OpenPGP mit Webmail und Mailvelope nutzen

Wie verwende ich OpenPGP mit einem Webmailer und dem Browser-Plugin Mailvelope?

Mailvelope einrichten

Falls Sie Ihr E-Mail-Postfach mittels eines Webmailers mit einem der Browser Firefox, Chrome, Edge oder Brave verwalten, dann haben Sie auch hiermit die Möglichkeit, Ihre E-Mails per OpenPGP digital zu signieren und zu verschlüsseln. Sie benötigen dazu das Browser-Plugin Mailvelope, dessen kostenlose Community-Version Sie über die Add-on-Verwaltung Ihres Browsers installieren können. Zum Einrichten sind die nachfolgend aufgeführten Schritte nötig. Beim erstmaligen Aufruf von Mailvelope gelangt man direkt in den Dialog zum Erstellen eines Schlüsselpaares.

Schlüssel generieren

Generieren Sie nun das Schlüsselpaar für Ihre persönliche @fau.de-Adresse und schützen Sie dabei den privaten Schlüssel mit einem möglichst sicheren Passwort.

Das Hochladen Ihres Schlüssels auf den Mailvelope-Schlüsselserver ist optional. Das erzeugte Schlüsselpaar wird Ihnen wie nachfolgend dargestellt angezeigt.

Das Schlüsselpaar kann nun exportiert werden, wobei der geheime Schlüssel sicher verwahrt werden muss.

Der öffentliche Schlüssel kann nun z.B. im FAU-Schlüsselverzeichnis publiziert werden, um ihn den E-Mail-Programmen Ihrer Kommunikationspartner auch per WKD-Protokoll zugänglich zu machen.

FAUMail und FAUGroupware bei Mailvelope autorisieren

Sie können die Mailvelope-Konfiguration so anpassen, dass Sie Mailvelope auch für die vom RRZE bereit gestellten Webmailer  (FAUMail-Webinterface, Outlook Web App) verwenden können. Im Hauptmenü von Mailvelope finden Sie unter Optionen >> Autorisierte Domains die vorkonfigurierten Webmailer. Hier klicken Sie auf Neuen Eintrag hinzufügen und geben bei Seite den Wert FAUMail ein, und bei Domänenmuster die Werte *.faumail.uni-erlangen.de und *.faumail.fau.de. Analog tragen Sie für die Seite FAUGroupware den Wert *.groupware.fau.de ein.

Schlüsselverzeichnisse festlegen

Unter Optionen >> Schlüsselverzeichnisse können Sie festlegen, wo Mailvelope nach Schlüsseln von Kommunikationspartnern suchen soll. Sinnvoll sind die nachstehend abgebildeten Einstellungen.

Diese Einstellungen wirken sich auf die Schlüsselsuche wie unter Schlüsselverwaltung nach Klick auf Suche ersichtlich wie folgt aus:

Mit FAUMail-Webinterface eine E-Mail signiert und verschlüsselt versenden

Öffnen Sie im FAUMail-Webinterface den Dialog zum Schreiben einer E-Mail. Sie sehen über der rechten oberen Ecke des Eingabefensters für den Inhalt der E-Mail das Mailvelope-Logo.

Wenn Sie dieses anklicken, sehen Sie rechts daneben den Text Sichere E-Mail schreiben und es öffnet sich ein entsprechendes Dialog-Fenster mit dem von Ihnen bei der Mailvelope-Einrichtung gewählten Hintergrund.

Wenn Sie die E-Mail-Adresse der gewünschten Adressatin ins Adressfeld eingeben, wird Ihnen im Falle, dass Sie deren öffentlichen Schlüssel bereits in Ihrer Mailvelope-Schlüsselverwaltung vorliegen haben oder dieser auf einem der konfigurierten Schlüsselserver gefunden wird, Name, E-Mail-Adresse und Schlüssel-Id sofort eingeblendet und Sie können die Angaben direkt übernehmen. Die Adresse der Empfängerin wird Ihnen dann in grün dargestellt, andernfalls in rot mit einem zusätzlichen Hinweis, dass der Versand einer verschlüsselten E-Mail an die Adressatin nicht möglich ist.

