E-Mails verschlüsseln mit OpenPGP
In diesem Artikel gehen wir darauf ein, warum es wichtig ist, E-Mails Ende-zu-Ende zu verschlüsseln und wie das genau funktioniert. Mit unserer Schritt-für-Schritt-Anleitung können Sie die entsprechenden Apps oder Programme auf einem Endgerät installieren und einrichten. Einen vertrauenswürdigen E-Mail-Anbieter haben Sie hoffentlich schon.
Inhaltsübersicht:
- Warum E-Mails verschlüsseln?
- Wie bei E-Mails verschlüsselt wird
- E-Mails auf- und zuschließen
- Mit dieser Software verschlüsseln Sie Ihre E-Mails
- Schritt-für-Schritt-Anleitung für den PC
- Exkurse und optionale Einstellungen
- E-Mail-Verschlüsselung auf dem Smartphone
- Die Rolle der Keyserver
- Weiterführende Links
„Ich habe mich einfach dran gesetzt und für alles zusammen ca. eine Stunde gebraucht. Es ist wirklich kein Hexenwerk, und dank dieses Artikels geht es ruckzuck.“ Sophie Uteß, Versicherungsmaklerin
Warum E-Mails verschlüsseln?
E-Mails werden herkömmlich im Klartext versendet. Wie bei einer Postkarte ist der Inhalt der E-Mail grundsätzlich für alle lesbar, die diese in die Finger bekommen. Dazu gehören Betreiber.innen von E-Mail-Servern und Administrator.innen, aber auch andere Menschen, die Zugriff auf den Speicher Ihres Rechners haben.
Auch wenn vermeintlich nichts Interessantes in Ihren E-Mails steht, können Sie nicht wissen, ob Sie nicht doch eines Tages zum Ziel eines Angriffs auf Ihre Privatsphäre werden. Aus E-Mails lassen sich viele Informationen herleiten, die zwar trivial anmuten, aber vielseitig eingesetzt werden können, um Ihnen zu schaden. Die Zahlen von Doxing und digitalem Stalking sind stark steigend. E-Mail spielt dabei eine zentrale Rolle. Immerhin kann man damit die Passwörter fast aller Accounts zurücksetzen.
Außerdem stärken Sie Verschlüsselung als Prinzip, indem Sie sie nutzen. Je mehr Menschen ihre Kommunikation verschlüsseln, desto geringer ist die Gefahr, dass schon das Verschlüsseln selbst verdächtig ist. So werden Menschen, Gruppen und Situationen geschützt, in denen Verschlüsselung tatsächlich brisant und wichtig ist.
Viele kostenlose E-Mail-Anbieter werten die E-Mails ihrer Nutzerschaft automatisiert aus. Anhand bestimmter Schlagwörter erhalten Sie dann passgenaue Werbung. Ob diese Informationen an Dritte weiterverkauft werden, hängt vom jeweiligen Dienst ab. Diese Praxis können Sie mit E-Mail-Verschlüsselung gleich mitunterbinden.
Am besten verschlüsseln Sie Ihre Nachrichten „Ende-zu-Ende“. Das heißt, dass nur Absender und Empfängerin den Inhalt der Nachricht lesen können.
Angenehmer Nebeneffekt von E-Mail-Verschlüsselung: Sie können mit derselben Technik Ihre E-Mail auch signieren (digital unterschreiben) und damit gleich zwei Dinge sicherstellen: Sie wissen, dass Sie wirklich mit den Personen kommunizieren, mit denen Sie zu kommunizieren glauben (Schutz der Authentizität). Und Sie können sich darauf verlassen, dass der Inhalt der Nachricht auf dem Weg von der Absenderin zum Empfänger nicht verändert wurde (Schutz der Integrität).
Wie bei E-Mails verschlüsselt wird
Grundsätzlich kann bei E-Mails zwischen drei Formen der Verschlüsselung unterschieden werden: Transportverschlüsselung, Postfachverschlüsselung und Ende-zu-Ende-Verschlüsselung.
Die Transportverschlüsselung ist (fast) überall im Einsatz und stellt lediglich sicher, dass die E-Mail auf dem Weg von Ihrem Endgerät zum Server Ihres E-Mail-Anbieters verschlüsselt wird. Wäre Ihre E-Mail eine Postkarte, dann würde Transportverschlüsselung bedeuten, dass die Postkarte vor fremdem Zugriff geschützt ist, so lange sie sich im Postauto oder Postfahrrad befindet. Dieser Schutz besteht aber nicht auf den Zwischenstationen (dem Verteilzentrum etc.) oder am Ziel (Ihrem Briefkasten).
Die Postfachverschlüsselung, die manche E-Mail-Provider anbieten, stellt lediglich sicher, dass die E-Mails auf dem Server Ihres E-Mail-Anbieters verschlüsselt gespeichert werden. Das bedeutet: Die Postkarte liegt nach der Zustellung in einem gut gesicherten Briefkasten. Ob sie auf dem Weg dorthin gelesen oder verändert wurde, können Sie nicht wissen.
Selbst mit den beiden Verschlüsselungen ist der Inhalt der E-Mail immer noch nicht durchgängig geschützt.
Daher ist es am besten, Sie packen die Postkarte in einen Briefumschlag. Dies entspricht der Ende-zu-Ende-Verschlüsselung, die bewirkt, dass die gesamte Transportkette von Ihrem Endgerät über die Webserver der E-Mail-Anbieter bis zum Endgerät Ihres Kommunikationspartners gesichert ist. Dieser digitale Umschlag ist sogar noch besser als einer aus Papier, weil ihn nur die Empfängerin öffnen kann. Hier ist eine einfache Erklärung von Mobilsicher.
Zur Ende-zu-Ende-Verschlüsselung gibt es zwei gebräuchliche Verfahren: OpenPGP und S/MIME. Da S/MIME (bei der Zertifizierung) recht kompliziert ist, konzentriert sich dieser Artikel auf das zugänglichere OpenPGP. Leider sind die beiden Verfahren nicht miteinander kompatibel.
E-Mails auf- und zuschließen
OpenPGP verwendet einen öffentlichen Schlüssel („public key“) und einen privaten Schlüssel („private key“). Beide zusammen bilden ein Schlüsselpaar.
Hinweis: Zum besseren Verständnis nennen wir den öffentlichen Schlüssel öffentliches Schloss. Stellen Sie sich dieses wie ein Vorhängeschloss vor, mit dem Sie ein Kästchen verschließen können.
Das öffentliche Schloss können Sie jedermann offen in die Hand geben. Eine andere Person kann nun einen Brief schreiben, ihn falten, in ein Kästchen legen und dieses mit Ihrem öffentlichen Schloss verschließen. Danach können nur noch Sie das Schloss öffnen, denn nur Sie haben den privaten Schlüssel, den man in das Schloss stecken und herumdrehen muss.
Dieser private Schlüssel kann das Schloss öffnen, Sie können den Brief herausnehmen und lesen. Er war vor neugierigen Augen auf dem Transportweg geschützt.
Auf Schlüsselservern können solche „Vorhängeschlösser“ in großen Mengen abgelegt werden. Wenn jemand Ihnen schreiben möchte, holt sich diese Person dort Ihr Schloss. Da die E-Mail-Adressen auf dem Schloss eingraviert und die Schlösser ordentlich verwahrt sind, ist sichergestellt, dass Ihr öffentliches Schloss dort gefunden wird.
Sie haben also beides: das öffentliche Schloss und den privaten Schlüssel. Beides funktioniert nur zusammen. Und leider heißen beide in Verschlüsselungsprogrammen „Schlüssel“. Aber das wird Sie nicht mehr verwirren. Sie wissen ja nun, dass beide ganz unterschiedliche Funktionen haben.
Öffentliche Schlösser können Sie wie Konfetti unter die Menschen streuen. Aber Ihren privaten Schlüssel – den hüten Sie wie Ihren Augapfel!
Dieses Video von Alexander Lehmann erklärt anschaulich, wie Ende-zu-Ende-Verschlüsselung funktioniert und warum es sich lohnt, sie einzusetzen.
Mit dieser Software verschlüsseln Sie Ihre E-Mails
Für den PC: Thunderbird
Wir empfehlen den freien E-Mail-Client Thunderbird von Mozilla. Nur mit einem E-Mail-Client kann die E-Mail mit Ende-zu-Ende-Verschlüsselung geschützt werden. Thunderbird ist erhältlich für Linux, Mac und Windows.
Alternativ können Sie Apple Mail mit GPG Mail oder Microsoft Outlook mit GPG4win verwenden (diese werden in diesem Artikel aber nicht beschrieben).
