E-Mails verschlüsseln mit Windows und Thunderbird: So geht's mit Gpg4win und Enigmail

Gpg4win bietet eine vergleichsweise einfache Art und Weise, sich Verschlüsselungs- und Signierfunktionen mit OpenPGP für eine Windows-Umgebung zu installieren. Hier lesen Sie, wie's geht.

Im Artikel „Posteo: ein Berliner E-Mail-Anbieter als Alternative zu Gmail & Co.” haben wir Ihnen eine unabhängige und werbefreie Alternative zu Gmail und Co. gezeigt. Wie Sie Ihre Nachrichten in Posteo im Browser einfach verschlüsseln können, hat dann der Beitrag „Webmails mit OpenPGP und Mailvelope im Browser verschlüsseln” erläutert.

Sicherer ist es allerdings, die PGP-Schlüsselverwaltung und die eigentliche Ver- und Entschlüsselung nicht im Browser, sondern lokal auf dem Computer durchzuführen. Diese Methode ist nicht auf Webmailer beschränkt, sondern im Gegenteil besonders für E-Mail-Anbieter geeignet, bei denen Sie Ihre Nachrichten lokal auf dem Computer verwalten, also z.B. auch Ihr dienstliches Postfach oder Ihre E-Mails mit Ihrer eigenen Domain.

Wir wollen Ihnen zeigen, wie das geht, und zwar auf der Windows-Plattform (Windows XP) mit dem OpenPGP-Paket gpg4win und dem Mail-Client Thunderbird in den folgenden vier Schritten:

• Das Gpg4win-Paket installieren

• OpenPGP-Schlüsselpaar in Kleopatra importieren oder erzeugen

• E-Mail-Client Thunderbird mit Add-on Enigmail installieren und einrichten

• Verschlüsselte E-Mails mit dem OpenPGP-Testroboter Adele austauschen

Um lokal auf dem Computer PGP-Schlüssel zu verwalten und Nachrichten sowie Dateien zu verschlüsseln, brauchen Sie neben einem lokalen E-Mail-Client eine OpenPGP-Software. Am weitesten verbreitet unter Windows ist dafür die Freie Software Gpg4win zur E-Mail- und Dateiverschlüsselung. Auf der Website finden Sie ein Installationspaket mit Software und Dokumentation, das unter Windows 2000/XP/2003/Vista und 7 läuft. Das Paket enthält u.a. die folgenden Komponenten:

• GnuPG, die eigentliche Verschlüsselungssoftware

• Kleopatra, die zentrale Zertifikatsverwaltung (Schlüsselverwaltung) von Gpg4win

• GnuPG für Outlook (GpgOL), eine Erweiterung für Microsoft Outlook, die verwendet wird, um Nachrichten in Outlook zu signieren bzw. zu verschlüsseln.

• GPG Explorer eXtension (GpgEX), eine Erweiterung für den Windows-Explorer, mit der Sie Dateien im Explorer signieren bzw. verschlüsseln können

Laden Sie zunächst die neueste Version des Gpg4win-Pakets herunter und installieren Sie diese. Achten Sie darauf, beim Download eine vertrauenswürdige Quelle zu verwenden, wie z.B. www.gpg4win.de/download-de.html.

Bei der Installation werden Sie nach der Sprache der Benutzerführung gefragt, da es Gpg4win auf Deutsch oder auf Englisch gibt. Die Voreinstellung ist Deutsch.

Im Fenster Komponentenauswahl können Sie bestimmen, welche der Paketinhalte installiert werden sollen.

Komponenten bei der Installation auswählen

Da wir in unserem Artikel Gpg4win mit Thunderbird und nicht mit Outlook verwenden wollen, installieren wir die GpgOL-Erweiterung für Outlook ebensowenig wie die Komponenten Claws-Mail und GPA. Bei Ihnen kann das natürlich anders sein.

Ist Gpg4win installiert, öffnen Sie als erstes den Zertifikatmanager Kleopatra unter Start > Alle Programme > Gpg4win > Kleopatra, wo die OpenPGP-Schlüssel („Zertifikate“) erstellt und verwaltet werden. Haben Sie bereits einen OpenPGP-Schlüssel, können Sie ihn dann über „Zertifikate importieren“ in Kleopatra importieren.

In Kleopatra einen OpenPGP-Schlüssel (Zertifikat) importieren

Achten Sie darauf, dass Sie bei Ihrem persönlichen Schüssel das gesamte Paar, also den öffentlichen und den geheimen Schlüssel importieren.

