Porovnání revizí

Verschlüsselung Thunderbird Ende-zu-Ende

Für Ende-zu-Ende Verschlüsselung in Thunderbird müssen Sie eigene Schlüssel oder Zertifikate in den Kontoeinstellungen. Hier wird erklärt, wie das geht.

<!-- Dieser Artikel ist die Kontexthilfe, die geöffnet wird, wenn der Benutzer auf die "learn-more" Verknüpfung in Thunderbird - Kontoeinstellungen - Ende-zu-Ende-Verschlüsselung klickt. Bitte erhalten Sie den Fokus des Artikels. --> Dieser Artikel hilft bei der Einrichtung der Einstellungen für die Ende-Zu-Ende-Verschlüsselung in Thunderbirds Kontoeinstellungen. Eine allgemeinere Erklärung (in Englisch) gibt es in [https://support.mozilla.org/kb/introduction-to-e2e-encryption End-to-end Encryption in Thunderbird] Um Ende-zu-Ende-Verschlüsselung (e2ee) bei E-Mail zu nutzen, benötigen Sie für sich korrekte kryptografische Schlüssel, die Sie in den Kontoeinstellungen hinterlegen. Mit der Hinterlegung erklären Sie Ihr Einverständnis zum Gebrauch dieser Funktionalität von Thunderbird. Die Konfigurationsschritte hängen davon ab, welche der zwei möglichen E2EE-Technologien Sie nutzen möchten. Sie können eine beliebige von beiden oder beide einrichten. Die Einrichtung erfolgt für jedes Konto und Identität getrennt, da sie direkt an eine E-Mail- Adresse geknüpft ist. == Ihre eigene OpenPGP-Konfiguration == Wenn Sie verschlüsselte Nachrichten mit Gegenstellen austauschen wollen, die bereits OpenPGP eingerichtet haben und nutzen, benötigen Sie einen persönlichen OpenPGP-Schlüssel für sich. Thunderbird definiert dies als ein Schlüsselpaar, das aus einem geheimen und einem öffentlichen Schlüssel sowie einem Etikett besteht, das Ihre E-Mail-Adresse angibt. Falls Sie noch nie einen OpenPGP-Schlüssel in Thunderbird erzeugt haben, aber früher mit einer anderen OpenPGP-Software gearbeitet haben, kann es sein, dass Sie bereits einen geheimen Schlüssel haben. Exportieren Sie den geheimen Schlüssel mit der Sicherungs-/Exportfunktion Ihrer anderen Software in eine Datei und versuchen Sie, die Datei nach Thunderbird zu importieren. (Beachten Sie bitte, dass Thunderbird den Schutz des geheimen Schlüssels beim Import entfernt. Um sicherzugehen, dass Ihr geheimer Schlüssel auf Ihrem Rechner sicher gespeichert wird, nutzen Sie bitte [[Protect your Thunderbird passwords with a Primary Password|Primary Password]] in den Thunderbird Einstellungen. Dies wird dann auch automatisch genutzt, um Ihren geheimen OpenPGP-Schlüssel zu schützen. Falls Sie früher Thunderbird 68 (oder eine ältere Version) mit dem Enigmail Add-on genutzt haben, kann es sein, dass Sie bereits geheime Schlüssel haben, da einige Versionen von Enigmail automatisch und ohne zu fragen geheime Schlüssel anlegten. Diese Schlüssel können noch auf ihrem Rechner vorhanden sein. Falls Sie sie mit der aktuellen Thunderbird-Version wieder verwenden möchten, können Sie versuchen, sie mit der GnuPG-Software wiederzufinden. (Siehe dazu die OpenPGP HOWTO and FAQ Documente.) Wenn Sie noch nie andere Software benutzt haben, um OpenPGP Schlüssel zu erzeugen, oder wenn Sie diese nicht weiterverwenden wollen, erlaubt Thunderbird es, in den Kontoeinstellungen