Skip to content

Howto: Thunderbird mit Enigmail

26. Mai 2008

Angesichts der heutigen Tendenz hin zu mehr Überwachung (sei es durch den Staat, private Firmen oder Cyberkriminelle) empfiehlt es sich oft, seine Privatsphäre durch die Verwendung sinnvoller Verschlüsselungsprogramme zu schützen. Schließlich muss nicht jeder wissen, was man mitzuteilen hat; mitunter kann es sogar wichtig sein, bestimmte Informationen zu schützen (seien sie privater oder geschäftlicher Natur). Dies gilt nicht nur für das Instant Messaging, sondern ebenso auch für das Versenden von Emails.

Zum Glück stehen auch Privatanwendern qualitativ hochwertige Möglichkeiten zur Verfügung, sich abzusichern. Im Email-Bereich empfiehlt sich hier vor allem das Programm „Enigmail“ in Verbindung mit Mozilla Thunderbird. Enigmail ist zuverlässig, Open Source und kostenlos und arbeitet mit der bewährten Gnu Privacy Guard (GPG)-Verschlüsselung, die auch dem OpenPGP-Standard entspricht und somit auch mit neueren Versionen von PGP (Pretty Good Privacy) kompatibel. Thunderbird ist mittlerweile ein sehr verbreiteter Mail-Client (sowohl unter Windows als auch unter Linux und diversen Unix-Versionen) und der Umstieg zumindest vom unter Windows XP verbreiteten Outlook Express stellt erfahrungsgemäß kein allzu großes Problem dar, so dass sich Thunderbird auch für unerfahrenere Benutzer anbietet.

Auch Enigmail ist nicht so schwer zu installieren und einzurichten, wie man denkt. Um den Einstieg zu erleichtern, sind hier die nötigen Arbeitsschritte einzeln und mit Bildern aufgeführt (am Beispiel von Windows XP).

Zunächst muss man Thunderbird herunterladen. Die aktuelle deutsche Version als Installerpaket gibt es hier. Den Installer führt man einfach aus (das Entpacken der Dateien vor dem eigentlichen Installationsvorgang kann erfahrungsgemäß ebenso wie das Installieren selbst einen Moment dauern, selbst mein relativ leistungsstarker Test-Athlon zeigte hier jeweils eine deutliche Verzögerung). Der Installationsassistent fordert einen zunächst auf, die Lizenzvereinbarung zu lesen und dies auch durch Markieren des entsprechenden Feldes zu bestätigen. Danach kann man zwischen Standard- und benutzerdefinierter Installation wählen, Für die meisten Benutzer ist die Standard-Installation vollkommen richtig und sinnvoll.

Ist der Mailclient installiert, erhalten wir ein Fenster wie das im Bild (über das wir Thunderbird auch direkt starten können). Ein Klick auf „Fertig stellen“ beendet den Installationsassistenten.

Nun werden wir gefragt, ob wir Kontodaten importieren möchten. Wer bisher beispielsweise Outlook Express benutzt hat, kann diese Option wählen und seine Emails und Konto-Einstellungen übernehmen. Wer nichts importieren will (beispielsweise weil bisher ausschließlich Webmail genutzt wurde) wird als nächstes aufgefordert, ein Mailkonto in Thunderbird einzurichten. Die entsprechenden Daten wie Servername und Port findet man normalerweise in den FAQ seines Mailproviders (die meisten größeren Freemailer, wie GMail, GMX und Web.de, unterstützen mittlerweile auch den Abruf von Emails über einen Mail-Client). Da sich diese Eingaben je nach Provider unterscheiden, kann auf die Einzelheiten hier nicht näher eingegangen werden.

Ist alles richtig eingerichtet, sollte man schon Mails herunterladen und schreiben können. Diese sind natürlich noch nicht verschlüsselt, denn dazu benötigt man zunächst das Enigmail-Plugin und GPG. Wir beginnen mit dem herunterladen von GPG. Die entsprechenden Dateien gibt es hier. Auch hierbei handelt es sich um einen einfachen Installer. Außer der Sprache kann man auch hier überall die Standard-Einstellungen übernehmen und auf „Next“ und am Ende auf „Install“ klicken.

