OpenPGP in Thunderbird - Leitfaden und häufig gestellte Fragen (FAQs)

Der Artikel enthält detaillierte Informationen für Thunderbird-Benutzer, die mithilfe der OpenPGP-Technologie verschlüsselte und digital signierte E-Mails senden und empfangen möchten. Diese Funktion wird allgemein als Ende-zu-Ende-Verschlüsselung (E2EE) bezeichnet und erhöht die Sicherheit in der Kommunikation, wodurch der Zugriff durch unbefugte Dritte erschwert bzw. verhindert wird. Die Thunderbird-Version 78 enthält die beiden integrierten Verschlüsselungstechnologien OpenPGP und S/MIME.

Nutzer des früheren Add-ons Enigmail, die von Thunderbird 68 auf Thunderbird 78 migrieren, erhalten hier ebenfalls wichtige Informationen.

Inhaltsverzeichnis

Was ist die „Ende-zu-Ende-Verschlüsselung“ und wie funktioniert sie?

Die „Ende-zu-Ende-Verschlüsselung“ sichert die Kommunikation und schützt Ihre E-Mails vor dem Zugriff durch unbefugte Dritte. Der Artikel Einführung in Thunderbirds Ende-zu-Ende-Verschlüsselung beschreibt wichtige Grundlagen.

Bitte beachten Sie: Manche Anwendungen benutzen anstelle der Bezeichnung „geheimer Schlüssel“ auch den Begriff „privater Schlüssel“. Da Thunderbirds Benutzeroberfläche die Bezeichnung „geheimer Schlüssel“ verwendet, wird dies im gesamten Artikel einheitlich beibehalten. Dies trifft auch dann zu, wenn sich allgemeine Textteile auf solche Anwendungen beziehen, die den Begriff „privater Schlüssel“ benutzen (ausgenommen, der Artikel beschreibt konkret jenen Teil der Benutzeroberfläche einer solchen Anwendung, die den Begriff „privater Schlüssel“ enthält).

Unterstützt Thunderbird OpenPGP?

Ja. Seit Thunderbird 78 werden die Verschlüsselungstechnologien OpenPGP und S/MIME unterstützt. OpenPGP ist ab Thunderbird 78.2.1 standardmäßig aktiviert.

Ältere Thunderbird-Versionen (Version 68 und niedriger) enthielten nur die integrierte Unterstützung für S/MIME, die Unterstützung für OpenPGP konnte aber mithilfe des Add-ons Enigmail und der zusätzlichen Programmsoftware GnuPG hinzugefügt werden. Ab Thunderbird 78 funktioniert das Add-on Enigmail nicht mehr. Früheren Benutzern von Enigmail steht aber eine spezielle aktualisierte Enigmail-Version („Migrations-Version“) zur Verfügung, die den Wechsel zum integrierten OpenPGP erleichtert oder Anleitungen zur Wiederherstellung des „Junior-Modus“ von Enigmail gibt.

Warum wurde Enigmail ersetzt und wird das Add-on später wieder verfügbar sein?

In Thunderbird 78 wurde das Add-on Enigmail durch die integrierte Unterstützung für OpenPGP 78 ersetzt.

Diese Änderung war erforderlich, da ab Thunderbird-Version 78 die Unterstützung veralteter Add-ons (sog. „legacy“ Add-ons) wie Enigmail eingestellt wurde. Firefox beendete bereits im Jahr 2017 die Unterstützung veralteter Add-ons, siehe diesen englischsprachigen Blogbeitrag von Mozilla. Im Jahr 2020 entschloss sich Thunderbird ebenfalls zur Einstellung der Unterstützung veralteter Add-ons, da es den Mozilla-Plattformcode mit Firefox teilt.

Enigmail wird nicht mehr weiterentwickelt (Informationen auf dieser englischsprachigen Webseite von Enigmail) oder in andere Add-on-Technologien migriert. Der Autor von Engimail, Patrick Brunschwig, schrieb dazu:

„Mein Ziel war stets, in Thunderbird eine OpenPGP-Unterstützung zu bieten. Auch wenn es nach 17 Jahren Arbeit an Enigmail das Ende einer langen Geschichte bedeutet, bin ich mit diesem Ergebnis sehr zufrieden.“

Sieht OpenPGP in Thunderbird 78 genauso aus und funktioniert auch genauso wie Enigmail?

Nein. Die integrierte OpenPGP-Unterstützung unterscheidet sich sowohl in der Benutzeroberfläche als auch in den angebotenen Funktionen. Sie ist keine exakte Kopie von Enigmail in Thunderbird. Thunderbird möchte stattdessen eine vollständig ins Programm integrierte Lösung anbieten, die nun standardmäßig auf GnuPG verzichtet, um Lizenzprobleme zu vermeiden. Das englischsprachige Mozilla-Wiki beschreibt die Unterschiede.

Sie haben OpenPGP noch nie mit Thunderbird verwendet: Wie richten Sie OpenPGP ein?

Um die OpenPGP-Funktionalität in Thunderbird nutzen zu können, müssen Sie in den Konten-Einstellungen von Thunderbird unter dem Menüpunkt „Ende-zu-Ende-Verschlüsselung“ ein sogenanntes „persönliches Schlüsselpaar“ für Ihre E-Mail-Adresse erzeugen. Sollten Sie OpenPGP bereits mit einer anderen Software verwenden, importieren Sie eine Sicherungskopie Ihres vorhandenen Schlüsselpaars. Wenn nicht, können Sie mit diesen Schritten ein neues Schlüsselpaar erstellen:

  1. Wählen Sie das gewünschte Konto.
  2. Wählen Sie in der Thunderbird-Menüleiste das Menü Extras, klicken Sie auf den Menüpunkt „Konto-Einstellungen“, dann links auf den Eintrag „Ende-zu-Ende-Verschlüsselung“ und anschließend auf der rechten Seite auf die Schaltfläche Schlüssel hinzufügen….
    • Wenn Sie bereits ein persönliches OpenPGP-Schlüsselpaar besitzen (z. B. in einer anderen Software), klicken Sie auf Bestehenden OpenPGP-Schlüssel importieren.
    • Haben Sie noch kein eigenes Schlüsselpaar, klicken Sie auf Neuen OpenPGP-Schlüssel erzeugen.
  3. Nachdem Sie in den Konten-Einstellungen Ihren Schlüssel importiert oder neu erstellt haben, legen Sie fest, welchen Schlüssel Sie zukünftig mit Ihrem E-Mail-Konto verwenden möchten.

