Die Aktualisierungen gibt es als
RSS-Feed  oder im Changelog.

Privacy Handbuch

Enigmail ist eine Erweiterung für Mozilla Thunderbird, welche eine Schnittstelle zu GnuPG bereitstellt und den Umgang mit Verschlüsselung im täglichen E-Mail Chaos vereinfacht. Eine Anleitung zur Einrichtung und Verwendung von OpenPGP:
  1. Sichere Konfiguration: Aufgrund des Efail Angriffs auf PGP ist es unbedingt nötig, Thunderbird sicher zu konfigurieren. Anderenfalls könnte ein aktiver Angreifer, der den Inhalt der Mail manipulieren kann, Zugriff auf den Inhalt von verschlüsselten Mail erlangen. Um nicht alle Parameter per Hand anpassen zu müssen, kann man die Datei user.js herunter laden und im Profilverzeichnis von Thunderbird speichern.
  2. Installation von Enigmail: Unter Linux installiert man Enigmail am einfachsten mit dem bevorzugten Paketmanager der Distribution: Ubuntu: > sudo apt install enigmail Hinweis: In Fedora Linux hat das Paket "thunderbird-enigmail" zur Zeit keinen Maintainer und deshalb wird es nicht aktualisiert. Mit dem Update auf Thunderbird 68 ist das Paket nicht mehr nutzbar und muss(!) deinstalliert werden. Danach kann man Enigmail über die Add-on Verwaltung von Thunderbird installieren.

    Unter NetBSD und OpenBSD ist die Integration von Enigmail im der Konfigurationsdatei "mk.conf" zu aktivieren und Thunderbird neu zu compilieren. PKG_OPTIONS.thunderbird=mozilla-enigmail
  3. Unter Windows und MacOS installiert man Enigmail in Thunderbird mit dem Add-on Manager unter "Extras - Add-ons". Mit der Suchfunktion ist "Enigmail" schnell gefunden und installiert. Nach der Installation sollte Thunderbird neu gestartet werden.
    Enigmail installieren

  4. OpenPGP statt PEP: Standmäßig ist nach der Installtion von Enigmail PEP aktiv. Wenn man volle Kontrolle über die Schlüssel haben möchte, den privaten Key mit einem Passwort gegen unbefugte Benutzung schützen will, Backups der Schlüssel speichern oder mehrere Geräte verwenden möchte, dann sollte man OpenPGP verwenden.

    Am einfachsten wechselt man von PEP zu OpenPGP, indem man in den Einstellungen eines Account OpenPGP aktiviert und ein neues Schlüsselpaar erzeugt.
    OpenPGP für einen Account aktivieren
    In den erweiterten Einstellungen könnte man PEP vollständig deaktivieren: extensions.enigmail.juniorMode = 0
  5. Eigene Schlüssel erstellen: Die Schlüsselverwaltung findet man in Thunderbird unter dem Menüpunkt "Enigmail / Schüssel verwalten". Wenn bereits ein automatisch generierter Schlüssel ohne Passwort­schutz vorhanden ist, kann man ihn löschen.
    Enigmail OpenPGP Schlüssel generieren
    Um einen eigenen Schlüssel zu erstellen wählt man den Menüpunkt "Erzeugen -> Neues Schlüsselpaar". Die Voreinstellungen sind sinnvoll. Es wird für die ausgewählte E-Mail Adresse ein RSA Schlüssel mit 4096 Bit generiert, der 5 Jahre gültig ist.
  6. Eigene Schlüssel verteilen: Um einem Kommunikationspartner den eigenen öffentlichen Schlüssel zur Verfügung zu stellen, gibt es mehrere Möglichkeiten:
    • Man kann den eigenen öffentlichen Schlüssel als E-Mail Anhang versenden. Um den Schlüssel als Attachment an eine Mail anzuhängen, aktiviert man die Option "Meinen öffentlichen Schlüssel anhängen" beim Schreiben einer Mail.
    Screenshot

    • Man kann den eigenen Schlüssel auf einem Webserver ablegen. Den Menüpunkt für den Export in eine Datei findet man unter "Datei -> Schlüssel exportieren" in der Schlüssel­verwaltung. Die exportierte Datei kann man zum Download bereitstellen. In der E-Mail Signatur könnte man auf den Download des Schlüssel hinweisen.
    • Wenn man eine eigene Webseite hat, kann man den eigenen Schlüssel auf dem Server für "Web Key Discovery" (WKD) aufbereitet zur Verfügung stellen. Mike Kuketz hat dafür eine Anleitung geschrieben. Enigmail und GnuPG können via WKD bereitgestellte Schlüssel automatisch finden.
    • Zur Verteilung des eigenen Public Key kann man auch die OpenPGP Keyserver im Internet nutzen. In der Schlüssel­verwaltung findet man den Menüpunkt "Schlüssel-Server -> Schlüssel hochladen". Der öffentliche Schlüssel wird auf einen Schlüsselserver exportiert und steht dort allen Partnern zur Verfügung.
  7. Import der Schlüssel der Partner: Um an einen Kommunikationspartner verschlüsselte E-Mails zu senden oder die Signatur erhaltener Nachrichten zu prüfen, benötigt man den öffentlichen Schlüssel des Partners bzw. die Schlüssel aller Kommunikationspartner.
    • Wenn der Schlüssel eines Kommunikationspartners automatisch via "Web Key Discovery" (WKD) gefunden wird, muss man sich nicht weiter kümmern.
    • Wenn man eine E-Mail mit einem OpenPGP Schlüssel als Anhang erhalten hat, kann man den Schlüssel direkt importieren. Mit der rechten Maustaste auf den Anhang klicken und "OpenPGP Schlüssel importieren" wählen.
      OpenPGP Schlüssel importieren

    • Zum Importieren einer Schlüsseldatei, die man sich per Download geholt hat, wählt man in der Schlüsselverwaltung den Menüpunkt "Datei / Importieren".
    • Wenn der Schlüssel als Text angeboten wird, sieht es etwa so aus: -----BEGIN PGP PUBLIC KEY BLOCK-----
      Version: SKS 1.1.1

      mQENBEt5GIIBCACOnOeTtfBIUbdcOmw5DlLuxkQB4uQ/8HbSUaH96s1z
      HqFA/31GB70podyEKqc41T2TDdWWITfdy1dpxeGwopBK/wljPAuNAgJQ
      ....
      fU7xEW/RQT76n0RfTXnbj2m/DRPmoivcXW5G/zJM6QUjl++vO7OB+3xb
      SnDCMQtaWHM57eLcmnsMAK3qHOYlVrNUTSvEgatjUqLU
      =fP9T
      -----END PGP PUBLIC KEY BLOCK-----
      Man kann die Zeilen von BEGIN ...bis... END mit der Maus markieren und in die Zwischen­ablage kopieren. In der Schlüssel­verwaltung findet man den Menüpunkt "Bearbeiten / Aus Zwischenablage importieren" für den Import des Schlüssels.
    • Man kann die OpenPGP Keyserver nach einem passenden Schlüssel durch­suchen. Dabei sollte man nach Möglichkeit den Fingerprint des Schlüssels als Suchkriterium wählen und nicht nur die E-Mail Adresse des Empfängers.
    • Daneben haben Nerds einige Methoden entwickelt, um Schlüssel im DNS bereitzustellen. In der Praxis sind diese Methoden aber nicht relevant.
  8. E-Mails verschlüsseln: Wenn man den komlizierten Schlüssel­aus­tausch erledigt hat, funktioniert der Rest weitestgehend automatisch.
    • Wenn man eine verschlüsselte E.Mail erhält, poppt der Dialog zur Eingabe der Passphrase für den eigenen Schlüssel auf und die Mail wird entschlüsselt.
    • Wenn beim Schreiben einer E-Mail die OpenPGP Schlüssel für alle Empfänger gefunden werden, aktivieren sich die Optionen zum Verschlüsseln und Signieren der Mail automatisch. Das Verhalten kann in den Einstellungen angepasst werden.
    Screenshot

