Aktualisierungen als RSS-Feed oder im Changelog.

Privacy-Handbuch

Enigmail ist eine Erweiterung für Mozilla Thunderbird, welche eine Schnittstelle zu GnuPG bereitstellt und den Umgang mit Verschlüsselung im täglichen E-Mail Chaos vereinfacht. Eine Anleitung zur Einrichtung und Verwendung von OpenPGP:
  1. Sichere Konfiguration: Aufgrund des Efail Angriffs auf PGP ist es unbedingt nötig, Thunderbird sicher zu konfigurieren. Anderenfalls könnte ein aktiver Angreifer, der den Inhalt der Mail manipulieren kann, Zugriff auf den Inhalt von verschlüsselten Mail erlangen. Um nicht alle Parameter per Hand anpassen zu müssen, kann man die Datei user.js herunter laden und im Profilverzeichnis von Thunderbird speichern.
  2. Installation von Enigmail: Unter Linux installiert man Enigmail am einfachsten mit dem bevorzugten Paketmanager der Distribution: Ubuntu: > sudo apt install enigmail
    Fedora: > sudo dnf install thunderbird-enigmail
    Unter NetBSD und OpenBSD ist die Integration von Enigmail im der Konfigurationsdatei "mk.conf" zu aktivieren und Thunderbird neu zu compilieren. PKG_OPTIONS.thunderbird=mozilla-enigmail
  3. Unter Windows und MacOS installiert man Enigmail in Thunderbird mit dem Add-on Manager unter "Extras - Add-ons". Mit der Suchfunktion ist "Enigmail" schnell gefunden und installiert. Nach der Installation sollte Thunderbird neu gestartet werden.
    Enigmail installieren

  4. OpenPGP statt PEP: Standmäßig ist nach der Installtion von Enigmail PEP aktiv. Wenn man volle Kontrolle über die Schlüssel haben möchte, den privaten Key mit einem Passwort gegen unbefugte Benutzung schützen will, Backups der Schlüssel speichern oder mehrere Geräte verwenden möchte, dann sollte man OpenPGP verwenden.

    Am einfachsten wechselt man von PEP zu OpenPGP, indem man in den Einstellungen eines Account OpenPGP aktiviert und ein neues Schlüsselpaar erzeugt.
    OpenPGP für einen Account aktivieren
    In den erweiterten Einstellungen könnte man PEP vollständig deaktivieren: extensions.enigmail.juniorMode = 0
  5. Eigene Schlüssel erstellen: Die Schlüsselverwaltung findet man in Thunderbird unter dem Menüpunkt "Enigmail / Schüssel verwalten". Wenn bereits ein automatisch generierter Schlüssel ohne Passwort­schutz vorhanden ist, kann man ihn löschen.
    Enigmail OpenPGP Schlüssel generieren
    Um einen eigenen Schlüssel zu erstellen wählt man den Menüpunkt "Erzeugen -> Neues Schlüsselpaar". Die Voreinstellungen sind sinnvoll. Es wird für die ausgewählte E-Mail Adresse ein RSA Schlüssel mit 4096 Bit generiert, der 5 Jahre gültig ist.
  6. Eigene Schlüssel verteilen: Um einem Kommunikationspartner den eigenen öffentlichen Schlüssel zur Verfügung zu stellen, gibt es mehrere Möglichkeiten:
    • Man kann den eigenen öffentlichen Schlüssel als E-Mail Anhang versenden. Um den Schlüssel als Attachment an eine Mail anzuhängen, aktiviert man die Option "Meinen öffentlichen Schlüssel anhängen" beim Schreiben einer Mail.
    Screenshot

    • Man kann den eigenen Schlüssel auf einem Webserver ablegen. Den Menüpunkt für den Export in eine Datei findet man unter "Datei -> Schlüssel exportieren" in der Schlüssel­verwaltung. Die exportierte Datei kann man zum Download bereitstellen. In der E-Mail Signatur könnte man auf den Download des Schlüssel hinweisen.
    • Zur Verteilung des eigenen Public Key kann man auch die OpenPGP Keyserver im Internet nutzen. In der Schlüssel­verwaltung findet man den Menüpunkt "Schlüssel-Server -> Schlüssel hochladen". Der öffentliche Schlüssel wird auf einen Schlüsselserver exportiert und steht dort allen Partnern zur Verfügung. Die verschiedenen OpenPGP Keyserver synchronisieren ihren Datenbestand.
  7. Import der Schlüssel der Partner: Um an einen Kommunikationspartner verschlüsselte E-Mails zu senden oder die Signatur erhaltener Nachrichten zu prüfen, benötigt man den öffentlichen Schlüssel des Partners bzw. die Schlüssel aller Kommunikationspartner.
    • Wenn man eine E-Mail mit einem OpenPGP Schlüssel als Anhang erhalten hat, kann man den Schlüssel direkt importieren. Mit der rechten Maustaste auf den Anhang klicken und "OpenPGP Schlüssel importieren" wählen.
      OpenPGP Schlüssel importieren

