E-Mails mit Enig­mail und Thun­der­bird ver­schlüs­seln

Zu die­sem Zeit­punkt haben wir in Thun­der­bird das Add-On Enig­mail in­stal­liert, ein ei­ge­nes Schlüs­sel­paar er­zeugt, und den ei­ge­nen öf­fent­li­chen Schüs­sel so­wohl in eine Datei ex­por­tiert als auch auf einem Schlüs­sel­ser­ver im In­ter­net pu­bli­ziert.

Damit sind an­de­re in der Lage uns be­reits jetzt ver­schlüs­sel­te Mails zu sen­den. Ein Kom­mu­ni­ka­ti­ons­part­ner be­nö­tigt dafür nur ihren öf­fent­li­chen Schlüs­sel.

Nun wol­len aber Sie einem Kom­mu­ni­ka­ti­ons­part­ner eine ver­schlüs­sel­te Mail sen­den. Dafür be­nö­ti­gen nun Sie den öf­fent­li­chen Schlüs­sel (den Pu­blic Key) eben die­ses Kom­mu­ni­ka­ti­ons­part­ners. So­fern Sie die­sen Pu­blic Key nicht di­rekt von die­sem Kom­mu­ni­ka­ti­ons­part­ner er­hal­ten haben, kön­nen Sie auf öf­fent­li­chen Schlüs­sel­ser­vern da­nach su­chen. Dazu be­nö­ti­gen Sie die Mail-Adres­se Ihres Kom­mu­ni­ka­ti­ons­part­ner, die Sie ja aber haben. So­fern Sie den ge­such­ten Pu­blic Key dort fin­den, kön­nen Sie ihn in die lo­ka­le Schlüs­sel­ver­wal­tung auf­neh­men und sind nun in der Lage ver­schlüs­sel­te Mails an die be­tref­fen­de Per­son zu ver­sen­den.

Pu­blic Key auf Schlüs­sel­ser­ver su­chen und im­por­tie­ren

Um nach einem Pu­blic Key auf einem Schlüs­sel­ser­ver zu su­chen, star­ten Sie wie ge­habt die Enig­mail Schlüs­sel­ver­wal­tung (siehe ggf. hier).

Enig­mail Schlüs­sel­ver­wal­tung - Me­nüein­trag um nach Schlüs­seln auf einem Key­ser­ver zu su­chen

Im an­ge­zeig­ten Dia­log geben Sie die Mail­adres­se der be­tref­fen­den Per­son ein.

Ein­ga­be der Mail­adres­se für die ein Pu­blic Key ge­sucht wird

Sie kön­nen noch aus­wäh­len auf wel­chem Schlüs­sel­ser­ver ge­sucht wer­den soll. Die Vor­aus­wahl mit dem Pool der SKS-Key­ser­ver ist aber im Nor­mal­fall pas­send. Kli­cken Sie auf "OK".

Nach ei­ni­gen Mo­men­ten wer­den Ihnen die pas­sen­den Tref­fer an­ge­zeigt.

Zu einer Mail­adres­se auf dem Key­ser­ver ge­fun­de­ne Pu­blic Keys

Die aus­ge­grau­ten Schlüs­sel könn­ten zwar auch im­por­tiert wer­den, sind aber ent­we­der ab­ge­lau­fen, oder für un­gül­tig er­klärt wor­den. In­ter­es­sant sind nur die schwarz dar­ge­stell­ten Pu­blic Keys. Soll­te es tat­säch­lich meh­re­re gül­ti­ge Pu­blic Keys zu einer Mail­adres­se geben, ist nor­ma­ler­wei­se der neu­es­te Key der rich­ti­ge öf­fent­li­che Schlüs­sel.

Wäh­len Sie den be­tref­fen­den Schlüs­sel aus und kli­cken Sie auf "OK". Der Schlüs­sel wird dann im­por­tiert und der Er­folg der Ak­ti­on an­ge­zeigt.

