Tutorial

Verschlüsselte E-Mails versenden mit Windows

Neues Tutorial für die Verschlüsselung von Emails mit Thunderbird und Enigmail

Diese Anleitung gilt für Thunderbird unter Linux/Unix gleichermaßen. Das andere Pfade zum Einsatz kommen, sollte kein schwerwiegendes Problem darstellen, wenn doch, schreibt mir.

Unter Windows ist das verschlüsseln von E-Mails via GPG (GnuPG) ganz einfach. Unter Linux auch.

Letzte Änderungen

• 09.06.08 - Verlinkungen korrigiert (Dank an Unbekannten Autor mit Yahoo Adresse)
• 13.01.08 - Neues Tutorial verfügbar im Wiki
• 07.08.07 - Link zu Enigmail geändert (Dank an Kevin)
• 22.02.07 - Link zu wwwkeys.de.pgp.net hinzugefügt; Thunderbird 2.0beta2 funktioniert auch mit dieser Anleitung.
• 30.08.06 - Alle Links und Texte aktualisiert an neue Versionen
• 10.07.06 - Thunderbird und Enigmail funktionieren NICHT mit der Erweiterung Allow empty Subject (Quelle Florian von blugu)
• 13.03.06 - Festgestellt, dass Thunderbird 1.5 und Enigmail mit dieser Anleitung auch funktionieren ;) - also: nix Neues
• 12.12.05 - Links für Outlook und GnuPT hinzugefügt
• 30.11.05 - Link "Alles herunterladen" entfernt (zu alt)
• 25.10.05 - Rechtschreibfehler behoben
• 18.08.05 - Key Signing mit Thunderbird kurz beschrieben
• 23.03.05 - Link auf deutsches Enigmail

Dieses Tutorial ist Stand 2008-06-09 11:34:27 und verwendet:

• Thunderbird 1.5 (www.thunderbird-mail.de)
• GnuPG 1.4.5 (www.gnupg.org)
• Enigmail 0.94.1.1 (http://enigmail.mozdev.org/download.html)

Installation Thunderbird

Als E-Mail Client (Programm) verwenden wir Thunderbird-Mail, den wir auf dessen Homepage herunterladen und Installieren, falls noch nicht geschehen. (Einfach die Heruntergeladene Datei ausführen. Analog dazu kann auch Mozilla verwendet werden.)
Das Einrichten eines Kontos wird ebenfalls als bereits vollendet vorausgesetzt.

Unter Linux ist die Installation über den Paketmanager (yast bei SuSE, synaptic, apt-get oder aptitude bei Debian) durchzuführen.
# apt-get install thunderbird

GnuPG installieren

Unter www.gnupg.org findet sich auch ein für Windows verwendbares Paket (ca 1.6mb). Die Zip-Datei läßt sich unter WindowsXP mit Bordmitteln, ansonsten mit jedem gewöhnlichen Zip-Programm öffnen und beispielsweise nach c:\programme\gnupg entpacken. (Ein kostenloses Tool mit dem Namen "7Zip" findet man unter www.7-zip.org) Danach benennen wir die de.mo in gnupg.mo um, um deutsche (Fehler)Meldungen zu bekommen.

Unter Linux sollte GnuPG bereits installiert sein. Wenn nicht, kann man es unter Debian mittels
# sudo apt-get install gnupg
nachholen

Installation EnigMail für Thunderbird

Auf der Homepage zu EnigMail (http://enigmail.mozdev.org/download.html) findet sich immer die aktuellste Version für Thunderbird oder Mozilla. Wir laden also das EnigMail Modul herunter (Rechtsklick, Ziel speichern unter ... -> auf den Desktop). Wir Starten Thunderbird, klicken auf "Extras" -> "Erweiterungen" und dann auf "Installieren". Nun gehen wir links auf Desktop und öffnen dann die "enigmail-xxxxx-win32.xpi" oder so ähnlich. Die Nachricht in rot "Nicht signiert" können wir vorerst getrost ignorieren und weiter installieren. Nun sollte in der Erweiterungsliste Enigmail in etwa so zu sehen sein, wie hier:

Dann schließen wird das Fenster und starten Thunderbird neu. Danach haben wir in der Menüleiste einen Eintrag "Enigmail" (1), wir wählen diesen aus und dort "Preferences" (2), was soviel heißt wie Einstellungen.

In dem erscheinenden Dialogfenster muß der Pfad zur gpg.exe angepaßt werden.