Ist auch hier die Installation beendet, wird noch das Enigmail-Plugin für Thunderbird benötigt, das quasi die „Schnittstelle“ zwischen dem Mailclient und dem eigentlichen Verschlüsselungsprogramm darstellt. Es empfiehlt sich, die Schlüsselerzeugung und -verwaltung erst später mit Enigmail vorzunehmen, da dies eine recht komfortable grafische Benutzeroberfläche dafür bietet.

Wir bekommen das Plugin, indem wir es auf der Mozilla-Seite herunterladen und irgendwo speichern, wo wirAuswahl des Plugins es leicht wiederfinden. Anschließend gehen wir im Thunderbird auf „Extras“ und dort auf „Add-Ons“. In diesem Fenster gibt es einen „Installieren“-Button. Dieser öffnet ein Fenster, indem wir den Speicherort der soeben heruntergeladenen Add-On-Datei auswählen können, was in etwa wie im Bild aussehen sollte.

Haben wir die Datei gefunden, klicken wir auf „Öffnen“. Die anschließende Warnung, dass das Add-On nicht signiert ist, ist in diesem Fall unbedenklich. Daher kann man nach einigen Sekunden die Option „Jetzt installieren“ auswählen und Enigmail installieren. Anschließend aktiviert ein Klick auf „Thunderbird neustarten“ das neu installierte Add-On.

Nun müsste es oben bei den Optionen von Thunderbird die neue Option „OpenPGP“ geben. Dort wählt man die Option „Schlüssel verwalten“, was ein Dialogfenster aufruft. Dort behält man die Option „Ja, ich möchte vom Assistenten geholfen bekommen“ bei und klickt auf „Weiter“. Bei den nächsten Abfragen können die Standard-Einstellungen verwendet werden, bis man zur Schlüsselgenerierung kommt. Dort wird man zunächst nach einer Passphrase gefragt, mit der man den Schlüssel später vor unbefugten Zugriffen schützt. Diese sollte nicht zu kurz oder zu einfach zu erraten sein, kann aber auch später relativ problemlos geändert werden.

Danach klickt man einfach noch einmal auf „Weiter“. Dann wird der Schlüssel vom Computer aus im Rechner anfallenden Werten mit Hilfe eines pseudozufälligen Algorithmus erzeugt. Wie im Dialogfenster erklärt dauert dies auch auf schnellen Rechnern sehr lange (mehrere Minuten), kann aber abgekürzt werden, indem man in dieser Zeit den Computer möglichst aktiv verwendet, um viele „Ausgangsdaten“ zu liefern.

Die Frage nach dem „Wiederrufszertifikat“ beantwortet man mit „Ja“ und speichert dies an einem möglichst sicheren Ort ab (was man mit Eingabe der kurz zuvor festgelegten GPG-Passphrase bestätigen muss). Der Schlüssel ist nun fertig generiert- genauer gesagt, besitzt man nun zwei Schlüssel, einen privaten, den man geheim halten sollte (zum entschlüsseln) und einen öffentlichen (damit an einen geschickte Mails verschlüsselt werden können). Auf die Mathematik dahinter und das genaue Funktionsprinzip gehe ich hier nicht näher ein, Interessenten werden bei Wikipedia fündig. Alle anderen müssen nur wissen, dass es zwei Schlüssel pro Benutzer gibt und wofür diese benötigt werden.

Nun sollte man den öffentlichen Schlüssel (oft verwendet wird auch der englische Begriff „public key“) noch unter „Schlüsselverwaltung -> Schlüssel-Server -> Schlüssel hochladen“ auf einen Keyserver laden, damit er für die Korrespondenzpartner auch verfügbar ist.

Nun kann man GPG verwenden. Standardmäßig werden alle verschickten Emails mit einer „Signatur“ versehen, die es dem Gesprächspartner ermöglicht, den passenden öffentlichen Schlüssel vom Keyserver zu laden. Eine Mail verschlüsseln kann man, indem man beim Schreiben einer neuen Mail auf „OpenPGP“ und dort auf „Nachricht verschlüsseln“ geht. Dann erhält man, wenn man das noch nicht bereits festgelegt hat, eine Liste von auf dem Rechner vorhandenen Schlüsseln, unter denen man den des Empfängers auswählen kann.

