E-Mails digital signieren und verschlüsseln

Dieser Artikel erklärt, wie Sie mit Thunderbird Nachrichten signieren, verschlüsseln und entschlüsseln können, um sie sicher zu machen.

Einführung

Die von uns allen verwendete E-Mail-Infrastruktur ist grundlegend nicht sicher. Auch wenn sich inzwischen die meisten Leute über eine sichere Verbindung („SSL“) mit ihrem Server verbinden, erlauben manche Server noch unverschlüsselten Zugriff. Des Weiteren kann es auf dem langen Übertragungsweg vom Absender zum Empfänger unsichere Verbindungen zwischen zwei Servern geben. Das ermöglicht es Dritten, Nachrichten während der Übertragung abzufangen, zu lesen oder zu verändern.

Durch das digitale Signieren Ihrer Nachrichten fügen Sie der Nachricht Informationen hinzu, mit denen der Empfänger Ihre Identität überprüfen kann. Wenn Sie eine Nachricht verschlüsseln, erscheint diese „chiffriert“ und kann nur von Empfängern, die den Entschlüsselungsschlüssel besitzen, im Klartext gelesen werden. Das digitale Signieren verifiziert also, dass die Nachricht vom angegebenen Absender stammt, und das Verschlüsseln sichert sie gegen das Lesen oder Verändern durch Dritte ab.

Um Nachrichten zu verschlüsseln, können Sie ein Asymmetrisches Kryptosystem (engl.: public key ≙ öffentlicher Schlüssel) nutzen. In diesem System hat jeder Teilnehmer zwei Schlüssel: einen öffentlichen Verschlüsselungsschlüssel und einen privaten Entschlüsselungsschlüssel. Wenn Ihnen jemand eine verschlüsselte Nachricht senden möchte, verwendet er Ihren öffentlichen Schlüssel, um den Verschlüsselungsalgorithmus zu generieren. Wenn Sie eine verschlüsselte Nachricht erhalten, können Sie diese mit Ihrem privaten Schlüssel entschlüsseln.

Hinweis: Geben Sie Ihren privaten Schlüssel NIEMALS an andere weiter.

Das zur E-Mail-Verschlüsselung verwendete Protokoll heißt PGP (engl.: Pretty Good Privacy). Um PGP in Thunderbird zu verwenden, müssen Sie Folgendes installieren:

  • GnuPG: (GNU Privacy Guard): Eine freie Software-Implementierung von PGP
  • Enigmail: ein Add-on für Thunderbird

Mit diesen beiden Anwendungen können Sie auch Nachrichten digital signieren.

GPG und Enigmail installieren

Um GnuPG zu installieren, laden Sie das entsprechende Paket von dieser GnuPG-Seite (englisch) herunter. Folgen Sie dort der Installationsanleitung für Ihr Paket. Weitere Informationen über die Installation von PGP erhalten Sie in diesen Artikeln:

Um Enigmail zu installieren:

  1. Wählen Sie in Thunderbird ExtrasAdd-ons.
  2. Suchen Sie in der Suchleiste links oben nach „Enigmail“.
  3. Wählen Sie in den Suchergebnissen Enigmail aus und folgen Sie den Installationsanleitungen.

PGP-Schlüssel erzeugen

Erzeugen Sie Ihr Schlüsselpaar (bestehend aus öffentlichem und privatem Schlüssel):

