E-Mails verschlüsseln: Thunderbird, Enigmail und GnuPG unter Windows einrichten
von caschy | 51 Kommentare
In den letzten Jahren habe ich hier Dutzende Möglichkeiten vorgestellt, Dateien, ja sogar ganze Betriebssysteme zu verschlüsseln. Ein wenig kurz kam die Verschlüsselung von E-Mail, was ich hier einmal kurz nachholen möchte.
PGP, beziehungsweise GnuPG und Co hören sich immer sehr kompliziert an und ich bin mir sicher, dass nicht nur Anfänger in der Thematik teilweise schlucken müssen, wenn sie zum ersten Mal vor der ganzen Software stehen, kryptische Zahlenkolonnen, Schlüsseln und Co sehen.
[werbung]
Aller Anfang ist bekanntlich schwer, aber mit ein bisschen Hilfe klappt das sicherlich. Ich mache hier einmal den groben Anfang und beschreibe die Einrichtung erst einmal mit GnuPG und Thunderbird unter Windows 8. GPG ist ein Public-Key-Verschlüsselungsverfahren, das heißt, dass zum Verschlüsseln von E-Mails keine geheimen Informationen nötig sind. Jeder GPG-Nutzer erstellt ein Schlüsselpaar, welches aus zwei Teilen besteht: dem privaten Schlüssel und dem öffentlichen Schlüssel.
Den öffentlichen Schlüssel legt man auf Schlüsselservern ab, alternativ kann man ihn auch an Kontakte weitergeben oder an die Mail anhängen. Auf den eigenen privaten Schlüssel dürft nur ihr Zugriff haben. Dieser Schlüssel wird im Verlaufe des Setups bestenfalls mit einem starkem Passwort geschützt. Mit diesen Schlüsseln können Daten ver-, entschlüsselt und signiert werden.
Seht es keinesfalls als umfassendes Kompendium, sondern lediglich als losen Einstieg in die Thematik. Auch im Jahre 2013 hat man das Gefühl, dass Verschlüsselung nichts für die Massen ist, was einfach daran liegt, dass man ein sehr komplexes Thema auf ein Minimum runterbrechen muss. Hier also erst einmal die Installation und Einrichtung von Thunderbird, GnuPG und der Schlüssel, sodass ihr in der Lage seid, verschlüsselte Nachrichten zu senden und diese zu empfangen.
Installation
Eine erfolgte Thunderbird-Installation setze ich voraus, fehlt zur Einrichtung nur das GnuPG-Paket und die Schnittstelle zu Thunderbird, eine Erweiterung namens Enigmail. Diese beiden Komponenten sind kostenlos: GnuPG für Windows und Enigmail. Nach erfolgtem Download wird dann GnuPG für Windows installiert:
Danach installiert man die Erweiterung Enigmail in Thunderbird und startet Thunderbird anschließend neu. Nun solltet ihr im besten Falle einen Menüpunkt in Thunderbird namens OpenPGP vorfinden.
Der Assistent
Das Setup bringt über das OpenPGP einen Assistenten mit, den ihr jetzt behelligen dürft. So ist das Ganze „eigentlich“ eine Sache von wenigen Klicks, statt aber immer blind „weiter“ zu klicken, solltet ihr schon die Hinweistexte lesen und verstehen. Vieles davon ist über die Screenshots ersichtlich, sodass ich mir den zusätzlichen Text spare.
Unter Schritt 3 habe ich festgelegt, dass ich mir aussuchen möchte, wann ich verschlüsseln will, denn nur die wenigsten meiner Mailpartner verschlüsseln, sodass die manuelle Lösung für mich sinnvoller ist.
In Schritt 5 sollten wir den Haken bei „Nachrichten im Reintext anzeigen“ entfernen.
Sollte der Assistent eure Installation nicht erkennen, so solltet ihr das im nächsten Schritt manuell nachholen. Hier muss zum Pfad der gpg.exe durchgeklickt werden. Sie versteckt sich im Programmverzeichnis im Unterordner GnuPG > pub.
Nun wird euer Schlüsselpaar erzeugt. Das öffentliche und das geheime. Euer privater Schlüssel muss natürlich mit einem Passwort geschützt werden, sonst könnte man in eurem Namen verschlüsselte Mails senden und entschlüsseln.
Am Ende sollte man noch ein Zertifikat erzeugen und sichern, mit diesem kann man den Schlüssel bei Bedarf als ungültig erklären.
