Mozilla Thunderbird hat ab Version 78 die Implementierung für den OpenPGP-Standard direkt integriert und benötigt hierfür nicht mehr das Plugin Enigmail, das die Vorgängerversionen verwendeten. Es benutzt nun auch nicht mehr GnuPG, die bekannteste OpenPGP-Implementierung, sondern basiert auf der neueren Implementierung RNP.

Was Sie vom Prinzip her tun müssen, um OpenPGP zu benutzen, finden Sie unter Funktionsprinzip von OpenPGP beschrieben.

Den geheimen Schlüssel müssen Sie dem E-Mail-Konto [1] zuordnen, das Sie für Ihre persönliche @fau.de-Adresse [2] in Thunderbird eingerichtet haben. Dies erledigen Sie, indem Sie bei Thunderbird im Menü Extras (Windows) bzw. Bearbeiten (Linux) den Punkt Konten-Einstellungen anwählen, und dort beim entsprechenden Konto den Punkt Ende-zu-Ende-Verschlüsselung aufrufen. Wenn Sie Ihr Schlüsselpaar mit diesem Thunderbird erzeugt haben, sollte er bereits richtig zugeordnet sein oder Sie können den richtigen Schlüssel hier auswählen. Andernfalls können Sie über Schlüssel hinzufügen und dann Bestehenden OpenPGP-Schlüssel importieren den Schlüssel aus Ihrer beim Erzeugen erstellten Sicherheitskopie importieren.

Setzen Sie außerdem den Haken bei den Optionen Verschlüsselung standardmäßig nicht aktivieren und Eigene digitale Unterschrift standardmäßig hinzufügen.

Bei Thunderbird ab Version 91 gibt es zusätzlich eine Rubrik Erweiterte Einstellungen. Hier können Sie festlegen, ob

• der eigene Schlüssel einer signierten E-Mail als Anhang beigefügt werden soll (Standard: ja)
• der Betreff einer OpenPGP-Nachricht verschlüsselt werden soll (Standard: ja)
• Nachrichtenentwürfe verschlüsselt gespeichert werden sollen (Standard: ja)

Die Betreff-Verschlüsselung ist kein Bestandteil des OpenPGP-Standards. Falls Sie mit Personen kommunizieren, deren E-Mail-Programm die Betreff-Verschlüsselung nicht unterstützt (z.B. Outlook), lassen Sie den Betreff unverschlüsselt. Andernfalls werden diesen Personen im Betreff der empfangenen E-Mail lediglich drei Punkte (‚…‘) angezeigt. Ansonsten können Sie die Standardeinstellungen belassen.

---

[1] oder der entsprechenden Identität des E-Mail-Kontos, falls Sie für dieses mehrere Identitäten eingerichtet haben

[2] oder eine in Ihrer Verantwortung befindliche, nicht personenbezogene @fau.de-Adresse

Um mit Microsoft Outlook die Ende-zu-Ende-Verschlüsselung mittels OpenPGP nutzen zu können, bedarf es etwas Vorbereitung. Zunächst müssen Sie sicherstellen, dass das Paket Gpg4win installiert ist. Dieses stellt u.a. das Plugin GpgOL sowie die Schlüsselverwaltung Kleopatra für Outlook zur Verfügung, die als graphisches Frontend für das darunter liegende GnuPG-System fungiert, welches wiederum die bekannteste Implementierung des OpenPGP-Standards darstellt.

Um GpgOL bei Outlook zu aktivieren, öffnen Sie das Menü Datei und dann Com-Add-Ins verwalten. Die Einstellmöglichkeiten für GpgOL finden Sie in Outlook wie in folgender Abbildung markiert.

GpgOL bzw. das von GpgOL verwendete GnuPG-System sollten wie in den beiden folgenden Screenshots dargestellt konfiguriert werden.