Schlüssel erstellen

Nachdem dies geschafft ist, möchten wir nun Schlüssel erstellen. Dazu klicken wir auf "enigmail", "Open PGP Key Management" und dort auf "Generate", "New Key Pair". Dort wählen wir zunächst die E-Mail Adresse aus (1) für die wir einen Schlüssel erstellen wollen, geben dann unser Mantra ein (2). Ein Mantra ist kein Passwort sonder eine Passphrase, da es wesentlich länger sein soll, als ein Passwort. Es bieten sich mind. 15 Zeichen Länge an. Dieses Mantra schützt später den geheimen Schlüssel... Die Lebensdauer des Schlüssels (3) sollte nicht länger als ein Jahr sein, da sich ja Vieles auf dem Gebiet der Rechentechnik tut und man nicht sicher sein kann, ob dies Schlüssellänge ausreicht. (Letztenendes kann es jeder machen wie er will ~ Man kann Schlüssel auch zurückziehen..) Die Schlüssellänge (4) sollte jedoch immer maximal sein. Der Abschließende Klick auf "Generieren" (5) startet die Schlüsselerstellung.

Sollte es bei der Erstellung zu einem Fehler kommen (wird im unteren, weißen Feld angezeigt) der etwas von Lib/idea sagt, fehlt das Idea Modul und es muß nachträglich in das GnuPG Verzeichnis kopiert werden.
Die Nachfrage nach einem Widerrufzertifikat (Revocation Certificate) sollte man bejahen und dies sicher speichern, es dient dazu, bei einem Keyserver den eigenen Schlüssel zu widerrufen. (Kann später auch via "Generate", "Revocation Certificate" erzeugt werden. Nachfolgende Abbildung zeigt einen abgelaufenen Schlüssel (1) und den neu erstellten (2).

Nun müssen wir unseren Schlüssel noch bekannt machen. Neben dem Upload auf die eigene Homepage (Rechtsklick, Export Keys to File, Nein bei der Nachfrage, ob der Secret Key exportiert werden soll) sollte man den Schlüssel unbedingt auf einen Keyserver hochladen. Das ist dafür wichtig, daß man von anderen Nutzern gefunden werden kann. Rechtsklick auf den Schlüssel (1), Upload ... (2), warten, fertig.

Verschlüsselte Email versenden

Eine verschlüsselte Email an mich versenden Sie nun ganz einfach. Klicken Sie wie gewohnt auf "Verfassen" und formulieren sie den Text. Als Empfänger tragen Sie cbecker@nachtwach.de ein und achten darauf, daß das Schloß (für Verschlüsselung) und der Stift (für Signieren) grün sind (aktivieren durch Anklicken).

Klicken Sie auf Senden. Thunderbird stellt fest, daß der Schlüssel (1) fehlt. Sie können nun einen vorhandenen wählen oder einen Keyserver befragen (2)

Danach kann die Nachricht jedoch verschickt werden. Um sicher zu stellen, daß auch wirklich Sie die EMail versenden, wird nach dem Mantra gefragt, daß Sie bei der Schlüsselerstellung angegeben haben

Der Empfänger kann Ihre EMail jetzt wie folgt lesen:

Das ist es gewesen. So einfach ist das Senden verschlüsselter Emails. Brem Empfang wird man idR nach seinem Mantra gefragt und die Email automatisch entschlüsselt.

Key Signing, Signieren von fremden Public Keys

Das Signieren von Schlüsseln erhöht das Vertrauen in den Schlüssel, da andere Leute mit Ihrem Schlüssel dafür bürgen, dass der Schlüssel von Herrn Meier auch wirklich den Schlüsselinhaber repräsentiert. (siehe http://www.rubin.ch/pgp/weboftrust.de.html)

• public key importieren (so es nicht automatisch passiert:
• Enigmail, OpenPGP KEy Management, File, Import...)
• WICHTIG: schlüssel in liste markieren, Refresh Public Keys from keyserver!
• schlüssel in liste markieren (ggf. refresh der liste), sign key
• euren signing key wählen und signieren
• schlüssel wieder auf keyserver hochladen

Fragen / Hinweise

Falls Sie Fragen oder Hinweise haben, schreiben Sie mir eine (verschlüsselte oder unverschlüsselte) Email an cbecker@nachtwach.de.

• Einen Keyserver kann man unter wwwkeys.de.pgp.net finden. Hier kann man Schlüssel via Webinterface hochladen, suchen uvm.

Die weiteren Tools werden in Zukunft näher erläutert, bzw. es wird ein Tutorial zu finden sein ;)

Weitere Tools

• GPGshell v3.30 (http://www.jumaros.de/rsoft/)
  Bessere Schlüsselverwaltung und Grafische Oberfläche für GnuPG
• 7Zip 4.15beta (www.7-zip.org)
  (Ent)Packprogramm
• Mozilla 1.7.5 (http://www.mozilla-europe.org/de/)
  Browsersuite mit E-Mail Programm
• Mozbackup 1.4 (http://www.mozbackup.de/)
  Backupprogramm für alle Mozilla.org Programme
• Outlook-Plugin (http://www.equipmente.de/viewtopic.php?p=1567#1567)
  Verschlüsselung für Outlook
• GnuPT (http://www.gnupt.de)
  Windows all in One Lösung, nutzt GnuPG, WinPT, GPGRelay, Word-Plugin: Verschlüsseln von Word Dokumenten aus Word heraus ... wer's mag