 

Wenn Sie nun auf die Schaltfläche Verschlüsseln klicken, dann wird Ihnen der Text der E-Mail PGP/INLINE-verschlüsselt dargestellt.

Wenn Sie einen schützenswerten Anhang beifügen möchten, dann müssen Sie diesen verschlüsselt beifügen, da Mailvelope in der kostenlosen Community-Version kein PGP/MIME unterstützt. Ein Werkzeug zum Signieren und Verschlüsseln von Dateien via OpenPGP liefert Mailvelope unter dem Hauptmenüpunkt Verschlüsseln mit, ein analoges Werkzeug zum Entschlüsseln von Dateien über den Hauptmenüpunkt Entschlüsseln.

Über die Schaltfläche Senden schicken Sie die E-Mail ab.

Mit FAUMail-Webinterface signierte und verschlüsselte E-Mail empfangen

Wenn Sie eine E-Mail, die wie im vorstehenden Abschnitt beschrieben an Sie gesandt wurde, im FAUMail-Webinterface öffnen, dann sehen Sie zunächst statt des Inhalts der E-Mail den in Mailvelope eingestellten Sicherheitshintergrund sowie darübergelegt ein helles Feld mit dem Mailvelope-Logo über dem Text Nachricht anzeigen.

Um den Inhalt der E-Mail zu entschlüsseln und deren Signatur zu prüfen, klicken Sie in dieses Feld. Es öffnet sich ein Dialogfenster, welches die Passphrase zum Entsperren Ihres privaten Schlüssels abfragt.

Nach erfolgreicher Entsperrung sehen Sie den entschlüsselten Inhalt der E-Mail sowie unterhalb des Inhaltsfensters bei erfolgreicher Signaturprüfung einen grünen Punkt neben dem Text Signiert und E-Mail-Adresse mit Schlüssel-Id des Signaturschlüssels.

Hinweis:

Mailvelope hat in der Version 4.6.1 einen Bug, aufgrund dessen trotz korrekter Signatur „Signatur unbekannt … Schlüssel … nicht gefunden“ angezeigt wird, wenn unter Optionen >> Allgemein als Backend OpenPGP.js verwendet wird. Dieses Problem sollte in der Nachfolgeversion behoben sein.

OpenPGP-Schlüsselverzeichnis für FAU-Mitglieder

Was ist das OpenPGP-Schlüsselverzeichnis für FAU-Mitglieder?

Als Alternative zu den X.509-Nutzerzertifikaten für das S/MIME-Verfahren unterstützt das RRZE für die Ende-zu-Ende-Verschlüsselung von E-Mails nun auch den Einsatz von OpenPGP. Um den eigenen OpenPGP-Schlüssel potenziellen Kommunikationspartnern auf sichere Weise bekannt zu machen, betreibt das RRZE einen Verifying Key Server (VKS), auf dem FAU-Mitglieder den Schlüssel für ihre persönliche @fau.de-Adresse sowie für in ihrer Verantwortung befindlicher, nicht personenbezogener Adressen (Funktionsadressen) unter @fau.de im FAU-Schlüsselverzeichnis veröffentlichen können. Damit der Schlüssel über die zugehörige Identität (E-Mail-Adresse) gefunden werden kann, müssen die Adressinhaber:innen zunächst über einen Link in einer Bestätigungsmail ihre E-Mail-Adresse verifizieren. Danach kann der Schlüssel durch eine Suche nach der E-Mail-Adresse gefunden und heruntergeladen werden, und ist zusätzlich von E-Mail-Programmen via WKD-Protokoll abrufbar. Zu den WKD-fähigen E-Mail-Programmen zählen z.B. Mozilla Thunderbird und Microsoft Outlook. Letzteres erhält die entsprechende Funktionalität über das Plugin GpgOL, welches Teil des Gpg4win-Pakets ist.