Für das Smartphone (Android): K-9 Mail
Benutzen Sie zum Lesen und Schreiben nicht die Apps Ihres E-Mail-Anbieters oder vorinstallierte Apps. Diese können z. B. mittels Tracking Ihre Interaktionen aufnehmen und versendete Links manipulieren. So kann Ihr Anbieter mitbekommen, wenn Sie auf einen Link klicken. Benutzen Sie besser einen unabhängigen E-Mail-Client.
Wir empfehlen den freien E-Mail-Client K-9 Mail in Kombination mit dem Verschlüsselungstool OpenKeychain.
Alternativ können Sie auch FairEmail verwenden, das ebenfalls mit OpenKeychain zusammenarbeitet.
Es gibt eine Liste mit allen verfügbaren Clients und Add-ons.
Vorsicht: Wenn Sie Ihr mobiles Endgerät verlieren, verlieren Sie damit auch Ihren privaten Schlüssel. Verwenden Sie deshalb unbedingt eine Displaysperre. Verschlüsseln Sie zusätzlich den Datenträger oder verwenden Sie eine sichere Passphrase für den privaten Schlüssel.
Schritt-für-Schritt-Anleitung für den PC
1. Konto im E-Mail-Programm anlegen
Öffnen Sie das E-Mail-Programm Thunderbird und folgen Sie der Anleitung des Konfigurationsassistenten. Stellen Sie sicher, dass Sie bereits über ein E-Mail-Postfach verfügen (z. B. bei Posteo oder Mailbox) und geben Sie die Zugangsdaten für Ihr Postfach ein, sobald sie dazu aufgefordert werden. Sollte der Konfigurationsassistent nicht automatisch starten, können Sie in den Konteneinstellungen ein neues E-Mail-Konto hinzufügen. Wie das genau funktioniert, erfahren Sie in der Anleitung von Mozilla.
Die Anleitung für eine automatische Einrichtung funktioniert bei Mozilla bekannten E-Mail-Providern, ansonsten sollte die Anleitung für manuelle Konfiguration ausgewählt werden. Sprechen Sie ggf. mit den Verantwortlichen für den E-Mail-Server ab, welche Einstellungen gesetzt werden müssen und ob eine Transportverschlüsselung (TLS) (nicht mit der hier besprochenen Ende-zu-Ende-Verschlüsselung zu verwechseln!) unterstützt wird. Sie wird unter dem Punkt Verbindungssicherheit gesetzt.
2. Hauptpasswort setzen
Geheime Schlüssel werden standardmäßig nicht zusätzlich geschützt. Wer Zugriff auf den PC hat, könnte sie einfach aus dem Speicher von Thunderbird kopieren. Geschützt werden die geheimen Schlüssel erst, wenn ein Hauptpasswort gesetzt wird. Dieses Passwort wird dann bei jedem Start von Thunderbird abgefragt.
1. Klicken Sie oben rechts im Thunderbird-Hauptfenster auf den Menübutton (3 Striche oben rechts).
- Klicken Sie auf
Einstellungen
. - Wählen Sie links die Kategorie Datenschutz & Sicherheit aus.
- Setzen Sie im Abschnitt Passwörter einen Haken bei Hauptpasswort verwenden. Nun können Sie Ihr Passwort setzen.
Wichtig: Stellen Sie sicher, dass Sie das eben vergebene Passwort nicht vergessen. Und sichern Sie Ihren geheimen Schlüssel an einem sicheren Ort (siehe unten). Falls Sie keine Sicherung Ihres geheimen Schlüssels haben oder das Passwort vergessen, das Sie für den exportierten Schlüssel vergeben haben, verlieren Sie den Zugriff auf alle damit verschlüsselten E-Mails. Nutzen Sie eine Passwortverwaltung wie z. B. KeePassXC, um Passwörter zu verwalten. Mehr zu Passwortsicherheit
3. Schlüsselpaar erstellen
- Klicken Sie auf den Menübutton (oben rechts, die drei Striche).
- Klicken Sie auf Konten-Einstellungen.
- Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Ende-zu-Ende-Verschlüsselung.
- Klicken Sie im Abschnitt OpenPGP auf Schlüssel hinzufügen.
- Lassen Sie Neuen OpenPGP-Schlüssel erzeugen ausgewählt und klicken Sie auf Weiter.
