GnuPG mit Thunderbird und Enigmail unter Windows

Installations- und Konfigurationshilfe für GnuPG, Thunderbird und Enigmail unter Windows

Voraussetzungen für E-Mail-Verschlüsselung

Was Du brauchst um unter Windows per E-Mail OpenPGP-verschlüsselt kommunizieren zu können ist:

  1. Optional: Festplattenverschlüsselung
  2. Ein E-Mail-Programm
  3. Eine OpenPGP-Implementierung: GnuPG (AKA GPG) oder PGP
  4. Eine graphische Bendienoberfläche für die OpenPGP-Aktionen und die Schlüsselverwaltung

Einrichtung der E-Mail-Verschlüsselung

Softwareinstallation

Die einfachste und beste Lösung das alles zu erhalten ist aus meiner Sicht folgende Kombination:

  1. DiskCryptor oder Truecrypt
    diskcryptor.net/wiki/Main_Page/de
    www.truecrypt.org
    Falls Du Dir vorstellen kannst Deine Festplatte zu verschlüsseln wäre es jetzt ein guter Zeitpunkt das zu tun – bevor Du Dir ein OpenPGP-Schlüsselpaar generierst. Denn dann kann niemand mehr Deinen Schlüssel klauen wenn Du aus dem Haus bist und den Computer ausgeschaltet hast.
    Alternativ zu der quelloffenen Software DiskCryptor gibt es noch die proprietäre Software Truecrypt, die ähnliches leistet (aber nicht kompatibel dazu ist). Truecrypt ist weiter verbreitet als DiskCryptor und daher eventuell mehr getestet, steht aber unter einer restriktiven Lizenz und könnte jederzeit kostenpflichtig werden, Dich zwingen Deine Oma zu für den Gott der Gummibärchen zu opfern oder in Zukunft nur noch Apples’ neues Humancentipad zum Websurfen zu verwenden.
  2. Thunderbird:
    www.mozillamessaging.com/thunderbird
  3. GnuPG: Gibt es als Beiwerk von GnuPG4Win:
    gpg4win.org
    Da am besten die aktuelle Version von gpg4win-light herunter laden und dann bei der Installation nur folgendes auswählen: GnuPG, ggf. GPA (eine Alternative zu Enigmail was die Schlüsselverwaltung angeht) und ggf. GpgEx (zur Verschlüsselung von Dateien, es funktioniert aber derzeit nicht auf 64-bit-Versionen von Windows)
  4. Enigmail:
    addons.mozilla.org/thunderbird/addon/en...
    Enigmail ist ein Add-On (eine Erweiterung) für Thunderbird. Um Enigmail zu installieren muss man erst diese Website besuchen, es dann durch _Rechts_klick auf den Download-Button und anschließendes Speichern unter… auf dem Computer speichern. Dann startet man Thunderbird, öffnet dort den Add-On-/Erweiterungs-Manager und dort kann man dann die zuvor heruntergeladene Erweiterung installieren. Auf diese Weise lässt sich auch eine bereits installierte ältere Enigmail-Version aktualisieren.

Grundkonfiguration

Danach musst Du noch in Thunderbird im OpenPGP-Menü (das von Enigmail bereitgestellt wird) Enigmail in den Einstellungen / Preferences beibringen wo GnuPG installiert ist (Installationspfad). Das wird vermutlich irgendwo unterhalb von “C:\Program Files\GPG4Win” sein.

Dann musst Du in Thunderbird noch Dein E-Mail-Konto so konfigurieren dass es OpenPGP nutzen kann.

Schlüsselerstellung

Jetzt erstellst/generierst Du Dir über das OpenPGP-Menü ein Schlüsselpaar. Da sollte man folgendes einstellen:

  • RSA-Algorithmus
  • mindestens 2048 bit Schlüssellänge
  • Gültigkeit <= 5 Jahre (s.u.)

Bei älteren Versionen von GPG und Enigmail (<=1.4.9) kann man keine RSA- sondern nur DSA-Schlüssel erstellen. Das ist dann ein Zeichen dass man GPG + Enigmail mal aktualisieren muss.

Gültigkeitsdauer von Schlüsseln

Normalerweise sollte man da maximal 5 Jahre setzen. Die Gültigkeit der Schlüssel kann man nämlich jederzeit sowohl verlängern als auch
verkürzen (solange man auf den privaten Schlüssel drauf zugreifen kann). Sie dient als letzte Rettungsmaßnahme für den Fall dass man Zugriff auf seinen geheimen Schlüssel verliert.
Empfehlenswert ist es also diese Gültigkeitsdauer auf unterhalb 5 Jahre zu setzen und dann regelmäßig zu erhöhen. Das macht man am besten in Kombination mit einem Eintrag im Kalender, damit man ein paar Tage VOR Ablauf des Schlüssels dran denkt.

Die Gültigkeitsdauer Deiner Schlüssel kannst du auf der Konsole ändern:

gpg —edit-key 0xEC26BD00

gefolgt von den folgenden Eingaben ändern:

key 0

(um den ersten Schlüssel auszuwählen – das ist der öffentliche)

expire

(um die Gültigkeitsdauer zu setzen)

2y

(um eine Gültigkeit von 2 Jahren zu setzen)

key 1

(um den zeiten Schlüssel auszuwählen – das ist der private)

expire

(um die Gültigkeitsdauer zu setzen)

2y

(um eine Gültigkeit von 2 Jahren zu setzen)

show

(um nochmal zu prüfen ob alle Änderungen korrekt vorgemerkt sind)

save

(um die Änderungen auf die Festplatte zu schreiben, falls Du das nicht willst drück statt dessen Strg-C).