  1. Klicken Sie in Thunderbirds Menüleiste auf OpenPGP und wählen Sie OpenPGP-Assistent.
  2. Wählen Sie Ja, ich möchte vom Assistenten geholfen bekommen, wie im folgenden Bild. Klicken Sie auf Weiter, um fortzufahren.
    OpenPGP-1_de
  3. Falls Sie mehrere Konten in Thunderbird eingerichtet haben, fragt der Assistent, ob Sie PGP für alle Konten bzw. Identitäten einrichten möchten. Sie können hier Ja auswählen, um es für alle Konten einzurichten, oder Nein, nur für die folgenden Konten bzw. Identitäten:, um einzelne Konten bzw. Identitäten auszuwählen.
  4. Der Assistent fragt, ob Sie alle ausgehenden Nachrichten signieren möchten oder ob Sie für verschiedene Empfänger unterschiedliche Regeln anlegen möchten. Es ist sinnvoll, alle ausgehenden E-Mails zu signieren, damit der Empfänger Ihre Identität überprüfen kann. Empfänger müssen weder digitale Signaturen noch PGP verwenden, um digital signierte Nachrichten lesen zu können. Wählen Sie Ja und klicken Sie auf Weiter, um fortzufahren.
  5. Als Nächstes fragt der Assistent, ob Sie alle Ihre E-Mails verschlüsseln möchten. Wählen Sie diese Option nicht, wenn Sie nicht von allen Empfängern, denen Sie E-Mails senden werden, einen öffentlichen Schlüssel besitzen. Wählen Sie Nein, ich möchte in Empfängerregeln festlegen, wann verschlüsselt werden soll und klicken Sie auf Weiter, um fortzufahren.
  6. Der Assistent fragt, ob er einige E-Mail-Einstellungen anpassen darf, damit sie besser mit PGP zusammenpassen. Hier sollten Sie Ja wählen. Klicken Sie auf Weiter, um fortzufahren.
  7. Falls Sie bereits Schlüssel in Thunderbird eingerichtet haben, folgt eine Seite, auf der Sie Ich möchte ein neues Schlüsselpaar erzeugen auswählen müssen, um fortzufahren.
  8. Wählen Sie das E-Mail-Konto aus, für das Sie die Schlüssel erstellen möchten. Sie müssen im Textfeld Passphrase ein Passwort eingeben, das verwendet wird, um Ihren privaten Schlüssel zu schützen. Merken Sie sich das Passwort gut: Sie brauchen es später zum Entschlüsseln von Nachrichten. Das Passwort sollte aus mindestens 8 Zeichen bestehen und nicht in Wörterbüchern zu finden sein. (Lesen Sie diesen Wikipedia-Artikel, um mehr über sichere Passwörter zu erfahren.) Geben Sie Ihr Passwort zweimal ein und klicken Sie auf Weiter, um fortzufahren.
  9. Die folgende Seite fasst die von Ihnen ausgewählten Einstellungen zusammen. Wenn alles in Ordnung ist, klicken Sie auf Weiter, um fortzufahren.
  10. Sobald der Schlüsselerstellungs-Prozess abgeschlossen ist, klicken Sie auf Weiter, um fortzufahren.
  11. Der Assistent fragt nun, ob Sie ein Widerrufszertifikat erstellen möchten, das Sie verwenden können, wenn die Sicherheit Ihres Zertifikates eingeschränkt wurde und Sie alle anderen Empfänger darüber informieren möchten. Wenn Sie die Datei erstellen möchten, klicken Sie auf Zertifikat erzeugen und folgen Sie den Anweisungen der nachfolgenden Seiten. Andernfalls klicken Sie auf Überspringen.
  12. Zum Schluss informiert Sie der Assistent darüber, dass der Prozess abgeschlossen ist. Klicken Sie auf Fertigstellen, um den Assistenten zu schließen.

Öffentliche Schlüssel (engl.: public keys) versenden und empfangen

Ihren öffentlichen Schlüssel per E-Mail versenden

Um verschlüsselte Nachrichten empfangen zu können, müssen Sie diesen Absendern zuerst Ihren öffentlichen Schlüssel zuschicken:

  1. Erstellen Sie eine neue Nachricht, indem Sie in Thunderbird auf Verfassen klicken.
  2. Wählen Sie in der Menüleiste dieser Nachricht OpenPGP und dann Meinen öffentlichen Schlüssel anhängen.
    öffentlichen Schlüssel anhängen
  3. Senden Sie die Nachricht ab.

Einen öffentlichen Schlüssel per E-Mail empfangen

Um verschlüsselte Nachrichten an andere Empfänger senden zu können, müssen Sie zuerst deren öffentliche Schlüssel erhalten und gespeichert haben:

  1. Öffnen Sie die Nachricht, die den öffentlichen Schlüssel enthält.
  2. Klicken Sie am unteren Rand des Fensters auf den Pfeil links, um die Anhänge einzeln anzuzeigen, dann mit einem Doppelklick auf den Anhang, der auf .asc endet. (Diese Datei enthält den öffentlichen Schlüssel.)
    Schlüssel PGP öffnen
  3. Thunderbird erkennt die Datei automatisch als PGP-Schlüssel. Ein Dialogfenster mit den Auswahlmöglichkeiten Importieren und Anzeigen des Schlüssels wird geöffnet. Klicken Sie auf Importieren, um den Schlüssel zu importieren.
    öffentlichen Schlüssel importieren
  4. Eine Bestätigungsmeldung zeigt Ihnen an, dass der Schlüssel erfolgreich importiert wurde. Klicken Sie auf OK, um den Vorgang abzuschließen.

