E-Mails verschlüsseln mit Windows und Thunderbird: So geht's mit Gpg4win und Enigmail

OpenPGP-Verschlüsselung für Windows-Nutzer

Gpg4win bietet eine vergleichsweise einfache Art und Weise, sich Verschlüsselungs- und Signierfunktionen mit OpenPGP für eine Windows-Umgebung zu installieren. Hier lesen Sie, wie's geht.

∅ 4.9 / 21 Bewertungen

Gpg4win bietet eine vergleichsweise einfache Art und Weise, sich Verschlüsselungs- und Signierfunktionen mit OpenPGP für eine Windows-Umgebung zu installieren. Hier lesen Sie, wie's geht.

Im Artikel „Posteo: ein Berliner E-Mail-Anbieter als Alternative zu Gmail & Co.” haben wir Ihnen eine unabhängige und werbefreie Alternative zu Gmail und Co. gezeigt. Wie Sie Ihre Nachrichten in Posteo im Browser einfach verschlüsseln können, hat dann der Beitrag „Webmails mit OpenPGP und Mailvelope im Browser verschlüsseln” erläutert.

Sicherer ist es allerdings, die PGP-Schlüsselverwaltung und die eigentliche Ver- und Entschlüsselung nicht im Browser, sondern lokal auf dem Computer durchzuführen. Diese Methode ist nicht auf Webmailer beschränkt, sondern im Gegenteil besonders für E-Mail-Anbieter geeignet, bei denen Sie Ihre Nachrichten lokal auf dem Computer verwalten, also z.B. auch Ihr dienstliches Postfach oder Ihre E-Mails mit Ihrer eigenen Domain.

Wir wollen Ihnen zeigen, wie das geht, und zwar auf der Windows-Plattform (Windows XP) mit dem OpenPGP-Paket gpg4win und dem Mail-Client Thunderbird in den folgenden vier Schritten:

  • Das Gpg4win-Paket installieren

  • OpenPGP-Schlüsselpaar in Kleopatra importieren oder erzeugen

  • E-Mail-Client Thunderbird mit Add-on Enigmail installieren und einrichten

  • Verschlüsselte E-Mails mit dem OpenPGP-Testroboter Adele austauschen

1. Das Gpg4win-Paket installieren

Um lokal auf dem Computer PGP-Schlüssel zu verwalten und Nachrichten sowie Dateien zu verschlüsseln, brauchen Sie neben einem lokalen E-Mail-Client eine OpenPGP-Software. Am weitesten verbreitet unter Windows ist dafür die Freie Software Gpg4win zur E-Mail- und Dateiverschlüsselung. Auf der Website finden Sie ein Installationspaket mit Software und Dokumentation, das unter Windows 2000/XP/2003/Vista und 7 läuft. Das Paket enthält u.a. die folgenden Komponenten:

  • GnuPG, die eigentliche Verschlüsselungssoftware

  • Kleopatra, die zentrale Zertifikatsverwaltung (Schlüsselverwaltung) von Gpg4win

  • GnuPG für Outlook (GpgOL), eine Erweiterung für Microsoft Outlook, die verwendet wird, um Nachrichten in Outlook zu signieren bzw. zu verschlüsseln.

  • GPG Explorer eXtension (GpgEX), eine Erweiterung für den Windows-Explorer, mit der Sie Dateien im Explorer signieren bzw. verschlüsseln können

Laden Sie zunächst die neueste Version des Gpg4win-Pakets herunter und installieren Sie diese. Achten Sie darauf, beim Download eine vertrauenswürdige Quelle zu verwenden, wie z.B. www.gpg4win.de/download-de.html.

Bei der Installation werden Sie nach der Sprache der Benutzerführung gefragt, da es Gpg4win auf Deutsch oder auf Englisch gibt. Die Voreinstellung ist Deutsch.

Im Fenster Komponentenauswahl können Sie bestimmen, welche der Paketinhalte installiert werden sollen.

1gpg4wininstall-gif

Komponenten bei der Installation auswählen

Da wir in unserem Artikel Gpg4win mit Thunderbird und nicht mit Outlook verwenden wollen, installieren wir die GpgOL-Erweiterung für Outlook ebensowenig wie die Komponenten Claws-Mail und GPA. Bei Ihnen kann das natürlich anders sein.