Beim Eingabefeld NAME als voreingestellten Schlüssel benutzen kann man im Falle, dass Kleopatra mehrere gültige Schlüssel für die eigene Identität zur Verfügung hat, einen definierten Schlüssel als Voreinstellung durch Angabe dessen Schlüssel-Id festlegen.

Die Suche nach Schlüsseln im Web Key Directory (WKD) ist implizit aktiv, wenn Gpg4win in der Version 4 installiert ist. Hierzu ist keine weitere Einstellung erforderlich. Outlook/GpgOL findet beim Adressieren von Kommunikationspartnern aus der FAU über deren @fau.de-Adresse deren im FAU-Schlüsselverzeichnis hinterlegten Schlüssel dann automatisch über eine WKD-Abfrage. Analoges gilt auch für die Adressierung von E-Mail-Adressen aus Maildomains anderer E-Mail-Provider, sofern letztere ein WKD zur Verfügung stellen.

Microsoft Outlook sucht nach entsprechender Einstellung des Plugins GpgOL beim Adressieren eines FAU-Mitglieds im Hintergrund automatisch per WKD-Protokoll nach einem OpenPGP-Schlüssel im FAU-Schlüsselverzeichnis, sobald man die Empfängeradresse beim Verfassen einer E-Mail eingegeben hat und mit dem Cursor ins nächste Eingabefeld springt. Falls Sie die Option Neue Nachrichten per Voreinstellung verschlüsseln in der GpgOL-Konfiguration nicht aktiviert haben, müssen Sie beim Dialog Neue E-Mail zum Verfassen einer E-Mail die Verschlüsselung manuell aktivieren, indem Sie dort über das Menü Nachricht und dann in der Symbolleiste rechts auf das Symbol Absichern und danach auf Verschlüsseln klicken.

Wird ein Schlüssel gefunden, wird dieser im Hintergrund in die von Outlook verwendete Schlüsselverwaltung Kleopatra importiert. Dort kann er wie folgt angezeigt werden:

Wie versende ich die E-Mail digital signiert und verschlüsselt?

Beim obigen Verfassen-Dialog erscheint nach dem Klick auf die Schaltfläche Senden folgendes Fenster:

Hat Kleopatra mehrere gültige Schlüssel für den Empfänger, dann lässt sich über die Listenauswahl einer davon auswählen. Gleiches gilt für den eigenen geheimen Schlüssel. Voreingestellt ist hier der gemäß Einstellungen für das GnuPG-System, Eingabefeld NAME als voreingestellten Schlüssel benutzen angegebene Schlüssel. Weiterhin ist es sinnvoll, die E-Mail auch für sich selbst zu verschlüsseln, um sie nicht im Klartext im eigenen Postfach zu speichern.

Klickt man im obigen Fenster nun auf OK, dann wird die E-Mail (nach Abfrage der Passphrase) mit dem eigenen geheimen Schlüssel digital signiert, mit dem ausgewählten Empfängerschlüssel verschlüsselt und versandt. Benutzt der Empfänger ebenfalls Outlook/GpgOL, dann wird ihm die E-Mail wie folgt angezeigt, sofern er dem Schlüssel des Absenders absolut vertraut. Details zu diesem Schlüssel werden dem Empfänger durch Klick auf das rot markierte Schloss-Symbol angezeigt. Dabei sind die Vertrauens- bzw. Sicherheitsstufen bei GpgOL ein Maß für das Vertrauen in den Schlüssel des Kommunikationspartners. Stufe 4 (mit grün unterlegtem Stern-Symbol) wird bei eigenen Schlüsseln oder fremden Schlüsseln, deren Fingerabdruck man selbst überprüft hat, angezeigt. Aus einem WKD bezogene Schlüssel ohne zusätzliche Prüfung des Fingerabdrucks erhalten Stufe 2 (mit grün unterlegtem Haken-Symbol).

Bitte beachten Sie, dass Outlook/GpgOL die Betreffzeile unverschlüsselt lässt und diese daher keine schützenswerte Information enthalten sollte.