    • Zum Importieren einer Schlüsseldatei, die man sich per Download geholt hat, wählt man in der Schlüsselverwaltung den Menüpunkt "Datei / Importieren".
    • Wenn der Schlüssel als Text angeboten wird, sieht es etwa so aus: -----BEGIN PGP PUBLIC KEY BLOCK-----
      Version: SKS 1.1.1

      mQENBEt5GIIBCACOnOeTtfBIUbdcOmw5DlLuxkQB4uQ/8HbSUaH96s1z
      HqFA/31GB70podyEKqc41T2TDdWWITfdy1dpxeGwopBK/wljPAuNAgJQ
      ....
      fU7xEW/RQT76n0RfTXnbj2m/DRPmoivcXW5G/zJM6QUjl++vO7OB+3xb
      SnDCMQtaWHM57eLcmnsMAK3qHOYlVrNUTSvEgatjUqLU
      =fP9T
      -----END PGP PUBLIC KEY BLOCK-----
      Man kann die Zeilen von BEGIN ...bis... END mit der Maus markieren und in die Zwischen­ablage kopieren. In der Schlüssel­verwaltung findet man den Menüpunkt "Bearbeiten / Aus Zwischenablage importieren" für den Import des Schlüssels.

    • Man kann die OpenPGP Keyserver nach einem passenden Schlüssel durch­suchen. Dabei sollte man nach Möglichkeit den Fingerprint des Schlüssels als Suchkriterium wählen und nicht nur die E-Mail Adresse des Empfängers.

      Hinweis: Beim Upload auf die Keyserver erfolgt keine Verifizierung der Identität der E-Mail Adresse. Jeder kann beliebige Schlüssel auf Keyservern veröffentlichen!

    • Daneben haben Nerds einige Methoden entwickelt, um Schlüssel automatisch zu finden (Auto-Key-Locate). Man kann OpenPGP Schlüssel im DNS suchen oder via Web Key Discovery. In der Praxis sind diese Methoden aber nicht relevant.
  8. Verifizieren der Schlüssel (optional): In der Regel werden die Schlüssel über einen unsicheren Kanal ausgetauscht. Ein Angreifer könnte die Schlüssel manipulieren oder falsche Schlüssel in Umlauf bringen. Für hohe Sicherheitsanforderungen und zum Austausch sensibler Dokumente sollte man die Schlüssel verifizieren.

    Kryptografische Schlüssel verifiziert man in der Regel anhand des Fingerabdruck. Dabei ist der Fingerabdruck der Schlüssel über einen unabhängigen, sicheren Kanal oder bei einem persönlichen Treffen auszutauschen. (Ich habe gewohnheitsmäßig immer ein Zettel mit dem Fingerabdruck meiner PGP Schlüssel in der Tasche.)
    • Den Fingerabdruck des eigenen Schlüssel findet man den "Eigenschaften", die man mit Rechtsklick auf den Schlüssel in der Schlüsselverwaltung öffnen kann.

    • Wenn man den Fingerabdruck von einem Kommunikationspartner erhalten hat, klickt man in der Schlüsselverwaltung mit der rechten Maustaste auf den passenden Schlüssel und wählt den Menüpunkt "Schlüssel signieren".

      Nach dem Vergleich des Fingerabdruck bestätigt man, dass man es gründlich geprüft hat und aktiviert die Option "Lokal signieren". Eine exportierbare Signatur sollte man nur nach Rücksprache mit dem Partner erstellen, wenn es gewünscht wird. (Damit verrät man Kommunikations­beziehungen.) Ein signierter Schlüssel gilt als "vertrauens­würdig" und kann im Web of Trust andere Schlüssel bestätigen.
    OpenPGP Schlüssel signieren

  9. E-Mails verschlüsseln: Wenn man den komlizierten Schlüssel­aus­tausch erledigt hat, funktioniert der Rest weitestgehend automatisch.
    • Wenn man eine verschlüsselte E.Mail erhält, poppt der Dialog zur Eingabe der Passphrase für den eigenen Schlüssel auf und die Mail wird entschlüsselt.
    • Wenn beim Schreiben einer E-Mail die OpenPGP Schlüssel für alle Empfänger gefunden werden, aktivieren sich die Optionen zum Verschlüsseln und Signieren der Mail automatisch. Das Verhalten kann in den Einstellungen angepasst werden.
    Screenshot

  10. Sonderwünsche: Wenn man sich daran gewöhnt hat, E-Mails zu verschlüsseln, dann wird es gelegentlich passieren, dass sich ein Kommunikationspartner beschwert:
    Eyyyh - hör' mal auf alles zu verschlüsseln, kann ich auf dem iPhone nicht lesen.
    Man könnte antworten, dass es nicht dringend ist und später auf einem PC oder Laptop gelesen werden kann. Oder man respektiert den Wunsch und konfiguriert individuelle Regeln für einzelne Empfänger unter "Enigmail -> Empfängerregeln".

    Man kann einen Schlüssel festlegen, wenn die ID im Schlüssel nicht zur verwendeten E-Mail Adresse passt, oder man kann die Standard­einstellungen für einzelne Empfänger wählen, die beim Schreiben einer E-Mail automatisch gesetzt werden sollen.

    (Die Einstellungen betreffen nur die automatisch gesetzten Defaults und können beim Schreiben einer E-Mail bei Bedarf trotzdem individuell angepasst werden.)

    Beispiel: Adele ist etwas älter und kennt kein PGP/MIME sondern nur PGP/Inline:
OpenPGP Schlüssel signieren
Lizenz: Public Domain