Gpg4win Teil 2: Verwenden Sie Gpg4win mit Thunderbird & Enigmail (überarbeitet)

Im ersten dieser zweiteiligen Anleitung haben wir uns mit der PGP-Verschlüsselung, ihrer Open-Source-Iteration GnuPG und der Windows-Version von GnuPG, Gpg4win, befasst. Wir haben Ihnen gezeigt, wie Sie Gpg4win installieren, damit Schlüsselpaare erstellen und Dateien und Ordner verschlüsseln und entschlüsseln.

In diesem Teil des Handbuchs sehen wir uns an, wie Sie Gpg4win mit dem beliebten kostenlosen Open-Source-E-Mail-Client Thunderbird (von Mozilla, den Machern von Firefox) verwenden, indem wir die Enigmail-Erweiterung für Thunderbird (und SeaMonkey) verwenden. Damit dies dann funktioniert, benötigen Sie:

  • Gpg4win
  • Mozilla Thunderbird
  • Enigmail-Erweiterung

Wir müssen Sie warnen, dass das Einrichten Ihrer E-Mail für die Verwendung von PGP keine einfache Aufgabe ist, aber die gute Nachricht ist, dass es nach der Einrichtung einfach und ziemlich transparent zu verwenden ist. Hoffentlich macht diese Anleitung den Einrichtungsprozess so schmerzlos wie möglich.

Alles installieren

1. Laden Sie GpG4win herunter und installieren Sie es (dies wird ausführlich in Teil 1 dieses Handbuchs behandelt).

2. Laden Sie Mozilla Thunderbird herunter, installieren Sie es und richten Sie es für alle Konten ein, die Sie verwenden möchten. Thunderbird erkennt die gängigsten E-Mail-Dienste und wendet automatisch die richtigen Einstellungen an, wenn Sie Ihre E-Mail-Adresse und Ihr Passwort eingeben – folgen Sie einfach dem Einrichtungsassistenten. Wenn Sie Ihre Kontoeinstellungen manuell eingeben müssen, klicken Sie auf das Menüsymbol (mit 3 horizontalen Linien oben rechts im Thunderbird-Fenster) und wählen Sie Optionen -> Kontoeinstellungen -> Servereinstellungen.

3. Laden Sie die Enigmail-Erweiterung für Thunderbird herunter und installieren Sie sie. Um dies zu tun:

a. Klicken Sie auf Menü -> Add-Ons.

enig1

b. Geben Sie „enigmail [enter]’ in das Suchfeld ein und klicken Sie dann auf die Schaltfläche ‘Installieren’.

enig2

Thunderbird neu starten..

4. Bestätigen Sie, dass Enigmail und GnuPG funktionieren, indem Sie zu Add-ons -> Extensions -> Enigmail Options gehen. Unter Grundeinstellungen / Dateien und Verzeichnisse sollte ‘GnuPG was found in C:Program FilesGnuGnuPGpubgpg.exe’ stehen.

enig3

5. Wenn Sie stattdessen „GnuPG konnte nicht gefunden werden“ sehen, aktivieren Sie das Kontrollkästchen „Überschreiben mit“ und navigieren Sie zum Installationsverzeichnis des GnuPG-Programms (standardmäßig „C:Programme (x86)GNUGnuPGgpg2.exe“) .)

enig 4

Klicken Sie auf OK, um zu Thunderbird zurückzukehren.

Generieren Sie ein Schlüsselpaar

Der nächste Schritt besteht darin, ein Schlüsselpaar zu generieren. Enigmail bietet zwei Möglichkeiten, dies zu tun, mit der OpenPGP-Setup-Assistent oder der Bildschirm „Schlüsselverwaltung“.

Verwenden des Setup-Assistenten

1. Gehen Sie zu Menü -> Enigmail -> Einrichtungsassistent. Stellen Sie sicher, dass „Ich bevorzuge eine Standardkonfiguration (empfohlen für Anfänger) ausgewählt ist und klicken Sie auf „Weiter >“.