Microsoft Outlook/GpgOL verwendet die ebenfalls zum Paket Gpg4win gehörige Schlüsselverwaltung Kleopatra. Um damit ein neues OpenPGP-Schlüsselpaar zu erzeugen, gehen Sie wie folgt vor.

Rufen Sie in Kleopatra das Menü „Datei >> Neues Schlüsselpaar …“ auf.

Wählen Sie Persönliches OpenPGP-Schlüsselpaar erstellen und dann Weiter.

Geben Sie im folgenden Dialog Name und E-Mail-Adresse ein, für die das Schlüsselpaar erstellt werden soll. Setzen Sie den Haken bei Den generierten Schlüssel mit einer Passphrase schützen.

Klicken Sie dann auf Erweiterte Einstellungen. Wählen Sie in der Eingabemaske die Einstellungen wie im folgenden Screenshot dargestellt und klicken dann auf OK.

Geben Sie nun die Passphrase ein, mit welcher der geheime Schlüssel geschützt werden soll und bestätigen Sie diese durch eine nochmalige Eingabe. Wenn Sie auf Weiter klicken, wird das Schlüsselpaar erstellt.

Wählen Sie nun Sicherheitskopie Ihres Schlüsselpaares erstellen … und speichern Sie damit den geheimen Schlüssel auf einem externen Medium, welches Sie sicher verwahren müssen.

Den öffentlichen Schlüssel können Sie exportieren, indem Sie den Schlüssel markieren und mit der rechten Maustaste das Kontextmenü öffnen. Dort wählen Sie Exportieren … und speichern den Schlüssel ebenfalls in einer Datei ab.

Diesen Schlüssel können Sie nun an Ihre Kommunikationspartner verteilen, z.B. indem Sie ihn im FAU-Schlüsselverzeichnis veröffentlichen.

 

 

 

Mit Thunderbird hat man mehrere Möglichkeiten, den OpenPGP-Schlüssel eines anderen FAU-Mitglieds, welches diesen im FAU-Schlüsselverzeichnis veröffentlicht hat, per WKD-Protokoll von dort abzurufen.

1) Über das Kontextmenü im Adressfeld einer E-Mail:

Dort wählen Sie den Menüpunkt OpenPGP-Schlüssel suchen aus und geben die vollständige E-Mail-Adresse des FAU-Mitglieds ins Eingabefeld ein.

Anmerkung: Dieser Menüpunkt steht ab Thunderbird-Version 102 nur dann zur Verfügung, wenn in der Thunderbird-Schlüsselverwaltung noch kein Schlüssel für die betreffende E-Mail-Adresse vorhanden ist.

2) Über das Menü Extras >> OpenPGP-Schlüssel verwalten >> Schlüsselserver >> Schlüssel online finden:

Im folgenden Dialogfeld geben Sie die vollständige E-Mail-Adresse des FAU-Mitglieds ein und bestätigen mit OK.

Damit wird zunächst im WKD nach einem Schlüssel für die eingegebene Adresse gesucht, und danach per VKS-Protokoll auf dem bei Thunderbird standardmäßig eingestellten Schlüsselserver keys.openpgp.org. Falls bei 1) oder 2) ein Schlüssel gefunden wird, sehen Sie folgendes Fenster, das Ihnen den Schlüssel zum Import in die Thunderbird-Schlüsselverwaltung anbietet:

Sie müssen den Schlüssel explizit auf Akzeptiert setzen, damit sie ihn zur Verschlüsselung verwenden können. Wenn Sie mit OK bestätigen, erscheint folgendes Fenster:

Für ein ausreichendes Maß an Sicherheit können Sie hier einfach auf OK klicken.

Falls Sie die Möglichkeit haben, Ihren Kommunikationspartner auf einem anderen Kanal (z.B. Telefon, persönliches Treffen) zu kontaktieren, können Sie für ein erhöhtes Maß an Sicherheit mit ihm den Fingerabdruck seines Schlüssels abgleichen. Dazu wählen Sie hier Details anzeigen und Schlüsselakzeptanz verwalten und nach erfolgreichem Abgleich des Fingerabdrucks im folgenden Fenster die Option ganz unten:

3a) Beim Verfassen einer E-Mail (Thunderbird bis Version 97)

Sie müssen die OpenPGP-Verschlüsselung wie im folgenden Screenshot dargestellt aktivieren.