- Stellen Sie sicher, dass die zu Ihrem E-Mail-Konto passende Identität ausgewählt ist.
- Das Ablaufdatum sorgt dafür, dass Schlüssel, über die Sie die Kontrolle verloren haben, nach Ablauf nicht mehr genutzt werden können. Wir empfehlen, nicht mehr als fünf Jahre einzustellen. Das Ablaufdatum des Schlüssels kann jederzeit geändert werden.
- Unter Erweiterte Einstellungen sollten Sie den Schlüsseltyp RSA ausgewählt lassen. Er bietet ausreichend Sicherheit. Mit der moderneren Alternative ECC haben einige E-Mail-Programme noch Probleme. Die Schlüsselgröße sollte auf 4096 gesetzt werden.
- Klicken Sie auf Schlüssel erzeugen und im nächsten Dialog nach Lesen der Hinweise auf Bestätigen. Ihr Schlüsselpaar wird nun erzeugt.
Danach können Sie Ihre erste verschlüsselte E-Mail versenden.
4. Eine verschlüsselte E-Mail schreiben
Nun sollten Sie Ihre Verschlüsselung testen.
- Wählen Sie im Hauptbildschirm von Thunderbird links in der Leiste das E-Mail-Konto aus, für das Sie die Verschlüsselung eingerichtet haben. Klicken Sie oben in der Symbolleiste auf Verfassen.
- Im neuen Fenster klicken Sie in der Menüleiste auf den Button Verschlüsselung, der nun ein geschlossenes Vorhängeschloss zeigen sollte. Ihre E-Mail wird standardmäßig mit Ihrem eigenen Schlüssel digital unterschrieben und der eigene öffentliche Schlüssel beigefügt; auch der Betreff der E-Mail wird verschlüsselt. Wollen Sie das Unterschreiben und die Verschlüsselung der Betreffzeile unterbinden, können Sie rechts daneben den Button OpenPGP anklicken und die entsprechenden Optionen deaktivieren.
- Tragen Sie in das Adressatenfeld „An:“ edward-de@fsf.org ein. Dies ist eine OpenPGP-Testadresse der Free Software Foundation (FSF), mit der Sie Ihre Einrichtung von OpenPGP überprüfen können. Betreff und Nachrichteninhalt dürfen kreativ befüllt werden.
- Thunderbird sollte Sie unten im Fenster mit einem gelben Banner warnen, dass es Probleme mit dem Schlüssel von edward-de@fsf.org gibt.
Denn diesen müssen Sie erst noch zu den Ihnen bekannten Schlüsseln hinzufügen. Klicken Sie entweder unten auf Beheben... oder auf Senden. Klicken Sie im neuen Fenster Öffentliche Schlüssel online finden... an. Thunderbird durchsucht nun einen Schlüsselserver nach einem passenden öffentlichen Schlüssel (hierzu später mehr). Falls die automatische Suche nicht erfolgreich sein sollte, können sie auch den Schlüssel manuell importieren. Weitere Infos gibt es weiter unten.
- Im nächsten Dialog wird – falls auf einem Schlüsselserver auffindbar – der gefundene Schlüssel angezeigt. Der Schlüssel von edward-de@fsf.org ist mit weiteren Identitäten (E-Mail-Adressen) verknüpft. Das ist selten, kann aber vorkommen, wenn die jeweilige Person oder Organisation einen einzigen Schlüssel für mehrere Adressen benutzt. Wählen Sie den Schlüssel aus und klicken Sie anschließend auf Annehmen. Die Info, dass sich die E-Mail nun verschlüsseln lässt, können Sie per Klick Schließen.
- Verschicken Sie die E-Mail mit einem Klick auf Senden. Nach kurzer Zeit sollten Sie eine Antwort von edward-de@fsf.org mit Informationen bekommen, ob Ihre Verschlüsselung korrekt eingerichtet ist.
Alternativ können Sie sich eine E-Mail mit dem öffentlichen Schlüssel einer Person zusenden lassen, mit der Sie die E-Mail-Verschlüsselung ausprobieren möchten. Schicken Sie einander jeweils Ihren öffentlichen Schlüssel (Anleitung siehe unten), so dass jede Person jeweils den Schlüssel der anderen Person hat. Wenn Sie die E-Mail empfangen haben, finden sie im Anhang eine ASC-Datei, deren Name mit OpenPGP beginnen sollte. Dies ist ein öffentlicher Schlüssel, den Sie per Rechtsklick auf die Datei im E-Mail-Anhang und Auswahl von OpenPGP-Schlüssel importieren in Ihren Schlüsselspeicher übernehmen können. Auch hier sollten Sie den Schlüssel im nächsten Fenster akzeptieren und mit OK bestätigen und den erfolgreichen Import nochmal mit einem Klick auf OK bestätigen.