2. Wenn Sie unserem Tutorial in Teil 1 dieses Handbuchs gefolgt sind, haben Sie bereits ein Schlüsselpaar generiert, das Sie hier auswählen können. Für die Zwecke dieses Tutorials werden wir jedoch ein neues Schlüsselpaar generieren. Wählen Sie dazu „Ich möchte ein neues Schlüsselpaar zum Signieren und Verschlüsseln meiner E-Mail erstellen“ aus.

enig4

3. Wählen Sie eine sichere Passphrase, die zum Schutz Ihres privaten Schlüssels verwendet wird (versuchen Sie, eine Passphrase zu wählen, die mindestens 20 Zeichen lang ist und nicht aufeinanderfolgende Wörter verwendet). Diese verwenden Sie, um an Sie gesendete E-Mails mit Ihrem öffentlichen Schlüssel zu entschlüsseln. Wenn dies jemals kompromittiert wird, sollten Sie sofort den passenden öffentlichen Schlüssel widerrufen und ein neues Schlüsselpaar generieren (und es dann veröffentlichen).

enig5

4. Warten Sie, während ein Schlüssel generiert wird. Dann ist es sinnvoll, ein Widerrufszertifikat zu erstellen (einfach dem Assistenten folgen).

enig6

5. Wenn Sie fertig sind, klicken Sie auf „Fertigstellen“ und Ihr neues Schlüsselpaar wird erstellt!

enig7

Alle mit dieser Methode generierten Schlüssel sind mit einer 2048-Bit-RCA-Verschlüsselung gesichert und verfallen nach 5 Jahren.

Verwenden der Enigmail-Schlüsselverwaltung

Sobald Sie mit dem Generieren eines Schlüsselpaars vertraut sind, können Sie die Aufgabe schnell und einfach ausführen, indem Sie zu Menü -> Enigmail -> Schlüsselverwaltung, dann Generieren -> Neues Schlüsselpaar gehen und einfach die erforderlichen Informationen eingeben.

enig8

Bei dieser Methode können Sie auswählen, wie lange ein Schlüssel gültig sein soll, bevor er abläuft, und auf der Registerkarte „Erweitert“ auswählen, welche Art von Verschlüsselung verwendet wird.

enig 12

Es ist üblich, für jedes E-Mail-Konto, das Sie haben, ein neues Schlüsselpaar zu generieren.

Konfigurieren Sie Enigmail für die Verwendung mit Ihrem E-Mail-Konto

Um sicherzustellen, dass alles richtig eingerichtet ist, gehen Sie zu Ihren E-Mail-Kontoeinstellungen (Menü -> Optionen -> Kontoeinstellungen) und klicken Sie auf OpenPGP-Sicherheit. Stellen Sie sicher, dass „OpenPGP-Unterstützung (Enigmail) für diese Identität aktivieren“ aktiviert ist und dass die Einstellungen Ihren Wünschen entsprechen.

enig9

Austausch öffentlicher Schlüssel

Okay, jetzt sind Sie eingerichtet und haben ein Schlüsselpaar. Der nächste Schritt besteht darin, Ihren öffentlichen Schlüssel (oder Ihre öffentlichen Schlüssel) zu teilen, damit andere Ihnen verschlüsselte E-Mails senden können.

Damit Sie verschlüsselte E-Mails versenden können, benötigen Sie die öffentlichen Schlüssel Ihrer Empfänger. Denken Sie daran, dass Ihr öffentlicher Schlüssel öffentlich sein soll, und je mehr Personen darauf zugreifen können, desto mehr Personen können Ihnen verschlüsselte E-Mails senden.

So senden Sie einen öffentlichen Schlüssel an Ihre Kontakte

1. Direkt

Klicken Sie in Thunderbird auf „Schreiben“, um eine neue Nachricht zu beginnen. Schreiben Sie die E-Mail und wählen Sie wie gewohnt den/die Empfänger aus. Wählen Sie dann „Meinen öffentlichen Schlüssel anhängen“ (das Büroklammersymbol wird gelb, um anzuzeigen, dass dies aktiviert ist). Wenn Sie fertig sind, klicken Sie auf „Senden“.