Wichtiger Hinweis:

Es ist grundsätzlich möglich, auch OpenPGP-Schlüssel für auf .fau.de oder .uni-erlangen.de endende E-Mail-Adressen im FAU-Schlüsselverzeichnis zu veröffentlichen. Via HKP-Protokoll (z.B. Schlüsselsuche im Selfservice oder über HKP-fähige E-Mail-Clients) werden auch solche Schlüssel gefunden. Der Schlüsselabruf mit E-Mail-Clients über das WKD-Protokoll ist allerdings auf E-Mail-Adressen unter @fau.de beschränkt.

OpenPGP-Schlüssel im FAU-Schlüsselverzeichnis verwalten

Wie verwalte ich meine OpenPGP-Schlüssel im FAU-Schlüsselverzeichnis?

Schlüssel veröffentlichen

Der aus der Schlüsselverwaltung des verwendeten E-Mail-Programms exportierte öffentliche Schlüssel kann wie folgt im FAU-Schlüsselverzeichnis veröffentlicht werden. Rufen Sie im Selfservice-Bereich des IdM-Portals die OpenPGP-Schlüsselverwaltung auf, kopieren durch Cut & Paste den Inhalt der exportierten Schlüsseldatei (ASCII-Format) ins Eingabefeld und klicken auf die Schaltfläche Absenden. Alternativ können Sie die Schlüsseldatei direkt hochladen. Der hochgeladene Schlüssel wird in der rechten Spalte durch Angabe seines 40-stelligen Fingerabdrucks angezeigt. Die dem Schlüssel zugeordneten E-Mail-Adressen werden jeweils darunter mit dem Status Unveröffentlicht dargestellt.

Im nächsten Schritt klicken Sie auf das grün unterlegte Haken-Symbol Überprüfen im Menü rechts oben, um die Verifikation der zugeordneten E-Mail-Adresse durchzuführen. Mit dieser Aktion wird eine E-Mail mit einem Bestätigungslink an diese Adresse gesandt.

Wenn Sie Eigentümer dieser E-Mail-Adresse sind, können Sie jeweils den Bestätigungslink anklicken, wodurch der Schlüssel samt zugeordneter E-Mail-Adresse im FAU-Schlüsselverzeichnis veröffentlicht wird.

Links neben dem Fingerabdruck des Schlüssels sehen Sie nun ein grün unterlegtes Schlüssel-Symbol, welches den Status Veröffentlicht darstellt. Nun ist Ihr Schlüssel samt der jeweiligen Identität (E-Mail-Adresse) im Schlüsselverzeichnis veröffentlicht und kann über die Schlüsselsuche im Selfservice gefunden werden. Für E-Mail-Adressen unter @fau.de wird der so veröffentlichte Schlüssel zusätzlich von WKD-fähigen E-Mail-Programmen gefunden (siehe hierzu die Anleitung für Thunderbird und die Anleitung für Outlook).

Veröffentlichten Schlüssel ersetzen

Um einen veröffentlichten Schlüssel durch einen neuen zu ersetzen, laden Sie den neuen Schlüssel hoch und führen für diesen die Verifizierung der zuzuordnenden E-Mail-Adresse(n) wie oben beschrieben durch.

Veröffentlichten Schlüssel für ungültig erklären

Um einen veröffentlichten Schlüssel für ungültig zu erklären, widerrufen Sie diesen z.B. mit Hilfe der Schlüsselverwaltung Ihres E-Mail-Programms und laden den widerrufenen Schlüssel hoch. Dadurch werden die personenbezogenen Informationen (E-Mail-Adressen) des Schlüssels aus dem FAU-Schlüsselverzeichnis entfernt.

Funktionsprinzip von OpenPGP

Was muss ich tun, um OpenPGP zu benutzen?

Um OpenPGP zu benutzen, müssen Sie sich mit Hilfe der Schlüsselverwaltung Ihres E-Mail-Programms zunächst ein OpenPGP-Schlüsselpaar erzeugen, welches aus einem geheimen und einem öffentlichen Schlüssel besteht. Den geheimen Schlüssel müssen Sie sicher verwahren. Damit entschlüsseln Sie an Sie gerichtete, verschlüsselte E-Mails und versehen Ihre ausgehenden E-Mails mit einer digitalen Signatur. Durch dieses „Siegel“ kann der Empfänger überprüfen, ob die E-Mail tatsächlich von Ihnen stammt (Authentizität) und auf dem Übertragungsweg nicht verfälscht wurde (Integrität).