Hinweis: Man kann auch Schlüssel aus einer Datei importieren und/oder diese dort abspeichern.
5. Öffentlichen Schlüssel teilen
Damit Ihnen verschlüsselte Mails geschrieben werden können, muss Ihr.e Gesprächspartner.in Ihren öffentlichen Schlüssel haben. Viele Wege führen hier zum Ziel:
- Schlüssel an E-Mail anhängen (geschieht standardmäßig, wenn Nachrichten unterschrieben werden)
- Fingerprint teilen (z. B. für Visitenkarten)
- Schlüssel auf eigener Website (z. B. im Kontakt-Bereich) veröffentlichen
- Schlüssel auf Schlüsselserver laden
Achtung: Nur den öffentlichen Schlüssel versenden, hochladen und/oder veröffentlichen. Der private Schlüssel muss geheim bleiben.
Per E-Mail versenden
Sie können Ihren öffentlichen Schlüssel direkt an eine E-Mail anhängen.
- Wählen Sie im Hauptbildschirm von Thunderbird links in der Leiste das E-Mail-Konto aus, für das Sie die Verschlüsselung eingerichtet haben. Klicken Sie oben in der Symbolleiste auf Verfassen.
- Im neuen Fenster klicken Sie in der Menüleiste auf den Pfeil in der Schaltfläche Anhängen und wählen Mein öffentlicher OpenPGP-Schlüssel aus. Wenn Sie den öffentlichen Schlüssel standardmäßig jeder E-Mail anhängen möchten, können Sie dies ebenfalls einstellen (siehe unten „Optional: Standardeinstellungen“ anpassen).
Auf Schlüsselserver hochladen
Damit es anderen Personen möglichst leicht fällt, Ihnen verschlüsselte E-Mails zu senden, können Sie Ihren öffentlichen Schlüssel auf einen sogenannten Schlüsselserver hochladen. Schlüsselserver werden von vielen E-Mail-Programmen automatisch durchsucht, wenn ein öffentlicher Schlüssel zum Verschlüsseln einer E-Mail fehlt. Der wichtigste ist keys.openpgp.org. Wenn Sie Ihren Schlüssel dort veröffentlichen, sollte das völlig ausreichen.
So laden Sie Ihren öffentlichen Schlüssel auf keys.openpgp.org hoch:
- Exportieren Sie Ihren öffentlichen Schlüssel in Thunderbird.
- Dazu klicken Sie auf den Menübutton (drei Striche oben rechts) und dann auf Konten-Einstellungen.
- Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Ende-zu-Ende-Verschlüsselung.
- Klicken Sie im Abschnitt OpenPGP auf den kleinen Pfeil oben rechts neben Ihrem bereits ausgewählten Schlüssel und klicken Sie auf den neuen Button Mehr.
- Klicken Sie auf Öffentlichen Schlüssel exportieren und wählen einen Speicherort aus.
- Rufen Sie nun keys.openpgp.org in einem Webbrowser auf.
- Klicken Sie auf Hochladen und anschließend auf Durchsuchen…. Wählen Sie Ihren gerade exportierten Schlüssel aus und drücken Sie anschließend auf die blaue Schaltfläche Upload.
- Ihr öffentlicher Schlüssel liegt nun auf dem Schlüsselserver – aber die Identität (Name und E-Mail-Adresse), die zu dem Schlüssel gehört und ihn auffindbar macht, fehlt noch.
- Lesen Sie die Hinweise nach dem Upload auf dem Schlüsselserver und drücken Sie den Button Bestätigungs-E-Mail senden.
- In Ihrem Posteingang sollte alsbald eine E-Mail von keyserver@keys.openpgp.org ankommen, die einen Bestätigungslink enthält. Klicken Sie diesen an, um Ihre Identität auf dem Schlüsselserver zu veröffentlichen. Diese Information können Sie später auch wieder vom Schlüsselserver entfernen, so lang Sie Kontrolle über Ihr E-Mail-Konto haben.