Achtung: Die Verwendung von OpenPGP hat weitreichende Auswirkungen, die in der Einführung beschrieben sind. Es ist deshalb sehr wichtig, dass Sie eine Sicherungskopie Ihrer Schlüssel anfertigen und diese an einem sicheren Ort außerhalb Ihres Computers aufbewahren.

Sie verwendeten bisher Enigmail: Wie können Sie zur integrierten Funktion OpenPGP wechseln und diese konfigurieren?

Sie können Ihre Thunderbird-Einstellungen von einer älteren Thunderbird-Version (z. B. Version 68.x) auf Version 78.x aktualisieren. Zuvor sollten Sie aber eine Sicherungskopie Ihres bisher verwendeten Thunderbird-Profils erstellen, indem Sie Ihren Profilordner kopieren und an einem sicheren Ort speichern.

Wichtig: Erstellen Sie diese Sicherungskopie, bevor Sie Thunderbird 78 zum ersten Mal verwenden, da Sie nach der Aktualisierung auf Thunderbird 78 Ihr bisheriges Profil nicht mehr mit Thunderbird 68 benutzen können.

Wenn Sie aus irgendeinem Grund entscheiden, dass Sie Thunderbird 68 und Enigmail weiterhin verwenden müssen, ist das mit der zuvor erstellten Sicherungskopie Ihres bisherigen Thunderbird-Profils problemlos möglich. Sie müssen dazu nur das zuvor gesicherte Profil wieder in den ursprünglichen Profilordner kopieren.

Enigmail ist derzeit in zwei Versionen verfügbar, 2.1.x und 2.2.x:

  • Enigmail 2.1.x kann nur mit Thunderbird 68 und früheren Versionen verwendet werden, dort funktioniert es wie bisher gewohnt.
  • Enigmail 2.2.x ist eine speziell angepasste Version und kann nur mit Thunderbird 78 und höher verwendet werden. Enigmail 2.2.x enthält keine der gewohnten Verschlüsselungsfunktionen mehr, sondern hilft als Assistent den bisherigen Nutzern beim Umstieg auf die neue Version. Er importiert Ihre Schlüssel aus GnuPG in Thunderbird und migriert wichtige Einstellungen von Enigmail nach Thunderbird.

Wenn Sie Thunderbird 78 mit einem existierenden Profil starten und Enigmail in der vorherigen Version installiert war, erkennt Thunderbird 78, dass das bisherige Add-on Enigmail 2.1.x nicht kompatibel ist. Thunderbird sollte dann automatisch nach einer neueren Version suchen, Enigmail 2.2.x finden und installieren. Enigmail öffnet anschließend automatisch einen „Begrüßungs-Tab“ mit dem Hinweis, dass eine Migration möglich ist, und bietet gleichzeitig an, diese zu starten.

Enigmail verwendete das separate Programm GnuPG zum Speichern und Verwalten aller Schlüssel und Vertrauenseinstellungen. Wenn Sie auf die Schaltfläche zum Starten der Migration klicken, wird nacheinander jeder Ihrer alten Schlüssel durch die Enigmail-Migrationssoftware aus GnuPG ausgelesen. Sie müssen für jeden einzelnen Schlüssel das zugehörige Passwort eingeben, um den Export Ihrer Schlüssel aus GnuPG zu bestätigen und dadurch das Entsperren der Schlüssel zu erlauben, damit der Import in den neuen internen Schlüsselspeicher von Thunderbird stattfinden kann.

Thunderbird 78 benutzt andere Einstellungen als Enigmail. Mit Enigmail konnten Sie OpenPGP für ein E-Mail-Konto aktivieren, aber das Programm wählte automatisch, welcher Ihrer Schlüssel verwendet wurde. Thunderbird 78 kombiniert diese Einstellungen. Sie müssen aber in Thunderbird 78 den persönlichen Schlüssel, den Sie verwenden möchten, um OpenPGP für ein E-Mail-Konto zu aktivieren, selbst einstellen.

Wenn Sie also vorher die automatische Auswahl des Schlüssels durch das Programm verwendet hatten, wurde während der Migration möglicherweise noch kein Schlüssel ausgewählt. Prüfen Sie deshalb nach der Migration die Konfiguration aller Ihrer E-Mail-Konten und Identitäten und wählen Sie – falls erforderlich – manuell den entsprechenden Schlüssel.

Trotz erfolgreicher Enigmail-Migration können Sie OpenPGP immer noch nicht verwenden.

Wenn Sie Enigmail für ein E-Mail-Konto in Thunderbird 68 aktiviert und die Einstellung „E-Mail-Adresse dieses Kontos verwenden, um OpenPGP-Schlüssel zu identifizieren“ aktiviert haben, wird OpenPGP in Thunderbird 78 möglicherweise nicht automatisch aktiviert. Sie müssen in den Konten-Einstellungen den OpenPGP-Schlüssel manuell für jedes Konto und jede Identität auswählen, die OpenPGP verwenden werden. Leider werden die Schlüssel bei der Enigmail-Migration nicht automatisch für Sie ausgewählt.

Kann die Migration wiederholt werden?

Tritt bei der Migration ein Problem auf, kann sie wiederholt werden. Mögliche Gründe sind Programmfehler oder eine Teilmigration der Schlüssel aufgrund von vergessenen Passwörtern. Um die Migration zu wiederholen, klicken Sie oben im Thunderbird-Fenster in der Menüleiste auf Extras und wählen Sie dort den Menüpunkt „Enigmail-Einstellungen migrieren“.
Hinweis: Wenn Sie das Betriebssystem Windows oder Linux nutzen und die Thunderbird-Menüleiste ausgeblendet ist, klicken Sie mit der rechten Maustaste oben in einen leeren Bereich zwischen den offenen Tabs und den Statusanzeigen. Klicken Sie im sich öffnenden Kontextmenü auf Menüleiste, dadurch wird die Menüleiste dauerhaft angezeigt.

Beim Versuch, eine Datei mit öffentlichen Schlüsseln zu importieren, erhalten Sie die Fehlermeldung, dass die Datei zu groß sei.

Bitte lesen Sie dazu die Antwort auf die nächste Frage.

Sie verwendeten OpenPGP mit GnuPG bereits in einem anderen E-Mail-Programm. Wie können Sie Ihre Schlüssel nach Thunderbird 78 migrieren?

Sie müssen Ihre Schlüssel zuerst aus der bisher verwendeten Software exportieren, um sie anschließend in Thunderbird importieren zu können.

Eine Möglichkeit zum Exportieren Ihrer persönlichen Schlüssel besteht darin, sie durch einen Befehl in der Eingabeaufforderung in eine Datei zu exportieren. Um Ihre von GnuPG verwalteten Schlüssel in die Datei my-secret-keys.asc zu exportieren, verwenden Sie den Befehl:
gpg --export-secret-keys --armor > my-secret-keys.asc

Anschließend können Sie diese Schlüssel mit einer der folgenden Möglichkeiten in Thunderbird importieren. Wählen Sie zuerst das gewünschte Konto.

  • Über die OpenPGP-Schlüsselverwaltung:
    Wählen Sie in der Thunderbird-Menüleiste das Menü Extras und klicken Sie auf den Menüpunkt „OpenPGP-Schlüssel verwalten“. Klicken Sie im sich öffnenden Fenster auf Datei, wählen Sie Geheime(n) Schlüssel aus Datei importieren und klicken Sie im sich öffnenden Dialog auf die Schaltfläche Datei für den Import auswählen…. Wählen Sie dann die vorher erstellte Datei aus.
  • Über die Konten-Einstellungen:
    Wählen Sie in der Thunderbird-Menüleiste das Menü Extras, klicken Sie auf den Menüpunkt „Konto-Einstellungen“, dann links auf den Eintrag „Ende-zu-Ende-Verschlüsselung“ und anschließend auf der rechten Seite auf die Schaltfläche Schlüssel hinzufügen…. Wählen Sie im sich öffnenden Dialog die Option Bestehenden OpenPGP-Schlüssel importieren.

Da Ihre Schlüsselsammlung wahrscheinlich nur aus einer kleinen Anzahl persönlicher Schlüssel besteht, sollte dieses Vorgehen für Sie funktionieren.

Auf ähnliche Weise können Sie auch die öffentlichen Schlüssel Ihrer E-Mail-Partner exportieren, indem Sie diesen Befehl eingeben:
gpg --export --armor > all-public-keys.asc

Der Versuch, sehr viele Schlüssel zu importieren, wird allerdings aufgrund einer aktuellen Beschränkung in Thunderbird scheitern, denn derzeit kann Thunderbird keine großen Schlüsselsammlungen in einem einzigen Schritt importieren. Deshalb werden Importe von Dateien größer als 5 MB abgewiesen.

Mit diesen beiden Möglichkeiten umgehen Sie das Problem:

  • Sie benutzen eine separate Schlüsselverwaltung für GnuPG, um Ihre Schlüssel in mehrere kleinere Dateien zu exportieren. Wenn Ihre komplette Schlüsseldatei z. B. eine Gesamtgröße von 17 MB hätte, erstellen Sie vier separate Exportdateien, von denen jede ein Viertel der Schlüssel enthält. Dieses Vorgehen ist allerdings etwas umständlich.
  • Alternativ können Sie mithilfe der „Migrations-Version“ des Add-ons Enigmail 2.2.x Ihre öffentlichen Schlüssel in Thunderbird importieren. Dies funktioniert selbst dann, wenn Sie Enigmail vorher nicht benutzt haben.
    Suchen Sie dazu in Thunderbird 78 das Add-on Enigmail über ExtrasAdd-onsWeitere Add-ons finden. Dabei wird Ihnen die „Migrations-Version“ Enigmail 2.2.x angeboten. Installieren Sie das Add-on, klicken Sie danach in der Menüleiste auf Extras und wählen Sie dort den Eintrag „Enigmail-Einstellungen migrieren“.

Bitte beachten Sie, dass dies – je nach der Konfiguration Ihrer GnuPG-Software – möglicherweise fehlschlagen kann. Deshalb gibt es keine Garantie, dass dieses Vorgehen funktioniert.

Bei korrekter Installation der GnuPG-Software wird sie durch die „Migrations-Version“ des Add-ons Enigmail 2.2.x gefunden und alle Schlüssel werden der Reihe nach in Thunderbird importiert. Die oben beschriebene Beschränkung durch die Dateigröße ist in diesem Fall bedeutungslos.

Enigmail meldet, dass der Import Ihres geheimen Schlüssels fehlgeschlagen ist.

Diese Fehlermeldung kann bedeuten, dass Sie versuchen, einen geheimen Schlüssel zu importieren, der noch nicht von der intern benutzten Krypto-Bibliothek „RNP“ unterstützt wird. Eine weitere mögliche Ursache könnte eine unvollständige Installation der GnuPG-Software auf Ihrem Computer sein, besonders dann, wenn Sie beim Exportieren Ihres geheimen Schlüssels nicht zur Eingabe eines Passworts aufgefordert wurden. Diese Ursache kann allerdings ausgeschlossen werden, wenn Sie Enigmail erst kürzlich erfolgreich auf Ihrem Computer benutzt haben.

Mit diesen Schritten können Sie prüfen, ob GnuPG korrekt installiert wurde:

  1. Installieren Sie Thunderbird 68 in einem gesonderten Verzeichnis.
  2. Erstellen Sie ein neues separates Profil für Thunderbird.
  3. Starten Sie Thunderbird mit dem Parameter -P und dem zuvor erstellten separaten Profil. (Dazu ist kein E-Mail-Konto erforderlich, Sie können diesen Vorschlag also einfach ignorieren.)
  4. Installieren Sie nun Enigmail in diesem neuen Thunderbird-Profil und führen Sie den Einstellungs-Assistenten von Enigmail aus, um GnuPG korrekt zu installieren.

Wenn dieses Vorgehen nicht hilft, lesen Sie bitte die englischsprachige Seite Troubleshooting der Enigmail FAQ.

Welche OpenPGP-Schlüsseltypen werden unterstützt?

