Thunderbird stellt alle Features für die Verschlüsselung mit OpenPGP oder S/MIME bereit.
Vorbereitung: sichere Konfiguration
- Der Efail Angriff hat 2018 demonstriert, dass eine sichere Konfiguration des E-Mail Clients notwendige Voraussetzung für sichere OpenPGP oder S/MIME Verschlüsselung ist (E-Mails als Plain Text anzeigen, keine eingebundene Anzeige von Anhängen usw.)
- Thunderbird sichert die privaten Schlüssel mit einer zufälligen Passphrase, die in der Passwortdatenbank gespeichert wird. Es ist daher wichtig, die Passwortdatenbank mit einem Masterpasswort zu sichern, damit die privaten Schlüssel nicht offen rumliegen.
E-Mail Verschlüsselung aktivieren
Um die Verschlüsselung von E-Mails mit OpenPGP oder S/MIME zu aktivieren, muss man in den Kontoeinstellungen eines Account in der Sektion
"Ende-zu-Ende Verschlüsselung" einen
PGP-Schlüssel generieren oder importieren oder ein S/MIME Zertifikat importieren.
Schlüssel verteilen / austauschen
- Damit die Kommunikationspartner verschlüsselt schreiben können, muss man den eigenen öffentlichen Schlüssel verteilen (per Mail oder zum Download anbieten).
- Damit man selbst verschlüsselt schreiben kann, muss man die Schlüssel der Kommunikationspartner in die Schlüsselverwaltung von Thunderbird importieren.
- Die frisch importierten Schlüssel der Partner müssen danach noch akzeptiert bzw. verifiziert werden, bevor man sie zum Verschlüsseln von E-Mails verwenden kann.
Bei modernen Krypto-Messengern wird das im Hintergrund automatisch erledigt. Bei der E-Mail Verschlüsselung muss man sich noch selbst darum kümmern.
Verschlüsselte E-Mail lesen
Verschlüsselte E-Mails werden von Thunderbird automatisch entschlüsselt und angezeigt, wenn man sie öffnet. Man sieht oben rechts im Kopf der E-Mail ein oder zwei kleine Symbole bei verschlüsselten und/oder signierten E-Mails (im Beispiel: verschlüsselt und signiert):
Hinweis: Verschlüsselte E-Mails werden nicht in den globalen Index aufgenommen und können nicht bei einer Suche nach Begriffen aus dem Inhalt der Mail gefunden werden.
Verschlüsselte E-Mails versenden
Wenn man alle Hürden beim Austausch der Schlüssel überwunden hat, kann man beim Schreiben der E-Mail mit einem Klick die OpenPGP bzw. S/MIME Verschlüsselung aktivieren:
(Wenn man auf verschlüsselte E-Mails antwortet, wird die Verschlüsselung automatisch aktiviert.)
Standardmäßig werden verschlüsselte E-Mails auch signiert und die Betreffzeile wird versteckt. Wenn man das OpenPGP Menü aufklappt, kann man die Optionen anpassen: