Schritt-für-Schritt-Anleitung

E-Mails verschlüsseln mit OpenPGP

Die eigenen Mails zu verschlüsseln ist wichtig und gar nicht so kompliziert. Wir erklären warum und wie.

In diesem Artikel gehen wir darauf ein, warum es wichtig ist, E-Mails Ende-zu-Ende zu verschlüsseln und wie das genau funktioniert. Mit unserer Schritt-für-Schritt-Anleitung können Sie die entsprechenden Apps oder Programme auf einem Endgerät installieren und einrichten. Einen vertrauenswürdigen E-Mail-Anbieter haben Sie hoffentlich schon.

Inhaltsübersicht:

  1. Warum E-Mails verschlüsseln?
  2. Wie bei E-Mails verschlüsselt wird
  3. E-Mails auf- und zuschließen
  4. Mit dieser Software verschlüsseln Sie Ihre Mails
  5. Schritt-für-Schritt-Anleitung für den PC
  6. Schritt-für-Schritt-Anleitung für Android
  7. Die Rolle der Keyserver
  8. Weiterführende Links

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Warum E-Mails verschlüsseln?

E-Mails werden herkömmlich im Klartext versendet. Wie bei einer Postkarte ist der Inhalt der Mail grundsätzlich für alle lesbar, die diese in die Finger bekommen. Dazu gehören Betreiber.innen von Mail-Servern und Administrator.innen, aber auch für andere Menschen, die Zugriff auf den Speicher Ihres Rechners haben.

Auch wenn vermeintlich nichts Interessantes in unseren E-Mails steht, können wir nicht wissen, ob wir nicht doch eines Tages zum Ziel eines Angriffs auf unsere Privatsphäre werden. Aus unseren Mails lassen sich viele Informationen herleiten, die zwar trivial anmuten, aber vielseitig eingesetzt werden können, um uns zu schaden. Die Zahlen von Doxing und digitalem Stalking sind stark steigend. E-Mail spielt dabei eine zentrale Rolle. Immerhin kann man damit die Passwörter fast aller unserer Accounts zurücksetzen.

Außerdem stärken Sie Verschlüsselung als Prinzip, indem Sie sie nutzen. Je mehr Menschen ihre Kommunikation verschlüsseln, desto geringer ist die Gefahr, dass schon das Verschlüsseln selber verdächtig ist. So werden Menschen, Gruppen und Situationen geschützt, in denen Verschlüsselung tatsächlich brisant und wichtig ist.

Viele kostenlose E-Mail-Anbieter werten die Inhalte Mails ihrer Nutzerschaft automatisiert aus. Anhand bestimmter Schlagwörter erhalten Sie dann passgenaue Werbung geschickt. Ob diese Informationen gar an Dritte weiter verkauft werden, hängt vom jeweiligen Dienst ab. Diese Praxis können Sie mit E-Mail-Verschlüsselung gleich mit unterbinden.

Am besten verschlüsseln Sie Ihre Nachricht „Ende-zu-Ende“. Das heißt, dass nur Absender und Empfängerin den Inhalt der Nachricht lesen können.

Angenehmer Nebeneffekt von E-Mail-Verschlüsselung: Wir können mit derselben Technik auch unsere Mail signieren (digital unterschreiben) und damit gleich zwei Dinge sicherstellen: Wir wissen, dass wir wirklich mit den Personen kommunizieren, mit denen wir zu kommunizieren glauben (Schutz der Authentizität). Und wir können uns darauf verlassen, dass der Inhalt der Nachricht auf dem Weg von der Absenderin zum Empfänger nicht verändert wurde (Schutz der Integrität).

Wie bei E-Mails verschlüsselt wird

Grundsätzlich kann bei E-Mails zwischen drei Formen der Verschlüsselung unterschieden werden: die Transportverschlüsselung, die Postfachverschlüsselung und die Ende-zu-Ende-Verschlüsselung.

Die Transportverschlüsselung ist (fast) überall im Einsatz und stellt lediglich sicher, dass die E-Mail auf dem Weg von Ihrem Endgerät zum Server Ihres E-Mail-Anbieters verschlüsselt wird. Wäre Ihre Mail eine Postkarte, dann würde Transportverschlüsselung bedeuten, dass die Postkarte vor fremdem Zugriff geschützt ist, so lange sie sich im Postauto (oder Postfahrrad) befindet. Dieser Schutz besteht aber nicht auf den Zwischenstationen (dem Verteilzentrum etc.) oder am Ziel (ihrem Briefkasten).