Bitte beachten Sie: Thunderbird nutzt die interne Bibliothek „RNP“, die einige Schlüsseltypen noch nicht unterstützt. Möglicherweise funktionieren deshalb einige von GnuPG/Enigmail unterstützte Schlüssel in Thunderbird 78 nicht, dies betrifft vor allem Schlüssel mit einer erweiterten Struktur.
Für geheime Schlüssel können Sie das Problem vielleicht lösen, indem Sie Thunderbird so konfigurieren, dass er für geheime Schlüssel GnuPG benutzt (wie im nächsten Abschnitt beschrieben).

Folgende Schlüssel werden von Thunderbird standardmäßig nicht oder noch nicht unterstützt:
  • Bestimmte unvollständige Schlüssel, z. B. solche, bei denen der geheime Schlüssel (Hauptschlüssel) nur auf einem externen Speichermedium gespeichert ist (Smartcard, USB-Stick etc.),
  • Schlüsselpaare, die vollständig nur auf einem externen Speichermedium gespeichert sind,
  • Schlüssel, die für einen Unterschlüssel ein anderes Passwort verwenden,
  • Schlüssel, die den (veralteten) Hash-Algorithmus MD5 verwenden,
  • Bestimmte andere Schlüssel, die von „RNP“ möglicherweise noch nicht unterstützt werden.
Informieren Sie uns bitte, wenn Sie einen Schlüssel besitzen, der nicht mit Thunderbird funktioniert, indem Sie uns – wenn möglich – eine Kopie Ihres öffentlichen Schlüssels senden. Bitte achten Sie unbedingt darauf, dass Sie uns NIEMALS einen Ihrer geheimen Schlüssel senden!

Sie haben Ihren geheimen Schlüssel importiert, aber Thunderbird kann Ihre E-Mails nicht entschlüsseln

Vielleicht haben Sie den falschen Schlüssel importiert? Um sicherzustellen, dass Sie tatsächlich den richtigen Schlüssel importiert haben, folgen Sie diesen Schritten:

  1. Klicken Sie in Thunderbird auf eine Nachricht, die Ihrer Meinung nach entschlüsselt werden sollte, die Sie aber nicht entschlüsseln können.#
  2. Klicken Sie auf die Menüschaltfläche > Speichern als > Datei… und speichern Sie die Nachricht in einer Datei auf Ihrer Festplatte (z. B. /tmp/test.eml).
  3. Öffnen Sie ein Terminal und führen Sie diesen Befehl aus: gpg --list-packets /tmp/test.eml
    Danach sollten Sie eine Liste mit Schlüssel-IDs erhalten, die zum Entschlüsseln der Nachricht verwendet werden können (verschlüsselt mit ... ID ...).
  4. Gehen Sie anschließend zu Thunderbird zurück: Menüschaltfläche > Extras > OpenPGP-Schlüssel verwalten.
  5. Doppelklicken Sie für jeden verfügbaren geheimen Schlüssel (fett dargestellt) auf den Schlüssel, um seine Eigenschaften anzuzeigen, und klicken Sie dann auf den Tab Struktur.

Sehen Sie in der Liste die Schlüssel-ID, die Sie oben im Terminal von gpg erhalten haben? Sie müssen die geheimen Schlüssel für mindestens eine der von gpg angezeigten IDs haben.

  • Wenn Sie keinen passenden geheimen Schlüssel haben, können Sie die Nachricht nicht entschlüsseln.
  • Liegt Ihnen dagegen ein passender geheimer Schlüssel vor, aber Thunderbird kann die Nachricht immer noch nicht entschlüsseln, erstellen Sie bitte hier in Bugzilla einen Fehlerbericht zu Thunderbird mit weiteren Einzelheiten über diesen Schlüssel.

Was können Sie tun, wenn Ihr geheimer Schlüssel nicht von Thunderbird unterstützt wird?

Thunderbird 78 ermöglicht den Einsatz der externen Software GnuPG, um Ihre dort gespeicherten geheimen Schlüssel für digitale Signaturen und zur Entschlüsselung eingehender Nachrichten zu benutzen.

Dadurch können Sie Smartcards oder andere Hardware-Schlüssel (Token) benutzen, auf denen ein geheimer Schlüssel liegt, oder die Software für Schlüssel verwenden, die in Dateien auf Ihrem Computer gespeichert sind und von Thunderbirds integrierter OpenPGP-Implementierung nicht unterstützt werden.

Sie müssen die erforderliche Software GnuPG allerdings selbst installieren und konfigurieren, da eine Verteilung zusammen mit Thunderbird nicht möglich ist. Deshalb ist diese Funktion auch nicht standardmäßig aktiviert. Informationen zur Installation erhalten Sie im nächsten Abschnitt (Verwendung von OpenPGP mit einer Smartcard oder einem Hardware-Schlüssel).

Bitte beachten Sie, dass die öffentlichen Schlüssel und deren Einstellungen (zur Verschlüsselung ausgehender E-Mails und zur Verifizierung erhaltener digitaler Unterschriften) immer durch den internen Code von Thunderbird verarbeitet werden.

Können Sie unter Thunderbird 78 OpenPGP mit einer Smartcard oder einem Hardware-Schlüssel verwenden?

Ja. Thunderbird 78 bietet dazu eine optionale Funktion an. Allerdings müssen Sie GnuPG und jede andere zusätzlich erforderliche Software selbst installieren. Weitere englischsprachige Informationen erhalten Sie hier.

Wie versenden Sie eine verschlüsselte oder digital signierte E-Mail?

Stellen Sie sicher, dass Sie Ihren geheimen Schlüssel für Ihr E-Mail-Konto bzw. Ihre Identität konfiguriert haben. Beim Verfassen einer E-Mail aktivieren Sie den gewünschten Schutz entweder in der Menüleiste durch einen Klick auf das Menü Optionen oder (sofern eingeblendet) in der Verfassen-Symbolleiste durch einen Klick auf die Schaltfläche Sicherheit. Anschließend können Sie die gewünschte Verschlüsselung jeweils im Unterpunkt Verschlüsselungs-Technologie wählen.

Was benötigen Sie zum Versenden einer verschlüsselten Nachricht?

