Der Artikel enthält Anleitungen zum Einrichten der Einstellungen für die Ende-zu-Ende-Verschlüsselung in den Konten-Einstellungen von Thunderbird. Zur allgemeinen Einführung lesen Sie bitte den Artikel Einführung in Thunderbirds Ende-zu-Ende-Verschlüsselung.

Um die Ende-zu-Ende-Verschlüsselung (E2EE) mit E-Mails nutzen zu können, müssen Sie selbst über die entsprechenden kryptografischen Schlüssel verfügen und diese in den Konten-Einstellungen von Thunderbird unter dem Menüpunkt „Ende-zu-Ende-Verschlüsselung“ einrichten. Mit der Durchführung der Einrichtung der Ende-zu-Ende-Verschlüsselung bestätigen Sie, dass Sie diese Funktionalität nutzen möchten.

Die einzelnen Schritte zur Einrichtung (Konfiguration) hängen von der E2EE-Technologie ab, die Sie verwenden möchten. Sie können wählen, ob Sie nur eine oder beide Technologien einrichten möchten. Die Einrichtung erfolgt getrennt für jedes Konto und jede Identität, da sie unmittelbar und direkt an die jeweilige E-Mail-Adresse gekoppelt ist.

Ihre eigene OpenPGP-Konfiguration

Um verschlüsselte Nachrichten mit Empfängern austauschen zu können, die bereits OpenPGP konfiguriert haben und zur Verschlüsselung nutzen, benötigen Sie selbst ein sogenanntes „persönliches OpenPGP-Schlüsselpaar“ für Ihre E-Mail-Adresse. Thunderbird definiert diesen persönlichen Schlüssel als Schlüsselpaar, bestehend aus Ihrem geheimen Schlüssel, dem dazugehörigen öffentlichen Schlüssel und einer Beschriftung, die Ihre E-Mail-Adresse enthält.

Sollten Sie früher Thunderbird-Version 68 (oder eine ältere Version) mit dem Add-on „Enigmail“ genutzt haben, verfügen Sie möglicherweise bereits über geheime Schlüssel, da mehrere Enigmail-Versionen automatisch geheime Schlüssel erzeugten, ohne Sie vorher zu fragen. Diese Schlüssel können noch auf Ihrem Computer gespeichert sein. Um sie mit der aktuellen Thunderbird-Version wiederzuverwenden, versuchen Sie, die Schlüssel mithilfe der GnuPG-Software zu finden (lesen Sie dazu die entsprechenden Einträge im Artikel OpenPGP in Thunderbird - Leitfaden und häufig gestellte Fragen (FAQs)).

Wenn Sie noch nie eine andere Software zum Erzeugen von OpenPGP-Schlüsseln verwendet haben oder diese lieber nicht wiederverwenden möchten, können Sie solche Schlüssel in den Konten-Einstellungen von Thunderbird unter dem Menüpunkt „Ende-zu-Ende-Verschlüsselung“ selbst erzeugen.

Klicken Sie auf die Schaltfläche Schlüssel hinzufügen… und wählen Sie je nach Bedarf die Option „Neuen OpenPGP-Schlüssel erzeugen“ oder „Bestehenden OpenPGP-Schlüssel importieren“.

Nachdem ein Schlüssel importiert wurde, sollte Ihnen Thunderbird anbieten, ihn als persönlichen Schlüssel für dieses Konto oder diese Identität festzulegen, sofern der Schlüssel zum Zeitpunkt des Imports folgende Anforderungen erfüllt:

• der Schlüssel ist nicht abgelaufen,
• der Schlüssel wurde nicht widerrufen,
• der Schlüssel ist sowohl für die digitale Signatur als auch für die Verschlüsselung gültig und
• der Schlüssel enthält eine Benutzer-ID mit der E-Mail-Adresse des Kontos oder der Identität, die Sie in den Konto-Einstellungen einrichten.

Sobald Sie Ihre Auswahl getroffen haben, ist Ihre eigene Konfiguration zur Sicherheit von E-Mails durch OpenPGP abgeschlossen.

Ihre eigene S/MIME-Konfiguration

Um verschlüsselte Nachrichten mit Empfängern austauschen zu können, die bereits S/MIME konfiguriert haben und zur Verschlüsselung nutzen, benötigen Sie selbst ein persönliches E-Mail-Zertifikat.

Die S/MIME-E-Mail-Verschlüsselungstechnologie basiert auf den Diensten vertrauenswürdiger Drittanbieter, den Zertifizierungsstellen (engl. „Certificate Authorities“ oder kurz „CA“ genannt), von denen Sie ein persönliches Zertifikat für sich selbst beziehen und es in Thunderbird installieren und konfigurieren müssen.

Normalerweise ist es nicht sinnvoll, ein selbstsigniertes Zertifikat für sich zu erstellen, da Ihre E-Mail-Empfänger solche selbstsignierten Zertifikate im Allgemeinen nicht akzeptieren.

Die folgende Anleitung beschreibt die Schritte, die in der Regel zum Erhalt eines persönlichen Zertifikats von einer Zertifizierungsstelle (CA) erforderlich sind:

1. Sie erzeugen zuerst ein rohes kryptografisches Schlüsselpaar, bestehend aus Ihrem geheimen und einem öffentlichen Schlüssel.
2. Sie senden den öffentlichen Schlüssel an eine von Thunderbird unterstützte Zertifizierungsstelle.
3. Die Zertifizierungsstelle signiert Ihren öffentlichen Schlüssel auf ihren eigenen Systemen und fügt ihm weitere Daten hinzu, um Ihr Zertifikat zu erzeugen.
4. Die Zertifizierungsstelle sendet das Zertifikat an Sie zurück.
5. Sie kombinieren das von der Zertifizierungsstelle erhaltene Zertifikat mit dem zuvor von Ihnen erzeugten geheimen Schlüssel. Dadurch wird das Zertifikat nun zu Ihrem persönlichen Zertifikat.
6. Sie importieren Ihr persönliches Zertifikat mit der Zertifikatverwaltung von Thunderbird.
7. Sie öffnen in den Konten-Einstellungen von Thunderbird den Menüpunkt „Ende-zu-Ende-Verschlüsselung“ und wählen im sich öffnenden Tab das persönliche Zertifikat, das Sie mit diesem E-Mail-Konto verwenden möchten (zur Auswahl stehen hier nur solche persönlichen Zertifikate, die von Thunderbird als gültig erkannt werden). Wählen Sie mithilfe der Schaltflächen Auswählen… für die Felder Persönliches Zertifikat für digitale Unterschrift und Persönliches Zertifikat für Verschlüsselung: das gewünschte Zertifikat.

Die Erzeugung von rohen Schlüsselpaaren für S/MIME wird in neueren Thunderbird-Versionen nicht unterstützt, Sie müssen dazu externe Software verwenden.

Einige Zertifizierungsstellen bieten Ihnen an, automatisch ein Schlüsselpaar für Sie zu erzeugen. Auf den ersten Blick mag dies eine bequeme Möglichkeit darstellen, Sie müssen aber bedenken, dass wahrscheinlich auch der geheime Schlüssel für Ihr persönliches Zertifikat auf den Computern der Zertifizierungsstelle erzeugt wird. Dadurch besteht das Risiko, dass jemand eine Kopie des geheimen Schlüssels erhält und speichert. Damit könnten die verschlüsselten Nachrichten, die an Sie gesendet werden, entschlüsselt werden.

Testen Ihrer Einstellungen

Nachdem Sie Ihre eigenen Einstellungen vollständig abgeschlossen haben, sollten Sie diese testen. Versuchen Sie, sich selbst eine verschlüsselte und digital signierte Nachricht zu senden. Verfassen Sie dazu eine neue E-Mail. Falls Sie mehrere Konten oder Identitäten haben, vergewissern Sie sich, dass im Fenster „Verfassen“ die Adresse oben im Absenderfeld Von eine Identität anzeigt, für die Sie die Einrichtung der Ende-zu-Ende-Verschlüsselung bereits abgeschlossen haben.