2. OpenPGP-Schlüsselpaar in Kleopatra importieren oder erzeugen

Ist Gpg4win installiert, öffnen Sie als erstes den Zertifikatmanager Kleopatra unter Start > Alle Programme > Gpg4win > Kleopatra, wo die OpenPGP-Schlüssel („Zertifikate“) erstellt und verwaltet werden. Haben Sie bereits einen OpenPGP-Schlüssel, können Sie ihn dann über „Zertifikate importieren“ in Kleopatra importieren.

2gpgkleopatra-key-import-neu-gif

In Kleopatra einen OpenPGP-Schlüssel (Zertifikat) importieren

Achten Sie darauf, dass Sie bei Ihrem persönlichen Schüssel das gesamte Paar, also den öffentlichen und den geheimen Schlüssel importieren.

Haben Sie noch keinen OpenPGP-Schlüssel oder wollen Sie einen neuen erstellen, wählen Sie in der Kleopatra-Menüleiste „Datei – Neues Zertifikat“ und dann den Menüpunkt „Persönliches OpenPGP-Schlüsselpaar erzeugen“. Geben Sie Ihren Namen, Ihre E-Mail-Adresse (mit der der Schlüssel assoziiert wird) und optional einen Kommentar an.

Testschlüssel

Tipp: Sie können ruhig erstmal zum Ausprobieren einen Test-Schlüssel erstellen, den Sie später wieder löschen.

In den erweiterten Einstellungen können Sie unter anderem die Schlüssellänge festlegen (Standard ist 2,048 Bit), sowie außerdem bestimmen, wozu der Schlüssel benutzt werden soll (verschlüsseln, signieren, authentifizieren) und ob der Schlüssel ein Verfallsdatum hat. Wird kein Datum angegeben, bleibt Schlüssel immer gültig. Bei der Schlüssellänge sind mindestens 2,048 Bit empfehlenswert. Als Einsteiger können Sie die voreingestellten Werte erstmal einfach übernehmen.

Haben Sie Ihre Angaben eingetragen, klicken Sie auf „Weiter“ und dann auf „Schlüssel erzeugen“, um den Schlüssel zu erstellen.

gpg-createkey-gif

Einen OpenPGP-Schlüssel in Kleopatra erzeugen

Im nächsten Schritt werden Sie von Kleopatra aufgefordert, eine Passphrase (ein Passwort) für den Schlüssel einzugeben und durch nochmaliges Eingeben zu bestätigen.

Passphrasen-Tipps

Wir haben zum Erstellen der Passphrase schon einige Tipps im Artikel Webmails mit OpenPGP und Mailvelope im Browser verschlüsseln gegeben: Sie sollten im eigenen Interesse eine ausreichend sichere Phrase wählen, um Ihr OpenPGP-Schlüsselpaar vernünftig zu schützen.

Dazu sollte die Phrase möglichst lang sein und aus einer ungewöhnlichen Zeichenfolge bestehen, sowie neben Buchstaben auch Ziffern und Sonderzeichen enthalten. Andererseits müssen Sie sich die Phrase trotzdem noch merken können.

Haben Sie den Schlüssel erfolgreich erstellt, erscheint folgendes Fenster:

gpg-schluesselerzeugt-gif

Der Schlüssel wurde erfolgreich erstellt.

Nun können Sie eine Sicherheitskopie des Schlüssels erstellen und speichern.

Nicht den Schlüssel neben das Schloss legen

Lassen Sie diese Kopie nicht einfach lokal auf dem Computer liegen, sondern speichern Sie sie wiederum verschlüsselt auf einem externen Medium, wie z.B. einem USB-Stick, und/oder als Ausdruck.

Außerdem können Sie den öffentlichen Schlüssel Ihres Zertifikats hier per E-Mail an Ihre Korrespondenten schicken und an einen Zertifikatserver (Schlüsselserver) senden, so dass andere Ihren öffentlichen Schlüssel finden und benutzen können.

3. E-Mail-Client Thunderbird mit Enigmail installieren und einrichten

Sie haben nun die OpenPGP-Software erfolgreich installiert und einen OpenPGP-Schlüssel erzeugt. Was Ihnen noch fehlt, ist ein E-Mail-Programm, das mit der OpenPGP-Software zum Verschlüsseln und Entschlüsseln der Nachrichten zusammen arbeitet.

Sollten Sie Microsoft Outlook verwenden, können Sie das Programm mit Hilfe der GpgOL-Extension von Gpg4win erweitern und dann mit OpenPGP verwenden. Hinweise zur Vorgehensweise dafür finden Sie im Gpg4win Kompendium.

Für viele E-Mail-Programme gibt es solche Plugins, mit denen Sie die Ver- und Entschlüsselung direkt im jeweiligen E-Mail-Programm erledigen können. Eine Liste von Programmen unter Windows finden Sie ebenfalls im Kompendium.

Wir stellen Ihnen die Verwendung des E-Mail-Clients Thunderbird mit dem OpenPGP-Plugin Enigmail ausführlich vor.

Laden Sie sich, wenn nötig, die neueste Version von Thunderbird herunter und installieren Sie sie. Wenn Sie Thunderbird anschließend zum ersten Mal starten, werden Sie nach Ihren E-Mail-Konto-Angaben gefragt. Tragen Sie diese als erstes ein, damit Sie über Thunderbird E-Mails empfangen und schicken können. In unserem Falle geben wir unsere Posteo-Adresse an, aber das gleiche können Sie natürlich mit jedem beliebigen Mailkonto machen.

gpg-mail-einrichten-gif

In Thunderbird ein neues Konto einrichten.

Öffnen Sie nun die Thunderbird Einstellungen, indem Sie rechts oben in der Menüliste auf die drei waagerechten Linien klicken.

gpg-thunderbird-settings-gif

Die Einstellungen in Thunderbird aufrufen

Gehen Sie dort auf den Eintrag „Add-ons“, suchen Sie im folgenden Fenster nach der Erweiterung „Enigmail“ und installieren Sie diese Erweiterung durch Klicken auf die Schaltfläche „Installieren“.

gpg-enigmail-gif

Enigmail zu Thunderbird hinzufügen

Starten Sie anschließend Thunderbird neu, um die Enigmail-Erweiterung zu aktivieren. Wenn Sie nun erneut die Einstellungen aufrufen, sehen Sie den neuen Menüpunkt „OpenPGP“, über den Sie folgendes Untermenü erreichen:

gpg-thunderbird-einstellungen-gif

Die OpenPGP-Einstellungen in Thunderbird

Wen Sie nun zum Menüpunkt „Schlüssel verwalten“ gehen, sehen Sie dort den Schlüssel, den Sie vorher in Kleopatra erstellt (oder importiert) haben.

Im Menüpunkt „OpenPGP - Einstellungen“ können Sie anschließend unter anderem festlegen, ob und wie lange Ihre Passphrase lokal gespeichert werden soll (Standardeinstellung ist 5 Minuten).

OpenPGP-Assistent

Vor allem für Einsteiger interessant ist der Menüpunkt „OpenPGP-Assistent“. Er hilft Ihnen auch ohne besonderes technisches Wissen automatisch bei den Einstellungen von Thunderbird, damit es mit der OpenPGP-Verschlüsselung gut klappt. Unter anderem werden hier die Regeln zum Verschlüsseln und Signieren von E-Mails festgelegt, die Schlüssel ausgewählt, die verwendet werden sollen, und technische Details wie Textkodierung und –formatierung so eingestellt, dass es mit OpenPGP keine Probleme gibt. Alle von Assistenten vorgenommenen Einstellungen können später von Ihnen natürlich wieder geändert werden.

4. Verschlüsselte E-Mails mit dem PGP-Testroboter Adele austauschen

Um die OpenPGP-Verschlüsselung zu testen, können Sie E-Mails mit dem Mailroboter Adele (adele@gnupp.de) austauschen, einem freundlichen Mailroboter, der extra für diese Zwecke eingerichtet wurde. Schicken Sie dazu als erstes eine unverschlüsselte E-Mail an Adele (deren OpenPGP-Schlüssel Sie ja noch nicht kennen), wobei Sie Ihren öffentlichen OpenPGP-Schlüssel als Anhang hinzufügen. Dazu gehen Sie in Thunderbird in den Einstellungen unter „OpenPGP – Schlüssel verwalten“, klicken im Schlüsselfenster mit der rechten Maustaste auf Ihren Schlüssel und wählen aus dem Kontextmenü den Punkt „Öffentliche Schlüssel per E-Mail senden“.

gpg-schluessel-schicken-gif

In Thunderbird den öffentlichen Schlüssel per E-Mail senden

Dadurch wird eine neue Nachricht geöffnet, an die Ihr öffentlicher Schlüssel automatisch als Textdatei angehängt ist. Sie können nun als Adressaten Adele eintragen (adele@gnupp.de), einen beliebigen Text in die Nachricht schreiben, und sie dann abschicken.