Eine Mail mit Enigmail schreiben

Erhält man selbst eine verschlüsselte Mail, erhält man sofort beim Aufrufen dieser Mail eine Dialogbox, die die eigene „Passphrase“ (die beim Generieren des Schlüssels angelegt wurde) abfragt. Erst wenn diese fehlerfrei eingegeben wurde, wird der eigene private Schlüssel dazu benutzt, die Nachricht lesbar zu machen.

Advertisements
10 Kommentare leave one →
  1. Gast permalink
    26. Mai 2008 10:57 am

    Guter kleiner Schnelleinstieg, aber …sorry, die Screenshots sind gruselig.

  2. Annika permalink*
    26. Mai 2008 11:12 am

    Entschuldigen musst Du dich für Kritik hier nicht 😉 wenn ich allerdings etwas ändern soll, wäre es nützlich, genauer zu wissen, was Dich stört, und idealerweise was ich dagegen tun kann. Ich bin in Sachen Bilder und sowas nämlich wirklich alles andere als versiert; diese Screenshots sind mit der „drucken“-Taste und Paint entstanden.

  3. Gast permalink
    26. Mai 2008 2:55 pm

    Also es sieht zum Beispiel wesentlich besser aus, wenn du die Bilder richtig ausschneidest, und kein Desktophintergrund hervorkommt. Und dieser dicke, grüne Kringel um das Wort *Installieren* sieht nicht schön aus. Da gibt es sogar mit dem MS eigenen Paint eine einfache Methode, einen geometrisch richtigen Kreis zu ziehen, oder ein Kasten drum, am besten mit dünner Linie. Oder mitteldick. Als Farbe käme ein dezentes, dunkleres Rot gut. Das hebt sich ab von dem grauen Hintergrund.

  4. 2. Juni 2008 9:40 am

    Das mit den Bilder kann auch einfach mit dem kostenlosen Bilder Tool Irfanview umsetzen.
    Da gibt es einen Extra Menü Punkt „Fotografieren“….

  5. ptz permalink
    21. April 2009 9:06 pm

    kleiner Tipp: ALT + DRUCK
    dann wird nur das Fenster im Fokus aufgenommen

  6. 16. Oktober 2013 3:39 am

    „Standardmäßig werden alle verschickten Emails mit einer “Signatur” versehen, die es dem Gesprächspartner ermöglicht, den passenden öffentlichen Schlüssel vom Keyserver zu laden.“

    Das ist nun wirklich nicht der Zweck einer Signatur. Aber sie enthält die long ID des Schlüssels, der sie erzeugt hat; somit hilft eine Signatur einem als Nebeneffekt, den richtigen Schlüssel zu finden.

    Technisch zwingend nötig für den Versand verschlüsselter Nachrichten (oder die Prüfung von Signaturen) ist zwar nur, dass man den öffentlichen Schlüssel (das Zertifikat) des Empfängers importiert, aber ungemein wichtig für das Sicherheitsniveau des ganzen Prozesses ist, dass man den importierten Schlüssel vor der Verwendung auch verifiziert, also dessen Fingerprint mit dem vergleicht, den man sich aus einer sicheren Quelle (nein, das ist keine Webseite) besorgt, also idealerweise durch persönlichen Kontakt (auf Papier), mit Einschränkungen auch telefonisch. Damit man die Verifikation auch erkennen kann, sollte man den Schlüssel anschließend zertifizieren (mit dem eigenen Schlüssel unterschreiben), im Zweifelsfall erst mal nur mit einer „lokalen Signatur“ (lsign, nicht für die Öffentlichkeit).

    Wenn man nicht nur mal rumspielen will, sondern einen (potentiell) langlebigen Schlüssel erzeugt (einen für die Öffentlichkeit), dann lohnt es sich, vorher mal zu sichten, was gute Schlüssel von schlechten unterscheidet, weil sich manches im nachhinein nicht mehr (ohne Unannehmlichkeiten) ändern lässt:

    http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/

Trackbacks

  1. Kurz verlinkt (17) » Beitrag » SaarBreaker
  2. Tipp: Thunderbird mit EnigMail [laxu]
  3. blog@ach-quietsch.net » Blog Archive » Krypto-Offensive
  4. Krypto-Offensive « blog@ach-quietsch.net

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: