Howto: Thunderbird mit Enigmail

Angesichts der heutigen Tendenz hin zu mehr Überwachung (sei es durch den Staat, private Firmen oder Cyberkriminelle) empfiehlt es sich oft, seine Privatsphäre durch die Verwendung sinnvoller Verschlüsselungsprogramme zu schützen. Schließlich muss nicht jeder wissen, was man mitzuteilen hat; mitunter kann es sogar wichtig sein, bestimmte Informationen zu schützen (seien sie privater oder geschäftlicher Natur). Dies gilt nicht nur für das Instant Messaging, sondern ebenso auch für das Versenden von Emails.

Zum Glück stehen auch Privatanwendern qualitativ hochwertige Möglichkeiten zur Verfügung, sich abzusichern. Im Email-Bereich empfiehlt sich hier vor allem das Programm „Enigmail“ in Verbindung mit Mozilla Thunderbird. Enigmail ist zuverlässig, Open Source und kostenlos und arbeitet mit der bewährten Gnu Privacy Guard (GPG)-Verschlüsselung, die auch dem OpenPGP-Standard entspricht und somit auch mit neueren Versionen von PGP (Pretty Good Privacy) kompatibel. Thunderbird ist mittlerweile ein sehr verbreiteter Mail-Client (sowohl unter Windows als auch unter Linux und diversen Unix-Versionen) und der Umstieg zumindest vom unter Windows XP verbreiteten Outlook Express stellt erfahrungsgemäß kein allzu großes Problem dar, so dass sich Thunderbird auch für unerfahrenere Benutzer anbietet.

Auch Enigmail ist nicht so schwer zu installieren und einzurichten, wie man denkt. Um den Einstieg zu erleichtern, sind hier die nötigen Arbeitsschritte einzeln und mit Bildern aufgeführt (am Beispiel von Windows XP).

Zunächst muss man Thunderbird herunterladen. Die aktuelle deutsche Version als Installerpaket gibt es hier. Den Installer führt man einfach aus (das Entpacken der Dateien vor dem eigentlichen Installationsvorgang kann erfahrungsgemäß ebenso wie das Installieren selbst einen Moment dauern, selbst mein relativ leistungsstarker Test-Athlon zeigte hier jeweils eine deutliche Verzögerung). Der Installationsassistent fordert einen zunächst auf, die Lizenzvereinbarung zu lesen und dies auch durch Markieren des entsprechenden Feldes zu bestätigen. Danach kann man zwischen Standard- und benutzerdefinierter Installation wählen, Für die meisten Benutzer ist die Standard-Installation vollkommen richtig und sinnvoll.

Ist der Mailclient installiert, erhalten wir ein Fenster wie das im Bild (über das wir Thunderbird auch direkt starten können). Ein Klick auf „Fertig stellen“ beendet den Installationsassistenten.

Nun werden wir gefragt, ob wir Kontodaten importieren möchten. Wer bisher beispielsweise Outlook Express benutzt hat, kann diese Option wählen und seine Emails und Konto-Einstellungen übernehmen. Wer nichts importieren will (beispielsweise weil bisher ausschließlich Webmail genutzt wurde) wird als nächstes aufgefordert, ein Mailkonto in Thunderbird einzurichten. Die entsprechenden Daten wie Servername und Port findet man normalerweise in den FAQ seines Mailproviders (die meisten größeren Freemailer, wie GMail, GMX und Web.de, unterstützen mittlerweile auch den Abruf von Emails über einen Mail-Client). Da sich diese Eingaben je nach Provider unterscheiden, kann auf die Einzelheiten hier nicht näher eingegangen werden.

Ist alles richtig eingerichtet, sollte man schon Mails herunterladen und schreiben können. Diese sind natürlich noch nicht verschlüsselt, denn dazu benötigt man zunächst das Enigmail-Plugin und GPG. Wir beginnen mit dem herunterladen von GPG. Die entsprechenden Dateien gibt es hier. Auch hierbei handelt es sich um einen einfachen Installer. Außer der Sprache kann man auch hier überall die Standard-Einstellungen übernehmen und auf „Next“ und am Ende auf „Install“ klicken.

Ist auch hier die Installation beendet, wird noch das Enigmail-Plugin für Thunderbird benötigt, das quasi die „Schnittstelle“ zwischen dem Mailclient und dem eigentlichen Verschlüsselungsprogramm darstellt. Es empfiehlt sich, die Schlüsselerzeugung und -verwaltung erst später mit Enigmail vorzunehmen, da dies eine recht komfortable grafische Benutzeroberfläche dafür bietet.

