Verschlüsselte Email-Kommunikation mit Thunderbird in Windows XP
von Martin Wiener
Mit geringem Aufwand können per Email sensible geschäftliche oder private Informationen verschlüsselt übermittelt werden.
Inhalt
1. Zur Relevanz der Thematik
Werden über Emails sensible geschäftliche oder private Informationen versendet, so sind diese vor den Augen Dritter genauso sicher wie die Urlaubsgrüße auf einer Postkarte (siehe dazu auch die Ausführungen des BSI). Um sicher zu stellen, dass der Inhalt einer Email inklusive eventueller Dateianhänge, nur vom gewünschten Empfänger gelesen werden kann, muss ein Emailprogramm entsprechend konfiguriert werden. In dieser Anleitung wird die Konfiguration des Emailprogrammes Thunderbird 2 für den Versand von verschlüsselten Emails in dem Betriebssystem Windows XP beschrieben.
Das Programm Thunderbird kann kostenlos hier heruntergeladen werden. Thunderbird hilft dabei Emails einfacher zu verwalten, indem diese z.B. von unterschiedlichen Webmailportalen automatisch abgerufen und auf dem PC gespeichert werden.
2. Vorbereitungen zur Verschlüsselung von Emails
Eine Email in Thunderbird zu verschlüsseln ist grundsätzlich auf zwei Wegen möglich. Zum einen, durch die Verwendung des S/MIME-Standards und zum anderen durch den openPGP-Standard (zum Unterschied der Verfahren). Diese Anleitung beschreibt die Konfiguration von Thunderbird für die Verschlüsselung von Emails im openPGP-Standard in 6 Schritten.
2.1 GNU Privacy Guard - Download und Installation
Der GNU Privacy Guard (GPG) ist das Programm, dass die eigentliche Verschlüsselung und Entschlüsselung einer Email im Hintergrund durchführt. Als ersten Schritt muss daher zunächst das Programm GPG heruntergeladen und installiert werden.
In dieser Anleitung wird direkt auf spezielle Versionen der Programme GPG und Enigmail verlinkt. Bereits in einigen Wochen könnten diese Versionen veraltet sein. Zu Empfehlen ist darum, dass der Leser die GPG Webseite bzw. die Enigmail Webseite auf aktuellere Programmversionen überprüft.
Auf der GPG-Webseite ist ein direkter Link zum Download von GPG in der Version 1.4.10b hinterlegt (Stand 24.11.2009). Nachdem die Datei heruntergeladen wurde, kann anschließend die Installation von GPG erfolgen. Dafür ist eine Anmeldung unter Windows mit Administrator-Rechten notwendig. Die heruntergeladene Datei ist anschließend zu öffnen bzw. auszuführen. Abbildung 1 zeigt den Installationsprozess von GPG und stellt die Benutzereingaben als Animation dar.
Abbildung 1: Installationsprozess von GPG
Der Installationspfad von GPG (z.B. C:\Programme\GNU\GnuPG\) wird später noch benötigt und sollte daher notiert werden.
2.2 Download und Installation von Enigmail
Enigmail ist ein Plugin für Thunderbird und steuert den Prozess der Verschlüsselung und des Emailversands zwischen dem eigentlichen Verschlüsselungsprogramm GPG und Thunderbird. Auf der Seite des Enigmail-Projektes ist ein direkter Link zum Download von Enigmail in der Version 0.96.0 hinterlegt (Stand 24.11.2009). Ist die Datei heruntergeladen kann anschließend Installation und Setup von Enigmail in Thunderbird erfolgen, dazu ist Thunderbird zu öffnen. Die animierte Abbildung 2 zeigt, wie Enigmail in Thunderbird installiert wird.
Abbildung 2: Installation von Enigmail in Thunderbird
Nach der Auswahl des Buttons "Installieren" ist der Pfad der heruntergeladenen Enigmail-Datei auszuwählen und Enigmail ist zu installieren.
2.3 Setup von Enigmail
Damit Enigmail die gewünschten Funktionen erfüllen kann, muss das Programm nach der Installation noch konfiguriert werden. Dazu ist im Menü von Thunderbird eine neue Auswahlmöglichkeit hinzugekommen - OpenPGP. Über diesen Menüpunkt wird Enigmail konfiguriert. Nachfolgend zeigt die animierte Abbildung beispielhaft, wie mögliche Einstellungen aussehen können. In den openPGP-Einstellungen ist darauf zu achten, dass in dem Reiter "Allgemein" der Installationspfad von GPG angegeben ist.
Abbildung 3: Konfiguration von Enigmail
2.4 Erstellen eines eigenen Schlüssels
Die Verschlüsselung von Emails mit GPG erfordert das Vorhandensein eines Schlüsselpaares. Das Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Möchte der Verfasser einer Email diese verschlüsselt senden, so benötigt der Verfasser den öffentlichen Schlüssel (ÖS) des Empfängers. Der Empfänger kann die verschlüsselte Nachricht mit Hilfe des eigenen privaten Schlüssels (PS) entschlüsseln und lesen. Dieser Prozess wird nachfolgend in Abbildung 4 als Animation dargestellt.