Pu­blic Key er­folg­reich von Schlüs­sel­ser­ver im­por­tiert

Nach dem Schlie­ßen des Dia­logs sehen Sie den im­por­tier­ten Schlüs­sel auch in der Schlüs­sel­ver­wal­tung als ei­ge­ne Zeile.

Im­por­tier­ter Pu­blic Key in der Schlüs­sel­ver­wal­tung

Hier ist üb­ri­gens auch zu er­ken­nen, dass Schlüs­sel­paa­re in Fett­druck dar­ge­stellt wer­den, öf­fent­li­che Schlüs­sel in nor­ma­lem Druck.

Ver­schlüs­sel­te E-Mail er­stel­len

Ver­fas­sen Sie ein­fach ein­mal eine Mail an die be­tref­fen­de Per­son, deren Pu­blic Key aber lokal in der Schlüs­sel­ver­wal­tung ent­hal­ten ist. Das Mail­fens­ter sieht dabei dann so aus:

Neue Mail an Emp­fän­ger des­sen Pu­blic Key ver­füg­bar ist wird au­to­ma­tisch ver­schlüs­selt

Be­ach­ten Sie die neue Icon-Leis­te die von Enig­mail ein­ge­fügt wird. Das erste Icon (Bü­gel­schloss) ist ak­ti­viert und zeigt damit an, dass die Mail vor dem Sen­den ver­schlüs­selt wird. Diese Ein­stel­lung ge­hört zu den Stan­dard­ein­stel­lun­gen die wir bei der In­stal­la­ti­on über­nom­men haben. Ist der Pu­blic Key aller Mail-Emp­fän­ger einer Mail vor­han­den, wird die Ver­schlüs­se­lung durch Enig­mail au­to­ma­tisch ak­ti­viert.

Das Sen­den der Mail er­folgt in die­sem Fall durch einen Maus­klick auf "Sen­den". Da nur der nicht ge­schütz­te Pu­blic Key des Emp­fän­gers für die Ver­schlüs­se­lung be­nö­tigt wird, kann das GnuPG im Hin­ter­grund er­le­di­gen und be­nö­tigt kei­nen Pass­phra­se.

Wie sieht diese Mail nun beim Emp­fän­ger aus? Öff­net der Emp­fän­ger eine an ihn ver­schlüs­sel­te Mail, wird für das Ent­schlüs­seln der ge­hei­me Schlüs­sel (Pri­va­te Key) be­nö­tigt. Da die­ser mit einem Pass­phra­se ge­schützt ist, wird der Emp­fän­ger dabei zur Ein­ga­be des Pass­phra­ses auf­ge­for­dert. An­schlie­ßend sieht die emp­fan­ge­ne Mail so aus:

Ent­schlüs­sel­te Open­PGP-Mail beim Emp­fän­ger

Durch An­kli­cken des Schloss-Icons, oder des "De­tails"-Klapp­fall­me­nüs, sind wei­te­re In­for­ma­tio­nen zur ver­wen­de­ten Ver­schlüs­se­lung ein­seh­bar.

Man kann an die­ser Stel­le nun an der Ver­schlüs­se­lung aber auch erst ein­mal zwei­feln. Außer einem Schloss-Icon (zeigt die Ver­schlüs­se­lung an), sowie dem Hin­weis "Enig­mail Ent­schlüs­sel­te Nach­richt", un­ter­schei­det sich diese Mail nicht von einer un­ver­schlüs­sel­ten Mail.

Um uns die Ver­schlüs­se­lung ein­mal an­zu­se­hen wech­seln wir in die Da­tei­an­sicht der Mail. Dort sehen wir den Quell­code der Mail bevor Thun­der­bird und Enig­mail die Mail auf­be­rei­tet und ent­schlüs­selt haben. Das wäre dann auch die An­sicht die ein Mail­ser­ver-Ad­mi­nis­tra­tor sieht, wenn er il­le­ga­ler­wei­se die Mail im Da­tei­sys­tem öff­net.