Schlüsselserver

Wahl des Schlüsselservers

Du kannst in der Enigmail-Konfiguration (oder auch in der GnuPG-Konfiguration) einen bevorzugten Schlüsselserver eintragen. Es gibt ein Netzwerk von vielen Schlüsselservern die untereinander Ihre Schlüssel austauschen, diese Server sind alle zusammen unter der Adresse

pool.sks-keyservers.net

erreichbar, die man also als Keyserver angeben kann.
Einer dieser Keyserver ist (zumindest derzeit)

keys.indymedia.org

- wenn du also einen bestimmten nutzen willst, zumal der keine Logs aufzeichnet, könntest Du auch nur den nutzen.

Mehr dazu hier:
www.sks-keyservers.net/overview-of-pool...
www.sks-keyservers.net/status

HKPS: Abhörsichere Kommunikation mit dem Schlüsselserver

Jedes Mal wenn Du Schlüssel zum Server hoch oder vom Server runterlädst dann kann jemand der den Datenverkehr der über Deine Internetverbindung geht mitlesen kann (z.B. wenn Du in einem öffentlichen WLAN eingeloggt bist) natürlich mehr über dich erfahren: welche Keys und Online-Identitäten Du hast, mit wem du kommunizierst, wem Du Dein Vertrauen schenkst und von welchem Ort auf der Erde Du (ungefähr) grade ins Internet eingeloggt bist. Um zu Verhindern dass diese Informationen während der Datenübertragung zu und von Dir/ abgelauscht werden können kannst Du statt dem normalen unverschlüsselten Keyserver-Protokoll HKP die verschlüsselte Variante HKPS verwenden.

Es gibt derzeit wohl nur zwei öffentliche Keyserver die HKPS verstehen, das sind hkps://keys.indymedia.org und hkps://zimmermann.mayfirst.org. Um HKPS zu verwenden brauchst Du eine angepasste GnuPG-Konfiguration und GnuPG Version 1.4.10 oder höher. Wie man das macht steht ganz unten auf der Seite
keys.indymedia.org

Schlüssel veröffentlichen

Wenn du dich entschieden hast welchen Schlüsselserver Du nutzen möchtest kannst Du über das OpenPGP-Menü in Thunderbird mit dem Untermenüpunkt “Schlüssel verwalten” und dann per Rechtsklick auf Deinen Schlüssel (der wird in Fettschrift angezeigt) diesen Schlüssel auf den Server laden.

Sollte ich meinen Public Key oder meine Signatur anhängen generell an Mails anhängen? Und wenn ja, wie?

Am besten konfigurierst Du Dein Thunderbird-Mailkonto so dass es einen Hinweis auf Deinen öffentlichen Schlüssel als E-Mail-Signatur an’s Ende jeder E-Mail anhängt die Du über dieses Mailkonto verschickst. Eine E-Mail-Signatur ist der Text der in einer E-Mail hinter einer Zeile steht die nur zwei Minuszeichen enthält. Beispiel:

-- 
GPG key   http://zimmermann.mayfirst.org/pks/lookup?search=0x3B4044FD
GPG FP    55A9 A530 06D4 8C7C 7CBC  7C98 4F39 0F83 3B40 44FD
Info      https://docs.indymedia.org/view/Main/AlsteR

Weiterhin empfehle ich Dir grundsätzlich all Deine E-Mails zu signieren, so dass jeder der die bekommt gleich sieht dass diese Mails wirklich von Dir stammen und nicht von jemandem der einfach grade Lust hatte Deine E-Mail-Adresse als Absender seiner Mails anzugeben (das kann nämlich prinzipiell jeder). Diese Präferenz kannst Du in Enigmail konfigurieren, einmal als globalen Standard (da habe ich Signieren=an und Verschlüsseln=aus), und dann noch zusätzlich individuell je nach Empfänger. Bei jemandem dessen/deren Key du schon hast weißt Du z.B. dass Du verschlüsselt mit ihr/ihm kommunizieren kannst und auf welchen Schlüssel Du dabei verschlüsseln musst, und diese Infos kannst Du dann in Enigmails Empfängerregeln hinterlegen.

Deinen öffentlichen Schlüssel solltest Du allerdings nicht standardmäßig an alle Mails anhängen die Du verschickst. Das irritiert Leute die keine Ahnung von E-Mail-Verschlüsselung haben oft nur und die Mails werden unnötig größer. Außerdem gibt’s dafür ja Schlüsselserver auf die man verweisen kann nachdem man dort seinen Schlüssel hochgeladen hat.

Wenn verschlüsselte Mails rein kommen wird Enigmail dir das anzeigen: Oben sollte ein farbiger Balken sein wo

Entschlüsselte Nachricht / Decrypted message 

steht. Dahinter steht dann vermutlich noch sowas wie:
UNVERTRAUTE Korrekte Unterschrift von "Linke Zecke" <linkezecke@indymedia.org>

(oder selbiges in Englisch). Diese Nachricht war also sowohl verschlüsselt (“Entschlüsselte Nachricht”) als auch signiert (“korrekte
Unterschrift”). Leider ist das nicht ganz einfach verständlich, aber wenn man öfter mal verschlüsselte Mails hin und her schickt dann hat man es bald drauf zu verstehen was das Kauderwelsch einem sagen will.