Wenn Sie nun auf Senden klicken, erscheint zunächst ein Fenster mit einer Fehlermeldung, wenn für die adressierte Empfängerin in der Thunderbird-Schlüsselverwaltung noch kein Schlüssel vorhanden ist. Wenn Sie dieses wegklicken, sehen Sie folgendes Fenster:

Klicken Sie nun auf Schlüssel für gewählten Empfänger verwalten. Es erscheint ein weiteres Fenster:

Hier können Sie nun Neuen oder aktualisierten Schlüssel suchen auswählen. Wird im Schlüsselverzeichnis ein Schlüssel gefunden, erscheint der von oben bekannte Import-Dialog, andernfalls folgendes Fenster:

3b) Beim Verfassen einer E-Mail (Thunderbird ab Version 102, Dark Mode)

Wählen Sie aus der Menüleiste Nachricht >> Neue Nachricht oder aus der Hauptsymbolleiste Verfassen. Im sich öffnenden Fenster muss Verschlüsselung aktiviert und OpenPGP als Verschlüsselungsmethode ausgewählt werden, sofern nicht bereits voreingestellt. Geben Sie nun im Empfängerfeld die E-Mail-Adresse ein.

Wenn in der Thunderbird-Schlüsselverwaltung kein Schlüssel für den Empfänger gefunden wird, dann wird dies durch eine gelbe Unterlegung des Adressfeldes und ein Warnsymbol gekennzeichnet. Gleichzeitig erscheint unten eine entsprechende Statuszeile. Klicken Sie hier auf die Schaltfläche Beheben. Es öffnet sich der OpenPGP-Schlüsselassistent und bietet u.a. die Option Öffentliche Schlüssel online finden an. Wenn Sie diese Schaltfläche anklicken, wird im Web Key Directory (WKD) nach einem Schlüssel gesucht.

Wird dort ein Schlüssel gefunden, dann muss dieser erst noch akzeptiert werden, damit Sie ihn zur Verschlüsselung verwenden können. Dies können Sie über die Schaltfläche Beheben tun.

Nun wird Ihnen die Schlüssel-Id und der Fingerabdruck des gefundenen Schlüssels angezeigt. Wenn Sie den Schlüssel auswählen (Radio Button), dann können Sie ihn Annehmen.

Klicken Sie im folgenden Fenster auf Schlüssel anzeigen.

Für ein ausreichendes Maß an Sicherheit können Sie den Schlüssel einfach akzeptieren. (Ausreichend, weil der Schlüssel im WKD gefunden wurde, und der Schlüsselinhaber seine E-Mail-Adresse bestätigen musste, bevor der Schlüssel dort veröffentlicht wurde). Für ein erhöhtes Maß an Sicherheit können Sie den Fingerabdruck mit dem Empfänger über einen anderen Kanal (Telefon, persönliches Treffen etc.) abgleichen.

Nach Bestätigung mit OK können Sie Ihre E-Mail nun verschlüsselt an den Empfänger abschicken.

Um die Ende-zu-Ende-Verschlüsselung mit OpenPGP in Thunderbird verwenden zu können, müssen sich E-Mail-Nutzer:innen zunächst ein Schlüsselpaar generieren oder ein bereits vorhandenes Schlüsselpaar in Thunderbird importieren. Nachfolgend wird die Schlüsselerzeugung in der OpenPGP-Schlüsselverwaltung von Thunderbird beschrieben.

