Wie sende ich mit Thunderbird eine OpenPGP-signierte und -verschlüsselte E-Mail?

Wir gehen an dieser Stelle davon aus, dass Sie sich bereits ein Schlüsselpaar erzeugt und Thunderbird für die OpenPGP-Nutzung eingerichtet haben. Weiterhin sollten Sie den öffentlichen Schlüssel Ihres Kommunikationspartners aus einer verlässlichen Quelle (FAU-Schlüsselverzeichnis, öffentliche Verifying Key Server wie keys.openpgp.org oder keys.mailvelope.com, Download per HTTPS von Webseite des Kommunikationspartners etc.) beschafft haben. Alternativ können Sie diesen auch beim Verfassen-Dialog wie hier beschrieben finden oder bei Thunderbird 102 wie weiter unten auf dieser Seite beschrieben über den OpenPGP-Schlüsselassistenten.

Thunderbird 78 bis 97

Wenn Sie im Menü Verfassen auswählen, dann sollte standardmäßig nur das digitale Signieren der E-Mail aktiviert sein, sofern Sie Thunderbird wie unter dem obigen Link beschrieben eingerichtet haben:

Sie müssen nun die Verschlüsselung über das Menü Sicherheit aktivieren. Wählen Sie Verschlüsselungstechnologie >> OpenPGP sowie Nur mit Verschlüsselung senden aus. In der rechten unteren Ecke des Fensters (rot umrandet) sehen Sie dann ein Siegel-Symbol und ein Schloss-Symbol, und links daneben das eingestellte Verschlüsselungsverfahren (OpenPGP).

Wenn Sie anschließend auf Senden klicken, sollte der Versand erfolgen. Bei der Empfängerin wird die E-Mail wie folgt angezeigt, sofern diese ebenfalls Thunderbird ab Version 78 verwendet:

Der grüne Haken auf dem Schloss-Symbol zeigt an, dass die Verschlüsselung korrekt war. Ein grüner Haken auf dem Siegel-Symbol zeigt an, dass die Signatur gültig ist und der Schlüssel des Kommunikationspartners per Fingerabdruck-Abgleich überprüft wurde.

Anmerkung:

Wenn es sich wie im obigen Beispiel bei der Absenderadresse um eine persönliche Adresse des Empfängers handelt, erscheint hier kein grüner Haken. Wenn man auf das Siegel-Symbol klickt, wird einem dies ausführlich erläutert.

Wie Sie links unten sehen, wurde der öffentliche Schlüssel des Absenders als Anhang beigefügt. Bei Thunderbird ab Version 91 lässt sich dies bei der OpenPGP-Einrichtung unter Erweiterte Einstellungen auch unterdrücken. Klickt die Empfängerin mit der rechten Maustaste auf den Anhang, dann kann sie im Kontextmenü über OpenPGP-Schlüssel importieren diesen bei Bedarf in ihre Thunderbird-Schlüsselverwaltung importieren.

Neuerungen bei Thunderbird 102

Thunderbird bietet in der Version 102 eine deutlich verbesserte Benutzerführung in Bezug auf Ende-zu-Ende-Verschlüsselung. Insbesondere gibt es nun einen OpenPGP-Schlüsselassistenten, der beim Verfassen-Dialog aufgerufen werden kann, nachdem eine oder mehrere Empfängeradressen ins Adressfeld eingegeben wurden.

Wurde die Verschlüsselung standardmäßig ausgeschaltet und ist bereits für jeden der Empfänger ein verwendbarer Schlüssel in der Thunderbird-Schlüsselverwaltung vorhanden, dann erscheint unten eine Hinweiszeile, dass OpenPGP-Verschlüsselung verfügbar ist.

Ist hingegen nicht für jeden Empfänger ein verwendbarer Schlüssel vorhanden, dann kann man über das Menü OpenPGP den Schlüsselassistenten aufrufen.

Dieser bietet die Option Öffentliche Schlüssel online finden an. Dahinter verbirgt sich die Suche im Web Key Directory (WKD), welches für @fau.de-Adressen vom FAU-Schlüsselverzeichnis zur Verfügung gestellt wird.

Wurde die Verschlüsselung standardmäßig eingeschaltet und es ist nicht für jeden Empfänger ein verwendbarer Schlüssel vorhanden, dann wird die betreffende Adresse im Adressfeld gelb unterlegt und mit einem Warnsymbol versehen. Gleichzeitig erscheint unten eine gelb unterlegte Statuszeile, welche ein Problem mit dem Schlüssel von … ausweist. Über die Option Beheben lässt sich wieder der Schlüsselassistent aufrufen und nach einem Schlüssel im WKD suchen.

Schlüsselauswahl bei mehreren gültigen Schlüsseln pro Empfänger

Sind in Ihrer Thunderbird-Schlüsselverwaltung mehrere gültige Schlüssel für einen Empfänger vorhanden, dann entscheidet Thunderbird standardmäßig automatisch, welcher zur Verschlüsselung verwendet wird. Über die Bedienoberfläche gibt es seit Version 78 keine Möglichkeit mehr, diesen Vorgang zu beeinflussen. Sie können allerdings über Einstellungen >> Allgemein >> Konfiguration bearbeiten den Parameter mail.openpgp.alias_rules_file suchen und als dessen Wert den Namen einer Datei im Thunderbird-Profilverzeichnis angeben, und in dieser Datei bestimmten Empfängeradressen einen definierten Schlüssel zuordnen. Nachfolgend ist ein Muster für den Inhalt einer solchen Datei abgebildet.

{
  "description": "Thunderbird OpenPGP Alias Rules",
  "rules": [
    {
      "email": "max.mustermann@fau.de",
      "keys": [
        {
          "description": "Max Mustermann",
          "fingerprint": "C023629567A8FB2DC6F352E6E1C15647C40EC8C9"
        }
      ]
    },
    {
      "email": "maria.musterfrau@fau.de",
      "keys": [
        {
          "description": "Maria Musterfrau",
          "fingerprint": "152ED51DC1270A0FC535EB2F4429EEC396D4AF24"
        }
      ]
    }
  ]
}