Den öffentlichen Schlüssel müssen Sie ihren Kommunikationspartnern bekannt machen, damit diese Ihnen verschlüsselte E-Mails senden und Ihre digitale Signatur prüfen können. Am einfachsten geht das Veröffentlichen, indem Sie Ihren Schlüssel ins FAU-Schlüsselverzeichnis hochladen. Von dort kann ihn das E-Mail-Programm Ihres Kommunikationspartners beim verschlüsselten Versand an Sie mehr oder weniger automatisch abrufen, je nachdem, wie gut dieses den WKD-Standard unterstützt.

OpenPGP

Mit K-9 Mail eine OpenPGP-signierte und -verschlüsselte E-Mail senden

Wie sende ich mit K-9 Mail eine OpenPGP-signierte und -verschlüsselte E-Mail?

Wir gehen davon aus, dass Sie K-9 Mail und OpenKeychain für die OpenPGP-Nutzung eingerichtet haben.

Erstellen Sie eine neue E-Mail, indem Sie in K-9 Mail über das Stift-Symbol den Verfassen-Dialog öffnen. Beginnen Sie, die E-Mail-Adresse der Empfänger:in einzutippen. Die Autovervollständigung schlägt Ihnen die in Frage kommenden Empfänger:innen vor. Für Empfänger:innen, deren OpenPGP-Schlüssel bereits in OpenKeychain importiert wurde, erscheint am rechten Rand ein Schloss-Symbol und bei Ihrer Absenderadresse sehen Sie ein durchgestrichenes Schloss-Symbol. Dieses zeigt an, dass Ende-zu-Ende-Verschlüsselung für diese Empfänger:in möglich ist. Wenn Sie dieses Symbol anklicken, wird es zu einem grünen Schloss-Symbol, welches eine nun aktivierte Ende-zu-Ende-Verschlüsselung signalisiert. Wenn der Absender verifiziert wurde, dann wird dies rechts neben dem grünen Schloss-Symbol beim Absender durch drei vertikal angeordnete grüne Punkte dargestellt.

Bei der Empfängeradresse sehen Sie gleichzeitig rechts oben eine grüne Ecke. Klicken Sie nun auf den Rechtspfeil im Menü rechts oben, um die E-Mail abzusenden. Nun wird die Passphrase zum Entsperren Ihres geheimen Schlüssels abgefragt, der zum Signieren der E-Mail benötigt wird. Wenn die Entsperrung erfolgreich war, wird die E-Mail signiert und verschlüsselt abgeschickt.

 

K-9 Mail und OpenKeychain für OpenPGP-Nutzung einrichten

Wie richte ich K-9 Mail und OpenKeychain für die OpenPGP-Nutzung ein?

Unter Android stellt K-9 Mail einen der beliebtesten und zudem kostenlos verfügbaren E-Mail-Clients dar. Zusammen mit der ebenso kostenfreien App OpenKeychain für die Schlüsselverwaltung steht eine komfortable OpenPGP-Verwaltung bereit. Beide Apps können über den Google Play Store oder über F-Droid bezogen werden.

In K-9 Mail muss zunächst die Verbindung zu OpenKeychain hergestellt werden. Unter Einstellungen wählen Sie das konfigurierte E-Mail-Konto an und gehen dann auf Ende-zu-Ende-Verschlüsselung. Ist OpenKeychain installiert, dann können Sie dort die Option OpenPGP-Unterstützung aktivieren einschalten.

In OpenKeychain sollten Sie unter Einstellungen zunächst die Schlüsselsuche konfigurieren, indem Sie dort die gewünschten Schlüsselserver angeben. Um nach Schlüsseln von FAU-Mitgliedern im FAU-Schlüsselverzeichnis zu suchen, geben Sie als obersten Server hkps://openpgpkey.fau.de an. Zunächst wird per WKD-Protokoll im Web Key Directory der Domain @fau.de gesucht, das ebenfalls vom FAU-Schlüsselverzeichnis bereitgestellt wird. Anschließend wird über den ganz oben aufgelisteten Schlüsselserver per HKP-Protokoll gesucht, weitere angegebene Server werden (anders als die Beschreibung vermuten lässt) ignoriert.