Auf der eigenen Website
Insbesondere öffentliche Adressen sollten auf Ihrer Website (z. B. auf der Kontaktseite, wo Sie E-Mail-Adressen angeben) mit einem Hinweis versehen werden, dass verschlüsselte Kommunikation möglich und erwünscht ist. Dazu kann auf den öffentlichen Schlüssel der jeweiligen Person bzw. der jeweiligen Adresse, z. B. direkt bei keys.openpgp.org, verlinkt werden. Wer unabhängig von Schlüsselservern sein möchte, kann auch (zusätzlich oder alternativ) den öffentlichen Schlüssel auf der eigenen Website veröffentlichen. Dazu kann man die Schlüsseldatei im Volltext auf den Webserver hochladen und verlinken oder einfach den gesamten Schlüsseltext auf eine eigene Unterseite kopieren.
Checkliste
- Haben Sie in Thunderbird ein Hauptpasswort gesetzt, geprüft und es z. B. in einer Passwortdatenbank vermerkt?
- Haben Sie ein OpenPGP-Schlüsselpaar generiert?
- Haben Sie das Schlüsselpaar auf einem externen Datenträger gesichert?
- Haben Sie Ihren öffentlichen Schlüssel – falls gewünscht – veröffentlicht, z. B. auf Ihrer Website und auf dem Schlüsselserver keys.openpgp.org, oder mit Ihren Kommunikationspartner.innen den öffentlichen Schlüssel ausgetauscht?
- Haben Sie beim Versenden eingestellt, dass die E-Mail verschlüsselt ist?
Exkurse und optionale Einstellungen
Öffentliche Schlüssel von anderen Personen verifizieren
Bisher haben wir neue öffentliche Schlüssel einfach angenommen, damit eine Ende-zu-Ende-Verschlüsselung zustande kommt. Bei öffentlichen Schlüsseln, die auf dem Schlüsselserver keys.openpgp.org liegen, kann man sich ziemlich sicher sein, dass sie der Person gehören, die Inhaber.in der jeweiligen E-Mail-Adresse ist. Um sicherzugehen, dass wirklich nur die adressierte Person Zugang zum Inhalt der E-Mail hat, ist es empfehlenswert, zusätzlich die Schlüssel genau zu prüfen und zu verifizieren. Hierzu können Sie den sogenannten Fingerabdruck, eine eindeutige Zeichenfolge zur Identifikation Ihres Schlüssels, abgleichen. So finden Sie den Fingerabdruck Ihres Schlüssels:
- Klicken Sie auf den Menübutton und dann auf Konten-Einstellungen.
- Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Ende-zu-Ende-Verschlüsselung.
- Klicken Sie unter dem Bereich OpenPGP auf den kleinen Pfeil-Button rechts neben Ihrem angewählten Schlüssel. Sie sehen nun den Fingerabdruck Ihres Schlüssels.
Wenn Sie den Fingerabdruck des öffentlichen Schlüssels der anderen Person haben, können Sie den Schlüssel verifizieren:
- Wenn Sie noch die letzte Ansicht Ende-zu-Ende-Verschlüsselung in Ihren Konten-Einstellungen geöffnet haben, können Sie dort unter Ihrem Schlüssel den Button OpenPGP-Schlüssel verwalten anklicken. Alternativ: Menübutton → Extras → OpenPGP-Schlüssel verwalten
- Im neuen Fenster können Sie die Suchleiste benutzen, um nach dem Kontakt zu suchen, den Sie verifizieren möchten. Doppelklicken Sie den entsprechenden Eintrag.
- Sie sehen nun viele Informationen über den Schlüssel der jeweiligen Person bzw. E-Mail-Adresse, unter anderem den Fingerabdruck. Vergleichen Sie nun Ihre Fingerabdrücke gegenseitig auf einem anderen Kanal (persönliches Treffen, Messenger, Telefonanruf) und wählen Sie, sofern alles korrekt ist, Ja, ich selbst habe überprüft, dass der Schlüssel über den korrekten Fingerabdruck verfügt. Schließen Sie das Fenster anschließend mit einem Klick auf OK.
Indem Sie diesen Fingerabdruck auch auf Printprodukten wie Flyern oder Visitenkarten bekannt geben, machen Sie es Menschen noch leichter, zu prüfen, ob sie den richtigen Schlüssel haben.