im Ende-zu-Ende- Verschlüsselungs-Tab solche Schlüssel zu erzeugen. Klicken Sie auf den Knopf ADD, um einen Schlüssel hinzuzufügen, und wählen Sie dann entweder Importieren oder Erzeugen. Nach dem Import eines Schlüssels sollte Thunderbird anbieten, ihn als persönlichen Schlüssel für dieses Konto oder diese Identität zu benutzen, falls: * der Schlüssel nicht abgelaufen ist * der Schlüssel nicht zurückgerufen wurde * der Schlüssel sowohl für digitales Signieren als auch für Verschlüsselung gültig ist * der Schlüssel eine Benutzer-ID mit der E-Mail-Adresse des Kontos oder der Identität enthält, die Sie in den Kontoeinstellungen konfigurieren Wenn Sie den Schlüssel ausgewählt haben, haben Sie die Einstellungen für die Sicherheit Ihrer eigenen OpenPGP-E-Mail vollendet. == Ihre eigene S/MIME-Konfiguration == Wenn Sie verschlüsselte Nachrichten mit Gegenstellen austauschen wollen, die bereits zur Benutzung mit S/MIME eingerichtet sind, benötigen Sie für sich ein persönliches E-Mail-Zertifikat. Die S/MIME-E-Mail Verschlüsselungstechnologie benötigt die Hilfe vertrauenswürdiger Dritter, der so genannten Certificate Authorities (CA), von denen Sie für sich ein persönliches Zertifikat erhalten müssen, das Sie in Thunderbird installieren und konfigurieren. Für gewöhnlich ist es nicht zu empfehlen, ein Zertifikat für sich selbst zu erstellen, da E-Mail-Partner gewöhnlich selbstsignierte Zertifikate nicht akzeptieren. Bei der Vorbereitung zum Erhalt eines persönlichen Zertifikats von einer CA passiert üblicherweise dies: # Sie erzeugen ein '''rohes''' kryptografisches Schlüsselpaar, d. h. ein Paar aus einem geheimen und einem öffentlichen Schlüssel # Sie senden den öffentlichen Schlüssel an eine CA, die von Thunderbird unterstützt wird # Die CA signiert den öffentlichen Schlüssel und fügt weitere Daten hinzu, um ein Zertifikat zu erzeugen # Die CA sendet Ihnen das Zertifikat zurück # Sie kombinieren das Zertifikat mit dem geheimen Schlüssel, den Sie vorher erzeugt hatten; dies macht aus dem CA-Zertfikat Ihr persönliches Zertifikat # Sie importieren Ihr persönliches Zertifikat mit dem Zertifikat-Manager von Thunderbird # Sie öffnen die Kontoeinstellungen in Thunderbird für Ende-zu-Ende-Verschlüsselung und wählen das persönliche Zertifikat, das Sie mit dem Konto nutzen wollen (nur persönliche Zertifikate, die Thunderbird für gültig erachtet, werden zur Auswahl angeboten). Wählen Sie das Zertifikat sowohl für Verschlüsselung als auch für digitales Signieren. Aktuelle Versionen von Thunderbird unterstützen Sie nicht bei der Generierung der '''rohen''' Schlüsselpaare für S/MIME. Sie benötigen dazu externe Software. Einige CA bieten Ihnen an, automatisch ein Schlüsselpaar zu erzeugen. Dies ist nicht ideal, da auch der geheime Schlüssel für Ihr persönliches Zertifikat auf dem Rechner der CA erzeugt wird. Es besteht das Risiko, dass jemand den geheimen Schlüssel abfängt und speichert. Damit könnte er die verschlüsselten Nachrichten, die an Sie gesendet werden, entschlüsseln. == Testen Sie Ihre Einstellungen == Nach Abschluss der Einstellungen sollten Sie sie testen. Versuchen Sie, sich selbst eine verschlüsselte