Verschlüsselte E-Mail-Kommunikation mit Mozilla Thunderbird
Kurze Inhaltsübersicht der hier beschriebenen Schritte
Einleitung (wichtige Hinweise!):
Diese Kurzanleitung sollte als absolut unverbindlich bzw. "ohne Gewähr" betrachtet werden, insbesondere, da sie lediglich eine unter verschiedenen möglichen Vorgehensweisen beschreibt, vor allem aber auch, da sie sich auf externe Quellen (u.a. für die verwendeten Programme) aus dem Internet bezieht, zu denen keinerlei persönliche Verbindung besteht, die auch im Falle seriöser Anbieter stets mit einer gewissen Skepsis/Vorsicht bzw. lediglich einem bedingten Maß an Vertrauen betrachtet werden dürfen/sollten, da man eventuell nie vollständig ausschließen kann, dass derlei Ressourcen (oder, salopp ausgedrückt, auch die eigene Internet-Verbindung oder der PC) nicht womöglich durch Angreifer(innen) (im Volksmund oft als "Hacker" bezeichnet) kompromittiert worden sein könnten (ob nun bereits auf dem Server durch einen Einbruch und Einschleusen einer manipulierten Datei, oder gar eine sogenannte "Man-in-the-Middle"-Attacke, bis hin zu von vornherein "infizierten"/"infiltrierten" Quelltexten etc.)!
Selbstverständlich können auch Sicherheitslücken in der Implementierung vorliegen, die erst später entdeckt und vor der Behebung durch Updates ausgenutzt werden könnten.
Schlimmer noch, es lässt sich gerade heutzutage auch nie gänzlich ausschließen, ob nicht sogar bewusst unter fadenscheinigen Vorwänden Lücken, Schwachstellen, Hintertüren, oder wie immer man es bezeichnen will, zwangsweise auf Anordnung von Regierungen in derartige Software geschmuggelt wurden oder werden (welche ebenso wiederum entdeckt bzw. öffentlich bekannt und dann auch noch für kriminelle Zwecke missbraucht werden könnten), um bspw. Staatsorganen wie Geheimdiensten, Strafverfolgungsbehörden etc. den unbemerkten Zugriff auf sensible persönliche Daten zu ermöglichen.
Selbst diese Anleitung hier sollte aus derlei Gründen mit einem gesunden Maß an Misstrauen betrachtet werden (nicht zuletzt mit Blick auf die Links zu Installationsdateien, die mit einem → Pfeil nach rechts gekennzeichnet sind), vor allem natürlich auch für den Fall, dass die verschlüsselte Kommunikation zum Austausch höchst sensibler oder kritischer Daten zur Anwendung kommen sollte.
Ganz besonders sei auch betont, dass keinerlei Verantwortung für, wie auch immer geartete, Konsequenzen übernommen wird, die sich durch die Anwendung der hier aufgeführten Beschreibungen ergeben könnten!
Ebensowenig wird an dieser Stelle ein Anspruch auf Vollständigkeit oder (ggf. sogar fachliche) Fehlerfreiheit erhoben.
Sämtliche hier aufgeführten Aktionen, sowie jedwede erdenkliche daraus resultierenden Folgen o.ä., geschehen auf absolut eigenes Risiko!
Auch über den generellen Sinn und Zweck von Verschlüsselung soll in diesem Zusammenhang nicht ausschweifend philosophiert werden. Vielleicht nur als kurzer Denkanstoß: Wer sich fragt, weshalb man Verschlüsselung nutzen sollte, müsste sich gleichzeitig die Fragen stellen, weshalb man seine Terrassentür nicht einfach permanent sperrangelweit offen stehen lässt, oder die Polizei nicht jederzeit nach eigenem Gutdünken auch ohne Gerichtsbeschluss Haus- oder Wohnungsdurchsuchungen vornehmen darf - oder eben, um beim Vergleich noch näher am Prinzip von (unverschlüsselter) E-Mail zu bleiben, weshalb man im klassischen Briefverkehr nicht einfach alles per Postkarte versendet. Stichworte dazu u.a. "Recht auf Privatsphäre" oder "Schutz persönlicher Daten".
