Importieren akzeptieren
6.2 Gespeicherte PGP-Schlüssel akzeptieren
7 Eine verschlüsselte E-Mail schreiben
8 Eine Nachricht entschlüsseln

1 Einführung

Das E-Mail-Programm Thunderbird hat vor kurzem ein großes Update bekommen, das einiges daran verändert, wie Thunderbird mit verschlüsselten E-Mails umgeht. Bisher musste man das Addon Enigmail installieren, um E-Mails zu ver- und entschlüsseln. Mit der neuen Thunderbird-Version ist das nun nicht mehr nötig - Thunderbird unterstützt von sich aus verschlüsselte E-Mails. Du musst aber einmalig ein paar Einstellungen verändern und dich ein bisschen umgewöhnen. In dieser Anleitung zeigen wir dir, wie du den Umstieg schaffst und E-Mails mit Thunderbird verschlüsseln kannst. Viele weitere Fragen, die bei der Nutzung von E-Mail-Verschlüsselung in Thunderbird auftreten könnten, werden hier beantwortet: https://support.mozilla.org/de/kb/openpgp-thunderbird-howto-and-faq

Wenn du noch wenig oder keine Erfahrung mit E-Mail-Verschlüsselung hast, sieh dir dieses Video an, das das Prinzip einfach erklärt: https://youtube.com/watch?v=4mbryW8fZrA

Folgende Prinzipien solltest du verinnerlichen:

Verschlüsselung verhindert das unberechtigte Lesen einer Nachricht.
Eine digitale Unterschrift verhindert¹ das unberechtigte Verändern einer Nachricht.
Um eine Nachricht zu verschlüsseln, benötigst du den öffentlichen Schlüssel der Empfänger*in.
Um eine Nachricht zu entschlüsseln, benötigst du deinen geheimen Schlüssel.
Um eine Nachricht zu unterschreiben, benötigst du deinen geheimen Schlüssel.
Um eine Unterschrift zu prüfen, benötigst du den öffentlichen Schlüssel der Absender*in.

Abbildung 1: Überprüfe zuerst, welche Thunderbird-Version bei dir installiert ist:

(a) Klicke im Menü auf „Hilfe“

(b) ... und dann auf „Über Thunderbird“.

(d) So sieht es nach dem Update aus: Thunderbird Version 78.4.0

Wenn bei dir Thunderbird 68 installiert ist, dann hast du noch die alte Version und die funktioniert wie gewohnt mit Enigmail. Wie du Thunderbird aktualisierst, erfährst du hier: https://support.mozilla.org/de/kb/thunderbird-aktualisieren

Wenn bei dir Thunderbird 78 installiert ist, dann hast du das Update schon erhalten. Wenn du bisher Enigmail benutzt, ließ bitte das nächste Kapitel.

2 Für Enigmail-Umsteiger*innen

Wenn du zum ersten Mal E-Mails verschlüsseln möchtest, kannst du diesen Abschnitt überspringen.

Nach dem Update auf Version 78 sollte dir automatisch dieses Fenster angezeigt werden, das dich darüber infomiert, dass du Enigmail nicht mehr benötigst, und dich aufgefordert, deine PGP-Schlüssel zu übertragen. Sollte das Fenster nicht auftauchen oder hast du es bereits geschlossen, dann kannst du es im Menü öffnen.

Abbildung 3: Thunderbird informiert dich darüber, dass du Enigmail nicht mehr benötigst.
Klicke auf „Migration jetzt starten“

Abbildung 4: Das Fenster zur Übertragung der PGP-Schlüssel kannst du dir erneut anzeigen lassen:

(a) Klicke im Menü auf „Extras“

(b) ... und dann auf „Enigmail-Einstellungen migrieren“.

Abbildung 6: Der Assistent ist übersichtlich. Du wirst mehrfach aufgefordert, die Passwörter für deine PGP-Schlüssel einzugeben.

(a) Klicke auf „Migration starten“

(b) Gib deine PGP-Passwörter ein und klicke am Ende auf „Fertig“.

Die PGP-Schlüssel sind jetzt übernommen worden und können benutzt werden. Falls du eine Fehlermeldung angezeigt bekommst, starte die Migration erneut, das hilft manchmal.

Ließ dir bitte auch die folgenden Abschnitte aufmerksam durch, da du noch einige Einstellungen anpassen solltest und sich einige Abläufe minimal verändert haben.

3 Eigene PGP-Schlüssel verwalten

Egal, ob du gerade deine PGP-Schlüssel aus Enigmail importiert hast oder aber noch gar keine PGP-Schlüssel besitzt, öffne in beiden Fällen deine Konto-Einstellungen:

Abbildung 8: Öffne die Konto-Einstellungen:

(a) Klicke im Menü auf „Konten-Einstellungen“

(b) ... und dann auf „Ende-zu-Ende-Verschlüsselung“.
Wenn du bereits einen PGP-Schlüssel hast, dann wähle diesen hier aus.
Wenn du noch keinen PGP-Schlüssel hast, klicke auf „Schlüssel hinzufügen“.