Die Postfachverschlüsselung, die manche E-Mail-Provider anbieten, stellt lediglich sicher, dass die E-Mails auf dem Server Ihres E-Mail-Anbieters verschlüsselt gespeichert werden. Das bedeutet, die Postkarte liegt nach der Zustellung in einem gut gesicherten Briefkasten. Ob sie auf dem Weg dorthin gelesen oder verändert wurde, können Sie nicht wissen.

/sites/default/files/2022-03/Mysterious_Box-by-Blondinrikard_Froeberg-cc_by2.jpg

Selbst mit den beiden Verschlüsselungen ist der Inhalt der E-Mail immer noch nicht durchgängig geschützt.

Daher ist es am Besten, die packen die Postkarte in einen Briefumschlag. Dies entspricht der Ende-zu-Ende-Verschlüsselung, die bewirkt, dass die gesamte Transportkette von Ihrem Endgerät über die Webserver der E-Mail-Anbieter bis zum Endgerät Ihres Kommunikationspartners gesichert ist. Dieser digitale Umschlag ist sogar noch besser, als einer aus Papier, weil ihn nur die Empfängerin öffnen kann. Einfache Erklärung von Mobilsicher

Zur Ende-zu-Ende-Verschlüsselung gibt es zwei gebräuchliche Verfahren: OpenPGP und S/MIME. Da S/MIME (bei der Zertifizierung) recht kompliziert ist, konzentriert sich dieser Artikel auf das zugänglichere OpenPGP. Leider sind die beiden Verfahren nicht miteinander kompatibel.

E-Mails auf- und zuschließen

OpenPGP verwendet einen öffentlichen Schlüssel ("public key") und einem privaten Schlüssel ("private key"). Beide zusammen bilden ein Schlüsselpaar.

Hinweis: Zum besseren Verständnis nennen wir den öffentlichen Schlüssel „Öffentliches Schloss“. Stellen Sie sich diesen wie ein Vorhängeschloss vor, mit dem Sie ein Kästchen verschließen können.

Das Öffentliche Schloss können Sie jedermann offen in die Hand geben. Eine andere Person kann nun einen Brief schreiben, falten, in ein Kästchen legen und dieses mit Ihrem „öffentlichen Vorhängeschloss“ verschließen. Danach können nur noch Sie das Schloss öffnen, denn nur Sie haben Ihren „privaten Schlüssel“, den man in das Vorhängeschloss reinstecken und rumdrehen müsste.

/sites/default/files/2022-03/Protector-by-Meena_Kadri-cc_by2-flickr.jpg

Dieser Private Schlüssel kann das Vorhängeschloss öffen - Sie können den Brief herausnehmen und lesen. Er war vor allen neugierigen Augen auf dem Transportweg geschützt.

Auf Schlüsselservern können solche „Vorhängeschlösser“ in großen Mengen abgelegt werden. Wenn jemand Ihnen schreiben möchte holt sich diese Person dort Ihr Schloss. Da die E-Mailadressen auf dem Schloss eingraviert sind, und die Schlösser ordentlich verwahrt sind, ist sicher gestellt, dass Ihr öffentliches Schloss dort gefunden wird.

Sie haben also beides: Das „Öffentliche Schloss“ und den „Privaten Schlüssel“. Beides funktioniert nur zusammen. Und leider heißen beide in Verschlüsselungsprogrammen „Schlüssel“. Aber das wird Sie nun nicht mehr verwirren; Sie wissen ja nun, dass beide ganz unterschiedliche Funktionen haben.

Öffentliche Schlösser können Sie wie Konfetti unter die Menschen streuen. Aber Ihren Privaten Schlüssel - den hüten Sie wie Ihren Augapfel!

Dieses Video von Alexander Lehmann erklärt sehr anschaulich, wie Ende-zu-Ende-Verschlüsselung funktioniert und warum es sich lohnt, sie einzusetzen.

Mit dieser Software verschlüsseln Sie Ihre Mails

Für den PC: Thunderbird

Wir empfehlen den freien E-Mail-Client Thunderbird von Mozilla. Nur mit einem solchen Mail-Client kann die E-Mail mit Ende-zu-Ende-Verschlüsselung geschützt werden. Thunderbird ist erhältlich für Linux, Mac und Windows.