Geben Sie dann dieselbe E-Mail-Adresse in das Empfängerfeld An ein. Fügen Sie außerdem im Feld Betreff einen Text ein und schreiben Sie eine Testnachricht in das für den Nachrichteninhalt vorgesehene Feld. Aktivieren Sie anschließend die Verschlüsselung: In Thunderbird-Version 102 klicken Sie dazu einfach in der Verfassen-Symbolleiste auf die Schaltfläche Verschlüsselung (in älteren Thunderbird-Versionen klicken Sie in der Symbolleiste auf den Pfeil neben der Schaltfläche Sicherheit und wählen Immer Verschlüsselung verwenden). Senden Sie dann die Nachricht, gehen Sie zu Ihrem Posteingang und rufen Sie neue Nachrichten ab. Nun sollten Sie die Nachricht erhalten, die Sie gerade gesendet haben. Sie sollte als verschlüsselt gekennzeichnet sein (siehe die entsprechenden S/MIME- oder OpenPGP-Beschriftungen im Kopfbereich der Nachricht, auf die Sie klicken können, um detaillierte Informationen anzuzeigen).

Verteilen Ihres öffentlichen Schlüssels oder Zertifikats

Wenn Sie anderen Personen erlauben möchten, verschlüsselte E-Mails an Ihre E-Mail-Adresse zu senden, kann es sinnvoll sein, nicht zu warten, bis Sie nach Ihrem öffentlichen Schlüssel gefragt werden. Sie können nämlich selbst den ersten Schritt machen und sicherstellen, dass andere Personen Ihren öffentlichen Schlüssel oder Ihr Zertifikat erhalten, wenn sie sich entscheiden, verschlüsselte E-Mails an Ihre Adresse zu senden. Eine einfache Möglichkeit, dies zu tun, besteht darin, eine digital signierte E-Mail zu senden.

Wenn Sie eine digital signierte E-Mail mit der OpenPGP-Technologie senden, fügt Thunderbird normalerweise eine Kopie Ihres öffentlichen Schlüssels als kleinen, automatisch hinzugefügten Anhangs hinzu, da der öffentliche Schlüssel benötigt wird, um zu prüfen, ob eine digitale Signatur technisch korrekt und gültig ist.

Wenn Sie eine digital signierte E-Mail mit der S/MIME-Technologie senden, ist Ihr Zertifikat immer enthalten.

Sie können sich dazu entscheiden, die von Ihnen gesendeten E-Mails immer digital zu signieren. Die entsprechenden Einstellungen finden Sie in den Konten-Einstellungen von Thunderbird unter dem Menüpunkt „Ende-zu-Ende-Verschlüsselung“. Denken Sie dabei aber daran, dass Sie, wenn Sie eine E-Mail digital signieren, wahrscheinlich nicht plausibel leugnen können, selbst der Absender einer E-Mail gewesen zu sein, die Sie selbst gesendet haben.

Eine andere Möglichkeit zur Verteilung Ihres öffentlichen OpenPGP-Schlüssels ist die Verwendung eines "Schlüsselservers" (key server). Der unter https://keys.openpgp.org/ verfügbare Schlüsselserver (betrieben und verwaltet von Mitgliedern der OpenPGP-Entwicklergemeinschaft) ist dabei eine gute Wahl. Die Thunderbird-Versionen 78, 91 und 102 können diesen Schlüsselserver mit einer Online-Suche nach fehlenden öffentlichen Schlüsseln abfragen.

Um Ihren Schlüssel zu veröffentlichen, müssen Sie Ihren öffentlichen Schlüssel in eine Datei exportieren, z. B. über das Menü neben Ihrem persönlichen Schlüssel, das in Ihren Konten-Einstellungen von Thunderbird konfiguriert ist, oder über die OpenPGP-Schlüsselverwaltung von Thunderbird. Bitte seien Sie vorsichtig und vergewissern Sie sich, dass Sie den richtigen Befehl verwenden. Um eine Kopie Ihres öffentlichen Schlüssels zu erhalten, die sicher mit anderen geteilt werden kann, verwenden Sie immer einen Befehl, der auf Operationen mit öffentlichen Schlüsseln verweist. Geben Sie NIEMALS Ihren persönlichen geheimen Schlüssel weiter.

Sobald eine Datei mit Ihrem öffentlichen Schlüssel verfügbar ist, können Sie Ihren Schlüssel auch mit jedem anderen für die Dateifreigabe geeigneten Mechanismus verteilen, z. B. indem Sie die Datei auf Ihrer eigenen Website veröffentlichen.