Da ich schon öfter Beschwerden à la «das ist mir zu kompliziert» oder «ich weiß doch gar nicht, wie das überhaupt geht» bekommen hab, sollen diese hier nun Lügen gestraft werden. Denn: Verschlüsselt mailen ist gar nicht so schwer! Man muss sich nur ein paar Minuten auf den Hintern setzen und ein paar Programme installieren (allerdings scheint allein das einigen Leuten schon zu viel des Aufwands zu sein – diese bitte den Artikel überlesen, woanders hinklicken und weiterhin schön Daten an Schäuble senden).
Übersicht:
Erklärt werden soll das ganze hier für den Mail-Klienten Mozilla Thunderbird und dessen Plugin Enigmail, sowie OpenPGP als Verschlüsselungsmethode. Man braucht dafür:
Empfehlenswert, aber nicht unbedingt nötig:
Die Links sind auch später noch mal in den einzelnen Abschnitten angegeben.
1. Thunderbird installieren
Als ersten Schritt würde ich empfehlen (auch wenn die Reihenfolge nicht ausschlaggebend ist; außer vielleicht, man probiert, das Addon vor dem eigentlichen Programm zu installieren), Mozilla Thunderbird herunterzuladen und zu installieren. Der Installationsprozess dürfte sich dabei mehr oder weniger von selbst erklären. Nachdem Thunderbird installiert ist, kann man sich dort ein Konto einrichten (sollte man vorher Outlook oder Outlook Express als Mail-Client benutzt haben, besteht die Möglichkeit, Konten automatisch zu importieren).
Um ein neues Konto anzulegen, klickt man (in der deutschen Version von Thunderbird) unter «Extras» auf «Konten…» und wählt dann unten links in der Ecke die Option «Konten hinzufügen…» aus.
Daraufhin kommt man zum Konto-Assistenten:
Hier natürlich «E-Mail Konto» auswählen.
Der Name ist dann frei wählbar, bei der E-Mail Adresse kommt die, für die das Konto erstellt werden soll, hinein.
Ob IMAP oder POP3 hängt vom Mail-Anbieter ab, genauso wie die einzugebende Server-Adresse (bei kostenlosen Anbietern müssten diese Informationen in der Regel auf deren Websites zu finden sein; bei privatem Webhosting hängt das ganze vom Angebot usw. ab, steht in der Regel aber auch auf den Seiten des Anbieters). Bei POP ist ein globaler Posteingang dann sinnvoll, wenn man ohnehin nur ein Mail-Konto hat. Bei mehreren Konten (oder Einrichtung eines Zweitkontos) sollte diese Option deaktiviert werden, damit die Mails getrennt zugestellt werden.
Der Benutzername wird wiederum vom Anbieter gestellt, die Konten-Bezeichnung hingegen ist frei wählbar (z.B. «Luke Skywalker» oder einfach «Mein Konto»). Nachdem alle Eingaben gemacht wurden auf «Fertig stellen« klicken.
Jetzt muss in der Regel noch ein Postausgangs-Server eingerichtet werden. Dafür unter «Extras» -> «Konten…» in der linken Spalte nach unten scrollen (falls möglich) und «Postausgang-Server (SMTP)» auswählen.
Hier nun, wie üblich, rechts auf «Hinzufügen…» klicken. Die Details sind auch wieder vom Anbieter der Wahl vorgegeben (im Zweifelsfall einfach nachfragen).
2. Enigmail installieren
Nun wird das Thunderbird-Addon Enigmail heruntergeladen und installiert. Dafür erst die Datei herunterladen und an einem beliebigen Ort abspeichern, anschließend Thunderbird starten, unter «Extras» auf «Add-ons…» klicken und im sich öffnenden Fenster den Reiter «Erweiterungen» auswählen (sollte standardmäßig aktiviert sein). Hier nun auf «Installieren…» klicken und anschließend die eben runtergeladene Datei auswählen, auf «Öffnen» klicken und im Installationsfenster dann mit «Jetzt installieren» dien Installationsprozess starten.
Danach muss Thunderbird dann gegebenenfalls neugestartet werden. Bevor noch weitere Einstellungen in Thunderbird vorgenommen werden, sollte allerdings erstmal folgendes gemacht werden:
3. GnuPG installieren
Damit Enigmail funktioniert, reicht es eigentlich aus, GnuPG zu installieren. Da es sich dabei jedoch um ein reines Kommandozeilenprogramm ohne User Interface handelt und nicht jeder gleich gut mit sowas zurechtkommt, empfehle ich persönlich im Zweifelsfall, ein zusätzliches GUI-Frontend zu verwenden. Ich selbst benutze dafür WinPT (Achtung: GnuPG ist dabei in der WinPT-Installation bereits enthalten, muss also nicht noch einmal extra installiert werden).
Nachdem nun eines der beiden oben genannten Programme installiert ist (ich führe die Anleitung zur Schlüsselerstellung hier mit WinPT fort – wer GnuPG nutzen will, kann hier eine nützliche Anleitung für das Erstellen eines Schlüsselpaars finden), wird es gestartet. WinPT startet dabei im Systemtray (die Leiste unten rechts neben der Uhr :p) und muss erst durch Doppelklick geöffnet werden.
Hier wird nun mittels «Key» -> «Erstelle…» ein neues Schlüsselpaar (privater und öffentlicher Schlüssel) erstellt.
Mehr Informationen zur Schlüssellänge kann man ebenfalls hier bekommen. Man beachte jedoch, dass 1024 Bit in der Regel zu klein und somit unsicher ist (ich selbst habe die größtmögliche Schlüssellänge gewählt, was allerdings jeder für sich entscheiden sollte).
Bei «E-Mail Adresse» ist die Adresse einzugeben, für die der Schlüssel sein soll. Im Kommentar könnte man eventuell darauf hinweisen, dass es sich um einen Schlüssel zur Verschlüsselung von E-Mails (und nicht z.B. Instant-Messenger-Nachrichten) handelt. Ich habe bei mir also einfach «E-Mail» dort eingetragen. Unter «Key Expiration» kann optional ein Verfallsdatum des Schlüssels festgelegt werden; ansonsten ist er ohne Beschränkung gültig.
Letztendlich ist unter «Mantra» noch das Passwort für den Schlüssel einzutragen. Ich denke, Richtlinien zu möglichst sicheren Passwörtern dürften allgemein bekannt sein – zur Sicherheit aber trotzdem noch mal:
- möglichst lang
- Kombination aus Groß- & Kleinschreibung, Ziffern & Sonderzeichen
- keine mit der Person verknüpften Daten (z.B. Geburtsdaten, Namen von Freunden etc.)
Natürlich sollte man sich die Passphrase trotzdem noch merken können, denn sobald man sie sich zur Entlastung des Gedächtnisses irgendwo aufschreiben muss, ist die Sicherheit passé.
Das Erstellen der Schlüssel dauert mitunter einige Minuten.
4. Enigmail konfigurieren
Nun wird wieder zurück zu Thunderbird gewechselt. Hier sollte nun in der Menüleiste der Punkt «OpenPGP» auftauchen. Vorsichtshalber sollte man hier unter «Einstellungen…» überprüfen, ob auch der korrekte Pfad zu GnuPG angegeben ist (falls nicht, kann man diesen auch manuell angeben – für gewöhnlich befindet sich die gpg.exe im GnuPG-Verzeichnis von WinPT, also z.B. C:/Programme/WinPT/GnuPG/gpg.exe).
Wenn die erweiterten Einstellungen («Experten-Einstellungen zeigen») aktiviert werden, können hier zusätzliche Einstellungen vorgenommen werden (dazu muss das Menü einmal neu geöffnet werden). Zum Beispiel können hier zusätzliche Schlüssel-Server angegeben oder Empfängerregeln festgelegt werden.
Nachdem dies erledigt ist, öffnet man erneut die Konten-Übersicht und wählt das zuvor erstellte Konto aus. Hier nun in der linken Spalte «OpenPGP-Sicherheit» auswählen.
Hier sollten nun die gezeigten Optionen angehakt werden:
- OpenPGP-Verschlüsselung für diese Identität aktivieren
- Spezielle OpenPGP-Schlüssel-ID verwenden (hier den zuvor erstellten Schlüssel auswählen)
Zusätzlich kann man entscheiden, ob Nachrichten standardmäßig verschlüsselt und/oder unterschrieben werden sollen (einzelnen E-Mail-Adressen kann man über die Empfängerregeln öffentliche Schlüssel zuweisen). Sofern man den eigenen Schlüssel irgendwo hochgeladen hat, kann man ganz unten im Feld «Sende URL, um Schlüssel zu empfangen» die Adresse des Schlüssels eingeben. Ansonsten ist es auch möglich, lediglich die ID des Schlüssels mitzusenden, so dass sich der Empfänger den Schlüssel dann selbststaendig von einem Keyserver holen kann.
5. E-Mails signieren & verschlüsseln
Will man nun endlich signierte und verschlüsselte E-Mails verschicken, geht man wie folgt vor: Erst wie ganz gewöhnlich über «Verfassen» eine neue Nachricht erstellen. Bevor man diese absendet dann oben im Menü unter «OpenPGP» (Schlosssymbol links neben dem Symbol für S/MIME) die gewünschten Optionen anhaken und auf «Senden» klicken, danach den gewünschten Schlüssel auswählen oder gegebenenfalls importieren/herunterladen (dies kann auch über das Hauptmenü unter «OpenPGP» -> «Schlüssel verwalten» -> «Datei» -> «Importieren…» vorgenommen werden).
Sowohl zum Öffnen als auch zum Versenden von verschlüsselten Nachrichten muss für gewöhnlich die Passphrase des Schlüssels eingegeben werden.
So, ich hoffe, ich konnte damit zumindest irgendwem behilflich sein. Für Fragen stehe ich gerne zur Verfügung.