Alternativ können Sie Apple Mail mit GPG Mail oder Microsoft Outlook mit GPG4win verwenden (diese werden in diesem Artikel aber nicht beschrieben).

Für das Smartphone (Android): K-9-Mail

Benutzen Sie zum Lesen und Schreiben nicht die Apps Ihres E-Mail-Anbieters oder vorinstallierte Apps. Diese können z.B. mittels Tracking Ihre Interaktionen aufnehmen und versendete Links manipulieren. So kann Ihr Anbieter mitbekommen, wenn Sie auf einen Link klicken. Benutzen Sie besser einen unabhängigen E-Mail-Client.

Wir empfehlen den freien E-Mail-Client K-9 Mail in Kombination mit dem Verschlüsselungstool OpenKeychain.

Alternativ können Sie auch FairEmail verwenden, das ebenfalls mit OpenKeychain zusammenarbeitet.

Eine Liste mit allen verfügbaren Clients und Add-ons finden Sie hier.

Vorsicht: Wenn Sie Ihr mobiles Endgerät verlieren, verlieren Sie damit auch Ihre privaten Schlüssel. Verwenden Sie deshalb unbedingt eine Displaysperre. Verschlüsseln Sie zusätzlich den Datenträger oder verwenden Sie eine sichere Passphrase für den privaten Schlüssel.

Schritt-für-Schritt-Anleitung für den PC

1. Konto im E-Mail-Programm anlegen

Öffnen Sie das E-Mail-Programm Thunderbird und folgen Sie der Anleitung des Konfigurationsassistenten. Stellen Sie sicher, dass Sie bereits über ein E-Mail-Postfach verfügen (z.B. bei Posteo oder Mailbox) und geben Sie die Zugangsdaten für Ihr Postfach ein, sobald sie dazu aufgefordert werden. Sollte der Konfigurationsassistent nicht automatisch starten, können Sie in den Konteneinstellungen ein neues E-Mail-Konto hinzufügen. Wie das genau funktioniert, erfahren Sie in der Anleitung von Mozilla.

Die Anleitung für eine automatische Einrichtung funktioniert bei Mozilla bekannten E-Mail-Providern, ansonsten sollte die Anleitung für manuelle Konfiguration ausgewählt werden. Sprechen Sie sich ggf. mit den Verantwortlichen für den E-Mai-Server ab, welche Einstellungen gesetzt werden müssen und eine Transportverschlüsselung (TLS) (nicht mit der hier besprochenen Ende-zu-Ende-Verschlüsselung zu verwechseln!) unterstützt wird. Sie wird unter dem Punkt Verbindungssicherheit gesetzt.

2. Hauptpasswort setzen

Geheime Schlüssel werden standardmäßig nicht zusätzlich geschützt. Wer Zugriff auf den PC hat, könnte sie einfach aus dem Speicher von Thunderbird kopieren. Geschützt werden die geheimen Schlüssel erst, wenn ein Hauptpasswort gesetzt wird. Dieses Passwort wird dann bei jedem Start von Thunderbird abgefragt.
1. Klicken Sie oben rechts im Thunderbird-Hauptfenster auf den Menübutton (3 Striche oben rechts).
/sites/default/files/2022-03/Screenshot_burger-menue.png

  1. Klicken Sie auf Einstellungen.
  2. Wählen Sie links die Kategorie Datenschutz & Sicherheit aus.
  3. Setzen Sie im Abschnitt Passwörter einen Haken bei Hauptpasswort verwenden. Nun können Sie ihr Passwort setzen.

Wichtig: Seien Sie sich sicher, dass Sie das eben vergebene Passwort nicht vergessen. Und sichern Sie Ihren geheimen Schlüssel an einem sicheren Ort (siehe unten). Falls Sie keine Sicherung Ihres geheimen Schlüssels haben, oder das Passwort vergessen, das Sie für den exportieren Schlüssel vergeben haben, verlieren Sie den Zugriff auf alle damit verschlüsselten Mails. Nutzen Sie eine Passwortverwaltung wie z. B. KeePassXC, um Passwörter zu verwalten. Mehr zu Passwortsicherheit

