Home Menü

Mac OS – E-Mail Verschlüsselung in Thunderbird

Vor kurzem haben wir im Artikel E-Mail Verschlüsselung – Die Grundlagen einführende Informationen zur sicheren Kommunikation via E-Mail erläutert. In diesem Teil gehen wir nun im Detail auf den E-Mail Client Mozilla Thunderbird ein und zeigen ausführlich, wie Sie damit Ihre E-Mails unter Mac OS X verschlüsseln.

Im Einführungsartikel zum Thema (siehe Link oben) wurde bereits beschrieben, dass die Verschlüsselung von E-Mails auf Basis des OpenPGP-Standards aktuell die beliebteste Methode darstellt. Um diese Verschlüsselungsmethode unter Mac OS X im Zusammenspiel mit Mozilla Thunderbird nutzen zu können, sind zwei Tools notwendig.

  • Die GPGTools zur Erstellung eines PGP-Schlüssels und zur Schlüsselverwaltung
  • Das Add-On Enigmail zur Nutzung des PGP-Schlüssels in Thunderbird

Installation und Konfiguration der GPGTools

Vorgeschichte

Die Entwicklung des unter Mac OS X Nutzern bekannten Tools MacGPG, welches eine portierte Version des Linux-Tools GnuPG darstellte, wurde vor knapp zwei Jahren eingestellt. Ein neues Team entwickelt die Tools nun weiter und veröffentlicht diese unter dem Namen GPGTools.

Installation

  1. Download der GPG Suite von der Entwicklerwebseite
  2. Starten Sie das heruntergeladene Installationspaket, klicken auf Fortfahren und anschließend auf Anpassen.
  3. Für eine Minimalinstallation reicht es aus, wenn Sie die Module GPGKeychainAccess, GPGPreferences und MacGPG2 auswählen. Installieren Sie anschließend die Module mit einem Klick auf Installieren.

Konfiguration der E-Mail Verschlüsselung in Thunderbird

  1. Unmittelbar nach der Installation werden Sie gefragt, ob die GPG Schlüsselbund.app auf Ihre Kontakte zugreifen darf. Diesen Dialog können Sie mit Nicht erlauben beenden, da das Programm lediglich Ihre eigene E-Mail-Adresse auslesen möchte.
  2. Anschließend tritt die Schlüsselverwaltung automatisch in den Vordergrund. Ist dies bei Ihnen nicht der Fall, navigieren Sie zu Programme -> GPG Schlüsselbund.
  3. Im nächsten Schritt können Sie einen neuen Schlüssel für eine ausgewählte E-Mail-Adresse erstellen. (Hat sich die Schlüsselverwaltung bei Ihnen in Schritt 2 nicht automatisch geöffnet, dann klicken Sie in der Schlüsselbund-App im Menü auf das Symbol „Neu“).Mac OS - E-Mail Verschlüsselung in Thunderbird - Schlüssel erstellen
    Tipp: Mit der Option Upload key after generation wird der öffentliche Schlüssel nach der Schlüsselgenerierung automatisch auf einen Schlüsselserver hochgeladen, was die verschlüsselte Kommunikation mit anderen GPGTools Nutzern vereinfacht, da diese Ihren gerade erzeugten öffentlichen Schlüssel bereits direkt vom Schlüsselserver runterladen können und nicht darauf angewiesen sind, dass Sie dem Sender erst Ihren öffentlichen Schlüssel zukommen lassen.
    Nachdem Sie den gewünschten Namen inklusive E-Mail-Adresse eingetragen haben, klicken Sie auf Schlüssel erstellen.
  4. Im nächsten Schritt werden Sie zur Eingabe einer Passphrase aufgefordert. Diese sollte so komplex wie möglich sein und mindestens 8 alphanumerische Zeichen enthalten. Mithilfe der Passphrase wird Ihr privater Schlüssel geschützt. Demnach benötigen Sie später auch immer die Passphrase, wenn Sie auf Ihre verschlüsselten E-Mails zugreifen wollen. Im darauf folgenden Schritt müssen Sie die Passphrase zur Sicherheit erneut eingeben.
  5. Mit einem Klick auf OK wird der private und öffentliche Schlüssel generiert und angezeigt. Dieser Vorgang kann unter Umständen eine kleine Weile dauern.
    In der GPG Schlüsselbund App haben Sie stets eine Übersicht über alle vorhandenen Schlüssel. Dazu zählen die öffentlichen Schlüssel (im Beispiel der vom GPGTools Team) vom Typ pub oder  private + öffentliche Schlüssel vom Typ sec/pub. Mithilfe der Tastenkombination [CMD] + [F] können Sie auch direkt nach dem öffentlichen Schlüssel einer bestimmten E-Mail-Adresse auf den hinterlegten Schlüsselservern (in der Menüleiste GPG Schlüsselbund -> Einstellungen) suchen.
  6. Die Installation der nötigen GPGTools ist nun beendet. Wichtig für Sie zu wissen ist, dass die GPG Schlüsselbund App stets die zentrale Verwaltung Ihrer privaten und öffentlichen Schlüssel darstellt. Nur die Schlüssel die hier hinterlegt sind können später auch in Thunderbird via Enigmail genutzt werden.

