Emails mit PGP verschlüsseln

Erst in diesem Jahr hat sich das Innenministerium dagegen ausgesprochen, eine „Ende zu Ende Verschlüsselung“ für Emails vorzuschreiben. Grund genug sich selbst darum zu kümmern. Zum Verschlüsseln von Emails gibt es zwei Verfahren: S/MIME und PGP. Beide setzen auf unterschiedliche Verfahren, die jeweils ihre eigenen Vor- bzw. Nachteile haben. Gleich vorweg: Emails mit PGP zu verschlüsseln ist nicht gerade die innovativste Sache, jedoch gut zu verstehen, wenn man es ein paar Mal in der Praxis angewendet hat. Emailverschlüsselung mit PGP geht heute mit allen gängigen Mailclients (Outlook, Thunderbird…). Diese Anleitung basiert auf Thunderbird mit dem Addon „Enigmail“ welches sowohl für Windows als auch für Linux zur Verfügung steht. Für Windows müssen noch zusätzlich die GnuPG Binaries zur Verfügung gestellt werden. Ein fertiges Installationspaket gibt es bei GPG4Win zum Herunterladen: Klick. Wie die benötigten Schlüssel für PGP erstellt werden, habe ich in diesem Beitrag beschrieben: Klick.


Ist Enigmail installiert, wird über den Thunderbird Menüpunkt „Enigmail“ der „Einrichtungs-Assistent“ aufgerufen. Mit diesem Assistenten wird ein Großteil der Konfiguration erledigt. Am besten eignet sich die ausführliche Konfiguration.

Enigmail Thunderbird PGP

Da bereits Schlüssel für PGP erstellt wurden, können diese nun direkt in Enigmail importiert werden.

Enigmail Thunderbird PGP

Enigmail Thunderbird PGP

Der importierte Schlüssel muss noch einmal bestätigt werden. Beim Import wird automatisch ein KeyRing im GPG Verzeichnis des Userprofils erzeugt. Darin sind der public und private Key vorhanden. Es empfiehlt sich also dieses Verzeichnis oder das komplette Userprofil zu verschlüsseln, um die Daten zu schützen.

Enigmail Thunderbird PGP

Mit einem Klick auf „Fertigstellen“ ist die Grundkonfiguration abgeschlossen.

Enigmail Thunderbird PGP

Über den Thunderbird Menüpunkt „Bearbeiten\Konten-Einstellungen“ können weitere Detaileinstellungen für Enigmail durchgeführt werden. Hier kann z.B. festgelegt werden, dass Nachrichten standardmäßig verschlüsselt oder digital signiert werden sollen. Das Verhalten lässt sich nach den eigenen Vorlieben konfigurieren.

Enigmail Thunderbird PGP

Die Enigmail spezifischen Einstellungen lassen sich direkt aus den Konten Einstellungen erreichen.

Enigmail Thunderbird PGP

Enigmail Thunderbird PGP

Enigmail Thunderbird PGP

Damit eine Email jetzt auch verschlüsselt werden kann, wird der öffentliche Schlüssel des Kommunikationspartners benötigt. Der öffentliche Schlüssel des Kommunikationspartners kann über den Menüpunkt „Enigmail/Schlüssel verwalten“ importiert werden. Sollte der Schlüssel bereits lokal vorliegen, kann dieser über den Menüpunkt „Datei\Importieren“ direkt eingebunden werden. In der Regel findet man die benötigten Schlüssel direkt auf den PGP Keyservern. Von dort können öffentliche Schlüssel direkt importiert werden.

Enigmail Thunderbird PGP

Bei der Schlüsselsuche kann der Name, die Emailadresse oder die Schlüssel-ID angegeben werden. Die Suche kann je nach verwendetem Keyserver auch mal etwas länger dauern.

Enigmail Thunderbird PGP

Wurde der richtige Schlüssel gefunden, kann dieser markiert und importiert werden.

Enigmail Thunderbird PGP

Nach erfolgreichem Import erscheint der öffentliche Schlüssel in der Schlüsselverwaltung und kann sofort verwendet werden.

Enigmail Thunderbird PGP

Wenn an den entsprechenden Empfänger eine Email geschrieben wird, kann diese über die Symbolleiste der Email verschlüsselt werden, indem auf das Schloss-Symbol geklickt wird. Das Symbol mit dem Bleistift fügt der Email eine digitale Signatur hinzu, um die Authentizität der Email zu gewährleisten. Dieser Schritt ist als optional zu sehen.

Enigmail Thunderbird PGP

Die gesendete Email sieht dann in etwa so aus

Enigmail Thunderbird PGP

Sollte eine verschlüsselte Email eintreffen, muss diese mit dem eigenen privaten Schlüssel entschlüsselt werden. Thunderbird bittet einen automatisch, die entsprechende Passphrase einzugeben. Sollte diese Passphrase verloren gehen oder abhandenkommen, ist der Schlüssel nicht mehr zu gebrauchen und sollte sofort zurückgezogen/revoked werden.

Enigmail Thunderbird PGP

Nach erfolgreicher Eingabe gibt Thunderbird auch den Inhalt der Email frei.

Enigmail Thunderbird PGP

Folgenden Punkt gilt es noch zu beachten. PGP/GPG ist nur in der Lage, den Emailinhalt zu verschlüsseln. Anfallende Metadaten (Empfänger, Absender, Mailserver etc.) sowie die Betreffzeile werden NICHT verschlüsselt. Hier sollte also ein möglichst nichtssagender Betreff gewählt werden. Auf den ersten Blickt wirkt der komplette Prozess extrem umständlich und aufwändig. Das ist er auch. Jedoch macht es absolut Sinn Emails zu verschlüsseln, um eine gesicherte Kommunikation zu gewährleisten. Erst durch Verschlüsslung wird aus der Standardmail (Postkarte) ein richtiger Brief samt Umschlag. Wer seine verschlüsselten Emails testen möchten und aktuell noch keinen Kommunikationspartner hat, kann die Mails an „Adele“ schicken. Wie die Kommunikation mit Adele funktioniert, ist im GnuPG Kompendium beschrieben welches es hier zu Download gibt. Klick