Öffnen Sie in der OpenPGP-Schlüsselverwaltung von Thunderbird den Schlüsselgenerator über folgende Menüpunkte:
Extras >> OpenPGP-Schlüssel verwalten >> Erzeugen >> Neues Schlüsselpaar

Verwenden Sie die Einstellungen wie im folgenden Screenshot dargestellt:

Nach der Erzeugung wird das Schlüsselpaar in der Schlüsselverwaltung fett gedruckt dargestellt:

Das neu erzeugte Schlüsselpaar kann man exportieren, wobei der geheime Schlüssel auf einem externen Medium gesichert und mit einer Passphrase geschützt werden sollte.

Der öffentliche Schlüssel lässt sich exportieren, indem man das Schlüsselpaar markiert und das Kontextmenü mit der rechten Maustaste öffnet:

Der öffentliche Schlüssel kann nun an Kommunikationspartner verteilt werden, z.B. indem man ihn im FAU-Schlüsselverzeichnis veröffentlicht. Der geheime Schlüssel muss sicher verwahrt werden.

Wichtiger Hinweis:

Bitte setzen Sie bei Thunderbird über Einstellungen >> Datenschutz und Sicherheit >> Hauptpasswort verwenden unbedingt ein Hauptpasswort, da andernfalls der geheime Schlüssel ungeschützt im Thunderbird-Profilverzeichnis abgelegt wird.

Zusatzinformation für fortgeschrittene OpenPGP-Nutzer:

Thunderbird bietet seit Version 78 für den geheimen Schlüssel leider nicht mehr den von Enigmail/GnuPG gewohnten Schutz durch eine Passphrase, die nach Ablauf einer einstellbaren Caching-Dauer immer wieder abgefragt wird. Vielmehr wird der Schlüssel nur durch das Hauptpasswort geschützt, das einmalig beim Starten von Thunderbird abgefragt wird. Mit dem Hauptpasswort wird ein automatisch generiertes Zufallspasswort symmetrisch verschlüsselt und im Profilverzeichnis in der Datei encrypted-openpgp-passphrase.txt  abgelegt. Mit dem Zufallspasswort werden u.a. alle in der Thunderbird-Schlüsselverwaltung vorhandenen geheimen OpenPGP-Schlüssel verschlüsselt in der Datei key4.db gespeichert.

Es besteht grundsätzlich die Möglichkeit, den geheimen Schlüssel mittels GnuPG statt mit der Thunderbird-Schlüsselverwaltung zu verwalten und damit erhöhte Sicherheitsanforderungen zu erfüllen (Konfig-Editor: mail.openpgp.allow_external_gnupg = true setzen). Den geheimen GnuPG-Schlüssel kann man dann über Konten-Einstellungen >> Ende-zu-Ende-Verschlüsselung >> OpenPGP >> Schlüssel hinzufügen über die Option Externen Schlüssel mittels GnuPG benutzen (z.B. von einer Smartcard) dem E-Mail-Konto zuordnen. Der zugehörige öffentliche Schlüssel muss allerdings in der Thunderbird-Schlüsselverwaltung vorhanden sein.

Bei Thunderbird (64 bit) unter Windows ist es zusätzlich erforderlich, die Umgebungsvariable PATH manuell anzupassen.

Unter Linux muss zusätzlich zu GnuPG die C-Bibliothek GPGME installiert werden.

Microsoft Outlook

Öffnen Sie die Mail mit einem Doppelklick und gehen Sie anschließend wie in der Abbildung über den Reiter Nachricht auf Markierungen.

Dabei öffnet sich ein weiteres Fenster mit dem E-Mail-Header bei Internetkopfzeile. Diesen Teil können Sie markieren (Strg. + A), kopieren (Strg. + C) und in einem beliebigen Editor (Editor, Wordpad, Notepad++) einfügen (Strg. + V).

Mozilla Thunderbird

Wählen Sie die E-Mail aus und geben Strg. + U in der Tastatur ein. Dadurch wir der Quelltext der gesamten Mail geöffnet (u.a. des Headers). Diesen können Sie ebenfalls mit Strg. + A markieren, kopieren und anschließend in einem beliebigen Editor einfügen.