und digital signierte E-Mail zu schicken. Erstellen Sie dazu eine neue E-Mail. Falls Sie mehrere Konten oder Identitäten haben, achten Sie darauf, dass die Absenderangabe '''Von:''' oben im Entwurfsfenster eine Identität anzeigt, für die die Ende-zu-Ende-Einstellung erfolgt ist. Geben Sie die gleiche E-Mailadresse ins '''An:''' Adressfeld ein. Geben Sie einen Testbetreff und eine Testnachricht ein. Schalten Sie dann die Verschlüsselung ein (In Thunderbird Version 102 kann dies einfach mit der Schaltfläche '''Verschlüsselung''' in der Werkzeugleiste geschehen. In früheren Versionen klicken Sie auf den Pfeil hinter der Schaltfläche für die Sicherheits-Werkzeugleiste und wählen Sie '''Verschlüsselung nötig''') und senden Sie die E-Mail ab. Gehen Sie zum Posteingang und rufen Sie die neuen Nachrichten ab. Die gerade gesendete E-Mail sollte erscheinen. Sie sollte als verschlüsselt gekennzeichnet sein. Schauen Sie auf die entsprechenden S/MIME- oder OpenPGP-Felder im Kopfbereich. Diese können angeklickt werden, um Details zu zeigen. == Verteilen Ihres öffentlichen Schlüssels oder Zertifikats == Wenn Sie möchten, dass andere Ihnen verschlüsselte E-Mails senden können, kann es nützlich sein, nicht zu warten, bis Sie von ihnen um Ihren Schlüssel gebeten werden. Sie können proaktiv anderen die Gelegenheit zu verschlüsseltem Senden bieten, indem Sie Ihnen eine verschlüsselte E-Mail senden. Wenn Sie eine verschlüsselte E-Mail mit OpenPGP senden, fügt Thunderbird für gewöhnlich eine Kopie Ihres öffentlichen Schlüssels als kleinen Anhang hinzu, da der öffentliche Schlüssel benötigt wird, um zu prüfen, ob eine digitale Signatur technisch korrekt ist. Wenn Sie eine verschlüsselte E-Mail mit '''S/MIME'''-Technologie senden, wird Ihr Zertifikat immer eingefügt. Sie können entscheiden, dass Sie Ihre E-Mails immer digital signieren. Die entsprechenden Einstellungen finden Sie in den Kontoeinstellungen. (Bitte beachten Sie: Wenn Sie digital signieren, können Sie sich kaum mehr plausibel herausreden, nicht der Absender der E-Mail gewesen zu sein.) Eine andere Möglichkeit, Ihren öffentlichen OpenPGP-Schlüssel zu verteilen, ist ein Schlüsselserver (keyserver). Der Schlüsselserver unter https://keys.openpgp.org/ (betrieben von Mitgliedern der OpenPGP- Entwicklergemeinschaft) ist eine gute Wahl. Thunderbird Versionen 78, 91 und 102 können diesen Schlüsselserver auf der Online-Suche nach fehlenden Schlüsseln abfragen. Um Ihren Schlüssel zu veröffentlichen, müssen Sie ihn in eine Datei exportieren, zum Beispiel über das Menü neben Ihrem konfigurierten persönlichen Schlüsselpaar in den Kontoeinstellungen von Thunderbird, oder mittels des OpenPGP-Managers von Thunderbird. Bitte stellen Sie sicher, dass Sie das korrekte Kommando nutzen. Um eine Kopie zu erhalten, die Sie sicher mit anderen teilen können, muss das Programm immer von einem öffentlichen Schlüssel sprechen. Teilen Sie NIEMALS Ihren persönlichen geheimen Schlüssel! Wenn Sie den öffentlichen Schlüssel in einer Datei haben, können Sie ihn auch auf jede andere Weise verteilen, mit der Dateien verteilt werden, zum Beispiel durch Einstellen auf Ihrer Webseite.