  • Ihr geheimer Schlüssel muss konfiguriert und ausgewählt sein.
  • Sie müssen einen akzeptierten öffentlichen Schlüssel für jeden Empfänger der verschlüsselten Nachricht besitzen, die Sie senden möchten. Öffentliche Schlüssel sind häufig als Anhang in den E-Mails Ihrer E-Mail-Partner enthalten. Weitere Informationen zum Abrufen öffentlicher Schlüssel von anderen Personen finden Sie in einem anderen Abschnitt dieses Artikels.
  • Sie müssen sicherstellen, dass die öffentlichen Schlüssel Ihrer E-Mail-Partner tatsächlich diesen Partnern gehören. Wenn Sie den öffentlichen Schlüssel einer Person akzeptieren, ohne ihn überprüft und verifiziert zu haben, gefährden Sie Ihre vertrauliche Kommunikation durch einen „Man-in-the-Middle“-Angriff.
  • Wenn Sie nicht für jeden Empfänger einen öffentlichen Schlüssel besitzen, wird Thunderbird das Senden Ihrer Nachricht blockieren und Sie darüber informieren. Sie können dann selbst entscheiden, ob Sie die Nachricht entweder gar nicht senden möchten, oder ob Sie die Verschlüsselung deaktivieren und die Nachricht ungeschützt senden.

Was bedeutet das Akzeptieren eines Schlüssels?

Technisch gesehen kann jeder einen OpenPGP-Schlüssel mit einem beliebigen Namen und einer beliebigen E-Mail-Adresse erstellen und es gibt keine Möglichkeit, dies einzuschränken oder gar zu verhindern. Wenn Sie also den öffentlichen Schlüssel eines Kontakts erhalten, laufen Sie Gefahr, dass es sich um einen gefälschten Schlüssel und somit einen Betrugsversuch handeln könnte. Solange Sie den Schlüssel Ihres Kontakts nicht überprüft und verifiziert haben, sollten Sie keine vertraulichen Nachrichten übermitteln, da Sie durchaus Opfer eines Man-in-the-Middle-Angriffs (MITM) werden könnten. Sie müssen selbst entscheiden, ob Sie bei einem Ihrer Kontakte diese Angriffsmöglichkeit für wahrscheinlich halten.

Wenn Sie einen Schlüssel akzeptieren, bedeutet es, dass Sie diesen Schlüssel verwenden möchten, um verschlüsselte Nachrichten an diesen Kontakt zu senden. Beim Erhalt einer E-Mail von einem Kontakt bestimmt dann Ihre Entscheidung über das Akzeptieren des Schlüssels, wie die digitale Signatur angezeigt wird. Nur Signaturen von akzeptierten Schlüsseln werden als gültig angezeigt.

Warum müssen Sie Ihren eigenen geheimen Schlüssel als persönlichen Schlüssel akzeptieren?

Dies betrifft einen theoretischen Angriff. Thunderbird behandelt persönliche Schlüssel anders als sonstige Schlüssel. Das Programm vertraut den persönlichen Schlüsseln uneingeschränkt und überspringt die sonst üblichen Fragen nach der Akzeptanz (überprüft, nicht überprüft, usw.).

Theoretisch könnte ein potentieller Angreifer einen Schlüssel im Namen eines Ihrer Kommunikations-Partner erzeugen, Ihnen diesen Schlüssel zusenden und Sie verleiten, diesen Schlüssel zu importieren. Wenn Sie aber bestätigen müssen, dass ein geheimer Schlüssel Ihr eigener Schlüssel ist, werden Sie mit ziemlicher Sicherheit bemerken, dass dies keiner Ihrer eigenen Schlüssel ist und deshalb sehr wahrscheinlich seine Verwendung als Ihren persönlichen Schlüssel ablehnen. Dieses Vorgehen ähnelt dem GnuPG-Modell namens ownertrust ultimate, das so viel bedeutet wie „absolutes Vertrauen in den Besitzer“.

Warum ist die Verschlüsselung automatisch aktiv, wenn Sie auf eine verschlüsselte Nachricht antworten?

Wenn Sie auf eine E-Mail antworten, wird standardmäßig die empfangene Information als Zitat in Ihre Antwort aufgenommen. Ihr E-Mail-Partner hatte wahrscheinlich gute Gründe, um seine Nachricht zu verschlüsseln. Sie sollten deshalb sehr vorsichtig sein, wenn Sie die empfangene Information (den vom Absender der E-Mail gesendeten Originaltext) in eine neue Nachricht aufnehmen, die Sie versenden möchten. Wir empfehlen dringend, in diesen Fällen auch hier die Verschlüsselung zu verwenden. Wenn Sie – aus welchen Gründen auch immer – Ihre Nachricht nicht verschlüsseln können und deshalb beabsichtigen, ohne Verschlüsselung zu antworten, sollten Sie zur Sicherheit die komplette zitierte Information aus Ihrer Antwort löschen.

Wie erhalten Sie die öffentlichen Schlüssel Ihrer Partner?

Wenn Ihnen Ihr E-Mail-Partner eine E-Mail mit einem angehängten öffentlichen Schlüssel sendet (entweder als normalen Anhang oder in einem versteckten E-Mail-Header nach dem Autocrypt-Standard), bietet Ihnen Thunderbird den Import dieser Schlüssel an.

Sie können versuchen, Schlüssel online anhand der E-Mail-Adresse zu ermitteln. Klicken Sie dazu in der Nachricht, die Sie gerade lesen, mit der rechten Maustaste auf die E-Mail-Adresse und anschließend im sich öffnenden Kontextmenü auf OpenPGP-Schlüssel suchen. Derzeit startet dadurch eine Suche nach veröffentlichten Schlüsseln mithilfe des WKD-Protokolls und sucht nach Schlüsseln auf dem öffentlichen Schlüsselserver keys.openpgp.org.

Den gleichen Mechanismus können Sie mit der OpenPGP-Schlüsselverwaltung nutzen, mit der Sie mit einer E-Mail-Adresse, einer Schlüssel-ID oder einem Fingerprint nach einem öffentlichen Schlüssel suchen können. Wählen Sie dazu in der Menüleiste Extras, klicken Sie im sich öffnenden Kontextmenü auf OpenPGP-Schlüssel verwalten, dann im sich öffnenden Dialog auf Schlüsselserver und Schlüssel online finden.

Außerdem können Sie diesen Suchmechanismus benutzen, wenn Sie vergeblich versucht haben, eine verschlüsselte E-Mail zu senden und nun nach der fehlenden Schlüsselinformation suchen. Wenn ein Schlüssel im Internet veröffentlicht wurde, können Sie ihn herunterladen und mithilfe der OpenPGP-Schlüsselverwaltung die heruntergeladene Datei mit dem Schlüssel zu importieren. Oder Sie versuchen, den Schlüssel von einer bekannten Internetadresse (URL) zu laden.