Wir bekommen das Plugin, indem wir es auf der Mozilla-Seite herunterladen und irgendwo speichern, wo wir es leicht wiederfinden. Anschließend gehen wir im Thunderbird auf „Extras“ und dort auf „Add-Ons“. In diesem Fenster gibt es einen „Installieren“-Button. Dieser öffnet ein Fenster, indem wir den Speicherort der soeben heruntergeladenen Add-On-Datei auswählen können, was in etwa wie im Bild aussehen sollte.

Haben wir die Datei gefunden, klicken wir auf „Öffnen“. Die anschließende Warnung, dass das Add-On nicht signiert ist, ist in diesem Fall unbedenklich. Daher kann man nach einigen Sekunden die Option „Jetzt installieren“ auswählen und Enigmail installieren. Anschließend aktiviert ein Klick auf „Thunderbird neustarten“ das neu installierte Add-On.

Nun müsste es oben bei den Optionen von Thunderbird die neue Option „OpenPGP“ geben. Dort wählt man die Option „Schlüssel verwalten“, was ein Dialogfenster aufruft. Dort behält man die Option „Ja, ich möchte vom Assistenten geholfen bekommen“ bei und klickt auf „Weiter“. Bei den nächsten Abfragen können die Standard-Einstellungen verwendet werden, bis man zur Schlüsselgenerierung kommt. Dort wird man zunächst nach einer Passphrase gefragt, mit der man den Schlüssel später vor unbefugten Zugriffen schützt. Diese sollte nicht zu kurz oder zu einfach zu erraten sein, kann aber auch später relativ problemlos geändert werden.

Danach klickt man einfach noch einmal auf „Weiter“. Dann wird der Schlüssel vom Computer aus im Rechner anfallenden Werten mit Hilfe eines pseudozufälligen Algorithmus erzeugt. Wie im Dialogfenster erklärt dauert dies auch auf schnellen Rechnern sehr lange (mehrere Minuten), kann aber abgekürzt werden, indem man in dieser Zeit den Computer möglichst aktiv verwendet, um viele „Ausgangsdaten“ zu liefern.

Die Frage nach dem „Wiederrufszertifikat“ beantwortet man mit „Ja“ und speichert dies an einem möglichst sicheren Ort ab (was man mit Eingabe der kurz zuvor festgelegten GPG-Passphrase bestätigen muss). Der Schlüssel ist nun fertig generiert- genauer gesagt, besitzt man nun zwei Schlüssel, einen privaten, den man geheim halten sollte (zum entschlüsseln) und einen öffentlichen (damit an einen geschickte Mails verschlüsselt werden können). Auf die Mathematik dahinter und das genaue Funktionsprinzip gehe ich hier nicht näher ein, Interessenten werden bei Wikipedia fündig. Alle anderen müssen nur wissen, dass es zwei Schlüssel pro Benutzer gibt und wofür diese benötigt werden.

Nun sollte man den öffentlichen Schlüssel (oft verwendet wird auch der englische Begriff „public key“) noch unter „Schlüsselverwaltung -> Schlüssel-Server -> Schlüssel hochladen“ auf einen Keyserver laden, damit er für die Korrespondenzpartner auch verfügbar ist.

Nun kann man GPG verwenden. Standardmäßig werden alle verschickten Emails mit einer „Signatur“ versehen, die es dem Gesprächspartner ermöglicht, den passenden öffentlichen Schlüssel vom Keyserver zu laden. Eine Mail verschlüsseln kann man, indem man beim Schreiben einer neuen Mail auf „OpenPGP“ und dort auf „Nachricht verschlüsseln“ geht. Dann erhält man, wenn man das noch nicht bereits festgelegt hat, eine Liste von auf dem Rechner vorhandenen Schlüsseln, unter denen man den des Empfängers auswählen kann.

Erhält man selbst eine verschlüsselte Mail, erhält man sofort beim Aufrufen dieser Mail eine Dialogbox, die die eigene „Passphrase“ (die beim Generieren des Schlüssels angelegt wurde) abfragt. Erst wenn diese fehlerfrei eingegeben wurde, wird der eigene private Schlüssel dazu benutzt, die Nachricht lesbar zu machen.