Eine digital signierte und/oder verschlüsselte E-Mail versenden

  1. Erstellen Sie eine neue Nachricht, indem Sie in Thunderbird auf Verfassen klicken.
  2. Wählen Sie in der Menüleiste OpenPGP und dann Nachricht unterschreiben, um die Nachricht digital zu signieren. Um eine Nachricht zu verschlüsseln, wählen Sie im Menü OpenPGP die Option Nachricht verschlüsseln. Möglicherweise werden Sie vor dem Verschlüsseln gebeten, Ihre Passphrase einzugeben.
    E-MailSignierenVerschlüsseln
  3. Wenn Ihre E-Mail-Adresse mit einem PGP-Schlüssel verknüpft ist, wird die Nachricht mit diesem verschlüsselt. Ist das nicht der Fall, werden Sie aufgefordert, aus einer sich öffnenden Liste einen Schlüssel auszuwählen.
  4. Versenden Sie die Nachricht wie gewohnt.
Hinweis: Der Betreff der Nachricht wird nicht verschlüsselt.

Eine digital signierte und/oder verschlüsselte E-Mail lesen

Wenn Sie eine verschlüsselte E-Mail erhalten, fragt Sie Thunderbird nach Ihrer geheimen Passphrase, um die Nachricht entschlüsseln zu können. Um festzustellen, ob die Nachricht signiert und/oder verschlüsselt wurde, müssen Sie den Text in der Informationsleiste über dem Hauptteil der Nachricht lesen.

Wenn Thunderbird die Signatur erkennt, wird über der Nachricht die folgende grüne Leiste angezeigt: UnterschriftPGP

Wenn die Nachricht sowohl signiert als auch verschlüsselt wurde, enthält die grüne Leiste zusätzlich den Text „Entschlüsselte Nachricht“:
SignaturUnterschriftPGP

Wenn die Nachricht zwar verschlüsselt, jedoch nicht signiert wurde, sieht die Leiste so aus: nurVerschlüsselungPGP

Eine Nachricht, die nicht signiert wurde, kann von jemandem stammen, der im Namen einer anderen Person E-Mails versendet.

Ihren Schlüssel zurückziehen

Wenn Sie Hinweise darauf haben, dass die Sicherheit Ihres Schlüssels beeinträchtigt wurde (das heißt, dass z. B. jemand Zugriff auf die Datei mit Ihrem privaten Schlüssel hatte), sollten Sie Ihr aktuelles Schlüsselpaar so schnell wie möglich für ungültig erklären und ein neues erstellen.

So erklären Sie Ihr aktuelles Schlüsselpaar für ungültig:

  1. Klicken Sie in Thunderbirds Menüleiste auf OpenPGP und wählen Sie Schlüssel verwalten….
    Schlüssel verwalten PGP
  2. Es öffnet sich ein Dialogfenster, in dem Sie Standardmäßig alle Schlüssel anzeigen auswählen können, um alle Schlüssel anzeigen zu lassen.
  3. Mit einem Rechtsklick wählen Sie den Schlüssel, den Sie zurückziehen möchten, dann klicken Sie auf Zurückziehen.
  4. Daraufhin öffnet sich ein Dialogfenster, in dem Sie den Vorgang durch einen Klick auf Schlüssel zurückziehen bestätigen müssen.
  5. Ein weiteres Dialogfenster wird geöffnet, in welchem Sie Ihre Passphrase eingeben und OK klicken müssen, um den Schlüssel endgültig zurückzuziehen.

Senden Sie das zurückgezogene Zertifikat an alle Empfänger, mit denen Sie in Kontakt stehen, bzw. an alle, die das Zertifikat zuvor besaßen, um sie darüber zu informieren, dass es jetzt zurückgezogen wurde. Dadurch wissen alle Empfänger, dass das Schlüsselpaar ungültig ist, wenn jemand in Ihrem Namen und mit Ihrer für ungültig erklärten Signatur eine E-Mail versendet.

 

War der Artikel hilfreich? Bitte warten…

Diese netten Menschen haben geholfen, diesen Artikel zu schreiben: user47661, boersenfeger, pollti, Artist, graba. Auch Sie können helfen – erfahren Sie, wie.