Enigmail hatte auch angeboten, auf Schlüsselservern zu suchen, die Schlüssel nicht verifiziert hatten. Derzeit bietet Thunderbird diese Möglichkeit nicht an, da in jüngerer Vergangenheit immer wieder Probleme mit solchen Schlüsselservern auftraten. Sollten Sie einen Schlüssel von einem Schlüsselserver benötigen, der aktuell von Thunderbird 78 nicht unterstützt wird, müssen Sie ihn mit einer anderen Software abrufen, in einer Datei speichern und anschließend mit der OpenPGP-Schlüsselverwaltung in die öffentliche Schlüsseldatei importieren.

Mit diesem gpg-Befehl können Sie die Schlüssel Ihres E-Mail-Partners von anderen Servern abrufen:
gpg --keyserver pgp.key-server.io --armor --export PASTE_KEY_ID_HERE

Kopieren Sie die erhaltenen PGP-Schlüssel in die Zwischenablage und importieren Sie anschließend die Schlüssel von dort. Klicken Sie dazu in der Thunderbird-Menüleiste auf das Menü Extras und dann auf den Menüpunkt „OpenPGP Schlüssel verwalten“, um das gleichnamige Fenster zu öffnen. Klicken Sie dort auf Bearbeiten und wählen Sie die Option „Schlüssel aus Zwischenablage importieren“.

Unterstützt Thunderbird opportunistische oder automatische Verschlüsselung?

Nein. Derzeit muss der Benutzer in Thunderbird die Kontrolle selbst übernehmen und entscheiden, ob und wann die Verschlüsselung benutzt werden soll (bzw. wann nicht), und beim Verfassen einer E-Mail die entsprechenden Optionen auswählen.

Sie hatten das Add-on Enigmail so eingestellt, dass es allen benutzbaren Schlüsseln vertraut. Unterstützt Thunderbird das?

Nein. Für jeden öffentlichen Schlüssel eines E-Mail-Partners, den Sie benutzen wollen oder müssen, verlangt Thunderbird 78, dass Sie diesen Schlüssel mindestens einmal akzeptieren.

Warum aktiviert Thunderbird automatisch die digitale Signatur, wenn Sie die Verschlüsselung aktivieren?

Die Verschlüsselung einer Nachricht allein gewährleistet nur die Vertraulichkeit des Inhalts, sie liefert aber keine zuverlässige Information über den tatsächlichen Absender. Theoretisch könnte Ihnen jemand eine verschlüsselte Nachricht senden, dabei aber den Absender der E-Mail fälschen und bei Ihnen den (falschen) Eindruck einer vertraulichen Kommunikation erwecken. Da eine verschlüsselte E-Mail ohne eine digitale Signatur nicht wirklich sicher ist, empfehlen wir dringend, die E-Mails auch digital zu signieren.

Thunderbird verfügt aktuell über keine Möglichkeit, die automatische Aktivierung digitaler Signaturen zu verhindern. In Zukunft könnte diese Funktion vielleicht als Standardeinstellung integriert werden. Derzeit müssen Sie aber noch in jeder verschlüsselten E-Mail, die Sie ohne digitale Signatur versenden möchten, diese Option vor dem Senden manuell deaktivieren.

Warum sendet Thunderbird Ihren öffentlichen Schlüssel jedes Mal automatisch mit, wenn Sie eine E-Mail digital signieren?

Der wesentliche Aspekt der digitalen Signatur einer Nachricht ist, dass der Empfänger überprüfen kann, ob die digitale Signatur korrekt ist. Eine digitale Signatur kann nur überprüft werden, wenn der öffentliche Schlüssel des Absenders verfügbar ist. Um sicherzustellen, dass die Empfänger Ihrer Nachricht Ihre Signatur prüfen können, sollten Sie immer Ihren öffentlichen Schlüssel mitsenden. Derzeit bieten wir keine Konfigurationsoption an, die verhindert, dass Ihr öffentlicher Schlüssel automatisch zu einer digital signierten Nachricht hinzugefügt wird. Sie müssen deshalb Ihren öffentlichen Schlüssel vor jedem Senden einer Nachricht manuell deaktivieren.

Ihr öffentlicher Schlüssel ist aufgrund vieler Signaturen sehr umfangreich. Er ist zu groß, um ihn jeder signierte Nachricht beizufügen.

Aufgrund von Einschränkungen kann Ihr Schlüssel derzeit nicht automatisch minimiert werden. Wenn Sie vermeiden möchten, dass Ihr großer Schlüssel mit jeder digital signierten Nachricht gesendet wird, sollten Sie mithilfe anderer Programme wie GnuPG Ihren Schlüssel bearbeiten und verkleinern. Wichtig: Erstellen Sie bitte vorher eine zuverlässige Sicherung Ihres geheimen Schlüssels und bewahren Sie ihn an einem sicheren Ort auf. Exportieren Sie danach Ihren Schlüssel und benutzen Sie ein anderes Programm, um ihn zu verkleinern. Löschen Sie dann Ihren geheimen Schlüssel in Thunderbird, importieren den verkleinerten Schlüssel und stellen Sie sicher, dass Sie Ihre Kontoeinstellungen entsprechend anpassen, um den Schlüssel zu verwenden. Eine zukünftige Version von Thunderbird könnte versuchen, den Schlüssel automatisch zu verkleinern, sofern es sinnvoll und möglich ist. Diese Option wird jedoch von der Funktionalität der zukünftigen RNP-Bibliothek abhängen.

Sie hatten vorher eine erweiterte Konfiguration mit GnuPG benutzt, um für eine Gruppe von Empfängern die Schlüssel festzulegen.

Aktuell unterstützt Thunderbird 78 diese Funktion nicht. Es ist geplant, diese zukünftig anzubieten. Der Stand der Entwicklung kann in Bug 1644085 verfolgt werden.

Unterstützt Thunderbird empfängerspezifische Regeln oder Filterregeln, um E-Mails automatisch zu entschlüsseln?

Bitte beachten Sie: Thunderbird unterstützt aktuell keine empfängerspezifischen Regeln oder Filterregeln zum automatischen Entschlüsseln von E-Mails, wie es im Add-on Enigmail möglich ist. Bitte stellen Sie sicher, dass Ihre Einstellungen zur Verschlüsselung und digitalen Signatur wie vorgesehen angewendet werden.