3. Schlüsselpaar erstellen

  1. Klicken Sie auf den Menübutton (oben rechts, die drei Striche).
  2. Klicken Sie auf Konten-Einstellungen.
  3. Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Ende-zu-Ende-Verschlüsselung.
  4. Klicken Sie im Abschnitt OpenPGP auf Schlüssel hinzufügen….
  5. Lassen Sie Neuen OpenPGP-Schlüssel erzeugen ausgewählt und klicken Sie auf Weiter.
    • Stellen Sie sicher das die zu Ihrem Mailkonto passende Identität ausgewählt ist.
    • Das Ablaufdatum sorgt dafür, das Schlüssel, über die Sie die Kontrolle verloren haben, nach Ablauf nicht mehr genutzt werden können. Wir empfehlen nicht mehr als 5 Jahre einzustellen. Das Ablaufdatum des Schlüssels kann jederzeit geändert werden.
    • Unter Erweiterte Einstellungen sollten Sie den Schlüsseltyp RSA ausgewählt lassen. Er bietet ausreichend Sicherheit. Mit der moderneren Alternative ECC haben einige E-Mail-Programme noch Probleme. Die Schlüsselgröße sollte auf 4096 gesetzt werden.
  6. Klicken Sie auf Schlüssel erzeugen und im nächsten Dialog nach lesen der Hinweise auf Bestätigen. Ihr Schlüsselpaar wird nun erzeugt.

Danach können Sie Ihre erste verschlüsselte E-Mail versenden.

4. Eine verschlüsselte E-Mail schreiben

Nun sollten Sie Ihre Verschlüsselung testen.
1. Wählen Sie im Hauptbildschirm von Thunderbird links in der Leiste das Mailkonto aus, für das Sie die Verschlüsselung eingerichtet haben. Klicken Sie oben in der Symbolleiste auf Verfassen.
2. Im neuen Fenster klicken Sie in der Menüleiste auf den Pfeil rechts neben Sicherheit und wählen Nur mit Verschlüsselung senden aus. Außerdem empfiehlt es sich, Nachricht unterschreiben und OpenPGP -> Meinen öffentlichen Schlüssel anhängen anzuwählen.
/sites/default/files/2022-03/grafik.png

  1. Tragen sie in das Adressatenfeld An: edward-de@fsf.org ein. Dies ist eine OpenPGP-Testadresse der Free Software Foundation (FSF), mit der Sie Ihre Einrichtung von OpenPGP überprüfen können. Betreff und Nachrichteninhalt dürfen kreativ befüllt werden.
  2. Klicken Sie auf Senden. Thunderbird meldet nun zurück, dass es Probleme mit dem Schlüssel von edward-de@fsf.org gibt. Denn diesen müssen Sie erst noch zu den Ihnen bekannten Schlüsseln hinzufügen. Klicken Sie dazu auf Schließen. Wählen Sie im nächsten Fenster die entsprechende E-Mail-Adresse aus und klicken Sie auf Schlüssel für gewählten Empfänger verwalten….
  3. Im neuen Fenster werden alle möglichen öffentlichen Schlüssel für den Adressaten gelistet. Da noch kein Mailschlüssel edward-de@fsf.org vorhanden und die Liste leer sein sollte, klicken Sie auf Neuen oder aktualisierten Schlüssel suchen. Thunderbird durchsucht nun einen Schlüsselserver nach einem passenden öffentlichen Schlüssel (hierzu später mehr).
  4. Im nächsten Dialog sollten Sie gefragt werden, ob der gefundene Schlüssel importiert werden soll. Der Schlüssel von edward-de@fsf.org ist weiteren Identitäten (E-Mail-Adressen) verknüpft. Das ist selten, kann aber vorkommen, wenn die jeweilige Person oder Organisation einen einzigen Schlüssel für mehrere Adressen nutzen möchte. Wählen Sie Akzeptiert (nicht verifiziert) aus und bestätigen sie mit OK. Thunderbird meldet nun den Import des Schlüssels, was Sie mit OK bestätigen können. Die noch verbliebenen zwei Fenster zur Sicherheit der OpenPGP-Nachricht können Sie jeweils mit OK schließen.
  5. Verschicken Sie die E-Mail mit einem Klick auf Senden. Nach kurzer Zeit sollten Sie eine Antwort von edward-de@fsf.org mit Informationen bekommen, ob Ihre Verschlüsselung korrekt eingerichtet ist.

Alternativ können Sie sich eine E-Mail mit dem öffentlichen Schlüssel einer Person zusenden lassen, mit der Sie die E-Mail-Verschlüsselung ausprobieren möchten. Schicken Sie einander jeweils Ihre öffentliche Schlüssel (Anleitung siehe unten), so dass jede Person jeweils den Schlüssel der anderen Person hat. Wenn Sie die E-Mail empfangen haben, finden sie im Anhang eine ASC-Datei, deren Name mit OpenPGP beginnen sollte. Dies ist ein öffentlicher Schlüssel, den Sie per Rechtsklick auf die Datei im E-Mail-Anhang und Auswahl von OpenPGP-Schlüssel importieren in Ihren Schlüsselspeicher übernehmen können. Auch hier sollten Sie den Schlüssel im nächsten Fenster akzeptieren und mit OK bestätigen und den erfolgreichen Import nochmal mit einem Klick auf OK bestätigen.

//sites/default/files/2022-03/screenshot-key-importieren.png

Hinweis: Man kann auch Schlüssel aus einer Datei importieren und/oder diese dort abspeichern.

5. Öffentlichen Schlüssel teilen

Damit Ihnen verschlüsselte Mails geschrieben werden können, muss Ihr.e Gesprächspartner.in Ihren öffentlichen Schlüssel haben. Viele Wege führen hier zum Ziel: * Schlüssel an Mail anhängen (am besten standardmäßig) * Fingerprint teilen (z.B. für Visitenkarten) * Schlüssel auf eigener Website (z.B. im Kontakt-Bereich) veröffentlichen * Schlüssel auf Schlüsselserver laden

Achtung: Nur den öffentlichen Schlüssel versenden, hochladen und/oder veröffentlichen. Der private Schlüssel muss geheim bleiben.

Per E-Mail versenden

Sie können Ihren öffentlichen Schlüssel direkt an eine E-Mail anhängen. 1. Wählen Sie im Hauptbildschirm von Thunderbird links in der Leiste das Mailkonto aus, für das Sie die Verschlüsselung eingerichtet haben. Klicken Sie oben in der Symbolleiste auf Verfassen. 2. Im neuen Fenster klicken Sie in der Menüleiste auf den Pfeil rechts neben Sicherheit und wählen Meinen öffentlichen Schlüssel anhängen aus. Wenn Sie den öffentlichen Schlüssel standardmäßig jeder E-Mail anhängen möchten, können Sie dies ebenfalls einstellen (siehe unten Optional: Standardeinstellungen anpassen).

Auf Schlüsselserver hochladen

Damit es anderen Personen möglichst leicht fällt, Ihnen verschlüsselte E-Mails zu senden, können Sie Ihren öffentlichen Schlüssel auf einen sogenannten “Schlüsselserver” hochladen. Schlüsselserver werden von vielen E-Mail-Programmen automatisch durchsucht, wenn ein öffentlicher Schlüssel zum Verschlüsseln einer E-Mail fehlt. Der Wichtigste ist keys.openpgp.org. Wenn Sie Ihren Schlüssel dort veröffentlichen, sollte das völlig ausreichen.

So laden Sie Ihren öffentlichen Schlüssel auf https://keys.openpgp.org/ hoch:
1. Exportieren Sie Ihren öffentlichen Schlüssel in Thunderbird.
* Dazu klicken Sie auf den Menübutton (3 Striche oben rechts) und dann auf Konten-Einstellungen. * Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Ende-zu-Ende-Verschlüsselung. * Klicken Sie im Abschnitt OpenPGP auf den kleinen Pfeil oben rechts neben Ihrem bereits ausgewählten Schlüssel und klicken Sie auf den neuen Button Mehr. * Klicken Sie auf Öffentlichen Schlüssel exportieren und wählen einen Speicherort aus. 2. Rufen Sie nun https://keys.openpgp.org/ in einem Webbrowser auf.
3. Klicken Sie auf hochladen und anschließend auf Durchsuchen…. Wählen Sie Ihren gerade exportieren Schlüssel aus und drücken Sie anschließend auf die blaue Schaltfläche Upload.
4. Ihr öffentlicher Schlüssel liegt nun auf dem Schlüsselserver - aber die zugehörige Identität (Name und E-Mail-Adresse), die zu dem Schlüssel gehört und ihn auffindbar macht, fehlt noch.
5. Lesen sie die Hinweise nach dem Upload auf dem Schlüsselserver und drücken Sie den Button Bestätigungs-Email senden. 6. In Ihrem Posteingang sollte alsbald eine Mail von keyserver@keys.openpgp.org ankommen, die einen Bestätigungslink enthält. Klicken Sie diesen an, um Ihre Identität auf dem Schlüsselserver zu veröffentlichen. Diese Informationen können Sie später auch wieder vom Schlüsselserver entfernen, so lang Sie Kontrolle über Ihr E-Mail-Konto haben.