3.1 PGP-Schlüssel erzeugen

Enigmail-Umsteiger*innen können diesen Schritt überspringen.

Wenn du noch keinen PGP-Schlussel besitzt, solltest du jetzt einen erzeugen.

Abbildung 10: Einen PGP-Schlüssel zu erzeugen geht ganz schnell:

(a) Wähle „Neuen OpenPGP-Schlüssel erzeugen“ aus und klicke auf „Weiter“

(b) Hier kannst du die Schlüsselgröße auf 4096 stellen und „Schlüssel erzeugen“ anklicken. Im nächsten Fenster musst du noch ein Mal „Bestätigen“.

3.2 Einstellungen ändern

Jetzt solltest du im unteren Bereich noch ein paar Einstellungen anpassen. Empfehlenswert sind diese Einstellungen:

„Verschlüsselung standardmäßig verlangen“ - Thunderbird wird automatisch versuchen, jede E-Mail, die du schreibst, zu verschlüsseln.
„Eigene digitale Unterschrift standardmäßig hinzufügen“, damit andere überprüfen können, dass eine Nachricht wirklich von dir stammt.

Abbildung 12: Diese Einstellungen solltest du auswählen.

4 Master-Passwort anlegen

Wenn du schon ein Master-Passwort hast, kannst du diesen Abschnitt überspringen.

Deine PGP-Schlüssel sind in Thunderbird 78 nicht mehr durch ein Passwort geschützt! Jede Person, die Zugriff auf deinen Computer hat, kann also deine E-Mails entschlüsseln, ohne ein Passwort eingeben zu müssen. Das kannst du ändern, indem du ein Master-Passwort anlegst. Dieses Passwort sichert auch die Login-Daten für deine E-Mail-Postfächer. Es schützt allerdings nicht unverschlüsselte E-Mails, diese kann man auch ohne Passwort weiterhin lesen.

(a) Klicke im Menü auf „Einstellungen“...

(b) ... und wähle anschließend links „Datenschutz & Sicherheit“ aus. Setze einen Haken bei „Master-Passwort verwenden“

(a) Denk dir ein sicheres Passwort aus und bestätige mit „OK“.

(b) Das Master-Passwort wurde gespeichert. Du musst es ab sofort beim Öffnen von Thunderbird ein Mal eingeben.

5 Einen öffentlichen Schlüssel importieren

Für Enigmail-Umsteiger*innen ändert sich hier nichts.

Wenn du einer Person eine verschlüsselte E-Mail schreiben möchtest, dann benötigst du den öffentlichen Schlüssel dieser Person. Bitte die Person, dir ihren öffentlichen Schlüssel per E-Mail zu schicken. In unserem Beispiel heißt die Person Bob.

Abbildung 15: Der öffentliche Schlüssel ist der E-Mail als Anhang angehängt.

(a) Klicke mit der rechten Maustaste auf den Anhang und wähle „OpenPGP-Schlüssel importieren“. (b) Bestätige mit „OK“.
Der Schlüssel aus der E-Mail von Bob wird jetzt importiert. (c) Klicke auf „Details anzeigen und Schlüsselakzeptanz verwalten“. Überprüfe den Schlüssel, wie im Abschnitt Schlüssel überprüfen & akzeptieren beschrieben.

6 Schlüssel überprüfen & akzeptieren

Achtung: Neu bei Thunderbird 78!

Bevor du einen Schlüssel nutzen kannst, musst du ihn einmalig akzeptieren. Das gilt für neue Schlüssel, nach dem Update auf Thunderbird 78 musst du aber einmalig auch alle gespeicherten Schlüssel akzeptieren! Das ist eingeführt worden, damit du jeden Schlüssel überprüfst, bevor du ihn verwendest. Mache dir dazu folgendes klar: Wenn eine Person, z.B. Bob, dir ihren öffentlichen Schlüssel per E-Mail schickt, kannst nicht ausschließen, dass jemand diese E-Mail abgefangen und Bobs Schlüssel ersetzt hat. Damit du überprüfen kannst, ob ein Schlüssel auch der richtige Schlüssel ist, hat jeder Schlüssel einen sogenannten „Fingerabdruck“. Das ist eine lange Zeichenkette. Vergleiche mit Bob, ob der Fingerabdruck, der dir angezeigt wird, auch wirklich der Fingerabdruck von seinem Schlüssel ist! Verwende für diesen Vergleich einen anderen Kommunikationskanal, z.B. eine Signal-Nachricht oder ein persönliches Treffen, aber nicht E-Mail.

Du kannst den Schlüssel von Bob auch verwenden, ohne seinen Fingerabdruck zu überprüfen. Aber auch dann musst du Bob Schlüssel einmalig akzeptieren, bevor du Bob verschlüsselt schreiben kannst! Bobs E-Mails werden dann zukünftig als unsicher markiert.