In diesem Beispiel erfolgt die Installation in einem Windows-System, vor allem aus dem Grund, dass bspw. gängige Linux-Distributionen (insbesondere inklusive grafischer Benutzeroberflächen) Thunderbird oft schon "von Haus aus mitbringen" und dieses dort häufig bereits vorinstalliert ist und ggf. lediglich noch entsprechend konfiguriert werden muss.
Beim hier demonstrierten Vorgehen wird zusätzlich eine Container-Datei, die als verschlüsseltes Laufwerk eingebunden werden kann, erstellt und als Installationsziel des E-Mail-Programms verwendet.
Sollte dies nicht gewünscht werden, kann man ggf. an dieser Stelle auch direkt mit der Installation und Einrichtung des E-Mail-Clients fortfahren (bspw. auch auf einem externen Datenträger wie einem USB-Stick o.ä. - wobei hiervon eindeutig abzuraten wäre, allein schon aufgrund des möglichen Verlustfalls).
Dass die Verwendung dieser verschlüsselten Installation (oder einer vergleichbaren, sofern nicht bspw. ohnehin "(betriebs-) systeminterne" Festplattenverschlüsselung zum Einsatz kommt) allerdings durchaus zusätzliche Sicherheitsvorteile bieten kann, zeigt u.a. der Vorfall, dass in bestimmten Versionen von Thunderbird mit integrierter Schlüsselverwaltung (78.8.1 bis einschließlich 78.10.1) Implementierungsfehler entdeckt wurden, wodurch die geheimen Schlüssel im Klartext (ohne Passwortschutz) gespeichert wurden.
Die verschlüsselte Container-Datei kann bei Bedarf selbstverständlich, alternativ zu hier beschriebener Vorgehensweise, auch auf einem externen Datenträger erstellt (oder beliebig einfach dorthin kopiert oder verschoben) werden.
Verschlüsselte Datei (als Installations-Laufwerk) mit dem Programm "VeraCrypt" erstellen
Zur Erstellung einer verschüsselten Datei, die als eigenes Laufwerk dient, kann das Programm VeraCrypt verwendet werden.
Auf der → Download-Seite lädt man sich dazu einfach die gewünschte bzw. (dem eigenen System entsprechend) benötigte Installationsdatei herunter und führt diese wie gewohnt in üblicher Weise aus (per Doppelklick und Akzeptanz etwaiger Systemmeldungen - selbstverständlich böte die Verifikation anhand der PGP-Signatur eine höhere Sicherheitsstufe, da diese Anleitung sich allerdings eher an Einsteiger(innen) richten soll, möge man es an dieser Stelle bitte verzeihen, dass hier darauf verzichtet wird).
Nach der Installation startet man also das Programm und betätigt in der Haupt-Maske die Schaltfläche "Create Volume":
Im hier gezeigten Beispiel wird - allein schon der Einfachheit halber - eigentlich in annähernd allen Installationsschritten von den Standard-Einstellungen ausgegangen, also klickt man in der Regel unter Beibehaltung der entsprechenden Vorauswahl einfach auf "Next >" (für die Dateigröße, den Speicherort und Dateinamen usw. wählt man natürlich einfach beliebig die eigenen bevorzugten Werte, hier im Beispiel wird eine neue Datei namens "gpgemail.vcv" im Benutzerverzeichnis erstellt):
In diesem Schritt sollte man innerhalb des angezeigten Fensters den Mauszeiger so lange bewegen, bis der Balken zur Anzeige der ermittelten Zufallswerte unter "Randomness Collected From Mouse Movements" möglichst den maximalen grünen Zustand erreicht hat:
Nun wird das Laufwerk mit Klick auf "Format" erstellt (dies kann, vor allem je nach angegebener Größe, etwas Zeit beanspruchen).
Wenn die Formatierung abgeschlossen ist, bestätigt man per "OK" und kann das Fenster zum Erstellen eines weiteren Laufwerks eigentlich per "Exit" schließen:
Selbstverständlich ist die soeben beschriebene Formatierung lediglich ein- bzw. nur erstmalig zur Erzeugung einer neuen derartigen Container-Datei erforderlich.
In der Startmaske des Programms kann man diese nun als ein verschlüsseltes Laufwerk einbinden, indem man einen entsprechenden Laufwerksbuchstaben markiert und die Datei mit dem, bei der Formatierung selbst vergebenen, Passwort per "Select File..." öffnet/auswählt und die Schaltfläche "Mount" zum Einhängen der Datei als Laufwerk betätigt. Dies kann, je nach Dateigröße, auch wieder einige Zeit beanspruchen, worauf aber auch hingewiesen wird (auf einen Screenshot der Hinweismeldung wird hier allerdings verzichtet):
Dieses Fenster kann nun per "Exit" geschlossen werden, es ist allerdings als Symbol in der Windows-Taskleiste vorhanden und kann von dort bei Bedarf jederzeit wieder geöffnet werden.
Die Datei ist nun als verschlüsseltes Laufwerk (im Beispiel mit dem Buchstaben "M:") wie gewohnt im Windows-Datei-Explorer vorhanden.
Mozilla Thunderbird E-Mail-Client installieren und einrichten
Von dem, in diesem Beispiel verwendeten, E-Mail-Client Mozilla Thunderbird bietet PortableApps eine angepasste Variante an, deren Installationsdatei dort heruntergeladen werden kann.
Je nach persönlicher Vorliebe sollte hier darauf geachtet werden, die → Installationsdatei der deutschsprachigen Version herunterzuladen, da diese unter "Localizations" explizit angeboten wird.
Auch diese Installationsdatei kann wieder wie üblich ausgeführt werden:
Da in diesem Beispiel von der Verwendung des o.g. verschlüsselten Laufwerks ausgegangen wird, wird hier als Installationsziel der Ordner "M:\portapps\ThunderbirdPortable" angegeben (natürlich könnte auch einfach das standardmäßig vorgegebene "PortableApps" beibehalten bzw. ein beliebiges, dem eigenen System entsprechendes, verwendet werden).
Nach der Installation kann man Thunderbird für die weitere Konfiguration direkt ausführen:
Der Assistent zur Einrichtung des E-Mail-Kontos startet beim ersten Aufruf dabei für gewöhnlich automatisch (oder evtl. sogar, solange noch kein Konto eingerichtet ist, auch bei weiteren erneuten Programmaufrufen). Hier natürlich die Daten für den Zugriff auf das eigene E-Mail-Postfach eintragen ;-) (bspw. die eigene Mail-Adresse und das Passwort, mit denen man sich in anderen E-Mail-Programmen, auf dem Smartphone oder häufig auch einfach beim Zugriff auf das Postfach per Internet-Browser anmeldet) und auf "Weiter" klicken:
In der Regel sind eine Vielzahl etablierter E-Mail-Anbieter bekannt und werden im nächsten Schritt automatisch bestimmt, so dass hier im Optimalfall keine manuellen Eintragungen notwendig sein sollten (ansonsten müsste man Postein- und -ausgangsserver mit den Daten des eigenen Mailanbieters/ -servers manuell konfigurieren). Auch die vorausgewählte Option, IMAP zu verwenden, ist durchaus empfehlenswert (kurz umrissen bedeutet diese, dass die lokalen Mail-Ordner und diejenigen auf dem Mail-Server stets synchron gehalten werden, wie es für gewöhnlich bspw. auch bei Mail-Clients auf dem Smartphone üblich ist - löscht man also z.B. eine E-Mail in dem Programm, so wird diese bei bestehender Verbindung auch auf dem Server gelöscht). Also kann man hier im Normalfall einfach durch Klick auf "Fertig" fortfahren:
