Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Tipp: Viren, Spyware, Datenschutz

E-Mailverschlüsselung mit Thunderbird, Enigmail und GnuPG

gelöscht_189916 / 12 Antworten / Flachansicht Nickles

Da mit dem zufälligen Bekanntwerden des Abhörens der Mobiltelefone einer wichtigen öffentlichen Person unseres Landes und dem dadurch anzunehmenden Verdacht, dass dieses auch auf den bescheidenen Rest unserer Bevölkerung in der einen oder anderen Form zutreffen könnte, schien es mir naheliegend, hier eine der im Grunde bereits zahlreich vorhandenen Anleitungen zum Verschlüsseln von E-Mails einzustellen.

Sicher gibt es für den interessierten Nutzer bereits jetzt genügend Quellen, aus denen geschöpft werden kann. In Anbetracht der Aktualität ist es andererseits vermutlich nicht von Nachteil, wenn hier eine weitere erscheint, denn es geht aus meiner Sicht auch darum, einfach über die Menge eine gewisse Breitenwirkung zu erzielen und den bisher noch Schwankenden an die Hand zu nehmen.

Ist der Einstieg des gar nicht einmal so schwierigen Vorgangs vollzogen, dann kann es jederzeit im Bekanntenkreis weitergegeben werden und trägt damit vielleicht etwas zum Erhalt einer immer enger gewordenen Privatsphäre bei!

Ich beziehe mich speziell auf Windows, Mac und Linux, weil damit anzunehmend der weitaus größte Bereich
vernetzter Kommunikation abgedeckt ist;-)



1. Installation der erforderlichen Programme

Unter Linux wird mittels der Paketverwaltung ganz einfach Thunderbird, Enigmail und GnuPG installiert, wobei Letzteres in der Regel schon vorhanden sein wird.

Unter Windows und Mac ist es erforderlich, Thunderbird, GnuPG und Enigmail als Addon herunterzuladen, anschließend natürlich installiert und Enigmail als
Datei enigmail-x.x-sm+tb.xpi aus dem Downloadordner des PC über die Addon-Verwaltung von Thunderbird hinzugefügt.



 

Damit sind alle erforderlichen Voraussetzungen für das Verschlüsseln gegeben und es kann losgehen.

http://www.thunderbird-mail.de/wiki/Herunterladen

http://www.thunderbird-mail.de/wiki/Enigmail_OpenPGP

https://addons.mozilla.org/de/thunderbird/addon/enigmail/

http://gpg4win.de/

https://gpgtools.org/

Jetzt wird Thunderbird aufgerufen, bei der ersten Verwendung wird nun das Mailkonto erstellt und mit den Zugangsdaten des jeweiligen Providers eingerichtet:

http://itler.net/pop3-smtp-imap-server-email-zugangsdaten-verschiedener-mailanbieter/

Dabei gibt es noch einige, kleine Stolpersteine, zuerst gilt es, statt der automatisch vorgeschlagenen Neuerstellung das Kästchen unten links auszuwählen, welches „Überspringen und meine existierende E-Mailadresse verwenden“ lautet.
Im darauffolgenden Dialogfenster gibt man einfach den Namen (der sich später ändern lässt), die E-Mailadresse und das Passwort ein. Das wird später bei der Erstellung durch Thunderbird automatisch geprüft und auch bemeckert, wenn es nicht funktioniert.





Wird nun der Button "Weiter" freigeschaltet, kommen wir zur ersten Stolperfalle, denn voreingestellt wählt Thunderbird jetzt ein IMAP-Konto aus, die meisten Konten laufen aber über POP3, das wird jetzt mit einem beherzten Klick auf eben diesen Button geändert.



Sehr schön ist zu sehen, dass Thunderbird hier bereits voreingestellt die verschlüsselte Passwortübertragung per SSL/TLS und STARTTLS aktiviert, soweit diese vom Provider angeboten wird.
Sinnvoll ist es weiterhin, innerhalb dieses Dialogs auf „Manuell bearbeiten“ und im nächsten Fenster auf „Erweiterte Einstellungen“ zu klicken.



Dort kann einmal die Kontenbezeichnung in eine sinnvolle Namensgebung geändert werden und im Untermenü „Servereinstellungen“ kann je nach Gusto gleich noch der Haken entfernt werden bei:

- Beim Start auf neue Nachrichten prüfen
- All xx Minuten auf neue Nachrichten prüfen
- Neue Nachrichten automatisch herunterladen

 

Dafür empfiehlt es sich aus meiner Sicht, den Haken zu setzen bei:

- Nur Kopfzeilen herunterladen

Die restlichen Optionen für das Behalten der Nachrichten auf dem Server sowie das Leeren des Papierkorbes bei gelöschten Nachrichten mag jeder nach seinem Geschmack durchführen, wichtige Nachrichten sollten sowieso archiviert und separat gespeichert werden.
Durch diese Einstellungen spart man Traffic, kann Spam bereits auf dem Server ausfiltern und verhindert im Zweifel das automatische Herunterladen schädlicher Anhänge.
Damit ist die eigentliche Erstellung des Mail-Accounts durch und es kann mit der Verschlüsselung als eigentliches Anliegen dieses Beitrags begonnen werden.



2. Einrichten der eigentlichen Verschlüsselung unabhängig vom Betriebssystem

Dazu geht es in die Menüleiste des Thunderbird auf den Menüpunkt „OpenPGP“, bei der es für den weniger geübten Benutzer einmal die Möglichkeit gibt, die Verschlüsselung per Assistent vorzunehmen oder als versiertere und aus meiner Sicht auch bessere Methode die über das Untermenü „OpenPGP-Schlüssel verwalten“.



2.1. Einrichtung per Assistent

Hier lässt man sich einfach führen:

- „Ja, ich möchte vom Assistenten geholfen bekommen“ – Klick auf „Weiter“



- Je nach Wunsch kann hier ein Schlüsselpaar für alle Mailkonten oder idealerweise für jedes ein separates erzeugt werden – Klick auf „Weiter“



- „Ja, ich möchte alle Nachrichten unterschreiben“ ebenfalls nach Wunsch einstellen – Klick auf „Weiter“

- „Ja, ich habe öffentliche Schlüssel für die meisten meiner Empfänger“ ebenfalls nach Wunsch einstellen – Klick auf „Weiter“

- Im nächsten Dialog ist es grundsätzlich anzuraten, die angepassten Einstellungen zu übernehmen. Wer auf HTML und dergleichen in Nachrichten nicht verzichten kann oder will, stellt sich das über die entsprechenden Optionen ein.



- Im nächsten Dialog gelangt man (endlich) zur Erzeugung des Schlüsselpaares, dort wird logischerweise bei der Ersteinrichtung „Ich möchte ein neues Schlüsselpaar erzeugen“ angeklickt.



- Im nächsten Dialog muss nun noch ein Passwort für den privaten Schlüssel eingerichtet werden.



- nun wird noch einmal zusammengefasst, wie verschlüsselt wird, wie lange der Schlüssel gilt uswusf., danach erfolgt die Erstellung.



- Ist diese erfolgreich gewesen, kommt nun noch ein weiterer wichtiger Teil, die Erstellung eines Widerrufszertifikats. Dieses dient der Ungültigmachung des erzeugten Schlüssels, falls man ihn erneuern möchte oder den Verdacht hat, dass er missbraucht wird und sollte gut aufgehoben und gesichert werden.



Damit ist dieser Teil ebenfalls abgeschlossen.


2.2. Erstellung von Hand

Wieder öffnet man das Menü „OpenPGP“, diesmal aber das Untermenü „Schlüssel verwalten“ und setzt im erscheinenden Fenster gleich ein Häkchen bei „Standardmäßig alle Schlüssel anzeigen“. Das hat zur Folge, dass der eben erzeugte Schlüssel erscheint.

Um nun einen weiteren Schlüssel zu erstellen, geht es in der Menüleiste, wer hätte es gedacht, auf „Erzeugen – Neues Schlüsselpaar...“

Der Unterschied zum Assistenten besteht darin, dass hier nun einmal auf das Passwort verzichtet werden kann, das Ablaufdatum bestimmt werden kann und gleichzeitig noch die Verschlüsselungsstärke und der verwendete Algorithmus. Der Rest verhält sich wie bei der Erstellung über den Assistenten.




3. Einsetzen der Verschlüsselung

Jetzt kommt es zum eigentlichen Anwenden der Verschlüsselung. Möchte man mit einem Mailkonto verschlüsselt kommunizieren, dann muss sowohl bei Empfänger als auch Absender Verschlüsselung eingerichtet sein und der öffentliche Schlüssel des Absenders muss beim Empfänger in der Schlüsselverwaltung hinterlegt sein.
Es ist also noch erforderlich, sich den jeweils öffentlichen Schlüssel gegenseitig zukommen zu lassen. Das kann per USB-Stick geschehen, durch das Verschicken per Mail oder für öffentliche Einrichtungen, Blogs usw., die verschlüsselt übertragen wollen, das Hochladen auf einen Schlüssel-Server, um von dort den Schlüssel per Link verteilen zu können. Diese Möglichkeiten sind alle in der Schlüsselverwaltung von OpenPGP bereits hinterlegt.

Beim eigentlichen Versenden einer Mail sollte jetzt im Fenster der zu erstellenden Nachricht unten rechts ein kleiner Stift und ein kleiner Schlüssel zu sehen sein. Hat das Erstellen bis hierher funktioniert und die Standardeinstellungen aktiv, sind beide Symbole gelb hinterlegt. Das bedeutet schlicht, dass diese Nachricht sowohl signiert als auch verschlüsselt gesendet wird, das geschieht wie gehabt über den Button „Senden“. Dabei sieht man, wie aus der Nachricht ein Haufen scheinbar wirren Textes wird.



Beim Empfänger kann die angekommene Nachricht ganz normal gelesen werden, wenn im Menü OpenPGP die Option „Automatisch entschlüsseln/überprüfen“ aktiviert ist, das ist auch die Voreinstellung. Unter Umständen ist lediglich noch die Eingabe des Passworts (Passphrase) erforderlich, welche bei der Erstellungdes eigenen Schlüsselpaares über den Assistenten für den privaten Schlüssel erstellt wurde.


4. Bemerkungen

Ein paar Tipps in loser Form seien noch am Rande vermerkt, so hat es sich bei mir als sinnvoll erwiesen, bei Anhängen diese separat zu verschlüsseln, also im dazu aufklappenden Dialogfenster dann „Text und Anhang separat verschlüsseln“ wählen. Das Verschlüsseln im Ganzen hatte zur Folge, dass sich die Nachricht nicht laden ließ, sondern Thunderbird ewig auf Nachricht laden stand und unter Linux als Zombie stehenblieb nach der Beendigung des Programms.

Ebenfalls kann es vorkommen, dass beim Absenden die Auswahl des zu wählenden Schlüssels erscheint, aber das Senden trotzdem fehlschlägt, obwohl der passende Schlüssel genutzt wird. Das trat bei mir dann auf, wenn nach der manuellen Einrichtung des Schlüssels
Empfängerregeln aktiv waren statt der Auswahl des Schlüssels über die Mailadresse.

Ich hoffe, hiermit wenigstens ein paar weitere User dahin bewegen zu können, sich wenigstens etwas der zunehmenden Überwachung zu entziehen, auch wenn das alleinige Verschlüsseln von Mails weder ein Allheilmittel noch die Ultima Ratio ist. Aber wenn es schon nicht zu verhindern ist, dann sollte es wenigstens so schwer als möglich gemacht werden.

Sollte Euch der Aufsatz gefallen oder etwas aus Eurer Sicht Wichtiges fehlen, dann sind Anmerkungen und Ergänzungen gerne erwünscht.

Gruß
fakiauso

 

bei Antwort benachrichtigen
gelöscht_189916 winnigorny1 „Goil! - Da hast du dir aber ne Menge Arbeit mit gemacht, um ...“
Optionen

@edsw1 und winnigorny1
Danke für die Blumen!

Es existieren schon einige Anleitungen, dafür heißt es doch: "Lieber einmal mehr als mehrmals weniger!"

Im Grunde ging es mir um eine halbwegs aktuelle Anleitung und da mein W8.1 sonst nur für die Updates und absolut Tux-allergische Spiele vor sich hin fault, wares so zu etwas nütze;-)

Die andere Seite der Medaille ist, das viele auch öffentliche Institutionen nicht einmal einen Key für die verschlüsselte Kommunikation zur Verfügung stellen, sondern sensible Daten im Klartext übermittelt werden müssen. So ähnlich wie bei Elster, wo das Finanzamt lange auf Java gesetzt hat und das BSI im gleichen Atemzug vor dessen Unsicherheit warnt.

@Manfred

es fehlte mir bislang 3 x der "antworten" Button


Da sind anscheinend durch den letzten Serverabsturz erneut ein paar Altlasten ohne zu erkennenden Grund hier reinkarniert. Ich hatte bereits den Cache des Threads geputzt, aber so richtig mag es wohl noch nicht, die Antwortbenachrichtigung fehlt auch sporadisch...

bei Antwort benachrichtigen