Enigmail Thunderbird Windows Tutorial

Enigmail Teaser

Standardmäßig kann man mit dem E-Mail Client Thunderbird keine E-Mails verschlüsseln (sieht man einmal von der Mailverschlüsselung mit S/MIME ab). Diese Funktion kann man aber ganz schnell mit dem Add-on Enigmail nachrüsten. In diesem Enigmail Tutorial wird die Einrichtung und Konfiguration unter Windows gezeigt.

Video Tutorial

Wer will, kann sich die nachfolgende Enigmail Anleitung auch als Video-Tutorial anschauen. Bitte beachtet aber, dass die nachfolgende Anleitung etwas ausführlicher ist. Nun aber das Video:


Installation von GnuPG und Enigmail

Bevor es los geht, muss erst einmal GnuPG installiert werden, da die kryptographischen Funktionen im Add-on selbst nicht implementiert sind. Wer Enigmail unter Linux einsetzen möchte, der kann sich GnuPG hier herunterladen (falls es nicht ohnehin schon auf dem System ist), Windows-User können zu Gpg4win (GNU Privacy Guard for Windows) greifen, ein entsprechendes Paket für Windows. Für Mac-User steht Mac GPG bereit.

Nach einer erfolgreichen Installation von GnuPG kann dann das eigentlich Thunderbird Add-on Enigmail installiert werden. Dafür klickt man in der oberen Navigation im Thunderbird Client auf "Extra" und "Add-ons". Anschließend sucht man über das Suchfeld in der oberen rechten Ecke " Enigmail". Mit einem Klick ist es installiert und nach dem Neustart von Thunderbird auch aktiv.


Thunderbird Enigmail installieren


Bei Fehlern ...

Falls nach dem Start der nachfolgende GnuPG-Fehler vorkommt:

"OpenPGP-Fehler: GnuPG kann im angegebenen Pfad nicht gefunden werden. OpenPGP wird deshalb deaktiviert bis Sie den Pfad zu GnuPG korrigieren oder die Anwendung neu starten."

In diesem Fall hilft meist noch einmal ein Neustart, oder man gibt in den Einstellungen ("Extras" -> "Add-ons" -> linke Seite "Erweiterungen" -> Enigmail Einstellungen) einen anderen Pfad ein und zwar genau den Pfad, in den man im ersten Schritt GnuPG installiert hat. Der Standardpfad lautet also: C:\Program Files (x86)\GNU\GnuPG\pub\gpg.exe

Falls das auch nichts hilft und bei den weiteren Einstellungen von Enigmail immer wieder die Fehlermeldung: "Fehler beim Zugriff auf Enigmail-Dienste" erscheint, dann hat die Installation von Enigmail nicht ganz geklappt. Laut einem Entwickler1 kann das daran liegen, dass das Extension Verzeichnis korrupt ist. Also schließt man erst einmal Thunderbird und sucht in Extensions Ordner des Thunderbird-Profils (z.B. Verzeichnis C:\Users\Admin\AppData\Roaming\Thunderbird\Profiles\KRYPTISCHERNAME.default\extensions nach dem Enigmail Ordner. Dieser heißt "{847b3a00-7ab1-11d4-8f02-006008948af5}". Diesen Ordner löscht man nun komplett und im Profil-Ordner noch die Dateien extensions.cache, extensions.ini, extensions.rdf und XUL.mfasl, sofern vorhanden. Anschließend öffnet man Thunderbird und es sollte bei den "Add-Ons" Enigmail nicht mehr vorhanden sein. Ist dies der Fall, installiert man Enigmail noch einmal. Nun sollte das Add-On ohne Probleme laufen. Falls immer noch nicht, sollte man prüfen ob man das Add-On "Outlook PST v1.2" installiert ist. Falls ja, muss es deaktiviert oder deinstalliert werden, da es eine alte, inkompatible Version der Enigmail Binary Library nutzt.



Der erste eigene Schlüssel

Läuft alles soweit, geht es nun endlich ans Verschlüsseln. Dafür muss man sich aber erst einmal den eigenen Schlüssel generieren lassen. Dafür klickt man im oberen Menü in Thunderbird auf: "OpenPGP -> Schlüssel verwalten".
Enigmail Verwaltung der Schlüssel

Anschließend klickt man im neu aufgegangenen Fenster auf "Erzeugen -> Neues Schlüsselpaar ...". Hier kann man nun für jede angelegte E-Mail Adresse in Thunderbird einen eigenen Schlüssel generieren. Auch wenn es Enigmail anbietet keine Passphrase zu vergeben, sollte man auf jeden Fall eine komplexe Passphrase einstellen. Die Passphrase dient dabei als ein Art Passwort, das jedes Mal beim Empfang einer Verschlüsselten Nachricht eingegeben werden muss. Deshalb sollte die Passphrase gut merk- und eingebbar sein. Aus Bequemlichkeit sollte man hier aber keine einfache, kurze Passphrase, wie beispielsweise "123" vergeben, da somit ein Schutz nicht gegeben ist.

Schlüssel in Enigmail erzeugen

WICHTIG! Die Passphrase darf unter keine Umstände vergessen werden. Ohne sie ist ein entschlüsseln nicht mehr möglich!
Wer will kann zusätzlich noch einstellen, ob der Schlüssel ablaufen soll oder nicht. Wer es ganz speziell will, kann über den Reiter "Erweitert" auch noch zusätzlich die Schlüsselstärke und den Algorithmus verändern. Dies ist aber nicht zwingend erforderlich.