Die Schlüsselverwaltung ist im Menü unter "Extras" ⇒ "OpenPGP-Schlüssel verwalten" zu erreichen:
In der folgenden Maske wählt man daraufhin "Erzeugen" ⇒ "Neues Schlüsselpaar":
Nachfolgend werden nun die weiteren Schritte anhand des Einrichtungs-Assistenten einer früheren separaten Erweiterung demonstriert, welcher nach der Installation des entsprechenden "Enigmail-Add-ons", auf welchem das hier beschriebene Vorgehen ursprünglich basierte, automatisch startete und bei der Erzeugung des persönlichen Schlüsselpaars unterstützte (auch hier werden im Beispiel die vorgegebenen Standardangaben beibehalten - das Vorgehen in der integrierten OpenPGP-Schlüsselverwaltung neuerer Thunderbird-Versionen sollte vergleichbar ablaufen):
Im Beispiel wird das erstellte Widerrufszertifikat einfach im Hauptverzeichnis "M:\" des verschüsselten Laufwerks gespeichert - hier kann man ggf. natürlich auch wieder einen persönlich bevorzugten (möglichst sicheren) Speicherort wählen, weiterhin sei an dieser Stelle erneut verziehen, dass nicht genauer auf die (technische) Bedeutung dessen eingegangen wird:
Das Passwort ist das, welches für den privaten Schlüssel bei der Erzeugung im vorherigen Schritt vergeben wurde:
Die grundlegenden Installationen und Konfigurationen zur verschlüsselten E-Mail-Kommunikation sollten hiermit weitestgehend abgeschlossen sein, auch wenn auf weitere entscheidende Faktoren, wie bspw. eine möglichst sichere Verwaltung bzw. ein möglichst sicherer Austausch von Schlüsseln mit anderen Kommunikationspartner(inne)n, in dieser Kurzanleitung leider nicht tiefergehender eingegangen werden kann/soll.
Da in diesem Beispiel die portable Anwendung installiert wurde, wurde kein Desktop-Symbol oder Eintrag im Startmenü erstellt. Um die Anwendung zu einem späteren Zeitpunkt wieder zu starten, muss man daher im Datei-Explorer das Installationsverzeichnis öffnen (im Beispiel "M:\portapps\ThunderbirdPortable") und das Programm durch Doppelklick auf "ThunderbirdPortable.exe" aufrufen.
"Kurzanleitung" zum Verfassen von Mails
Als ganz simples Beispiel sei hier lediglich quasi ein kurzer Exkurs dazu angeboten, wie man den öffentlichen Schlüssel, der momentan für eine möglichst sichere Kommunikation auf der Seite unserer Band heruntergeladen werden kann, importiert.
Selbstverständlich gilt auch hier wieder die Devise, dass man auch dieser Quelle sowie dem dazwischen liegenden "Transportweg" beim Herunterladen lediglich bedingtes Vertrauen schenken sollte.
Vielleicht als kleine Anekdote nebenbei: Um sich halbwegs sicher beim Schlüsselaustausch zu sein, gab bzw. gibt es in interessierten oder engagierten Kreisen sogenannte Keysigning-Parties, bei denen man seine(n) öffentlichen Schlüssel durch persönliche Anwesenheit von anderen signieren (also sozusagen das "Vertrauen" in diesen "beglaubigen") lassen kann/konnte.
Um also bspw. den Schlüssel, der von unserer Band-Seite heruntergeladen wurde, zu importieren, öffnet man aus dem Menü in Thunderbird wie weiter oben bereits erwähnt, "Extras" ⇒ "OpenPGP-Schlüssel verwalten":
Im dadurch geöffneten Dialog ruft man aus dem Menü "Datei" den Eintrag "Importieren..." auf und wählt z.B. die in diesem Fall heruntergeladene Datei aus (hier wieder am Beispiel der älteren Enigmail-Erweiterung):
Das Fenster für die Schlüsselverwaltung kann man daraufhin ggf. wieder schließen.