Nun können Sie mit OpenKeychain Ihr Schlüsselpaar erzeugen oder dort ein bestehendes importieren. Wenn Sie OpenKeychain erstmals aufrufen, werden Ihnen die entsprechenden Menüpunkte direkt angezeigt. Später erreichen Sie diese, indem Sie das Menü Schlüssel anwählen und dann rechts oben unter dem „Drei-Punkte-Menü“ den Punkt Meine Schlüssel verwalten aufrufen.

Ordnen Sie nun in K-9 Mail Ihren Schlüssel Ihrem E-Mail-Konto zu, indem Sie unter Einstellungen Ihr E-Mail-Konto auswählen und dort unter Ende-zu-Ende-Verschlüsselung den Punkt Using key: … aufrufen und über die weiteren Anweisungen den gewünschten Schlüssel auswählen.

Weiterhin müssen Sie die öffentlichen Schlüssel ihrer Kommunikationspartner importieren. Hierzu klicken Sie im Menü Schlüssel auf das Symbol mit dem Plus-Zeichen. Sie haben nun die Wahl zwischen drei verschiedenen Optionen: (1) QR-Code einscannen, (2) Schlüsselsuche und (3) Aus Datei importieren.

Um den öffentlichen Schlüssel eines anderen FAU-Mitglieds zu finden, wählen Sie Option (2). Wenn dieses seinen Schlüssel im FAU-Schlüsselverzeichnis veröffentlicht hat, finden Sie ihn auf diesem Wege. Andernfalls versuchen Sie es mit externen verifizierenden Schlüsselservern wie keys.openpgp.org oder keys.mailvelope.com.

 

 

 

 

 

Den importierten Schlüssel können Sie z.B. durch Abgleich dessen Fingerabdrucks bestätigen:

 

 

 

 

 

Der bestätigte Schlüssel wird durch einen grün unterlegten Haken gekennzeichnet:

 

E-Mail als Anhang weiterleiten

Wie kann ich eine E-Mail als Anhang weiterleiten?

Bei einigen E-Mail-Problemen werden wichtige Informationen einer E-Mail benötigt, welche beim gewöhnlichen Weiterleiten verloren gehen. Deshalb werden Sie manchmal vom RRZE gebeten, eine E-Mail als Anhang bzw. als Anlage weiterzuleiten.

Outlook (Windows)

Wählen Sie die E-Mail aus und gehen Sie über den Reiter Start auf Weitere Antwortaktionen, welches sich in der Gruppierung Antworten neben Weiterleiten befindet. Hier können Sie die E-Mail als Anlage weiterleiten. Nun befindet sich die E-Mail als Outlook-Element im Anhang der neuen Nachricht.

Outlook for Mac

Wählen Sie die entsprechende E-Mail mit Rechtsklick aus und gehen Sie auf Weiterleiten als Anlage. Dadurch öffnet sich eine neue Nachricht mit der gewünschten E-Mail als Anhang.

Mozilla Thunderbird

Wählen Sie die entsprechende E-Mail mit Rechtsklick aus und gehen über Weiterleiten als auf Anhang. Danach ist die E-Mail als eine EML-Datei im Anhang einer neuen Nachricht.

Outlook Web App (OWA)

In der Weboberfläche Ihres Exchange-Postfachs können Sie eine E-Mail einfach per Drag & Drop in eine neue E-Mail ziehen. Dadurch wird die entsprechende E-Mail automatisch an die Nachricht angehängt.

Das geht übrigens auch in den meisten Mailprogrammen.

FAUMail (Dovecot)

Nachdem Sie die E-Mail ausgewählt haben, können Sie über den Aufklapp-Pfeil von Weiterleiten die E-Mail als Anhang weiterleiten.

