Emails verschlüsseln mit Enigmail und Thunderbird unter Windows

Dieses Tutorial befasst sich mit dem Verschlüsseln von Emails unter Windows 7. Funktionieren wird diese Anleitung auch unter Windows XP und Windows 8. Alle Thunderbird-relevanten Anteile funktionieren so auch unter den meisten Linux-Distributionen.

Im folgenden benutze ich

Installation

Installation von Thunderbird

Als E-Mail Client (Programm) verwenden wir Thunderbird-Mail, den wir auf dessen deutscher Homepage herunterladen und Installieren, falls noch nicht geschehen. (Einfach die heruntergeladene Datei ausführen.)
Das Einrichten eines E-Mail-Kontos wird im Folgenden ebenfalls als bereits vollendet vorausgesetzt.

Installation von Gpg4win

Gpg4win beinhaltet die GnuPG (GPG) Kryptokomponenten. Diese erzeugen und verwalten Schlüssel und ver- und entschlüsseln Emails und Dateien. Im Prinzip kann man die Installation durchklicken, optional kann man jedoch die Outlook Erweiterung abwählen.

GpgOL kann man getrost abwählen, da dies eine Erweiterung für Outlook ist. Da wir Thunderbird benutzen, brauchen wir dieses Tool nicht.
GpgOL kann man getrost abwählen, da dies eine Erweiterung für Outlook ist. Da wir Thunderbird benutzen, brauchen wir dieses Tool nicht.

Installation Enigmail

Um Enigmail als Plugin für Thunderbird installieren zu können, muss Thunderbird gestartet werden.

Im Thunderbird Menü wählt man Add-on aus um Enigmail suchen und finden zu können.
Im Thunderbird Menü wählt man Add-on aus um Enigmail suchen und finden zu können.
Im Suchfeld enigmail eingeben, suchen und installieren
Im Suchfeld enigmail eingeben, suchen und installieren
Thunderbird muss nun neu gestartet werden.
Thunderbird muss nun neu gestartet werden.

Thunderbird hat nach dem Neustart enigmail als Plugin und startet automatisch den Assistenten zur Schlüsselerstellung. Dies ist neu im Vergleich zu älteren Versionen.

Einrichten

Basis-Einstellungen mit dem Assistenten

Wenn Sie diese Anleitung lesen werden Sie noch keine PGP-Schlüssel haben um Emails verschlüsseln zu können. Daher benuzten wir den OpenPGP Assistenten um ein paar Optionen setzen zu lassen und ein Schlüsselpaar zu erstellen. Der Assistent sollte automatisch starten.

Start des GPG Assistenten
Start des GPG Assistenten

Unterschreibt man alle Mails, erkennen Empfänger schneller, dass man auch verschlüsselte Emails empfangen kann. Außerdem kann der Empfänger sich den passenden public key vom Keyserver laden (Enigmail kann das auch automatisch).

Man sollte Unterschreiben aller Emails als Standard benutzen.
Man sollte Unterschreiben aller Emails als Standard benutzen.

Die allermeisten Empfänger werden (leider noch) keine Email-Verschlüsslung mit PGP benutzen, daher sollten Emails nur dann automatisch verschlüsselt werden, wenn man einen Schlüssel für den Empfänger hat. Genau dies wird im folgenden Dialog eingestellt.

Automatisch Verschlüsseln sollte man Emails nur, wenn man einen Schlüssel hat.
Automatisch Verschlüsseln sollte man Emails nur, wenn man einen Schlüssel hat.

Aber keine Angst, man kann trotzdem Emails an Empfänger verschlüsseln, wenn man deren Schlüssel noch nicht hat. Einige Voraussetzung ist, dass der Empfänger seinen Schlüssel auf einem sogenannten Keyserver hinterlegt hat.

Dringend sollte im Folgenden die automatische Anpassung der Optionen gestattet werden, damit können viele Fehler vermieden werden.

Bitte 'Ja' auswählen
Bitte ‚Ja‘ auswählen

Schlüsselerzeugung

Nun soll endlich ein Schlüsselpaar erzeugt werden. Ein Paar? Ja, denn bei der assymetrischen Kryptografie gibt es einen öffentlichen Schlüssel den jeder kennen darf und einen privaten Schlüssel. Letzteren sollte der Besitzer gut schützen. In der Regel wird dieser durch eine Passphrase – also einen Passwort-Satz – geschützt. Letztlich hilft ein guter Schlüssel nur, wenn dieser durch ein gutes Passwort geschützt wird. Um dies zu verdeutlichen, heißt dass Passwort hier auch Passphrase und sollte lang (> 20 Zeiten) und komplex sein, sprich Sonderzeichen, Groß- und Kleinschreibung und Zahlen enthalten.