Wenn man nun aus der Thunderbird-Oberfläche eine neue E-Mail verfasst, sind die beiden Menü-Buttons zum Verschlüsseln bzw. Signieren der Mail zunächst deaktiviert:
Gibt man hier die E-Mail-Adresse einer Empfängerin bzw. eines Empfängers an, deren Schlüssel bekannt bzw. in der Schlüsselverwaltung bereits vorhanden sind, so sollte sich der Button bzw. das Symbol in der oberen Leiste zum Verschlüsseln automatisch aktivieren (das Schloss-Symbol mit dem "E" rechts von "Rechtschr." hat einen grünen Haken erhalten):
Die Empfangsadresse wird hierbei rot dargestellt, da diese nicht als Eintrag im persönlichen Adressbuch der Anwendung enthalten und daher sozusagen unbekannt ist, sofern eine schnelle Recherche dies korrekt ergeben hat. Es kann daher an dieser Stelle aber augenscheinlich auch ignoriert werden.
"Kurzanleitung" zum Exportieren des Public Keys (bspw. zur Weitergabe)
Wie mehrfach erwähnt, bedauerlicherweise kann bzw. soll, um den Umfang noch überschaubar zu halten, insbesondere auf die (technischen) Details, aber womöglich auch noch einige "Einsteiger(innen)-Fragen" zur grundsätzlichen Verwendung dieses Verfahrens hier nicht tiefergehender eingegangen werden.
Wissenswert wäre womöglich noch, wie man seinen eigenen öffentlichen Schlüssel (public key), den andere Absender(innen) benötigen, z.B. sinnvoll veröffentlichen bzw. verteilen kann.
Als ganz kurzer Hinweis könnte vielleicht dienen, dass man diesen, analog zum o.g. Import eines Schlüssels, über die Schlüsselverwaltung in eine Datei exportieren kann (der (öffentliche) public key darf bzw. muss dabei sogar, wie der Name bereits impliziert, selbstverständlich weitergegeben werden):
Nach dem Klick auf "Nur öffentliche Schlüssel exportieren" kann die entsprechende Datei an beliebiger Stelle gespeichert werden.
Als Alternative gibt es zudem auch die Option, den Schlüssel direkt per Mail zu versenden:
Es kann natürlich auch durchaus sinnvoll sein, den eigenen (privaten) geheimen Schlüssel, bspw. als eine Sicherungskopie, in eine Datei zu exportieren. Selbstverständlich ist hierbei besonders darauf zu achten, dass diese vor Fremdzugriff geschützt ist.
Diese kann u.a. dann z.B. bei einer Neuinstallation dazu dienen, anstatt ein neues Schlüsselpaar zu generieren, in die Schlüsselverwaltung importiert zu werden.
VeraCrypt-Laufwerk nach Beenden von Thunderbird "auswerfen"
Nach dem Beenden von Thunderbird sollte man möglicherweise noch ein wenig warten, bis alle Prozesse vollständig beendet wurden.
Wird es dann nicht mehr benötigt, kann das Laufwerk "ausgeworfen" bzw. die enthaltende Datei geschlossen werden, indem man aus der Task-Leiste in Windows (am rechten unteren Rand links neben Datum und Uhrzeit) heraus die VeraCrypt-Oberfläche über das entsprechende Symbol aufruft.
Dort betätigt man, wenn das entsprechende Laufwerk ausgewählt ist, einfach "Dismount" (bzw. würde ein Klick auf "Dismount All" einfach alle vorhandenen schließen):
Sind keinerlei Laufwerke mehr verbunden, beendet ein Klick auf "Exit" das Programm dann vollständig.