 

 

Mit Thunderbird eine OpenPGP-signierte und -verschlüsselte E-Mail senden

Wie sende ich mit Thunderbird eine OpenPGP-signierte und -verschlüsselte E-Mail?

Wir gehen an dieser Stelle davon aus, dass Sie sich bereits ein Schlüsselpaar erzeugt und Thunderbird für die OpenPGP-Nutzung eingerichtet haben. Weiterhin sollten Sie den öffentlichen Schlüssel Ihres Kommunikationspartners aus einer verlässlichen Quelle (FAU-Schlüsselverzeichnis, öffentliche Verifying Key Server wie keys.openpgp.org, Download per HTTPS von Webseite des Kommunikationspartners etc.) beschafft haben. Alternativ können Sie diesen auch beim Verfassen-Dialog wie hier beschrieben finden oder bei Thunderbird 102 wie weiter unten auf dieser Seite beschrieben über den OpenPGP-Schlüsselassistenten.

Thunderbird 78 bis 97

Wenn Sie im Menü Verfassen auswählen, dann sollte standardmäßig nur das digitale Signieren der E-Mail aktiviert sein, sofern Sie Thunderbird wie unter dem obigen Link beschrieben eingerichtet haben:

Sie müssen nun die Verschlüsselung über das Menü Sicherheit aktivieren. Wählen Sie Verschlüsselungstechnologie >> OpenPGP sowie Nur mit Verschlüsselung senden aus. In der rechten unteren Ecke des Fensters (rot umrandet) sehen Sie dann ein Siegel-Symbol und ein Schloss-Symbol, und links daneben das eingestellte Verschlüsselungsverfahren (OpenPGP).

Wenn Sie anschließend auf Senden klicken, sollte der Versand erfolgen. Bei der Empfängerin wird die E-Mail wie folgt angezeigt, sofern diese ebenfalls Thunderbird ab Version 78 verwendet:

Der grüne Haken auf dem Schloss-Symbol zeigt an, dass die Verschlüsselung korrekt war. Ein grüner Haken auf dem Siegel-Symbol zeigt an, dass die Signatur gültig ist und der Schlüssel des Kommunikationspartners per Fingerabdruck-Abgleich überprüft wurde.

Anmerkung:

Wenn es sich wie im obigen Beispiel bei der Absenderadresse um eine persönliche Adresse des Empfängers handelt, erscheint hier kein grüner Haken. Wenn man auf das Siegel-Symbol klickt, wird einem dies ausführlich erläutert.

Wie Sie links unten sehen, wurde der öffentliche Schlüssel des Absenders als Anhang beigefügt. Bei Thunderbird ab Version 91 lässt sich dies bei der OpenPGP-Einrichtung unter Erweiterte Einstellungen auch unterdrücken. Klickt die Empfängerin mit der rechten Maustaste auf den Anhang, dann kann sie im Kontextmenü über OpenPGP-Schlüssel importieren diesen bei Bedarf in ihre Thunderbird-Schlüsselverwaltung importieren.

Neuerungen bei Thunderbird 102

Thunderbird bietet in der Version 102 eine deutlich verbesserte Benutzerführung in Bezug auf Ende-zu-Ende-Verschlüsselung. Insbesondere gibt es nun einen OpenPGP-Schlüsselassistenten, der beim Verfassen-Dialog aufgerufen werden kann, nachdem eine oder mehrere Empfängeradressen ins Adressfeld eingegeben wurden.

Wurde die Verschlüsselung standardmäßig ausgeschaltet und ist bereits für jeden der Empfänger ein verwendbarer Schlüssel in der Thunderbird-Schlüsselverwaltung vorhanden, dann erscheint unten eine Hinweiszeile, dass OpenPGP-Verschlüsselung verfügbar ist.

Ist hingegen nicht für jeden Empfänger ein verwendbarer Schlüssel vorhanden, dann kann man über das Menü OpenPGP den Schlüsselassistenten aufrufen.

Dieser bietet die Option Öffentliche Schlüssel online finden an. Dahinter verbirgt sich die Suche im Web Key Directory (WKD), welches für @fau.de-Adressen vom FAU-Schlüsselverzeichnis zur Verfügung gestellt wird.

