Thunderbird und OpenPGP
Der Umgang mit E-Mails
E-Mail ver- und entschlüsseln und unterschreiben
https://www.zdf.de/nachrichten/digitales/email-verschluesselung-thunderbird-datenschutz-100.html
Ich arbeite mich gerade erst ein!
Wer einen Fehler findet möge mich bitte darauf aufmerksam machen!
Vorab einige Gedanken zur Sicherheit von und mit Thunderbird
Warum es sicherer ist mit einem lokal installiertem Thunderbird nachrichten verschlüsselt auszutauschen als mit einem Dienst für verschlüsselte E-Mails wird in diesem Artikel Beschrieben. Der unmittelbar anschließende Artikel blickt dem Thunderbird ein wenig unter die Motorhaube und ist lesenswert.
Hier beschreibt der gleiche Autor wie man in Thunderbird (dort eine etwas ältere Version) die Angabe des UserAgents bei ausgehenden Mails abschaltet. Der Sinn des Ganzen ist zu verhindern, dass Empfänger der E-Mail anhand dieser UserAgent-Angabe ganz leicht erkennen, welche Software vom Absender eingesetzt wird. Diese Informationen können eingesetzt werden um einen Angriff zu vereinfachen (Stichwort bösartige Empfänger).
Hier noch einmal in Stichworten für die Version 78.6.1 wie es geht:
Menü Extras ⇒ Einstellungen ⇒ Allgemein
ganz herunterscrollen und Klick auf
Konfiguration bearbeiten
Klick auf
Ich bin mir der Gefahren bewust!
Hier fügt man die neue String-Variable general.useragent.override als neuen Parameter ein, indem man mit der rechten Maustaste auf einen freien Bereich klickt und im Kontext-Menü den Punkt "Neu -> String" wählt.
Als Wert für diese Variable wird eine leere Zeichenkette eingesetzt.
Damit sendet Thunderbird keine Kennung mehr. Nachteile sind nicht erkennbar. (O-Ton vorgenannter Artikel)
Im Privacy-Handbuch befasst sich dieser Bereich mit E-Mail. Dort werden viele Einstellungen beschrieben um die bestmögliche Sicherheit in Thunderbird einzustellen. Eine Zusammenfassung für Thunderbird 78.x wird hier gegeben.
Unter anderem wird empfohlen die Ansicht ⇒ Anhänge eingebunden anzeigen abzuschalten. Der Gund ist, dass bei HTML-E-Mails im Anhang bösartiger Code enthalten sein könnte, der bei eingebundener Anzeige zur Ausführung käme.
Der folgende Teil des Artikels gibt Hinweise zur Einrichtung und Nutzung der Möglichkeiten von Thunderbird und OpenPGP zur verschlüsselten E-Mail-Kommunikation, soweit mir diese bekannt sind.
Warum ich mich erst jetzt damit befasse (Text im Flyout).
Seit kurzem hat Thunderbird (in Version 78.2.1) die Funktionalität der Ver- und Entschlüsselung intern eingbaut und aktiv geschaltet, es ist also kein Plugin mehr notwendig. Das (und ein weiterer Grund) hat mich nun veranlasst es mit der Verschlüsselung von E-Mails mal auszuprobieren.
E-Mail-Konto in Thunderbird für Ende-zu-Ende-Verschlüsselung einrichten
https://support.mozilla.org/de/kb/openpgp-in-thunderbird-leitfaden-und-faqs
Funktionen/Einschränkungen bei OpenPGP in TB 78.2.2.: https://www.thunderbird-mail.de/forum/thread/85270-migrationshinweise-zu-funktionen-einschr%C3%A4nkungen-bei-openpgp-in-tb-78-2-2/
Zum Zeitpinkt der Verlinkung war der Artikel auf Stand 4.12.2020 aktualisiert.
Wie an der Versionszahl von TB ersichtlich, war da TB noch nicht ganz auf dem Stand von heute.
Dennoch ist der Artikel interessant!
