OpenPGP in Thunderbird
Hinweis: Bitte informieren Sie sich vorab über PGP und die Funktionen Signieren und Verschlüsseln sowie öffentliche und private Schlüssel! Diese Anleitung zeigt die Einrichtung und Nutzung von OpenPGP. Seit der Version 78.2.1 bietet der E-Mail-Client Thunderbird die Verschlüsselung und Signierung von E-Mails mit OpenPGP. Damit ist es nicht mehr notwendig Enigmail oder GnuPG/Gpg4win zu installieren. Zudem wird die Nutzung stark vereinfacht. Führen Sie ggf. ein Update von Thunderbird durch, in dem Sie Hilfe|Über Thunderbird aufrufen.
Anschließend Extras|Konto-Einstellungen aufrufen und im linken Bereich bei der jeweiligen E-Mail-Adresse zum Abschnitt Ende-zu-Ende-Verschlüsselung wechseln.
Wenn Sie bereits einen PGP-Schlüssel besitzen, können Sie diesen importieren, in dem Sie auf Add key klicken. Im Normalfall besitzen Sie noch kein Schlüsselpaar und müssen zuerst eins einmalig erzeugen. Klicken Sie auf OpenPGP Key Manager. Die Schlüsselverwaltung öffnet sich, die Sie auch direkt von Thunderbird über Extras|OpenPGP Key Manager öffnen können. Wählen Sie Generate|New Key Pair.
Es erscheint das Fenster, um ein neues Schlüsselpaar zu erzeugen. Wählen Sie ggf. die richtige E-Mail-Adresse aus und aktivieren Sie die Option Key does not expire - damit läuft das Schlüsselpaar nie aus und gilt ewig bis es manuell von Ihnen widerrufen wird. Die anderen Optionen belassen Sie unverändert.
Klicken Sie auf Generate key. Es erscheint ein Hinweis, daß die Erzeugung etwas dauert und schneller abläuft, wenn Sie den PC einfach dabei aktiv nutzen. Klicken Sie auf Confirm und bewegen Sie anschließend einfach die Maus hin und her bis der nächste Schritt angezeigt wird.
Zurück im Key Manager wird der neue Schlüssel angezeigt. Klicken Sie auf Close.
Sie gelangen zurück zu den Konten-Einstellungen. Dort wird der eben erzeugte Schlüssel angezeigt und Sie können ihn auswählen, um ihn in Zukunft zu benutzen. Wenn Sie auf den kleinen Abwärtspfeil rechts klicken, wird Ihnen der Fingerprint zu ihrem Schlüssel angezeigt. Diesen benötigen Sie, um ihn mit anderen PGP-Nutzern zu vergleichen.
Scrollen Sie im Fenster weiter nach unten und aktivieren Sie die Option Eigene digitale Unterschrift standardmäßig hinzufügen. Jeder versendete E-Mail wird jetzt mit einer PGP-Signatur versehen. Diese zeigt dem Empfänger an, ob die Nachricht unverändert bei ihm angekommen ist. Das funktioniert auch, wenn der Empfänger kein PGP nutzt. Dann sieht die Nachricht ein klein wenig anders aus aber kann problemlos gelesen werden. Zudem wird jeder E-Mail eine Datei mit dem Suffix .asc mit Ihrem öffentlichen Schlüssel angehängt. Dies können Sie vermeiden, wenn Sie beim Erstellen einer Nachricht Optionen|Meinen öffentlichen Schlüssel anhängen abwählen. Sie können die Option Eigene digitale Unterschrift standardmäßig hinzufügen auch deaktivieren. Dann werden Ihre Nachrichten nicht standardmäßig signiert - zum Beispiel, wenn die meisten Ihrer Kommunikationspartner von der Signierung verwirrt wären. Schließen Sie anschließend den Tab Konten-Einstellungen oder wechseln Sie wieder auf den Tab Posteingang.
Beenden Sie Thunderbird und starten Sie das Programm anschließend wieder. Dies ist notwendig, damit OpenPGP korrekt funktioniert. Hiermit ist die Einrichtung abgeschlossen.
Wenn Sie eine neue E-Mail erstellen (neues Fenster zur Texteingabe), können Sie im Menü Optionen wählen, ob die Nachricht verschlüsselt und/oder signiert werden soll. Am unteren Fensterrand werden entsprechende Icons eingeblendet.