Mails senden und empfangen
Wenn ihr nun eine Mail schreibt, könnt ihr direkt verschlüsseln. Und ihr seht, das Ganze waren doch sicherlich maximal nur 15 bis 20 Minuten Aufwand. Ihr könnt direkt über das Menü im Entwurfsfenster von Thunderbird verschlüsseln:
Logisch, verschlüsselte Mails kommen nur an, wenn auch der Empfänger verschlüsselt und der Schlüssel bekannt ist. Eurem Gegenüber könnt ihr vorab unverschlüsselt den öffentlichen Key geben, alternativ gibt es in Thunderbird den Menüpunkt, dass man seinen Schlüssel immer mit anhängt.
Ihr seid nun für die Verschlüsselung gerüstet, könnt mit Thunderbird Mails ver- und entschlüsseln. Oft gestellte Fragen finden sich übrigens auch im GPG4Win-Kompendium. Und nun mal Hand auf das Herz: wer verschlüsselt denn konsequent, wenn das mobile Senden & Empfangen und Web-Interfaces das Lesen von verschlüsselten Mails teilweise unmöglich machen?
Wird geladen ...
Wer nicht groß installieren will, findet hier Thunderbird portable inklusive Enigmail und allem was dazu gehört. Updates werden automatisch bei jedem Start gesucht und ggf. installiert.
Hab ich seit Jahren erfolgreich im Einsatz. 🙂
http://www.gnupt.de/site/index.php?option=com_content&view=article&id=70&Itemid=514&lang=de
Danke, Cachy, für die ausführliche Anleitung. Ich finde das Thema auch viel zu kompliziert. Was müsste man denn tun, damit die Mailerei – wie bisher – im Browser abgewickelt werden kann (T-Online, Web.de etc.)? Nur dann, wenn die Benutzung für den Otto Normalverbraucher so einfach wie bisher läuft, wird sich das bei vielen Leuten durchsetzen. Die Ver- und Entsschlüsselung muss vollständig integriert sein.
Wie sinnvoll ist es eigentlich, wenn man ein Schlüssel(paar) für mehrere E-Mail Accounts benutzt?
Wenn ich mir ein Schlüsselpaar erzeuge, kann ich damit doch gar keine Mails verschlüsseln.
Wie soll das denn gehen. Wenn ich eine Mail mit dem public key verschlüssel, kann auch nur ich sie mit meinem private key entschlüsseln. Das ist also nur toll, wenn ich mir selber Mails schreibe =)
Wenn ich eine Mail mit dem private key verschlüssel, dann kann sie ja jeder mit dem public key lesen, dann kann ich das auch gleich lassen.
Nein, dass Schlüsselpaar welches ich mir erzeuge ist nur dafür da, wenn ein anderer mir eine Nachricht schickt.
Ich kann erst was verschlüsseln, wenn mir jemand anderes seinen public key gegeben hat.
@Stephan Lipphardt
Für die Ver- und Entschlüsselung im Browser gibt es seit einigen Monaten das Plugin Mailvelope, jeweils für Chrome und Firefox. Leider unterstützt dieses (noch?) keine Signierung, ggf. auch keine Signaturprüfung.
Wenn man darauf Wert legt, könnte WebPG eine Alternative sein. Das verlangt ein installiertes GnuPG. Allerdings sieht mir das Projekt gerade wieder etwas verlassen aus, was schade ist. habe es selbst noch nicht getestet.
Insgesamt hast Du aber recht, ohne vernünftige Integration in die meisten Mailprogramme oder gar Weboberflächen wird das eh nix. Das Tutorial ist viel zu lang für Ottonormaldau, denn theoretisch geht sowas auch einfacher, z.B. eben mit Mailvelope. Ich werd mal in den nächsten Tagen meinen GPG-Schlüssel entstauben und versuchen, möglichst viele mögliche Empfänger ausfindig zu machen, die ich verschlüsselt anschreiben kann.
Ein weiterer Punkt ist, dass es so unglaublich viele Einstellsschrauben bei der Schlüsselgenerierung gibt, bei denen ich als Experte sogar sage „Warum soviel Auswahl? Und wo sind die Unterschiede?“. Schlüssellänge, warum 2048, warum nicht 4096? Schlüsselverfahren, RSA, DSA? ElGamal, Diffie-Hellman, etc.? Und nirgends steht mal klar dokumentiert (schon gar nicht im GPG-Programm selbst), was die Vor- und Nachteile sind. Jeder nimmt sich einfach irgendwas.
So kann Verschlüsselung nicht sicher sein, wenn es schon am Anfang nach der Art „Wir machen einfach irgendwas“ abläuft. Dann kann ich auch gleich mit Whatsapp kommunizieren, der verschlüsseln ja auch – irgendwie. (Vorsicht, Sarkasmus.)
Da es hier tatsächlich User gibt bei denen APG funktioniert, vielleicht kann mir ja jemand von euch sagen was ich falsch mache.
Egal welchen Key ich APG anbiete es listet den Key, sagt dann allerdings . Es funktionierten weder mit APG erstellte Schlüssel noch mit Mailvelope erstellte Schlüssel.
Huch Text in Spitzenklammern wird hier nicht angezeigt. 🙂
APG meldet mir dann das es kein Schlüssel ist.
Der einfachste Weg im privaten Umfeld sicher zu kommunizieren ist http://www.retroshare.sourceforge.net. [… RetroShare ermöglicht gemeinsame Datennutzung, Chats, Nachrichten, Foren oder andere Nachrichtenkanäle. … Verschlüsselter Chat oder Datentransfer ohne Benutzung eines Servers …] Sicherer geht es nicht!
Wo gibt es die Option, dass man immer seinen öffentlichen Schlüssel anhängt? Eine entsprechende Option habe ich nur im Verfassen Fenster von TB, und das wirkt nur für die jeweilige einzelne Mail…
Verschlüsselung bzw. Kryptografie ist immer eine Point-To-Point bzw. Endpunkt zu Endpunkt Geschichte. Und Verschlüsselung im Webinterface macht nur dann Sinn, wenn man:
a) totales Vertrauen zum Betreiber hat (dem ist der private -geheime- Schlüssel per default immer bekannt)
oder
b) die Mails zunächst vom Provider abholt (POP/IMAP) und lokal entschlüsselt (aber dann nutzt/braucht man auch kein Webinterface)
oder
c) einen eigenen Mailserver betreibt. Für „John Doe“ zu kompliziert.
Mr. Megaupload (aka Kim .com oder Kim Schmitz) hat ja für 2014 eine Lösung angekündigt. Bin gespannt, was dabei herauskommt. Sehr wahrscheinlich eine JavaScript-Lösung im Browser.
@Caschy: Danke für den Beitrag. Ich nutze diese Kombination schon seit einigen Jahren (leider nur mit einer Handvoll Leuten). Auf dem Android verwende ich KaitenMail in Kombination mit APG (K9-Mail sollte auch funktionieren).
Man kann übrigens auch mittels eines „pulic key“ einen Text oder eine Datei verschlüsseln und dem entsprechenden Empfänger senden (der MUSS natürlich den passenden „secure key“ haben, selbst wenn man WebMail betreibt. Hierzu nutzt man PortablePGP (sourceforge.net). Wer etwas Handarbeit nicht scheut, kann sich hiermit austoben. Da diese Möglichkeit besteht, sollte man beim Empfang von verschlüsselter E-Mail darauf achten, ob man den Absender kennt oder ob dieser zusätzlich auch signiert hat. Erst die Signierung lässt mit ausreichender Sicherheit darauf schließen, dass der Richtige die E-Mail abgeschickt hat.
Man sollte das Schlüsselpaar auch ab und an (ich wähle 2 Jahre) auslaufen lassen. Das sollte genug Zeit für die Schlapphüte sein, um den Schlüssel zu knacken.
Passworte lasse ich mit Portable PWGen2 (PortableAppS) erzeugen. Hiermit kann man sich komplette Listen erzeugen lassen. Dateien in der Cloud verschlüssele ich per Packprogramm (7Zip oder WinRAR oder WinZIP) mit einem ausreichend langen Passwort (cut&paste) macht es möglich. Beim Einrichten/Erzeugen des Schlüsselpaares sollte man auch auf ein ausreichend langes und kompliziertes Passwort/Passphrase achten und selbige sicher aufbewahren. Auch „public und secure/private key“ sollten exportiert und gut aufbewahrt werden (zur Not ausdrucken!). Zwei oder mehr Jahre sind eine lange Zeit und da „verschwindet“ erfahrungsgemäß so manches.
Übrigens kann man auch als WebMailer die meisten Dienste via E-Mail-Client (Thunderbird) erreichen und nur im Notfall die Web-Funktion nutzen.
Es gibt genügend Freemailer. Bietet der eigene das nicht, sollte man ihm das Vertrauen entziehen und wechseln. Nur das ist halbwegs sicher, was man lokal auf seinem Rechner verschlüsselt und erst dann versendet und/oder in der Cloud speichert.