Vorhandene / extern erzeugte Schlüsselpaare importieren
OpenPGP Schlüsselpaar neu erstellen oder importieren: https://www.privacy-handbuch.de/handbuch_32l.htm
Natürlich kann Thunderbird auch mit S/MIME - Zertifikaten arbeiten, da ich erst einmal völlig ohne Kosten herumprobieren wollte (und in Thunderbird OpenPGP inclusive Schlüsselerzeugung implementiert ist) habe ich mich für das OpenPGP-Verfahren entschieden. :
Ende-zu-Ende-Verschlüsselung - Schlüssel Erzeugung und Schlüssel Verwaltung
Wie man Schlüsselpaare ohne Thunderbird erstellt, habe ich bereits hier beschrieben.
Jetzt möchte ich beschreiben, wie man alleine mit Thunderbird eine verschlüsselte Kommunikation einrichtet.
In anderen Artikeln haben deren Autoren angemerkt, dass dies den Nachteil habe, die Schlüssel stünden für andere Programme nicht automatisch zur Verfügung. Es ist, soweit ich weiß, richtig, dass die Schlüssel erst aus Thunderbird exportiert werden müssen, um sie zum Beispiel zu Sichern oder den öffentlichen Schlüssel unabhängig von Thunderbird weiterzugeben.
In wie weit das bei Gpg4win mit der Benutzeroberfläche Kleopatra anders sein soll ist mir jedoch nicht klar geworden. Auch dort mußte ich zur externen Sicherung die Schlüsselpaare erst exportieren.
Vermutlich ist Kleopatra (von Gpg4win) komplexer in den Möglichkeiten in Bezug auf die Schlüsselpaare als Thunderbird. Will man jedoch ausschließlich eine zertifizierte Signatur (zur sicheren Feststellung der Urheberschaft der E-Mail) oder sicher verschlüsselte E-Mails nutzen und sonst nichts, dann, so meine Meinung, ist Thunderbird alleine ausreichend und eine zusätzliche Software nicht notwendig.
Mit Thunderbird für ein vorhandenes E-Mail-Konto ein Schlüsselpaar erzeugen
Achtung, wichtig: Niemals die Schlüsselpaare alleine in Thunderbird speichern! Wenn Thunderbird beschädigt wird und sich die Schlüssel nicht mehr exportieren lassen sind sie unwiederbringlich weg!!!
Also immer, wenn neue Schlüsselpaare erzeugt wurden, diese exportieren und auf einem guten externen Datenträger sichern!
Zur Darstellung: Klickabfolgen werden ⇒ so ⇒ dargestellt
Dann laßt uns beginnen
Menü Extras ⇒ Konten-Einstellungen
Links in der Liste der Konten das richtige Konto suchen und dort auf Ende-zu Ende Verschlüsselung klicken.
Dort auf Schlüssel hinzufügen klicken.
Neuen OpenPGP-Schlüssel mit Weiter bestätigen.
Da nicht ablaufende Schlüssel möglicherweise von einzelnen Programmen nicht akzeptiert werden, sollte man (solange man sich noch nicht besser Auskennt) die Voreinstellungen so, wie sie sind, belassen. Das ist zumindest der Tenor, der Meinungen, die ich im Web gesehen habe.
Also mit Klick auf Schlüssel erzeugen zum nächsten Schritt.
Lesen des Hinweistextes erklärt warum u.U. die Erzeugung eine Weile dauern kan. Klick auf Bestätigen startet den Vorgang.
Folgende Daten sind wichtig und sollten notiert (und verlustsicher gespeichert) werden.
Oberhalb der grün hinterlegten Erfolgsmeldung steht die Schlüssel-ID in Fettschrift.
Ein Klick auf ∨ im blau hinterlegten Feld öffnet die Anzeige des Fingerabdrucks, einer Folge von zehn Vierergruppen aus Großbuchstaben und Ziffern (z. B. 123E 23FF GFBH 3589 .......) und das Erzeugungsdatum.
Um das Schlüsselpaar sichern zu können und zu anderweitigem Gebrauch muß nun noch der öffentliche und geheime Schlüssel exportiert / gesichert werden. Ein Klick auf Mehr öffnet die Optionsauswahl.