Können Sie die Verschlüsselung des E-Mail-Betreffs deaktivieren?

Nein. Aktuell ist dies nicht möglich.

Unterstützt Thunderbird das "Web-of-Trust"?

Nein. Thunderbird vertraut weder automatisch einem Schlüssel noch akzeptiert er Schlüssel, die von anderen signiert wurden. Selbst wenn Sie angeben, dass Sie den Schlüssel des E-Mail-Partners überprüft haben, fügt Thunderbird Ihre Signatur derzeit nicht hinzu. Das kann sich allerdings in einer zukünftigen Version ändern.

Bei Verwendung des „Migrations-Add-ons“ von Enigmail zum Migrieren öffentlicher Schlüssel in Thunderbird sollte Enigmail selbstständig jene Schlüssel erkennen, die bereits von Ihrem persönlichen Schlüssel signiert wurden, und die entsprechenden Schlüssel automatisch als akzeptierte Schlüssel markieren, damit Sie nicht wieder von vorne beginnen müssen.

Wo speichert Thunderbird, welche Schlüssel akzeptiert werden?

Diese Information wird im Thunderbird-Profilverzeichnis in der Datei „openpgp.sqlite“ gespeichert.

Wo speichert Thunderbird OpenPGP-Schlüssel?

Diese Schlüssel sind im Thunderbird-Profilverzeichnis gespeichert.

Wie können Sie Ihre geheimen oder öffentlichen Schlüssel exportieren?

Wählen Sie das Konto, dessen Schlüssel Sie exportieren möchten. Zum Exportieren haben Sie zwei Möglichkeiten:

  • Über die OpenPGP-Schlüsselverwaltung:
    Wählen Sie in der Thunderbird-Menüleiste das Menü Extras und klicken Sie auf den Menüpunkt „OpenPGP-Schlüssel verwalten“. Suchen Sie im sich öffnenden Fenster den bzw. die zu exportierenden Schlüssel und klicken Sie darauf. Klicken Sie dann auf Datei und wählen Sie je nach Bedarf Schlüssel in Datei exportieren oder Sicherheitskopie für geheime(n) Schlüssel erstellen. Mit der OpenPGP-Schlüsselverwaltung können Sie auch die öffentlichen Schlüssel Ihrer E-Mail-Partner exportieren.
  • Über die Konten-Einstellungen:
    Wählen Sie in der Thunderbird-Menüleiste das Menü Extras, klicken Sie auf den Menüpunkt „Konto-Einstellungen“, dann links auf den Eintrag „Ende-zu-Ende-Verschlüsselung“. Auf der rechten Seite befindet sich neben jedem persönlichen Schlüssel ein kleiner Chevron, auf den Sie klicken können, um die Schlüsselinformationen zu öffnen. Klicken Sie auf die Schaltfläche Mehr, um die Liste der möglichen Aktionen einzublenden, und wählen Sie je nach Bedarf Schlüssel in Datei exportieren oder Sicherheitskopie für geheime(n) Schlüssel erstellen.

Sie müssen sowohl GnuPG als auch Thunderbird parallel nutzen. Können Sie Ihre Schlüssel synchronisieren?

Nein. Aktuell benutzt Thunderbird seine eigene Kopie der Schlüssel und unterstützt keine Synchronisation der Schlüssel mit GnuPG. Die einzige Ausnahme ist der für Chipkarten (Smartcards) angebotene Mechanismus, mit dem von GnuPG verwaltete persönliche Schlüssel verwendet werden können.

Wie wird Ihr geheimer Schlüssel geschützt?

Derzeit importieren Sie Ihren geheimen Schlüssel in Thunderbird, wir entschlüsseln ihn und schützen ihn wieder mit einem neuen, automatisch und zufällig erzeugten Passwort. Dieses automatische Passwort wird für alle geheimen OpenPGP-Schlüssel benutzt, die in Thunderbird verwaltet werden. Sie sollten die Thunderbird-Funktion zur Erzeugung und Nutzung eines Hauptpassworts einsetzen. Ohne Hauptpasswort sind Ihre Open-PGP-Schlüssel in Ihrem Thunderbird-Profilverzeichnis nicht geschützt.

Unterstützt Thunderbird Autocrypt?

Thunderbird unterstützt nicht die Autocrypt-Philosophie, die besagt, dass die Verschlüsselung vollautomatisch erfolgen sollte. Allerdings bietet Thunderbird eingeschränkte Kompatibilität mit E-Mail-Programmen, die Autocrypt unterstützen.

  • Wenn Sie beim Senden einer E-Mail die Option zum Einfügen Ihres öffentlichen OpenPGP-Schlüssels benutzen und Ihr Schlüssel ausreichend einfach ist, um mit Autocrypt kompatibel zu sein, trägt Thunderbird den zugehörigen E-Mail-Header in die ausgehende E-Mail ein, mit dessen Hilfe Ihr E-Mail-Partner Ihren öffentlichen Schlüssel erhalten kann.
  • Wenn Sie eine E-Mail empfangen, die einen öffentlichen Schlüssel in einem Autocrypt-Header enthält, ermöglicht Ihnen Thunderbird den Import dieses Schlüssels.
  • Aktuell unterstützt Thunderbird die Funktion „Gossip“ nicht.

Welche Optionen haben Sie, wenn Sie vorher den sogenannten „Junior-Modus“ von Enigmail verwendeten (grüne, rote, gelbe Symbole)?

Enigmail für Thunderbird 68 bot zwei sehr verschiedene Betriebsarten: Einen klassischen Modus, der in den Einstellungen als „Erzwinge die Nutzung von S/MIME und Enigmail“ beschrieben wurde, und einen sogenannten „Junior-Modus“, der von einer Software der Firma pEp implementiert wurde. Bitte beachten Sie, dass Thunderbird nicht zur Firma pEp gehört oder auf irgendeine Weise mit ihr verbunden ist

Thunderbird 78 bietet den „Junior-Modus“ nicht an, die in Thunderbird integrierte OpenPGP-Funktion gleicht eher dem klassischen Betriebsmodus von Enigmail.