Die Generierung des Schlüssels kann je nach Länge der Passphrase etwas dauern. Abschließend wird noch angeboten ein Widerrufszertifikat zu erzeugen. Dies sollte man auch auf jeden Fall tun und das Zertifikat an einem sicheren Ort speichern. Mit dem Widerrufszertifikat ist es nämlich möglich, den Schlüssel bei Bedarf für ungültig zu erklären. Damit verhindert man Missbrauch, wenn der Schlüssel beispielsweise gestohlen wurde.

Schlüsseltausch

Jetzt darf man erst einmal fleißig Schlüssel mit potentiellen Sendern und Empfängern austauschen, die ebenfalls verschlüsseln. Damit man eine verschlüsselte E-Mail auch Empfangen und Entschlüsseln kann, muss man dem Sender erst einmal den eigenen öffentlichen Schlüssle zuschicken.
WICHTIG! Niemals darf der private Schlüssel weitergegeben werden. Immer nur der öffentliche (!) Schlüssel

Am einfachsten gibt man den eigenen öffentlichen Schlüssel weiter, in dem man jeden potentiellen Sender eine E-Mail mit dem öffentlichen Schlüssel zuschickt. Dafür schreibt man ganz gewöhnlich eine unverschlüsselte E-Mail und wählt vor dem Versenden im E-Mail-Fenster im oberen Menü: "OpenPGP -> Meinen öffentlichen Schlüssel anhängen". Nun ist der öffentliche Schlüssel im Anhang und der Empfänger kann den Schlüssel bei sich importieren.
Wer eine eigene Website hat, oder den Schlüssel per Messenger oder über andere Kanäle übertragen will, der kann dies in dem er in der Schlüsselverwaltung (OpenPGP -> Schlüssel verwalten) einen Rechtsklick auf den eigenen Schlüssel macht und dort "In Zwischenablage kopieren" auswählt. Anschließend kann man den Schlüssel mit "STRG + C" an beliebige Stelle kopieren.
Eine weitere Möglichkeit seinen öffentlichen Schlüssel publik zu machen ist das Hochladen des Schlüssels auf einer der Schlüsselserver. Dies geht einfach in dem man in der Schlüsselverwaltung einen Rechtsklick auf den Schlüssel ausführt und dann die Option "Auf Schlüsselserver hochladen ..." anwählt. Anschließend können Freunde und Bekannte auf den Schlüsselserver nach der Name der Person suchen und so an den öffentlichen Schlüssel kommen. Natürlich kann man auch dort nach öffentlichen Schlüsseln suchen, allerdings herrscht hier ein gewisses Risiko, dass jemand Fremdes für jemand ausgibt, der er gar nicht ist. Besser ist auf jeden Fall der persönliche Schlüsselaustausch, oder aber man verwendet Signaturen.

Damit kann man nun verschlüsselte Mails empfangen und durch den eigenen privaten Schlüssel und der Keyphrase entschlüsseln. Damit man aber auch verschlüsselte Mails selbst verschicken kann, braucht man erst die öffentlichen Schlüssel aller potentiellen Empfänger. Diese kann man sich auch wieder per E-Mail beschaffen oder auf einen anderen beliebigen Weg. Hat man den Schlüssel erhalten, speichert man diesen (sofern noch nicht geschehen) in einer Datei mit der Endung .asc. Nun kann der Schlüssel bequem über die Schlüsselverwaltung (OpenPGP -> Schlüssel verwalten) importiert werden. Natürlich kann man den Key auch einfach Kopieren und dann in der Schlüsselverwaltung über "Bearbeiten" und "Aus Zwischenablage importieren".

Ran ans Verschlüsseln

Nach der Installation und Einrichtung von Enigmail, sowie dem Austausch der Schlüssel, kann es dann auch schon losgehen mit Ver- und Entschlüsseln von Mails. Dafür wählt man beim Schreiben der E-Mail über den Pfeil bei "OpenPGP" den Punkt "Nachricht verschlüsseln" an. Verschlüsselt wird dann über den davor importierten öffentlichen Schlüssel des Empfängers. Dieser kann die verschlüsselte Mail dann bei sich über den eigenen privaten Schlüssel wieder entschlüsseln.

Teste mit Adele

Wer das ganze nun auch gleich Testen möchte, aber gerade niemand zur Hand hat der ebenfalls verschlüsselt, der kann ein paar Mails an Adele senden. Adele ist der "Friendly OpenPGP Email Robot", der automatisch auf verschlüsselte Mails antwortet und so überprüfen werden kann, ob man das Verschlüsselungsprinzip verstanden hat.

Dafür sendet man erst einmal eine (verschlüsselte) Nachricht an Adele (adele-en@gnupp.de). Wichtig ist dabei, das man bei der ersten Mail den eigenen öffentlichen Schlüssel mitschickt. Dabei darf der Schlüssel, also der Anhang natürlich das erste mal selbst nicht verschlüsselt sein! Adele antwortet dann ebenfalls verschlüsselt mit ihrem öffentlichen Schlüssel. Diesen muss man importieren und kann dann seinerseits die verschlüsselte Mail von Adele entschlüsseln.
Verschlüsselte Mail via Enigmail von Adele

Entschlüsselte Mail via Enigmail von Adele


Wer Enigmail nicht einsetzen möchte, oder auch sonst nach einer Alternative sucht, der sollte sich einmal mit S/MIME beschäftigen. Eine ausführliche Anleitung dazu findet man hier.

Der Artikel wurde am 4.10.2013 erstellt und das letzte Mal am 16.10.2013 aktualisiert Quellen: