Die E-Brieftaube wird zum Tarnkappenflugzeug: Emails im Thunderbird mit Enigmail verschlüsseln/signieren

avatar

Auch wenn das Thunderbird-Update 78.2.x mit nativem PGP bereits angekündigt wurde, schadet eine Einführung in die klassische Variante mit Enigmail nicht.

TL;DR PGP

PGP (Pretty Good Privacy) ist ein Standard mit asymmetrischen Schlüsseln. Hierbei existieren immer zwei Schlüssel (ein Schlüsselpaar): Ein öffentlicher Schlüssel für die Verschlüsselung/Überprüfung und ein privater (passwortgeschützter) Schlüssel zum Entschlüsseln/Signieren. Ersterer kann nach belieben mit anderen geteilt werden, zweiterer muss geheimgehalten werden.

Installation

Zunächst wird über die Add-ons-Verwaltung (Menü->Add-ons->Add-ons) nach "Enigmail" gesucht. Dieses wird nun zu Thunderbird hinzugefügt.
addEnigmail.PNG.

Bei einer Erstinstallation wird Enigmail nun noch GnuPG erfordern.
EnigmailGNUAssistant.PNG
InstallGNUPG.PNG

Dieses können wir direkt über den Assistenten installieren.
Hierbei können weitere Tools wie Kleopatra oder GPA mitinstalliert werden, diese sind jedoch im Verlaufe dieser Anleitung nicht erforderlich.
GNUPGInstallKleopatra.PNG

Sollte der Einrichtungs-Assistent nach der Installation noch geöffnet sein, so muss der Thunderbird (und der Einrichtungs-Assistent) geschlossen und neu gestartet werden.
CloseWizard.PNG

In den Einstellungen (Menü->Enigmail->Einstellungen) werden nun folgende Werte verwendet (Experten-Optionen werden nicht benötigt):
EnigmailSettings.PNG

Schlüsselerstellung

In der Enigmail-Schlüsselverwaltung werden häufig direkt Standard-Schlüssel für alle Mailadressen generiert.
PePFirstKeys.PNG

Diese können wir gleich wieder löschen (Im Kontextmenü "Schlüssel löschen" anwählen), da sie nicht unseren Anforderungen genügen.
PePDeleteKeys.jpg

Nun werden zwei neue Schlüsselpaare (für die beiden Email-Adressen der Demonstration) über die Schlüsselverwaltung mit folgenden Einstellungen (ECC-basiert, RSA mit 4096-Bit wäre jedoch auch möglich) erstellt (Erzeugen->Neues Schlüsselpaar...)
NewKeyP1.jpg
NewKeyP2.jpg

Nach der erfolgreichen Schlüsselerstellung wird noch ein Revoke-Zertifikat angeboten. Dieses wird benötigt, um einen existierenden Schlüssel als ungültig zu markieren und kann nicht mehr erzeugt werden, falls der private Schlüsselteil verloren geht!
Daher sollte das Zertifikat erstellt und an einem sicheren Ort hinterlegt werden.
NewKeyRevoke.jpg
Für die Erstellung des Zertifikates ist natürlich, da der private Schlüssel benötigt wird, das vorher festgelegte Passwort erforderlich.
CreateRevokeP2.jpg

Nun können wir die Schlüssel verwenden und erhalten bei der Email-Erstellung zwei zusätzliche Schaltflächen: Verschlüsselung und Signatur.
TestmailEnableEncrSign.PNG

Signierte Email

Eine Signatur bestätigt dem Empfänger, dass der Text vom Absender (bzw. vom Inhaber des zugehörigen privaten Schlüssels) stammt und nicht verändert wurde.
Das versenden einer signierten Email an einen Empfänger, dessen öffentlicher Schlüssel nicht bekannt ist, sieht so aus:
TestmailSign.jpg

Der Empfänger erhält nun, sofern er den öffentlichen Schlüssel des Absenders besitzt, eine Überprüfung und einen Hinweis über den Zustand der Signatur.
ReceiveSignedMail.jpg

Verschlüsselte (+ Signierte) Emails

Haben beide Teilnehmer (Sender und Empfänger) den öffentlichen Schlüssel des jeweils anderen, so können Inhalte auch (Ende-zu-Ende-)verschlüsselt ausgetauscht werden.
EncryptSignTestmessage.jpg

Vor dem versenden sollte man noch einmal gefragt werden, ob die Betreffzeile ebenfalls "verschlüsselt" werden soll. Ich bin kein Fan davon, da dies vom Standard abweicht und ausserhalb von Enigmail (und selbst bei anderen Enigmail-Versionen) nicht funktioniert.
Allerdings sollten dann natürlich keine sensiblen Daten im Betreff stehen.
ProtectSubject.PNG

Die Inhalte können nur vom jeweils anderen Teilnehmer (der den zugehörigen privaten Schlüssel besitzt) entschlüsselt werden.
EncryptSignTestmessageRes.jpg

Teilen und Verifizieren der Schlüssel

Das Kernproblem bei PGP besteht darin, die öffentlichen Schlüssel mit seinen Gesprächspartnern auszutauschen. Hierfür werden meist Schlüsselserver verwendet, die jedoch ihrereseits auch gewisse Probleme mit sich bringen.

Im Idealfall übersendet man seinen öffentlichen Schlüssel (über einen vertraulichen Kanal) an die anderen Teilnehmer und verifiziert im Anschluss anhand des Fingerabdrucks (Kontextmenü->Schlüsseleigenschaften über einem Schlüssel in der Schlüsselverwaltung zeigt den vollständigen Fingerabdruck an) in Person die Korrektheit des Schlüssels.
FingerprintMailtest.jpg

Schlusswort

Mit Enigmail gewappnet steht einer sicheren Email-Kommunikation nun nichts mehr im Wege.
Ich hoffe, dass dieser Beitrag dem ein oder anderen, der sich schon einmal mit verschlüsselten Emails auseinandersetzen wollte, weiterhilft.

Schönen Tag und bleibt sicher,

Maini



0
0
0.000
5 comments
avatar

Congratulations @maini! You have completed the following achievement on the Hive blockchain and have been rewarded with new badge(s) :

You received more than 1250 upvotes. Your next target is to reach 1500 upvotes.

You can view your badges on your board and compare yourself to others in the Ranking
If you no longer want to receive notifications, reply to this comment with the word STOP

Do not miss the last post from @hivebuzz:

HiveBuzz supports meetups of the Hive UK Community
0
0
0.000