Abbildung 4: Ver- und Entschlüsselung einer Email
Ein öffentlicher Schlüssel wird meist öffentlich zur Verfügung gestellt und dient nur dem Verschlüsseln einer Nachricht. Der private oder geheime Schlüssel sollte hingegen nicht öffentlich zugänglich gemacht werden, da mit diesem die Entschlüsselung einer Nachrichten erfolgt.
Für die verschlüsselte Email-Kommunikation zwischen zwei Personen benötigt demnach jeder Beteiligte jeweils ein Schlüsselpaar. Die animierte Abbildung 5 zeigt, wie das Dialogfenster für die Schlüsselerstellung aufgerufen wird.
Abbildung 5: Aufruf des Fensters für die Schlüsselverwaltung
Im Dialogfenster für die Schlüsselerstellung werden nun alle Eigenschaften des Schlüsselpaares eingestellt und das Schlüsselpaar anschließend generiert. Zu beachten ist, dass:
- die Benutzer-ID mit der Emailadresse übereinstimmt, die für den Versand und Empfang von verschlüsselten Emails genutzt werden soll,
- die Passphrase bzw. das Passwort für den privaten Schlüssel nicht zu einfach gewählt wird (im Internet finden sich dazu weitere Hinweise),
- unter dem Reiter „Erweitert“ eine hohe Schlüsselstärke auszuwählen ist.
Abbildung 6 zeigt beispielhaft den Prozess der Schlüsselgenerierung als Animation.
Alle gezeigten Einstellungen für das Schlüsselpaar sind lediglich als Empfehlung zu verstehen. Im Einzelfall können andere Einstellungen durchaus sinnvoll sein.
Abbildung 6: Prozess der Schlüsselgenerierung
Als Ergebnis sollte in der Schlüsselverwaltung nun das soeben erzeugte Schlüsselpaar angezeigt werden.
2.5 Verteilung des öffentlichen Schlüssels
Um potentiellen Verfassern von Emails die Möglichkeit der Verschlüsselung zu geben, benötigen diese den öffentlichen Schlüssel des Empfängers. Für die Verteilung des öffentlichen Schlüssels existieren verschiedene Wege. Der öffentliche Schlüssel kann auf sogenannte Schlüsselserver hochgeladen werden, von denen aus Dritte diese dann herunterladen können. Dazu gehört beispielsweise der Schlüsselserver der DFN-CERT Services GmbH. Auch der Export des öffentlichen Schlüssels in eine Datei ist möglich. Diese könnte dann auf der eigenen Homepage zum Download bereitgestellt werden.
Der Versand des öffentlichen Schlüssels über eine Email ist ebenfalls möglich. Die nachfolgende Abbildung 7 zeigt dazu in einer Animation die Vorgehensweise.
Abbildung 7: Versand eines öffentlichen Schlüssels
2.6 Konfiguration des Mailkontos
Als letzten Schritt muss, bevor eine verschlüsselte Email abgeschickt werden kann, dass betreffende Emailkonto in Thunderbird konfiguriert werden. Dazu ist das Konto auszuwählen, von dem aus die verschlüsselten Emails verschickt werden sollen. Abbildung 8 zeigt die notwendigen Abläufe beispielhaft.
Abbildung 8: Konfiguration des Mailkontos in Thunderbird
3. Eine verschlüsselte Email senden
Um eine verschlüsselte Email senden zu können, benötigt der Absender zunächst den öffentlichen Schlüssel des Empfängers. Mein öffentlicher Schlüssel ist beispielsweise auf der Kontaktseite meiner Homepage als Datei zum Download hinterlegt. Dazu muss die Kontaktseite zunächst geöffnet werden. Mit einem Rechtsklick auf den Link „PGP Schlüssel“ und der Auswahl „Ziel speichern unter“ kann der Schlüssel lokal gespeichert werden. Damit Thunderbird bzw. Enigmail nun den Schlüssel verwenden können, ist dieser in die Enigmail Schlüsselverwaltung zu importieren. Abbildung 9 verdeutlicht diesen Vorgang.
Abbildung 9: Importieren eines öffentlichen Schlüssels
Mit dem importierten öffentlichen Schlüssel kann nun der Versand einer verschlüsselten Email erfolgen. Die animierte Abbildung 10 stellt das Verfassen einer verschlüsselten Email dar.
Abbildung 10: Versand einer verschlüsselten Email
Mit dem Ende dieser Anleitung sollte der Leser nun in der Lage sein, mit einer Person, die bereits über einen öffentlichen Schlüssel verfügt, eine verschlüsselte Email-Kommunikation zu beginnen.
Zu beachten ist, dass die Anleitung nur einen sehr kleinen Teil des Funktionsumfanges von Enigmail darstellt. Eine ausführliche Dokumentation aller Funktionen befindet sich in englischer Sprache auf der Webseite von Enigmail.
Veröffentlicht am: 22. Dezember 2009