Haben Sie noch keinen OpenPGP-Schlüssel oder wollen Sie einen neuen erstellen, wählen Sie in der Kleopatra-Menüleiste „Datei – Neues Zertifikat“ und dann den Menüpunkt „Persönliches OpenPGP-Schlüsselpaar erzeugen“. Geben Sie Ihren Namen, Ihre E-Mail-Adresse (mit der der Schlüssel assoziiert wird) und optional einen Kommentar an.

In den erweiterten Einstellungen können Sie unter anderem die Schlüssellänge festlegen (Standard ist 2,048 Bit), sowie außerdem bestimmen, wozu der Schlüssel benutzt werden soll (verschlüsseln, signieren, authentifizieren) und ob der Schlüssel ein Verfallsdatum hat. Wird kein Datum angegeben, bleibt Schlüssel immer gültig. Bei der Schlüssellänge sind mindestens 2,048 Bit empfehlenswert. Als Einsteiger können Sie die voreingestellten Werte erstmal einfach übernehmen.

Haben Sie Ihre Angaben eingetragen, klicken Sie auf „Weiter“ und dann auf „Schlüssel erzeugen“, um den Schlüssel zu erstellen.

Einen OpenPGP-Schlüssel in Kleopatra erzeugen

Im nächsten Schritt werden Sie von Kleopatra aufgefordert, eine Passphrase (ein Passwort) für den Schlüssel einzugeben und durch nochmaliges Eingeben zu bestätigen.

Haben Sie den Schlüssel erfolgreich erstellt, erscheint folgendes Fenster:

Der Schlüssel wurde erfolgreich erstellt.

Nun können Sie eine Sicherheitskopie des Schlüssels erstellen und speichern.

Außerdem können Sie den öffentlichen Schlüssel Ihres Zertifikats hier per E-Mail an Ihre Korrespondenten schicken und an einen Zertifikatserver (Schlüsselserver) senden, so dass andere Ihren öffentlichen Schlüssel finden und benutzen können.

Sie haben nun die OpenPGP-Software erfolgreich installiert und einen OpenPGP-Schlüssel erzeugt. Was Ihnen noch fehlt, ist ein E-Mail-Programm, das mit der OpenPGP-Software zum Verschlüsseln und Entschlüsseln der Nachrichten zusammen arbeitet.

Sollten Sie Microsoft Outlook verwenden, können Sie das Programm mit Hilfe der GpgOL-Extension von Gpg4win erweitern und dann mit OpenPGP verwenden. Hinweise zur Vorgehensweise dafür finden Sie im Gpg4win Kompendium.

Für viele E-Mail-Programme gibt es solche Plugins, mit denen Sie die Ver- und Entschlüsselung direkt im jeweiligen E-Mail-Programm erledigen können. Eine Liste von Programmen unter Windows finden Sie ebenfalls im Kompendium.

Wir stellen Ihnen die Verwendung des E-Mail-Clients Thunderbird mit dem OpenPGP-Plugin Enigmail ausführlich vor.

Laden Sie sich, wenn nötig, die neueste Version von Thunderbird herunter und installieren Sie sie. Wenn Sie Thunderbird anschließend zum ersten Mal starten, werden Sie nach Ihren E-Mail-Konto-Angaben gefragt. Tragen Sie diese als erstes ein, damit Sie über Thunderbird E-Mails empfangen und schicken können. In unserem Falle geben wir unsere Posteo-Adresse an, aber das gleiche können Sie natürlich mit jedem beliebigen Mailkonto machen.

In Thunderbird ein neues Konto einrichten.

Öffnen Sie nun die Thunderbird Einstellungen, indem Sie rechts oben in der Menüliste auf die drei waagerechten Linien klicken.

Die Einstellungen in Thunderbird aufrufen

Gehen Sie dort auf den Eintrag „Add-ons“, suchen Sie im folgenden Fenster nach der Erweiterung „Enigmail“ und installieren Sie diese Erweiterung durch Klicken auf die Schaltfläche „Installieren“.

Enigmail zu Thunderbird hinzufügen

Starten Sie anschließend Thunderbird neu, um die Enigmail-Erweiterung zu aktivieren. Wenn Sie nun erneut die Einstellungen aufrufen, sehen Sie den neuen Menüpunkt „OpenPGP“, über den Sie folgendes Untermenü erreichen:

Die OpenPGP-Einstellungen in Thunderbird

Wen Sie nun zum Menüpunkt „Schlüssel verwalten“ gehen, sehen Sie dort den Schlüssel, den Sie vorher in Kleopatra erstellt (oder importiert) haben.

Im Menüpunkt „OpenPGP - Einstellungen“ können Sie anschließend unter anderem festlegen, ob und wie lange Ihre Passphrase lokal gespeichert werden soll (Standardeinstellung ist 5 Minuten).