Da­tei­an­sicht / Quell­code einer ver­schlüs­sel­ten Open­PGP-Mail

Das sieht eher so aus wie man sich eine ver­schlüs­sel­te Mail vor­stellt! Wer das auch ma­chen will - die be­tref­fen­de An­sicht er­hält man in Thun­der­bird über die Tas­ten­kom­bi­na­ti­on "Strg" + "U".

Si­gnier­te Mail er­stel­len

Bei klas­si­scher Post un­ter­schreibt der Ab­sen­der mit sei­ner Un­ter­schrift. Tech­nisch ver­wen­det er dafür z.B. einen Füll­fe­der­hal­ter. Bei E-Mails geht das na­tür­lich so nicht.

Die asym­me­tri­sche Ver­schlüs­se­lung er­mög­licht aber auch eine di­gi­ta­le Un­ter­schrift. Dabei wird der ge­sam­te Mail­in­halt unter Ver­wen­dung des ei­ge­nen, ge­hei­men Schlüs­sels, in eine kryp­to­gra­phisch er­stell­te Si­gna­tur ein­ge­rech­net. Da nur der Ab­sen­der auf den ge­hei­men Schlüs­sel (Pri­va­te Key) zu­grei­fen kann, kann auch nur er die Si­gna­tur er­zeu­gen.

Der Emp­fän­ger kann die Si­gna­tur mit dem Pu­blic Key des Ab­sen­ders ve­ri­fi­zie­ren (Iden­ti­tät des Si­gna­tur­er­stel­lers ist damit ge­prüft) und kann sogar kon­trol­lie­ren ob die zu­ge­hö­ri­ge Mail bei der Über­tra­gung ver­än­dert wurde - die Si­gna­tur passt dann nicht mehr zur Mail.

Ver­fas­sen wir also ein­mal eine Mail die nur di­gi­tal un­ter­schrie­ben sein soll.

E-Mail die di­gi­tal si­gniert ver­sen­det wer­den soll

Dabei wurde dann in die­sem Bei­spiel die Ver­schlüs­se­lung ab­sicht­lich ab­ge­schal­tet (Schloss-Icon ist nicht aktiv) und die Si­gna­tur ak­ti­viert (Stift-Icon ist aktiv).

Das Ab­sen­den sieht dann so aus:

Pass­phra­se-Ab­fra­ge für di­gi­ta­le Si­gna­tur

Da für die Si­gna­tur der Pri­va­te Key be­nö­tigt wird, muss für des­sen Ver­wen­dung der pas­sen­de Pass­phra­se ein­ge­ge­ben wer­den.

Beim Emp­fän­ger sieht eine si­gnier­te Mail dann so aus:

Si­gnier­te Mail, bei der der Emp­fän­ger den Pu­blic Key des Sen­ders nicht hat

Thun­der­bird zeigt hier an, dass die Mail di­gi­tal un­ter­schrie­ben ist (Brief­um­schlags-Icon mit Fra­ge­zei­chen), kann diese aber nicht über­prü­fen da der Pu­blic Key des Ab­sen­ders nicht in der Schlüs­sel­ver­wal­tung des Emp­fän­gers im­por­tiert ist.

Im­por­tiert der Emp­fän­ger den Pu­blic Key des Ab­sen­ders, sieht die Mail so aus:

Si­gnier­te Mail, bei der der Emp­fän­ger den Pu­blic Key des Sen­ders in der Schlüs­sel­ver­wal­tung hat

Das Si­gna­tur-Icon (Brief­um­schlag) ist wei­ter­hin mit einem Fra­ge­zei­chen ver­se­hen, weil der Emp­fän­ger den Pu­blic Key noch nicht über­prüft hat.

Wei­ter mit dem Web of Trust