Beim Start von Thunderbird 78 - nachdem Enigmail auf die „Migrations-Version“ 2.2.x aktualisiert wurde – öffnet Enigmail eine Webseite der Firma pEp, von der Sie die aktuelle Version dieser Software herunterladen können. Wenn Sie die pEp-Software nicht installieren möchten, versuchen Sie eine manuelle Migration auf die neu integrierte OpenPGP-Funktion von Thunderbird. Dazu müssen Sie in den Thunderbird-Einstellungen den früheren „Junior-Modus“ mit diesen Schritten deaktivieren:

  1. Klicken Sie in der Menüleiste auf Thunderbird und wählen Sie Einstellungen.Klicken Sie auf die Menüschaltfläche menu button de fx89 und wählen Sie Einstellungen.
  2. Wählen Sie den Abschnitt Allgemein, scrollen Sie dort zum Seitenende und klicken Sie auf die Schaltfläche Konfiguration bearbeiten….
  3. Eine Seite mit einem Warnhinweis öffnet sich. Klicken Sie auf Risiko akzeptieren und fortfahren, um den Konfigurationseditor (die Seite „about:config“) zu öffnen.
  4. Suchen Sie dort die Einstellung extensions.enigmail.juniorMode, doppelklicken Sie auf die Einstellung, ändern Sie im sich öffnenden Dialog den Wert auf 0 (Ziffer „Null“) und bestätigen Sie die Änderung mit einem Klick auf OK.
  5. Schließen Sie danach die Seite „about:config“.

Durch diese Konfigurationsänderung nimmt der Enigmail-Migrations-Assistent an, dass Sie vorher in Enigmail den klassischen Modus verwendet haben.

Starten Sie anschließend Thunderbird neu. Danach wird Ihnen der Migrations-Assistent von Enigmail 2.2.x anbieten, Ihre Schlüssel zu migrieren. Da Enigmail nur Schlüssel und Einstellungen migrieren kann, die von GnuPG verwaltet wurden, kann es die von pEp verwalteten Vertrauenseinstellungen nicht übernehmen. Allerdings sollte Enigmail in der Lage sein, Ihre persönlichen Schlüssel zu migrieren, so dass Sie anschließend die Nachrichten entschlüsseln können, die mit diesen Schlüsseln verschlüsselt wurden. Zusätzlich sollte Enigmail die öffentlichen Schlüssel Ihrer E-Mail-Partner migrieren können, wobei wahrscheinlich die meisten oder vielleicht sogar alle dieser öffentlichen Schlüssel in Thunderbird 78 den Status „nicht akzeptiert“ haben werden. Bevor sie verwendet werden können, müssen Sie deshalb diese Schlüssel erst akzeptieren oder überprüfen.

Wenn Ihnen nach dem Neustart von Thunderbird 78 keine Möglichkeit zur Migration angeboten wird, können Sie die Migration über einen Menüeintrag durchführen. Klicken Sie oben im Thunderbird-Fenster in der Menüleiste auf Extras und wählen Sie dort den Menüpunkt „Enigmail-Einstellungen migrieren“.
Hinweis: Wenn Sie das Betriebssystem Windows oder Linux nutzen und die Thunderbird-Menüleiste ausgeblendet ist, klicken Sie mit der rechten Maustaste oben in einen leeren Bereich zwischen den offenen Tabs und den Statusanzeigen. Klicken Sie im sich öffnenden Kontextmenü auf Menüleiste, dadurch wird die Menüleiste dauerhaft angezeigt.

Sie verwenden Enigmail 2.2.x, um eine Migration durchzuführen, aber der Import scheint gestoppt zu sein.

Wahrscheinlich hat die Software ein Problem festgestellt. Lesen Sie bitte in der Enigmail-Dokumentation den Abschnitt über Fehlerbehebung.

Wo können Sie Fragen zur OpenPGP-Funktion stellen oder Probleme melden?

Wenn Ihr Problem in diesem Artikel oder den verlinkten Dokumenten nicht behandelt wird, lesen Sie bitte den Abschnitt Discussion im englischsprachigen Mozilla-Wiki.

Wie können Sie feststellen, ob Ihr Problem bereits gemeldet wurde?

Starten Sie eine Suche in Bugzilla oder lesen Sie die Übersicht der bereits bearbeiteten Probleme im englischsprachigen Mozilla-Wiki. Die Seite Open issues and TODO list enthält entsprechende Links.

Sie erkennen ein Problem und möchten es selbst analysieren.

Weitere Information dazu erhalten Sie auf der Seite Debugging / Tracing im englischsprachigen Mozilla-Wiki.

Thunderbird wurde automatisch auf Version 78 aktualisiert, Sie möchten aber bei Version 68 und Enigmail bleiben.

Sobald Sie Thunderbird 78 das erste Mal mit einem Profil gestartet haben, können Sie nicht mehr einfach zu Version 68 zurückkehren, denn das Profil wurde für die neue Version migriert. Deshalb weigert sich Thunderbird 68, dieses veränderte Profil zu verwenden und wird nicht starten.

  • Falls Sie eine Kopie Ihres vorherigen Profils erstellt und gesichert haben, können Sie versuchen, es wiederherzustellen. Danach sollten Sie Thunderbird 68 mit diesem vorherigen Profil wieder starten können.
  • Verfügen Sie dagegen über keine Profilsicherung, müssen Sie Thunderbird 68 erneut installieren, ein neues Profil erstellen und anschließend Thunderbird neu konfigurieren.
  • Die Verwendung des Thunderbird-Startparameters --allow-downgrade wird nicht empfohlen, denn dadurch verlieren Sie einige Konfigurations-Einstellungen und müssen mit unerwartetem und unerwünschtem Verhalten rechnen.

Sie haben eine verschlüsselte E-Mail mit einem verborgenen Empfänger (Schlüssel-ID 0x00000000) erhalten und Thunderbird kann sie nicht entschlüsseln.

Diese Funktion wird derzeit noch nicht unterstützt. Sie können die Implementierung dieser Funktion hier nachverfolgen.

War der Artikel hilfreich?

Bitte warten…

Diese netten Menschen haben geholfen, diesen Artikel zu schreiben:

Illustration of hands

Mitmachen

Vergrößern und teilen Sie Ihr Fachwissen mit anderen. Beantworten Sie Fragen und verbessern Sie unsere Wissensdatenbank.

Weitere Informationen