Adele wird Ihnen innerhalb weniger Minuten mit einer verschlüsselten Nachricht antworten, um Ihnen den Empfang Ihres öffentlichen Schlüssels zu bestätigen und Ihnen im Gegenzug den öffentlichen Schlüssel von Adele zu schicken. Diesen können Sie nun in Thunderbird importieren, um Ihrerseits verschlüsselte Nachrichten an Adele zu schicken.

Kopieren Sie dazu aus der Antwort von Adele den gesamten Text zwischen

-----BEGIN PGP PUBLIC KEY BLOCK-----

und

-----END PGP PUBLIC KEY BLOCK-----

mit Copy & Paste in die Zwischenablage, und starten Sie die Schlüsselverwaltung in Thunderbird über „OpenPGP – Schlüssel verwalten“.

Rufen Sie dann „Bearbeiten – Aus Zwischenablage importieren“ auf und bestätigen Sie, dass Sie den Schlüssel aus der Zwischenablage importieren möchten. Damit wird Adeles Schlüssel in Ihre Schlüsselverwaltung importiert und Sie können Adele nun eine verschlüsselte Nachricht als Antwort schicken. Schreiben Sie dazu wieder eine E-Mail beliebigen Inhalts an Adele (adele@gnupp.de) und achten Sie diesmal darauf, dass in Thunderbird im Menüpunkt „OpenPGP” der Eintrag „Nachricht verschlüsseln“ mit einem Häkchen versehen, d. h. aktiviert ist.

gpg-mail-verschluesselt-gif

Mit Thunderbird eine verschlüsselte E-Mail schicken

Beim Absenden der Nachricht werden Sie nach Ihrer Passphrase gefragt, um die Verschlüsselung mit Ihrem Schlüssel zu bestätigen.

Ist alles erfolgreich verlaufen, wird Adele Ihnen nach wenigen Minuten wiederum mit einer verschlüsselten Nachricht antworten, um Ihnen zu sagen, dass Ihre Nachricht angekommen ist. Beim Öffnen der verschlüsselten E-Mail werden Sie dann wiederum zur Eingabe Ihrer Passphrase gebeten, und dann wird Ihnen die unverschlüsselte Nachricht angezeigt.

Widerrufszertifikat anlegen

Wenn Ihr Schlüssel doch mal in falsche Hände gerät oder Sie sich eines Tages an Ihre Passphrase nicht mehr erinnern können, wird Ihr Schlüssel praktisch unbrauchbar.

Es ist daher ratsam, gleich ein "Widerrufszertifikat" anzulegen, um den eigenen Schlüssel im Zweifelsfalle auf den öffentlichen Keyservern als ungültig zu markieren, denn löschen lassen sich die Schlüssel auf den Servern nicht.

Gehen Sie zum Erstellen des Zertifikats in Thunderbird in den OpenPGP Einstellungen unter „Schlüssel verwalten“ und klicken Sie mit der rechten Maustaste auf den Schlüssel, für den Sie das Zertifikat erstellen wollen. Wählen Sie dann aus dem Kontextmenü den Eintrag „Widerrufszertifikat erzeugen und speichern“ und speichern Sie die Datei an einem sicheren Ort ab.

Mail-Anhänge verschlüsseln

Optionen beim verschlüsselten Senden von E-Mails mit Anhängen

Hängen Sie an eine zu verschlüsselnde E-Mail einen Anhang, fragt Thunderbird beim Senden automatisch in einem Popup-Fenster, wie Sie die Nachricht und den Anhang verschlüsseln wollen.

gpg-mailmitanhang-gif

Da die dritte Option (Nachricht als Ganzes inkl. Anhang verschlüsseln) nicht von allen E-Mail-Programmen unterstützt wird, sollten Sie im Allgemeinen die zweite Option auswählen, also Nachricht und Anhang einzeln verschlüsseln und schicken. Wollen Sie diese Methode für alle Ihre Nachrichten verwenden, können Sie die entsprechende Option im obigen Fenster auswählen und werden nicht wieder gefragt.

Damit sind die allerwichtigsten Funktionen und Einstellungen für die Benutzung von OpenPGP mit Thunderbird unter Windows zum Senden und Empfangen von verschlüsselten E-Mails erklärt, wobei noch viel zu sagen wäre über das Unterschreiben von E-Mails, das (unverschlüsselte) Zwischenspeichern von Entwürfen im E-Mail-Konto, die Schlüsselverwaltung, das Beglaubigen von Schlüsseln und das generelle Verschlüsseln von lokalen Dateien und Ordnern mit OpenPGP.