Gebt den Schlapphüten keine Chance, auch wenn es etwas unbequem ist – kompliziert ist es NICHT! Ich würde ja meinen „public key“ hier anhängen, aber da wäre der Beitrag wohl zu lang…. (Man kann mich aber über die Schlüsselserver und die Schlagworte „DU Mercator Ruhruni“ finden.)
Habe das gleiche unter Linux am Laufen. Thunderbird mit Enigmail.
Verschlüsselt super. Unter Samsung S3 mit Android per K9 + AGP und den gleichen Schlüsseln verschlüsselt.
Funktioniert super! Was Apple macht, kann ich leider nicht sagen.
Leider ist das alles noch zu kompliziert für den normalen user.
Thunderbird und enigmail umfasst leider auch nur ein bruchteil der vorhandenen email clients ab. Es gibt schließlich auch Outlook und Opera-Mail Benutzer.
Alle Browser sollten von anfang an WebPG oder ähnliches eingebunden haben um auch bei den ganzen webmail Anbieter verschlüsselte emails lesen/versenden zu können.
Für Android scheint es bisher auch nur K9-Mail mit dem APG plugin zu geben.
Die ganzen (web-)Anwendungen müssen für eine breitere Nutzung schlicht und ergreifend vereinheitlicht, einfacher und von anfang PGP unterstützung eingebaut haben.
@Matze.B Sollen mehrere Personen auf verschlüsselte Daten zugreifen können, verwendet man Gruppenschlüssel. Und wer jemals mit Outlook, Lotus Notes usw. arbeiten durfte, für den wird die Kombination von Thunderbird und Enigmail keine Hürde sein. :->
Für den unternehmensseitigen Einsatz gibt es kommerzielle OpenPGP-gestützte Lösungen, die die E-Mail-Verschlüsselung transparent einbinden. Bei geringem E-Mail-Aufkommen tut es vielleicht auch das kostenlose GPGrelay : „GPGrelay is a little relaying server which interferes SMTP- and POP3-Communication that way, that transmission of emails will be signed and/or encrypted on the fly using GnuPG (The GNU Privacy Guard) with your default email-program.“
Mein Fav.: S/MIME ! Klappt einfach, unter Win und OSX, auf iPad und iPhone.
Anbieter dafür gibt es zur Not auch welche für lau.
GPGRelay wird aber (leider) auch seit Jahren nicht mehr weiter entwickelt. Es funktioniert zwar noch, aber verlassen würde ich mich darauf nicht mehr.
Einfach und bequem ist eben leider immer per se unsicher.
Statt sich beim Verschlüsseln von eMails mit Zusatzprogrammen herumzuschlagen, sollte man lieber auf S/MIME umsteigen.
Man besorgt ein kostenloses eMail-Zertifikat, es gibt auch kostenpflichtige Zertifikate, wo der Nachweis der eigenen Identität per Ausweis erbracht werden muss. Dieses Zertifikat importiert man in die Schlüsselbundverwaltung (Mac), oder direkt in Thunderbird hinein.
Dann sendet man eine eMail die mit dem Zertifikat signiert wird (nicht verschlüsselt) an den Empfänger. Dieser erhält damit den öffentlichen Schlüssel und kann beim Antworten dann mit seinem privaten Schlüssel und meinem öffentlichen Schlüssel die Mail verschlüsseln. Ich erhalte dann eine verschlüsselte eMail, wo gleich der öffentliche Schlüssel des Absenders dran ist und kann nun mit diesen beiden Schlüsseln, die Nachricht wieder entschlüsseln. Liest sich etwas komplizierter als es ist, aber dennoch um einiges einfacher als mit Zusatzsoftware.
Der große Vorteile ist zudem noch, dass ganze kann auch auf Smartphones verwendet werden, ohne irgendwelche Zusatz-Apps oder dergleichen, einfach den privaten Schlüssel darauf installieren. Der Ablauf ist dann genau der gleiche.
Wie erwähnt, S/MIME ist auch mein Favorit. Gerade unter iOS deutlich einfacher und komfortabler.
Sehe so direkt keinen Vorteil von PGP
Ein „richtiges“ S/MIME.Zertifikat kostet halt alle Jahre Kohle, PGP nicht. Für S/MIME werden wieder gewerbliche Trustcenter gebraucht, bei PGP nicht. PGP ist dafür sehr umständlich zu handhaben. Dazu kommen die Haufen von defekten Mailclients und die falsch konfigurierten und defekten Server. Ergo, kein Mensch nutzt das Zeug, wenn er wirklich mit E-Mail arbeiten muss. Das war in den 2000ern schon so und ändert sich in den 2010ern nicht.