Die Option Öffentlichen Schlüssel exportieren führt zu einem Datei-Speichern-Dialog. Erst einmal den Vorschlagsnamen übernehmen. Die Option Sicherheitskopie für geheimen Schlüssel erstellen öffnet zuerst einmal den Abfragedialog für das Passwort / Passphrase des geheimem Schlüssels.
Dieses Passwort / Passphrase wird in Zukunft immer benötigt, wenn der geheime Schlüssel benutzt werden soll (z.B. beim Importieren in ein anderes Mail-Programm). Dieses Passwort sollte erheblich komplexer sein als das hier gezeigte Beispiel, damit es einer Brut-Force-Attacke Widerstand leisten kann.
OpenPGP-Schlüssel verwalten
Mit Klick auf OpenPGP-Schlüssel verwalten gelangt man zur Schlüsselverwaltung.
Im dann geöffneten Fenster "OpenPGP-Schlüssel verwalten" markiert man den Schlüssel, den man "verwalten" möchte. Die Menüpunkte sind zum überwiegenden Teil selbsterklärend. Unter Ansicht ⇒ Schlüsseleigenschaften wird das gleiche Fenster angezeigt, das weiter unten beschrieben wird.
Unter Schlüsselserver ⇒ Schlüssel online finden kann man versuchen auf einem der im Netz befindlichen Schlüsselserver nach dem öffentlichen Schlüssel zu suchen. Suchkriterium ist entweder die E-Mail-Adresse oder der Schlüssel-ID.
Man sollte jedoch nicht zu hohe Erwartungen haben. Aus verschiedenen Gründen ist bisher die Wahrscheinlichkeit einer erfolgreichen Suche nicht all zu groß.
- OpenPGP-Schlüssel sind noch nicht wirklich weit verbreitet
- von den erzeugten OpenPGP-Schlüsseln sind nur ein kleiner Teil auf Servern veröffentlicht
- die Weitergabe von öffentlichen Schlüsseln zwischen allen Schlüsselservern ist noch nicht gewährleistet
- es gibt verschiedene Typen von Schlüsselservern, die untereinander keine Schlüssel austauschen (z. B. gibt es Server, bei denen es durchaus möglich ist einen einmal veröffentlichten Schlüssel wider zu löschen, was eigentlich nicht möglich ist)
Zur Zeit sind weit verbreitete Methoden zur Weitergabe des öffentlichen Schlüssels
- anhängen des Schlüssels an eigene E-Mails
- auf der eigenen Website den Schlüssel veröffentlichen
Schlüsseleigenschaften
Die Schlüsseleigenschaften bekommt man angezeigt wenn man entweder in der Schlüsselverwaltung auf
Ansicht ⇒ Schlüsseleigenschaften klickt oder
statt auf Mehr auf Schlüsseleigenschaften klickt.
Im oberen Bereich gibt es die Möglichkeit das Ablaufdatum zu ändern. Im unteren Bereich kann man festlegen, ob der angezeigte Schlüssel als persönlicher verwendet werden soll oder nicht. Außerdem können noch die Reiter Zertifizierung und Struktur angezeigt werden.
Weiterführende Informationen zum Thema Zertifizierung und Schlüsselstruktur bitte im Netz suchen.
Für Privatpersonen (also die Zielgruppe dieser Seiten) scheint mir eine Zertifizierung zur Zeit nicht notwendig. Irgend wann wird da ja noch was mit der Personalausweis zum funktionieren gebracht werden. Strukturierte Schlüssel sind wohl (so glaube ich) eher etwas, das in größeren Unternehmen Verwendung findet (damit nicht jedes einzelne E-Mail-Konto einen eigenen Stammschlüssel braucht).
Bildquellen
Slideshow von Gray_Rhee, Bruno Glätsch, Sergio Stockfleth, James Osborne, fancycrave1,
Bild von Peggy und Marco Lachmann-Anke
Screenshots von Karl Richard Lembach