E-Mails digital unterschreiben
Um die Echtheit von E-Mails (Authentizität) sicherzustellen, können E-Mails mit dem eigenen Schlüssel unterschrieben werden. Jede Person (und jede E-Mail-Adresse), die sich sicher ist, dass Ihr öffentlicher Schlüssel wirklich zu Ihnen gehört (siehe „Schlüssel verifizieren“), kann sich dann ebenfalls sicher sein, dass nur Sie diese Nachricht geschrieben haben können. Ob die Signatur der E-Mail okay ist, wird im rechten Bereich des E-Mail-Fensters angezeigt:
- Signaturzeichen mit grünem Pfeil: gute Signatur
- Signaturzeichen mit gelbem Dreieck: gute Signatur, Schlüssel nicht verifiziert
- Signaturzeichen mit rotem Dreieck: Signatur stimmt nicht mit Schlüssel überein
- Kein Signaturzeichen: Die E-Mail ist nicht signiert. Detailliertere Infos bekommen Sie, wenn Sie auf OpenPGP klicken.
Falls die Signatur nicht zu dem jeweiligen OpenPGP-Schlüssel passt, zeigt Thunderbird eine Warnung (das Signaturzeichen mit rotem Dreieck) an, dass die Signatur verändert worden ist. Hier könnte jemand die E-Mail manipuliert bzw. verändert haben und Sie sollten größte Vorsicht walten lassen. Treten Sie in einem solchen Fall mit Ihrem Kontakt auf einem anderen Kanal in Verbindung.
Schlüsseldateien finden und manuell importieren
Klappt der automatische Import eines Schlüssels in Thunderbird nicht oder haben Sie aus einer anderen Quelle eine Schlüsseldatei bekommen (z. B. von einer Website oder nach einer Suche auf Schlüsselserver keys.openpgp.org), können Sie den Schlüssel auch manuell importieren.
- Klicken Sie den Menübutton an, dann auf Extras und anschließend auf OpenPGP-Schlüssel verwalten.
- In der Menüleiste des neuen Fensters klicken Sie auf den ersten Punkt Datei und dann auf Öffentliche(n) Schlüssel aus Datei importieren.
- Wählen Sie nun die entsprechende Schlüsseldatei (der Dateiname endet meist auf .asc) aus und bestätigen Sie mit einem Klick auf Öffnen.
- Anschließend werden Ihnen Informationen zu einem oder mehreren Schlüsseln angezeigt. Dabei können Sie direkt entscheiden, ob Sie den Schlüssel akzeptieren möchten. Klicken Sie anschließend auf OK.
Optional: Standardeinstellungen anpassen
Standardmäßig ist die Verschlüsselung von E-Mails nicht aktiv, d. h. sie muss beim Versenden jeder E-Mail über den Button Sicherheit aktiviert werden. Gleiches gilt für das Anhängen des öffentlichen Schlüssels und das digitale Unterschreiben von E-Mails. Sie können diese Einstellungen für Ihr Konto ändern:
- Klicken Sie auf den Menübutton und dann auf Konten-Einstellungen.
- Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Ende-zu-Ende-Verschlüsselung.
- Unter Senden von Nachrichten – Standardeinstellungen können Sie die Standards für die Verwendung der Verschlüsselung und das Unterschreiben von Nachrichten umstellen. Sollte Ihr.e Empfänger.in keine PGP-Verschlüsselung benutzen, muss diese dann manuell abgeschaltet werden. Unter Erweiterte Einstellungen kann eingestellt werden, ob der Betreff von versendeten E-Mails und Nachrichtenentwürfe ebenfalls verschlüsselt werden sollen und ob der öffentliche Schlüssel angehängt wird, wenn eine E-Mail digital unterschrieben wird.
Da HTML häufig dazu genutzt wird, Sicherheitsmaßnahmen zu untergraben, empfiehlt sich das ausschließliche Senden von Textmails.
- Klicken Sie auf den Menübutton und dann auf Konten-Einstellungen.
- Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Verfassen & Adressieren.
- Deaktivieren Sie unter dem Abschnitt Verfassen die Option Nachrichten im HTML-Format verfassen.
Optional: eigenen geheimen Schlüssel bzw. Schlüsselpaar sichern
Für den Fall, dass Sie aus irgendwelchen Gründen den Zugriff auf die Thunderbird-Installation verlieren, sollten Sie das Schlüsselpaar an einem anderen Ort sichern, um die eigenen E-Mails nach einer erneuten Einrichtung – z. B. auf zusätzlichen Geräten – ver- und entschlüsseln zu können.