Installation und Konfiguration von Enigmail für Thunderbird

  1. Download des Add-On Enigmail
  2. Öffnen Sie in Mozilla Thunderbird den Add-ons-Manager über das Menü Extras -> Add-ons
  3. Wählen Sie unter Tools für alle Add-ons (siehe Grafik unten) die Option Add-on aus Datei installieren …
  4. Navigieren Sie im Finder zur heruntergeladenen xpi-Datei.
  5. Den anschließend erscheinenden Hinweis können Sie mit einem Klick auf Jetzt installieren beenden. Nachdem Enigmail installiert wurde, starten Sie Thunderbird neu.
  6. Wenn Sie nun eine neue E-Mail verfassen, erscheint im Menü die Option OpenPGP. Beim ersten Klick auf diese Schaltfläche erscheint eine Meldung. Mit einem Klick auf Konfigurieren in dieser Meldung starten Sie den Konfigurationsvorgang von Enigmail.
  7. Bei der Konfiguration von OpenPGP nehmen Sie die Konfiguration bevorzugt wie folgt vor:

    Duch einen Haken bei OpenPGP-Unterstützung für diese Identität aktivieren ermöglichen Sie überhaupt erst den verschlüsselten/signierten Versand und Empfang von E-Mails. Die nächste Option (Spezielle OpenPGP-Schlüssel-ID verwenden) sorgt dafür, dass Sie sich beim Versand einer E-Mail auf einen bestimmten OpenPGP-Schlüssel festlegen. Sollten Sie dagegen mehrere OpenPGP-Schlüssel besitzen und beim Absenden einer Nachricht eine Auswahlmöglichkeit haben wollen, dann wählen Sie die Option E-Mail-Adresse dieses Kontos verwenden, um OpenPGP-Schlüssel zu identifizieren.

    Die weiteren beiden Haken legen fest, dass sowohl unverschlüsselte als auch verschlüsselte E-Mails automatisch unterschrieben, also signiert werden. Den Unterschied zwischen signieren und verschlüsseln klärt der nächste Absatz.

Was ist der Unterschied zwischen dem Signieren einer Nachricht und der Verschlüsselung?

Einfach dargestellt sorgt das Unterschreiben bzw. Signieren von Nachrichten dafür, dass der Empfänger einer Nachricht davon ausgehen kann, dass die Nachricht auch tatsächlich vom angegebenen Sender stammt und diese auf dem Weg vom Sender zum Empfänger nicht verändert wurde. Wird eine Nachricht beispielsweise in Thunderbird nur signiert (nicht verschlüsselt), dann ist dies in der E-Mail durch einen Briefumschlag erkennbar:

Eine Signierung beugt zwar eine Veränderung oder sogar Fälschung einer E-Mail vor, verhindert aber nicht, dass die E-Mail auf dem Weg vom Sender zum Empfänger von jemandem gelesen werden kann. Um letzteres zu verhindern, muss die E-Mail verschlüsselt werden. In Thunderbird ist dies an einem Schloss-Symbol zu erkennen:

Wie kann ich jetzt eine verschlüsselte Nachricht versenden?

Um einer beliebigen Person eine verschlüsselte Nachricht zu schicken, müssen Sie im Besitz des öffentlichen OpenPGP-Schlüssels des Empfängers sein. Versucht man – anknüpfend an das obige Beispiel – eine verschlüsselte E-Mail an eine andere Adresse zu senden, von der man nicht im Besitz des öffentlichen Schlüssels ist, erscheint in Thunderbird folgende Meldung:

Mit einem Klick auf Fehlende Schlüssel herunterladen kann man jetzt versuchen den Schlüssel von einem der hinterlegten Schlüsselserver herunterzuladen. Hat der Empfänger seinen öffentlichen Schlüssel (sofern er überhaupt einen besitzt) nicht auf dem Schlüsselserver hinterlegt, so bleibt der Versuch erfolglos.

Um auf den öffentlichen Schlüssel des Empfängers zugreifen zu können, sind Schlüsselserver im Prinzip die einfachste Möglichkeit. Allerdings kann man seinem Kommunikationspartner den öffentlichen Schlüssel auch mitteilen, indem man ihm einfach eine signierte Nachricht sendet. Beispiel: Ich schicke Person A eine signierte E-Mail. Sobald Person A die signierte E-Mail empfangen hat, ist Sie im Besitz meines öffentlichen Schlüssels und kann mir (sofern die erforderliche Software installiert ist) verschlüsselte E-Mails senden.

Fazit

In der Theorie ist die Verschlüsselung sowie Signierung von E-Mails kein Hexenwerk. Die größte Herausforderung in der Praxis ist aber die Verteilung des öffentlichen Schlüssels und die Einigung auf einen Verschlüsselungsstandard. Aufgrund dieser unterschiedlichen Standards, verschiedenen Softwareprodukten und Vorgehensweisen bleibt das Thema E-Mail Verschlüsselung aber weiterhin schwierig und eine langfristige Lösung scheint aktuell nicht in Sicht zu sein.

Getestet unter Mac OS X Mavericks 10.9(.3), Thunderbird 24.5 und GPG Schlüsselbund 1.1(.3)

(Artikelbild: © Marco Martin – iconfinder.com)

Veröffentlicht von Josef Seidl

Josef Seidl hat an der TU München und der Stanford University Wirtschaftsinformatik studiert, bevor er mit INNOSPOT sein eigenes Unternehmen gründete. Er ist begeistert von Technik, schätzt performante Webseiten und ist gerne in den Bergen unterwegs. Zu finden ist er auch bei LinkedIn und privat bei Twitter.