Sie haben keinen Schlüssel, also los, Erzeugen!
Sie haben keinen Schlüssel, also los, Erzeugen!
Eingabe der Passphrase
Eingabe der Passphrase
Zusammenfassung - los geht's
Zusammenfassung – los geht’s

Der Widerruf

Falls man seinen Schlüssel auf einen Keyserver hochlädt oder sonstwie verteilt, ist es sinnvoll, ein Widerrufszertifikat zu erzeugen. Damit würde ein auf einen Keyserver geladener Public Key ungültig gemacht werden und andere könnten damit keine Emails mehr versenden.
Der Widerruf ist sinnvoll, wenn man davon ausgehen muss, dass der eigenen Secret Key (und ggf die Passphrase) Dritten bekannt geworden ist. Dieser Dritte kann dann nämlich alle verschlüsselten Emails mitlesen.

Widerrufszertifikat erstellen
Widerrufszertifikat erstellen

Passphrase-Abfrage
Passphrase-Abfrage

Fertig. An einem sicheren Ort speichern.
Fertig. An einem sicheren Ort speichern.

Eine letzte Einstellung

Sinnvoll ist die folgende Einstellung im OpenPGP. Gehe dazu in Thunderbird im Menü auf OpenPGP, Einstellungen…

Die Einrichtung des automatischen Schlüssel-Downloads zur Signaturüberprüfung erleichtert die Schlüsselhandhabung. Dadurch kann Thunderbird beim Erhalt einer signierten Nachricht den Public Key vom Keyserver besorgen, insofern dieser hochgeladen wurde.

Aktiviere die Expertenoptionen
Aktiviere die Expertenoptionen
Kopiere den ersten Keyserver in das zweite Textfeld.
Kopiere den ersten Keyserver in das zweite Textfeld.

Den eigenen Schlüssel hochladen

Da wir nun einen Schlüssel haben, sollten wir ihn bekannt machen.
Dazu wählt man im OpenPGP Menü:

  • Schlüssel verwalten,
  • Aktiviert „Standardmäßig alle Schlüssel anzeigen“,
  • wählt den eigenen Schlüssel aus
  • Rechtsklick
  • Auf Schlüssel-Server hochladen…
  • Weiter, fertig

Hinweis: Die Kommunikation mit Schlüsselservern funktioniert in der Regel nicht hinter Firmen-Firewalls.

Eine Email versenden

Nun ist es fast geschafft, endlich versenden wir die erste Email verschlüsselt. Ich schlage vor, an mich.

Schreiben der Email
Schreiben der Email. Unten rechts beim Verfassen den Schlüssel und den Stift aktivieren (gelb)!
Da der Empfängerschlüssel noch nicht bekannt ist, muss man ihn vom Keyserver herunterladen
Da der Empfängerschlüssel noch nicht bekannt ist, muss man ihn vom Keyserver herunterladen
Die Qual der Wahl.  Tipp: der zuletzt erstellte Schlüssel ist eine gute Wahl.
Die Qual der Wahl. Tipp: der zuletzt erstellte Schlüssel ist eine gute Wahl.
Schlüssel erfolgreich importiert
Schlüssel erfolgreich importiert
Nun nocheinmal die Auswahl bestätigen
Nun nocheinmal die Auswahl bestätigen

und schwupp ist die Email versandt. Verschlüsselt und signiert.

Schreibt mal mir, so antworte ich idR innerhalb von 0-5 Tagen 🙂 Es kommt ein wenig darauf an, wieviele Emails ich erhalte.

Feedback / FAQ

Habe ich etwas vergessen? Schau mal in die FAQ

Was würdest du gern noch wissen? Schreib mir!

8 Gedanken zu „Emails verschlüsseln mit Enigmail und Thunderbird unter Windows

  1. Vielen Dank für die Anleitung !
    Mit Anleitung lässt es sich sogar in weniger als 15 Minuten installieren.
    A.K.

  2. Herzlichen Dank für die schöne Anleitung.

    Eine Frage: Wo speichert Windows 7 Passphrase und Schlüssel? Gibt es ein Verzeichnis, das ich ich sichern muss, damit ich nach einem Festplattencrash oder ähnlichem nach Neuaufsetzen des Rechners meine verschlüsselten Mails wieder lesen kann?

    Mit freundlichen Grüßen

    Gerhard Damerau

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.