Um die OpenPGP-Verschlüsselung zu testen, können Sie E-Mails mit dem Mailroboter Adele (adele@gnupp.de) austauschen, einem freundlichen Mailroboter, der extra für diese Zwecke eingerichtet wurde. Schicken Sie dazu als erstes eine unverschlüsselte E-Mail an Adele (deren OpenPGP-Schlüssel Sie ja noch nicht kennen), wobei Sie Ihren öffentlichen OpenPGP-Schlüssel als Anhang hinzufügen. Dazu gehen Sie in Thunderbird in den Einstellungen unter „OpenPGP – Schlüssel verwalten“, klicken im Schlüsselfenster mit der rechten Maustaste auf Ihren Schlüssel und wählen aus dem Kontextmenü den Punkt „Öffentliche Schlüssel per E-Mail senden“.

In Thunderbird den öffentlichen Schlüssel per E-Mail senden

Dadurch wird eine neue Nachricht geöffnet, an die Ihr öffentlicher Schlüssel automatisch als Textdatei angehängt ist. Sie können nun als Adressaten Adele eintragen (adele@gnupp.de), einen beliebigen Text in die Nachricht schreiben, und sie dann abschicken.

Adele wird Ihnen innerhalb weniger Minuten mit einer verschlüsselten Nachricht antworten, um Ihnen den Empfang Ihres öffentlichen Schlüssels zu bestätigen und Ihnen im Gegenzug den öffentlichen Schlüssel von Adele zu schicken. Diesen können Sie nun in Thunderbird importieren, um Ihrerseits verschlüsselte Nachrichten an Adele zu schicken.

Kopieren Sie dazu aus der Antwort von Adele den gesamten Text zwischen

-----BEGIN PGP PUBLIC KEY BLOCK-----

und

-----END PGP PUBLIC KEY BLOCK-----

mit Copy & Paste in die Zwischenablage, und starten Sie die Schlüsselverwaltung in Thunderbird über „OpenPGP – Schlüssel verwalten“.

Rufen Sie dann „Bearbeiten – Aus Zwischenablage importieren“ auf und bestätigen Sie, dass Sie den Schlüssel aus der Zwischenablage importieren möchten. Damit wird Adeles Schlüssel in Ihre Schlüsselverwaltung importiert und Sie können Adele nun eine verschlüsselte Nachricht als Antwort schicken. Schreiben Sie dazu wieder eine E-Mail beliebigen Inhalts an Adele (adele@gnupp.de) und achten Sie diesmal darauf, dass in Thunderbird im Menüpunkt „OpenPGP” der Eintrag „Nachricht verschlüsseln“ mit einem Häkchen versehen, d. h. aktiviert ist.

Mit Thunderbird eine verschlüsselte E-Mail schicken

Beim Absenden der Nachricht werden Sie nach Ihrer Passphrase gefragt, um die Verschlüsselung mit Ihrem Schlüssel zu bestätigen.

Ist alles erfolgreich verlaufen, wird Adele Ihnen nach wenigen Minuten wiederum mit einer verschlüsselten Nachricht antworten, um Ihnen zu sagen, dass Ihre Nachricht angekommen ist. Beim Öffnen der verschlüsselten E-Mail werden Sie dann wiederum zur Eingabe Ihrer Passphrase gebeten, und dann wird Ihnen die unverschlüsselte Nachricht angezeigt.

Gehen Sie zum Erstellen des Zertifikats in Thunderbird in den OpenPGP Einstellungen unter „Schlüssel verwalten“ und klicken Sie mit der rechten Maustaste auf den Schlüssel, für den Sie das Zertifikat erstellen wollen. Wählen Sie dann aus dem Kontextmenü den Eintrag „Widerrufszertifikat erzeugen und speichern“ und speichern Sie die Datei an einem sicheren Ort ab.

Da die dritte Option (Nachricht als Ganzes inkl. Anhang verschlüsseln) nicht von allen E-Mail-Programmen unterstützt wird, sollten Sie im Allgemeinen die zweite Option auswählen, also Nachricht und Anhang einzeln verschlüsseln und schicken. Wollen Sie diese Methode für alle Ihre Nachrichten verwenden, können Sie die entsprechende Option im obigen Fenster auswählen und werden nicht wieder gefragt.

Damit sind die allerwichtigsten Funktionen und Einstellungen für die Benutzung von OpenPGP mit Thunderbird unter Windows zum Senden und Empfangen von verschlüsselten E-Mails erklärt, wobei noch viel zu sagen wäre über das Unterschreiben von E-Mails, das (unverschlüsselte) Zwischenspeichern von Entwürfen im E-Mail-Konto, die Schlüsselverwaltung, das Beglaubigen von Schlüsseln und das generelle Verschlüsseln von lokalen Dateien und Ordnern mit OpenPGP.