- Klicken Sie auf den Menübutton und dann auf Konten-Einstellungen.
- Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Ende-zu-Ende-Verschlüsselung.
Klicken Sie unter dem Bereich OpenPGP auf den kleinen Pfeil-Button rechts neben Ihrem angewählten Schlüssel und anschließend auf Mehr.
Wählen Sie die Option Sicherheitskopie für geheimen Schlüssel erstellen aus.
- Wählen die den Ort aus, wo Sie den geheimen Schlüssel speichern möchten. Wir empfehlen Ihnen, dazu z. B. einen verschlüsselten externen Datenträger zu nutzen.
- Wählen Sie im nächsten Schritt eine Passphrase aus, die Ihren geheimen Schlüssel vor unbefugtem Zugriff schützt. Sie muss beim Import des Schlüssels wieder eingegeben werden.
E-Mail-Verschlüsselung auf dem Smartphone
Auch auf Mobilgeräten können E-Mails via OpenPGP verschlüsselt werden. Ihr bereits erstelltes Schlüsselpaar können Sie auf Ihrem Smartphone importieren.
Achtung: Stellen Sie sicher, dass Ihr Mobilgerät über die letzten Betriebssystem- und App-Updates verfügt. Bei Geräten, die nicht mehr mit Updates versorgt werden, sollte E-Mail-Verschlüsselung nur in wohl bedachten Ausnahmefällen eingerichtet werden.
Android
Unter Android können Sie mit einem E-Mail-Client wie K-9 Mail oder FairEmail (welche Verschlüsselung grundsätzlich unterstützen) und der OpenPGP-Schlüsselverwaltung OpenKeychain Nachrichten ver- und entschlüsseln.
Eine detaillierte Anleitung zur Aktivierung der E-Mail-Verschlüsselung in K-9 Mail mit OpenKeychain finden Sie bei mobilsicher.de.
Eine alternative Lösung unter Android ist p≡p.
iOS / iPadOS
Auf iOS und iPadOS können Sie Nachrichten mit PGPro durch OpenPGP ver- und entschlüsseln. Dies ist leider recht umständlich, da Sie die Nachrichteninhalte zwischen PGPro und Ihrer E-Mail-App hin und her kopieren müssen.
* PGPro
Weitere Möglichkeiten finden Sie auf OpenGPG.org. Da es sich bei den dort gelisteten Alternativen nicht um freie Software handelt, können wir sie nicht empfehlen.
Die Rolle der Keyserver
So praktisch es auch ist, Schlüssel über öffentliche Schlüsselserver auszutauschen, so gibt es doch gewisse Risiken: Zum einen können Sie den Schlüssel von dort nicht mehr löschen. Deshalb ist es sinnvoll, vor der Veröffentlichung ein Widerrufszertifikat zu erstellen, mit dem Sie später den Schlüssel als ungültig markieren können. Außerdem ist Ihre E-Mail-Adresse nach der Veröffentlichung für jede Person einsehbar.
Auf ältere Schlüsselserver kann jede Person jeden beliebigen Schlüssel ohne Überprüfung hochladen – das birgt hohes Missbrauchspotenzial. Daher empfehlen wir die Nutzung des Servers keys.openpgp.org. Hier wird jede E-Mail-Adresse des Schlüssels geprüft, bevor sie eingetragen wird.
Normalerweise ist dieser Schlüsselserver bereits voreingestellt.
Weiterführende Links
- Free Software Foundation: weitere Schritt-für-Schritt Anleitungen in Englisch
- Offizielle Hinweise zu OpenPGP in Thunderbird
- Anleitung zur Einrichtung von OpenPGP in Thunderbird von Ende Gelände Hamburg
- Artikel von Mike Kuketz zu Thunderbird:
- Mobilsicher.de zur E-Mail-Verschlüsselung auf Mobilgeräten
- Dezember 2022: Überarbeitung für Thunderbird 102
- September 2023: Links aktualisiert, Workaround zu Edward-Bot entfernt
Digitalcourage setzt sich für Ihre Privatsphäre und Ihre Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.
Wir aktualisieren unsere Texte in unregelmäßigen Abständen. Prüfen Sie das Datum der letzten Überarbeitung unter „Letztes Update“. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.