Austausch 1

Beachten Sie, dass die rote Schrift im Feld „An:“ uns darauf hinweist, dass wir die öffentlichen OpenPGP-Schlüssel für diesen Empfänger nicht haben

2. Verwendung eines Schlüsselservers

Ein besserer Weg, Ihren öffentlichen Schlüssel zu teilen, ist über einen Schlüsselserver (im Grunde ein Server, der öffentliche OpenPGP-Schlüssel speichert, sodass jeder darauf zugreifen kann). Ein großer Vorteil bei der Verwendung eines Schlüsselservers ist, dass Sie ihn aus irgendeinem Grund widerrufen müssen Ihren öffentlichen Schlüssel (z. B. Ihren, wenn Ihr privater Schlüssel kompromittiert ist), dies kann einfach nur einmal erfolgen, indem Sie den alten Schlüssel löschen und einen neuen auf den Schlüsselserver hochladen (anstatt neue Schlüssel an alle Ihre Kontakte zu senden).

Dies erleichtert es auch jedem, Ihnen sichere E-Mails zu senden, ohne Sie bitten zu müssen, ihm zuerst Ihren öffentlichen Schlüssel zu senden.

Um Ihren öffentlichen Schlüssel auf einen Schlüsselserver hochzuladen, gehen Sie zu Menü -> Enigmail -> Schlüsselverwaltung. Wählen Sie den Schlüssel aus, den Sie hochladen möchten, und gehen Sie dann zu Keyserver -> Öffentliche Schlüssel hochladen.

Austausch 3

Wählen Sie einen Schlüsselserver aus der Dropdown-Liste aus

Sie können jetzt den Namen Ihrer Keyserver-Adresse und die Schlüssel-ID in Ihre Signatur aufnehmen, um darauf hinzuweisen, dass Sie über einen öffentlichen Schlüssel verfügen.

So importieren Sie einen öffentlichen Schlüssel

1. Wenn Sie eine verschlüsselte Nachricht erhalten, die einen öffentlichen Schlüssel enthält, doppelklicken Sie auf die angehängte .asc-Datei und Enigmail bietet an, den Schlüssel für Sie zu importieren.

Austausch 9

2. Um einen öffentlichen Schlüssel zu finden, der auf einen Schlüsselserver hochgeladen wurde, gehen Sie zu Menü -> Enigmail -> Schlüsselverwaltung -> Schlüsselserver -> Nach Schlüsseln suchen.

Austausch 4

Sie können nach Schlüssel-ID oder E-Mail-Adresse suchen (stellen Sie der Schlüssel-ID immer 0x voran…).

Austausch 8

Es ist gut, den Namen des Schlüsselservers zu kennen, Enigmail macht sowieso gute Arbeit beim Auffinden von Schlüsseln

Sie können Enigmail auch anweisen, Schlüssel für alle Kontakte zu finden.

So validieren Sie ein Schlüsselpaar

Ein wichtiger letzter Sicherheitsschritt besteht darin, ein Schlüsselpaar zu validieren und zu signieren, was mit einer anderen Methode als E-Mail erfolgen sollte. Persönlich ist am besten, obwohl verschlüsseltes VoIP auch eine gute Option ist (denken Sie daran, dass Telefongespräche in diesem Zeitalter der umfassenden staatlichen Überwachung nicht als sicher angesehen werden können). Achten Sie unbedingt darauf, dass Sie mit der richtigen Person sprechen!

Was Sie beide tun müssen, ist die zu überprüfen öffentliche Fingerabdrücke der Schlüssel, die Sie ausgetauscht haben. Dazu sollten Sie beide zu Menü -> OpenPGP -> Schlüsselverwaltung gehen (möglicherweise müssen Sie das Kontrollkästchen „Alle Schlüssel standardmäßig anzeigen“ aktivieren). Klicken Sie mit der rechten Maustaste auf einen bestimmten Schlüssel (beide wählen natürlich denselben Schlüssel aus) und wählen Sie „Schlüsseleigenschaften“.

enig10

Sie sollten beide bestätigen, dass der Fingerabdruck für jeden Schlüssel, den Sie haben, mit dem Original des Absenders übereinstimmt.