6.1 Neue Schlüssel beim Importieren akzeptieren

Du kannst einen neuen Schlüssel direkt nach dem Importieren überprüfen und akzeptieren.

Abbildung 17: Bevor du einen Schlüssel nutzen kannst, musst du ihn akzeptieren.

(a) Klicke auf „Details anzeigen und Schlüsselakzeptanz verwalten“.

(b) Überprüfe den Fingerabdruck und wähle die entsprechende Option aus. Bestätige mit „OK“.

(c) Du kannst den Schlüssel auch akzeptieren, ohne den Fingerabdruck abzugleichen:
Wähle die entsprechende Option aus. Bestätige mit „OK“.

6.2 Gespeicherte PGP-Schlüssel akzeptieren

Als Enigmail-Umsteiger*in musst du einmalig alle gespeicherten Schlüssel akzeptieren!

Wenn du einen gespeicherten Schlüssel überprüfen und akzeptieren möchtest, kannst du dazu das Fenster „OpenPGP-Schlüssel verwalten“ benutzen, das du vielleicht schon von Enigmail kennst.

Abbildung 19: Das Fenster „OpenPGP-Schlüssel verwalten“ findet sich im Extras-Menü.

(a) Im Menü „Extras“ auswählen...

(b) ..und anschließend „OpenPGP-Schlüssel verwalten“ anklicken.

Hier werden dir alle gespeicherten Keys angezeigt: Alle deine Schlüssel (in fett) und alle öffentlichen Keys von anderen Personen. Mit einem Doppelklick kannst du dir den Fingerabdruck eines Schlüssels anzeigen lassen und den Schlüssel akzeptieren.

Abbildung 21: Über das Fenster „OpenPGP-Schlüssel verwalten“ kannst du gespeicherte Schlüssel anzeigen und akzeptieren.

(a) Öffne den Schlüssel mit einem Doppelklick.

(b) Überprüfe den Fingerabdruck und wähle die entsprechende Option aus. Bestätige mit „OK“.

(c) Du kannst den Schlüssel auch akzeptieren, ohne den Fingerabdruck abzugleichen. Wähle die entsprechende Option aus. Bestätige mit „OK“.

7 Eine verschlüsselte E-Mail schreiben

Für Enigmail-Umsteiger*innen gibt es kleine Neuerungen:

Thunderbird kann nicht anhand der E-Mail-Adresse automatisch entscheiden, ob die E-Mail verschlüsselt werden soll oder nicht. Die Verschlüsselung ist standardmäßig ein- oder ausgeschaltet (siehe Einstellungen ändern) und kann für jede E-Mail manuell (de-)aktiviert werden.
Thunderbird verschlüsselt immer auch den Nachrichten-Betreff.

______________________________________________________________________________________________________________________________________________________

Jetzt kannst du endlich eine verschlüsselte Nachricht an Bob schreiben! Vergiss nicht, deinen öffentlichen Schlüssel anzuhängen, damit Bob dir auch verschlüsselt anworten kann.

Abbildung 23: Verfasse eine Nachricht und klicke dann auf den kleinen Pfeil neben dem Feld „Sicherheit“.
Hier kannst du die Verschlüsselung und die digitale Unterschrift (de-)aktivieren und deinen öffentlichen Schlüssel anhängen.
Dass Verschlüsselung und digitale Unterschrift aktiviert sind, kannst du auch anhand der Schloss- und Siegel-Symbole in der Leiste unten rechts erkennen.

Abbildung 24: Wenn du beim Senden der Nachricht diese Fehlermeldung bekommst, dann hast du entweder keinen Schlüssel von Bob (siehe Abschnitt Einen öffentlichen Schlüssel importieren) oder du hast Bobs Schlüssel noch nicht akzeptiert (siehe Abschnitt Schlüssel überprüfen & akzeptieren). Vielleicht kann Bob noch gar keine verschlüsselten E-Mails empfangen, dann zeige ihm doch, wie das geht! Du kannst natürlich auch die Verschlüsselung für diese Nachricht deaktivieren.

8 Eine Nachricht entschlüsseln

Für Enigmail-Umsteiger*innen ändert sich nur die Art der Darstellung.

Wenn du eine verschlüsselte E-Mail öffnest, wird diese automatisch entschlüsselt. Ob die Nachricht verschlüsselt ist und/oder eine digitale Unterschrift enthält, kannst du mit einem Klick auf „OpenPGP“ oben rechts feststellen:

(a) Diese Nachricht ist verschlüsselt (achte auf das Schloss-Symbol) und wurde von Bob digital unterschrieben (Siegel-Symbol).

(b) Diese Nachricht ist zwar verschlüsselt und unterschrieben, du hast Bobs Fingerabdruck aber noch nicht überprüft!