    Bei Eingabe einer Empfängeradresse in das Empfängerfeld sendet Enigmail jedes Mal eine Anfrage an der Webserver der Domain der E-Mail Adresse, um via Web Key Directory Lookup nach einem PGP-Schlüssel zu suchen. In 99,99% der Fälle wird das fehlschlagen und ist eigentlich nur ein überflüssiger Connect zu einem Webserver, der überflüssige Einträge in den Logdateien der Server verursacht. Man kann dieses Verhalten mit folgendem Wert in den erweiterten Einstellungen deaktivieren: extensions.enigmail.autoWkdLookup = 0 Der Web Key Directory Lookup dient nur dazu, den Button "Verschlüsseln" automatisch zu aktivieren, hat aber keinen Einfluss auf die Funktionalität, wenn man die Schlüssel ausgetauscht hat.
  9. Verifizieren der Schlüssel (optional): In der Regel werden die Schlüssel über einen unsicheren Kanal ausgetauscht. Ein Angreifer könnte die Schlüssel manipulieren oder falsche Schlüssel in Umlauf bringen. Für hohe Sicherheitsanforderungen und zum Austausch sensibler Dokumente sollte man die Schlüssel verifizieren.

    Kryptografische Schlüssel verifiziert man in der Regel anhand des Fingerabdruck. Dabei ist der Fingerabdruck der Schlüssel über einen unabhängigen, sicheren Kanal oder bei einem persönlichen Treffen auszutauschen. (Ich habe gewohnheitsmäßig immer ein Zettel mit dem Fingerabdruck meiner PGP Schlüssel in der Tasche.)
    • Den Fingerabdruck des eigenen Schlüssel findet man den "Eigenschaften", die man mit Rechtsklick auf den Schlüssel in der Schlüsselverwaltung öffnen kann.

    • Wenn man den Fingerabdruck von einem Kommunikationspartner erhalten hat, klickt man in der Schlüsselverwaltung mit der rechten Maustaste auf den passenden Schlüssel und wählt den Menüpunkt "Schlüssel signieren".

      Nach dem Vergleich des Fingerabdruck bestätigt man, dass man es gründlich geprüft hat und aktiviert die Option "Lokal signieren". Eine exportierbare Signatur sollte man nur nach Rücksprache mit dem Partner erstellen, wenn es gewünscht wird. (Damit verrät man Kommunikations­beziehungen.) Ein signierter Schlüssel gilt als "vertrauens­würdig" und kann im Web of Trust andere Schlüssel bestätigen.
    OpenPGP Schlüssel signieren

  10. Sonderwünsche: Wenn man sich daran gewöhnt hat, E-Mails zu verschlüsseln, dann wird es gelegentlich passieren, dass sich ein Kommunikationspartner beschwert:
    Eyyyh - hör' mal auf alles zu verschlüsseln, kann ich auf dem iPhone nicht lesen.
    Man könnte antworten, dass es nicht dringend ist und später auf einem PC oder Laptop gelesen werden kann. Oder man respektiert den Wunsch und konfiguriert individuelle Regeln für einzelne Empfänger unter "Enigmail -> Empfängerregeln".

    Man kann einen Schlüssel festlegen, wenn die ID im Schlüssel nicht zur verwendeten E-Mail Adresse passt, oder man kann die Standard­einstellungen für einzelne Empfänger wählen, die beim Schreiben einer E-Mail automatisch gesetzt werden sollen.

    (Die Einstellungen betreffen nur die automatisch gesetzten Defaults und können beim Schreiben einer E-Mail bei Bedarf trotzdem individuell angepasst werden.)

    Beispiel: Adele ist etwas älter und kennt kein PGP/MIME sondern nur PGP/Inline:
OpenPGP Schlüssel signieren
Lizenz: Public Domain