Signieren eines validierten Schlüssels

Nachdem Sie einen öffentlichen Schlüssel validiert haben, müssen Sie ihn signieren, um zu bestätigen, dass Sie ihn für gültig halten. Wählen Sie Aktion auswählen -> Schlüssel signieren.

enig11

Klicken Sie auf die Schaltfläche „Ich habe sehr sorgfältig geprüft“ und dann auf „OK“.

Hurra! Sie können jetzt mit dem Senden und Empfangen verschlüsselter E-Mails beginnen! Puh! Wir haben gesagt, es war ein bisschen kompliziert…

E-Mails verschlüsseln und entschlüsseln

Um ein Höchstmaß an Sicherheit zu gewährleisten, sollten beim Versand verschlüsselter E-Mails die folgenden Vorsichtsmaßnahmen beachtet werden:

  • Verwenden Sie nicht aussagekräftige Betreffs für Ihre E-Mails, da die Kopfzeilen einer E-Mail-Nachricht (Felder Betreff, An, CC und BBC) nicht verschlüsselt sind
  • BCC ist besser als CC, wenn Nachrichten an eine Gruppe gesendet werden (damit sie nicht sehen können, wer sonst noch in der Gruppe ist).
  • Verwenden Sie beim Verschlüsseln von Nachrichten mit Anhängen PGP/MIME, damit die Anhänge ebenfalls verschlüsselt werden

E-Mail verschlüsseln

Klicken Sie auf „Schreiben“, um eine E-Mail zu starten. Sie können verschlüsselte E-Mails nur an Empfänger senden, für die Sie öffentliche Schlüssel haben (wenn Sie einen öffentlichen Schlüssel für den Empfänger haben, wird sein Name in Schwarz angezeigt, wenn nicht, wird er in Rot angezeigt.) Sie können beliebige Anhänge hinzufügen und angeben, dass Sie die Sicherheit verbessern möchten, indem Sie eine Signatur hinzufügen (die zeigt, dass jemand Ihrem Schlüssel vertraut). Wenn Sie fertig sind, klicken Sie auf „Senden“.

Wenn die Nachricht Anhänge enthält, werden Sie gefragt, wie diese behandelt werden sollen, bevor die Nachricht gesendet wird. Für die meisten Zwecke sind die Standardeinstellungen in Ordnung.

E-Mail entschlüsseln

Thunderbird versucht automatisch, eine verschlüsselte E-Mail zu entschlüsseln, wenn Sie sie öffnen. Sie werden nach der OpenPGP-Passphrase (Ihrem privaten Schlüssel) gefragt, und das war’s!

erhalten

Eine Benachrichtigung oben im Nachrichtenfenster informiert Sie darüber, dass die Nachricht entschlüsselt wurde (einschließlich aller Anhänge) und die Signatur authentifiziert wurde.

Fazit

Wie Sie sehen können, wenn Sie dieses Tutorial befolgt haben, ist das Senden und Empfangen sicher verschlüsselter E-Mails zwischen vertrauenswürdigen Kontakten ziemlich einfach, obwohl die Einrichtung mühsam ist. Wahrscheinlich wird die größte Schwierigkeit darin bestehen, Ihre Kontakte dazu zu bringen, überhaupt sichere E-Mails zu verwenden, und ihnen dabei zu helfen, die etwas steile Lernkurve zu bewältigen, die mit der Einrichtung verbunden ist.

Wenn es jedoch darum geht, Ihre E-Mails vor neugierigen Blicken zu schützen, gibt es wirklich keinen Ersatz für die PGP-Verschlüsselung, und diese Kombination aus Gpg4win, Thunderbird und Enigmail gehört zu den benutzerfreundlichsten (und einmal eingerichteten) eleganten Lösungen für Windows Benutzer. Zu beachten ist, dass das Firefox-OpenPGP-Add-on Mailvelope ist einfacher zu verwenden, aber da es innerhalb des Browsers funktioniert, kann es nicht als sicher angesehen werden.

Hinweis (10. November 2015): Dies ist eine komplett überarbeitete und verbesserte Version eines älteren Artikels. Ich möchte unserem Leser Dicko dafür danken, dass er geholfen hat, einige Verwirrungen in der zu klären Original.

Weitere Informationen zur Online-Sicherheit mit Windows finden Sie auf unserer Seite Bestes VPN für Windows 7 und 10.