Damit Sie eine E-Mail verschlüsseln können, so daß nur der Empfänger den Inhalt lesen kann, benötigen Sie den öffentlichen Schlüssel des Empfängers. Lassen Sie sich diesen zusenden oder benutzen Sie den Schlüssel aus dem Anhang einer E-Mail des Empfängers an Sie. Dazu klicken Sie mit der rechten Maustaste auf den angehängten Schlüssel und wählen aus dem Kontext-Menü Import OpenPGPKey.
Sie werden gefragt, ob Sie den Schlüssel importieren wollen. Dem können Sie immer mit OK zustimmen.
Anschließend wird der erfolgreiche Import angezeigt - klicken Sie auf OK:
Wenn Sie eine signierte E-Mail erhalten wird in der Symbolleiste angezeigt, ob die Signatur gültig ist (die E-Mail wurde nicht verändert). Zudem zeigt das Symbol, ob Sie den importierten öffentlichen Schlüssel des Absenders verifiziert haben. Klicken Sie auf das Brief-Symbol, um weitere Informationen zu erhalten. Die folgende Nachricht ist signiert aber Sie haben keinen öffentlichen Schlüssel des Absenders in Ihrem Key-Ring.
Wenn Sie den Schlüssel des Absenders bereits importiert haben, sieht das Symbol gleich aus aber im Info-Fenster wird Ihnen angezeigt, daß Sie kein Vertrauen in den Schlüssel festgelegt haben. Klicken Sie auf View signer key.
Wählen Sie, wie sehr Sie sich sicher sind, daß der Schlüssel auch wirklich dem angegebenen Besitzer gehört. Wenn Sie sich nicht sicher sind, ändern Sie nichts. Ist es sicher nicht der Schlüssel des angegebenen Benutzers, wählen Sie No, reject this key - er wird dann aus Ihrem Key-Ring gelöscht. Sind Sie sich ein wenig sicher (Sie vermuten es, haben es aber nicht auf einem anderen Kommunikationsweg geprüft), wählen Sie Yes, but I have not verified.... Haben Sie die Echtheit geprüft - beispielsweise, weil Sie mit dem Besitzer den Fingerprint per Telefon verglichen haben - dann können Sie Yes, I've verified in person... wählen. Gehen Sie nicht leichtfertig mit der Vergabe Ihres Vertrauens um!
Je nach festgelegtem Vertrauen wird ein passendes Symbol angezeigt, wenn Sie eine signierte Nachricht vom Empfänger eines Benutzers erhalten, deren Schlüssel Sie importiert haben:
 |
Es gibt ein Problem mit der Signatur. Dieses Symbol wird meistens angezeigt, wenn der benutzte Schlüssel während der aktuellen Sitzung von Thunderbird importiert wurde. Es handelt sich um einen Fehler, der vermutlich in einer baldigen Version beseitigt sein wird. Klicken Sie auf das Symbol, um weitere Informationen zu erhalten oder klicken Sie auf eine andere E-Mail und dann wieder auf die, bei der das Symbol gezeigt wurde. Starten Sie ggf. Thunderbird einfach neu. |
 |
Nicht importierter Schlüssel oder kein Vertrauen definiert: Die Nachricht wurde signiert, sie kann aber nicht überprüft werden. |
 |
Einfaches Vertrauen eingeräumt: Die Nachricht wurde signiert und die Signatur bestätigt, daß die Nachricht nicht manipuliert wurde (vorausgesetzt, der benutzte Schlüssel gehört wirklich dem Absender). |
 |
Volles Vertrauen in den Schlüssel eingeräumt: Die Nachricht wurde signiert und die Signatur bestätigt, daß die Nachricht nicht manipuliert wurde. |
Nur wenn Sie Ihr Vertrauen (einfach oder vollständig) in einen Schlüssel ausgesprochen haben, können Sie eine Nachricht an den Besitzer verschlüsseln. Erhalten Sie eine verschlüsselte Nachricht, dann wird diese durch das Schloß-Symbol gekennzeichnet:
Die Nachricht konnte von keinem anderen auf dem Transportweg gelesen werden. Integrität und Geheimhaltung sind sichergestellt.