Auf der eigenen Website

Insbesondere öffentliche Adressen sollten auf Ihrer Website (z.B. auf der Kontaktseite, wo Sie Ihre Mailadresse angeben) mit einem Hinweis versehen werden, dass eine verschlüsselte Kommunikation möglich und erwünscht ist. Dazu kann auf den öffentlichen Schlüssel der jeweiligen Person bzw. der jeweiligen Adresse, z. B. direkt bei https://keys.openpgp.org/ verlinkt werden. Wer unabhängig von Schlüsselservern sein möchte, kann auch (zusätzlich oder alternativ) den öffentlichen Schlüssel auf der eigenen Website veröffentlichen. Dazu kann man die Schlüsseldatei im Volltext auf den Webserver hochladen und verlinken, oder einfach den gesamten Schlüsseltext auf eine eigene Unterseite kopieren.

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Checkliste

• Haben Sie in Thunderbird ein Hauptpasswort gesetzt, geprüft und es z. B. in einer Passwortdatenbank vermerkt?
• Haben Sie OpenPGP-Schlüsselpaar generiert?
• Haben Sie das Schlüsselpaar auf einem externen Datenträger gesichert?
• Haben Sie Ihren öffentlichen Schlüssel – falls gewünscht – veröffentlicht, z. B. auf Ihrer Website und auf dem Schlüsselserver https://keys.openpgp.org/ oder mit Ihrer Kommunikationspartner.in den öffentlichen Schlüssel ausgetauscht?
• Haben Sie beim Versenden eingestellt, dass die E-Mail verschlüsselt ist?

Exkurse und optionale Einstellungen

Öffentliche Schlüssel von anderen Personen verifizieren

Bisher haben wir neue öffentliche Schlüssel einfach angenommen, damit eine Ende-zu-Ende-Verschlüsselung zustande kommt. Bei öffentlichen Schlüsseln, die auf dem Schlüsselserver https://keys.openpgp.org/ liegen, kann man sich ziemlich sicher sein, dass sie der Person gehören, die Inhaber.in der jeweiligen E-Mail-Adresse ist. Um wirklich sicher zu gehen, dass wirklich nur die adressierte Person Zugang zum Inhalt der Mail hat, ist es empfehlenswert zusätzlich die Schlüssel genau zu prüfen und zu verifizieren. Hierzu können Sie den sogenannten “Fingerabdruck” – eine eindeutige Zeichenfolge zur Identifikation – Ihres Schlüssels abgleichen. So finden Sie den Fingerabdruck Ihres Schlüssels:
1. Klicken Sie auf den Menübutton und dann auf Konten-Einstellungen.
2. Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Ende-zu-Ende-Verschlüsselung.
3. Klicken Sie unter dem Bereich OpenPGP auf den kleinen Pfeil-Button rechts neben Ihrem angewählten Schlüssel. Sie Sehen nun den Fingerabdruck Ihres Schlüssels.

Wenn Sie den Fingerabdruck des öffentlichen Schlüssels haben, der der anderen Person gehört, können Sie den Schlüssel verifizieren:
1. Wenn Sie noch die letzte Ansicht Ende-zu-Ende-Verschlüsselung in Ihren Konten-Einstellungen geöffnet haben, können Sie dort unter Ihrem Schlüssel den Button OpenPGP-Schlüssel verwalten anklicken. Alternativ: MenübuttonExtrasOpenPGP-Schlüssel verwalten.
2. Im neuen Fenster können Sie die Suchleiste benutzen, um nach Ihrem Kontakt zu suchen, den Sie verifizieren möchten. Doppelklicken Sie den entsprechenden Eintrag.
3. Sie sehen nun viele Informationen über den Schlüssel der jeweiligen Person bzw. E-Mail Adresse, unter anderem auch den Fingerabdruck. Vergleichen Sie nun Ihre Fingerabdrücke gegenseitig auf einem anderen Kanal (persönliches Treffen, Messenger, Telefonanruf) und wählen Sie – sofern alles korrekt ist – Ja, ich selbst habe überprüft, dass der Schlüssel über den korrekten Fingerabdruck verfügt. Schließen Sie das Fenster anschließend mit einem Klick auf OK.

Indem Sie diesen Fingerabdruck auch auf Printprodukten, wie Flyern oder Visitenkarten bekannt geben, machen Sie es Menschen noch leichter, zu prüfen, ob sie den richtigen Schlüssel haben.

E-Mails digital unterschreiben

Um die Echtheit von E-Mails (Authentizität) sicherzustellen, können Mails mit dem eigenen Schlüssel unterschrieben werden. Jede Person (und jede E-Mail-Adresse), die sich sicher ist, dass Ihr öffentlicher Schlüssel auch wirklich zu Ihnen gehört (siehe Schlüssel verifizieren), kann sich dann ebenfalls sicher sein, dass nur Sie diese Nachricht geschrieben haben können. Ob die Signatur der E-Mail okay ist, wird im rechten Bereich des E-Mail-Fensters angezeigt:
• Signaturzeichen mit grünem Pfeil: Gute Signatur.
• Signaturzeichen mit gelbem Dreieck: Gute Signatur, Schlüssel nicht verifiziert.
• Signaturzeichen mit rotem Dreieck: Signatur stimmt nicht mit Schlüssel überein.
• Kein Signaturzeichen: Die E-Mail ist nicht signiert. Detailliertere Infos bekommen Sie, wenn Sie auf OpenPGP klicken.

/sites/default/files/2022-03/screenshot-Schluessel-id.png

Falls die Signatur nicht zu dem jeweiligen OpenPGP-Schlüssel passt, zeigt Thunderbird eine Warnung (das Signaturzeichen mit rotem Dreieck) an, dass die Signatur verändert worden ist. Hier könnte jemand die E-Mail manipuliert bzw. verändert haben und Sie sollten größte Vorsicht walten lassen. Treten Sie in einem solchen Fall mit Ihrem Kontakt auf einem anderen Kanal in Verbindung.

Schlüsseldateien finden und manuell importieren

Klappt der automatische Import eines Schlüssels in Thunderbird nicht oder haben Sie aus einer anderen Quelle eine Schlüsseldatei bekommen (z. B. von einer Website oder nach einer Suche auf Schlüsselserver https://keys.openpgp.org), können Sie den Schlüssel auch manuell importieren.
1. Klicken Sie den Menübutton an, dann auf Extras und anschließend auf OpenPGP-Schlüssel verwalten. 2. In der Menüleiste des neuen Fensters klicken sie auf den ersten Punkt Datei und dann auf Öffentliche(n) Schlüssel aus Datei importieren.
3. Wählen Sie nun die entsprechende Schlüsseldatei (der Dateiname endet meist auf .asc) aus und bestätigen Sie mit einem Klick auf Öffnen.
4. Anschließend werden Ihnen Informationen zu einem oder mehreren Schlüsseln angezeigt. Dabei können Sie direkt entschieden, ob Sie den Schlüssel akzeptieren möchten. Klicken Sie anschließend auf OK.

Optional: Standardeinstellungen anpassen

Standardmäßig ist die Verschlüsselung von E-Mails nicht aktiv, d.h. sie muss beim Versenden jeder E-Mail über den Button Sicherheit aktiviert werden. Gleiches gilt für das Anhängen des öffentlichen Schlüssels und das digitale Unterschreiben von E-Mails. Sie können diese Einstellungen für Ihr Konto ändern:
1. Klicken Sie auf den Menübutton und dann auf Konten-Einstellungen.
2. Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Ende-zu-Ende-Verschlüsselung.
3. Unter Senden von Nachrichten - Standardeinstellungen können Sie die Standards für die Verwendung der Verschlüsselung und das Unterschreiben von Nachrichten umstellen. Sollte Ihre Empfänger.in keine PGP-Verschlüsselung nutzen, muss diese dann manuell abgeschaltet werden. Unter Erweiterte Einstellungen kann eingestellt werden, ob der Betreff von versendeten E-Mails und Nachrichtenentwürfe ebenfalls verschlüsselt werden sollen und ob der öffentliche Schlüssel angehängt wird, wenn eine E-Mail digital unterschrieben wird.

Da HTML häufig dazu genutzt wird, Sicherheitsmaßnahmen zu untergraben, empfiehlt sich das ausschließliche Senden von Textmails.
1. Klicken Sie auf den Menübutton und dann auf Konten-Einstellungen.
2. Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Verfassen & Adressieren.
3. Deaktivieren Sie unter dem Abschnitt Verfassen die Option Nachrichten im HTML-Format verfassen.

Optional: Eigenen geheimen Schlüssel bzw. Schlüsselpaar sichern

Falls man mal aus irgendwelchen Gründen den Zugriff auf die Thunderbird-Installation verliert, sollte man das Schlüsselpaar an einem anderen Ort sichern, um die eigenen E-Mails nach einer erneuten Einrichtung – z. B. auf zusätzlichen Geräten – ver- und entschlüsseln zu können.
1. Klicken Sie auf den Menübutton und dann auf Konten-Einstellungen.
2. Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Ende-zu-Ende-Verschlüsselung.
3. Klicken Sie unter dem Bereich OpenPGP auf den kleinen Pfeil-Button rechts neben Ihrem angewählten Schlüssel und anschließend auf Mehr.
/sites/default/files/2022-03/screenshot-open-pgp.png

  1. Wählen Sie die Option Sicherheitskopie für geheimen Schlüssel erstellen aus.
  2. Wählen die den Ort aus, wo Sie den geheimen Schlüssel speichern möchten. Wir empfehlen Ihnen, dazu z. B. einen verschlüsselten externen Datenträger zu nutzen.
  3. Wählen Sie im nächsten Schritt eine Passphrase aus, der Ihren geheimen Schlüssel vor unbefugtem Zugriff schützt. Sie muss beim Import des Schlüssels wieder eingegeben werden.

E-Mail-Verschlüsselung auf dem Smartphone

Auch auf Mobilgeräten können E-Mails via OpenPGP verschlüsselt werden. Am einfachsten geht dies mit pEp (Pretty Easy Privacy). Ihr bereits erstelltes Schlüsselpaar können Sie auf ihrem Smartphone importieren.

Achtung: Stellen Sie sicher, dass ihr Mobilgerät über die letzten Betriebssystem- und App-Updates verfügt. Bei Geräten, die nicht mehr mit Updates versorgt werden, sollte E-Mail-Verschlüsselung nur in wohl bedachten Ausnahmefällen eingerichtet werden.

Android

Die einfachste Lösung unter Android ist pEp. Wie pEp unter Android eingerichtet und benutzt wird, erfahren Sie im pEp-Benutzerhandbuch.

Alternativ können Sie unter Android mit einem E-Mail-Client wie FairEmail oder K-9 Mail (welche Verschlüsselung grundsätzlich unterstützen) und der OpenPGP-Schlüsselverwaltung OpenKeychain Nachrichten ver- und entschlüsseln.
FairEmail
K-9 Mail
OpenKeychain

Eine detaillierte Anleitung zur Aktivierung der E-Mail-Verschlüsselung in K-9-Mail mit OpenKeychain finden Sie bei mobilsicher.de.

iOS / iPadOS

Die einfachste Lösung heißt unter iOS und iPadOS ebenfalls pEp. Wie pEp unter iOS und iPadOS eingerichtet und benutzt wird, erfahren Sie im pEp-Benutzerhandbuch.

Ansonsten können Sie können Sie mit OpenPGP verschlüsselte Nachrichten über PGPro ver- und entschlüsseln. Dies ist leider recht umständlich, da Sie die Nachrichteninhalte zwischen PGPro und Ihrer E-Mail-App hin- und her kopieren müssen.
PGPro

Weitere Möglichkeiten finden Sie auf OpenGPG.org. Leider handelt es sich bei den dort gelisteten Alternativen nicht um Freie Software, die wir daher nicht empfehlen.

Die Rolle der Keyserver

So praktisch es auch ist, Schlüssel über öffentliche Schlüsselserver auszutauschen, so gibt es doch gewisse Risiken: Zum einen können Sie den Schlüssel von dort nicht mehr löschen. Deshalb ist es sinnvoll vor der Veröffentlichung ein Widerrufszertifikat zu erstellen, mit dem Sie später den Schlüssel als ungültig markieren können. Außerdem ist Ihre E-Mail-Adresse nach der Veröffentlichung für jede Person einsehbar.

Auf älteren Schlüsselservern kann jede Person jeden beliebigen Schlüssel ohne Überprüfung hochladen – das birgt hohes Missbrauchspotenzial. Daher empfehlen wir die Nutzung des Servers keys.openpgp.org: Hier wird jede E-Mail-Adresse des Schlüssels geprüft, bevor sie eingetragen wird.

Normalerweise ist dieser Schlüsselserver bereits voreingestellt.

Weiterführende Links

Änderungen:
* 16.03.2022: komplette Überarbeitung inklusive neuer Anleitung für den Desktop


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 16.03.2022. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.