Wurde die Verschlüsselung standardmäßig eingeschaltet und es ist nicht für jeden Empfänger ein verwendbarer Schlüssel vorhanden, dann wird die betreffende Adresse im Adressfeld gelb unterlegt und mit einem Warnsymbol versehen. Gleichzeitig erscheint unten eine gelb unterlegte Statuszeile, welche ein Problem mit dem Schlüssel von … ausweist. Über die Option Beheben lässt sich wieder der Schlüsselassistent aufrufen und nach einem Schlüssel im WKD suchen.

Schlüsselauswahl bei mehreren gültigen Schlüsseln pro Empfänger

Sind in Ihrer Thunderbird-Schlüsselverwaltung mehrere gültige Schlüssel für einen Empfänger vorhanden, dann entscheidet Thunderbird standardmäßig automatisch, welcher zur Verschlüsselung verwendet wird. Über die Bedienoberfläche gibt es seit Version 78 keine Möglichkeit mehr, diesen Vorgang zu beeinflussen. Sie können allerdings über Einstellungen >> Allgemein >> Konfiguration bearbeiten den Parameter mail.openpgp.alias_rules_file suchen und als dessen Wert den Namen einer Datei im Thunderbird-Profilverzeichnis angeben, und in dieser Datei bestimmten Empfängeradressen einen definierten Schlüssel zuordnen. Nachfolgend ist ein Muster für den Inhalt einer solchen Datei abgebildet.

 

Thunderbird für die OpenPGP-Nutzung einrichten

Wie richte ich Thunderbird für die OpenPGP-Nutzung ein?

Mozilla Thunderbird hat ab Version 78 die Implementierung für den OpenPGP-Standard direkt integriert und benötigt hierfür nicht mehr das Plugin Enigmail, das die Vorgängerversionen verwendeten. Es benutzt nun auch nicht mehr GnuPG, die bekannteste OpenPGP-Implementierung, sondern basiert auf der neueren Implementierung RNP.

Was Sie vom Prinzip her tun müssen, um OpenPGP zu benutzen, finden Sie unter Funktionsprinzip von OpenPGP beschrieben.

Den geheimen Schlüssel müssen Sie dem E-Mail-Konto [1] zuordnen, das Sie für Ihre persönliche @fau.de-Adresse [2] in Thunderbird eingerichtet haben. Dies erledigen Sie, indem Sie bei Thunderbird im Menü Extras (Windows) bzw. Bearbeiten (Linux) den Punkt Konten-Einstellungen anwählen, und dort beim entsprechenden Konto den Punkt Ende-zu-Ende-Verschlüsselung aufrufen. Wenn Sie Ihr Schlüsselpaar mit diesem Thunderbird erzeugt haben, sollte er bereits richtig zugeordnet sein oder Sie können den richtigen Schlüssel hier auswählen. Andernfalls können Sie über Schlüssel hinzufügen und dann Bestehenden OpenPGP-Schlüssel importieren den Schlüssel aus Ihrer beim Erzeugen erstellten Sicherheitskopie importieren.

Setzen Sie außerdem den Haken bei den Optionen Verschlüsselung standardmäßig nicht aktivieren und Eigene digitale Unterschrift standardmäßig hinzufügen.

Bei Thunderbird ab Version 91 gibt es zusätzlich eine Rubrik Erweiterte Einstellungen. Hier können Sie festlegen, ob

  • der eigene Schlüssel einer signierten E-Mail als Anhang beigefügt werden soll (Standard: ja)
  • der Betreff einer OpenPGP-Nachricht verschlüsselt werden soll (Standard: ja)
  • Nachrichtenentwürfe verschlüsselt gespeichert werden sollen (Standard: ja)

Hier können Sie in der Regel die Standardeinstellungen belassen.


[1] oder der entsprechenden Identität des E-Mail-Kontos, falls Sie für dieses mehrere Identitäten eingerichtet haben

[2] oder eine in Ihrer Verantwortung befindliche, nicht personenbezogene @fau.de-Adresse