Anleitungen

e-Mail-Verschlüsselung ist jetzt standardmäßig in Thunderbird integriert – so funktioniert’s

Leave a comment

Nun gibt es eine Ausrede weniger, e-Mails nicht zu verschlüsseln. Seit der Version 78 von Thunderbird ist es nicht mehr notwendig, ein Addon für die e-Mail-Verschlüsselung zu installieren. Stattdessen ist OpenPGP jetzt standardmäßig in Thunderbird integriert. Doch wer sich nur oberflächlich damit auseinander setzt wird eventuell mindestens einen folgenschweren Fehler machen. Wir informieren, wie ihr die neue Funktion nutzen könnt und was ihr beachten müsst, um die Sicherheit zu gewährleisten.

Eine gute Nachricht gibt es auf jeden Fall für alle, die schon vorher mit Enigmail arbeiteten: Alle Schlüssel lassen sich problemlos migrieren. Öffnet ihr das upgedatete Programm, so öffnet sich bald ein Tab mit einer Migrationshilfe. Wunderbar. Erscheint dieser nicht beim ersten Öffnen nach dem Update, so schließt das Programm und öffnet es ein zweites Mal. Ihr könnt dann alle Eure Keys und Einstellungen zu den E-Mail-Adressen von Enigmail auf Thunderbird migrieren. Im Anschluss könnt ihr schon wild drauf los verschlüsseln. Auf ein neues Interface müsst ihr euch auch nicht einstellen: es sieht ungefähr so aus, wie vorher bei Enigmail. Technisch gesehen ist das neue Feature aber nicht genau das Gleiche. Die Schlüsselverwaltung findet ihr unter dem Menüpunkt „Extras“. Bestehende Keys können natürlich auch später noch über die Einstellung „Ende-zu-Ende-Verschlüsselung“ importiert und zugeordnet werden.

So erstellt ihr Schlüsselpaare neu

Möchtet ihr ein neues Schlüsselpaar erstellen, so ist auch das leicht zu bewerkstelligen. Ihr markiert einfach die entsprechende Mailadresse und bekommt so mittig die Kontoeinstellungen angezeigt. Klickt auf „Ende-zu-Ende-Verschlüsselung“ und ihr landet im Einstellungsmenü für eben jene Verschlüsselung. Dort wird euch angezeigt, ob ihr bereits einen Schlüssel habt oder nicht. Klickt auf „Schlüssel hinzufügen“ und im anschließenden Dialog auf „Neuen OpenPGP-Schlüssel erzeugen“, um den Vorgang zu beginnen.

Wählt die gewünschte Identität aus und setzt ein Ablaufdatum, wenn ihr möchtet. Bei den erweiterten Einstellungen solltet ihr alles so lassen, wie es euch vorgeschlagen wird, wenn ihr euch damit nicht auskennt. Mit einem Klick auf „Schlüssel erzeugen“ wird euch noch ein letzter Hinweis angezeigt, was im Anschluß geschieht. Bestätigt die Schlüsselerzeugung und das Schlüsselpaar bestehend aus einem geheimen Schlüssel und einem öffentlichen Schlüssel wird erstellt.

In der Schlüsselverwaltung ist dieses Schlüsselpaar fett gedruckt, da es euer eigenes ist. Fremde Schlüssel sind in Normalschrift aufgelistet und bereits abgelaufene Schlüssel, die nicht mehr benutzt werden können, sind ausgegraut und werden kursiv angezeigt.

Unbedingt ein Masterpasswort setzen

Einen wichtigen Unterschied zu Enigmail gibt es an dieser Stelle und das ist die Passphrase für geheime Schlüssel. Bei Enigmail war es notwendig für jeden geheimen Schlüssel eine Passphrase festzulegen. Nur durch Eingabe der Passphrase konnte der Schlüssel genutzt werden. Ein wichtiges Sicherheitsfeature, welches Mozilla in der gleichen Form nicht umsetzt. Stattdessen weist Thunderbird allen geheimen Schlüssel ein zufällig generiertes Passwort zu, welches ihr nicht selbst einstellen könnt. Das eine Passwort gilt dann für alle geheimen Schlüssel, die ihr in dem Profil hinterlegt.

Deswegen müsst ihr, bevor ihr nun anfangt zu verschlüsseln, im nächsten Schritt unbedingt ein Masterpasswort für Thunderbird einstellen. Macht ihr das nicht, liegen eure Profildaten inklusive der öffentlichen und vor allem geheimen Schlüssel ungeschützt auf eurer Festplatte. Das Masterpasswort setzt ihr über das globale Einstellungsmüenu unter „Datenschutz und Sicherheit“.

Wir empfehlen Euch außerdem, ein sehr gutes Passwort zu verwenden, damit die Profildaten und Schlüssel wirklich geschützt sind. Verwendet einen Passwortmanager.

E-Mails verschlüsseln

Wollt ihr nun Ende-zu-Ende verschlüsselt mit einer anderen Person kommunizieren, so braucht ihr noch den öffentlichen Key der E-Mail-Adresse. Es gibt unterschiedliche Modelle, wie der Keyaustausch funktionieren kann. Entweder ihr bekommt den Key per e-Mail zugeschickt und importiert ihn, ladet ihn von einem öffentlichen Keyserver runter oder ihr tauscht eure öffentlichen Keys einmal persönlich aus und könnt so direkt die Echtheit überprüfen.

Habt ihr den öffentlichen Key der anderen Person über die Schlüsselverwaltung importiert, dann müsst ihr in der Schlüsselverwaltung noch die Akzeptanz festlegen. Denn das Programm setzt die Akzeptanz erst mal auf „Nicht jetzt, vielleicht später.“ In dem Zustand könnt ihr aber noch nicht schreiben. Habt ihr den Fingerabdruck des Schlüssels selbst überprüft, dann könnt ihr die höchste Akzeptanz-Stufe anklicken. Habt ihr das nicht, so gibt es noch eine Zwischenstufe „Ja, aber ich habe nicht selbst überprüft ob es sich um den korrekten Schlüssel handelt“. So könnt ihr erstmal verschlüsselt schreiben und den Fingerabdruck später überprüfen.

Eine Fingerabdrucküberprüfung ist auf jeden Fall empfehlenswert. Macht das, wenn sich die Gelegenheit ergibt. In Fällen sensibler Kommunikation ist die Überprüfung vor der ersten Kommunikation auf jeden Fall durchzuführen.

Fazit

Viele haben sich darauf gefreut, dass Thunderbird die E-Mail-Verschlüsselung standardmäßig integriert. Auch wir finden, das ist ein Schritt in Richtung besserer usability für die breite Masse. Allerdings ist die Abwesenheit von extra Passwörtern pro geheimen Key ein Downgrade, was die Sicherheit der Keys angeht. Zumal im Programm selbst nicht darauf hingewiesen wird, dass das Masterpasswort unbedingt gesetzt werden muss um die Schlüssel abzusichern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.