Verschlüsselte E-Mail-Kommunikation mit Mozilla Thunderbird (per GnuPG/OpenPGP)

Kurze Inhaltsübersicht der hier beschriebenen Schritte

Einleitung (wichtige Hinweise!):
Diese Kurzanleitung sollte als absolut unverbindlich bzw. "ohne Gewähr" betrachtet werden, insbesondere, da sie lediglich eine unter verschiedenen möglichen Vorgehensweisen beschreibt, vor allem aber auch, da sie sich auf externe Quellen (u.a. für die verwendeten Programme) aus dem Internet bezieht, zu denen keinerlei persönliche Verbindung besteht, die auch im Falle seriöser Anbieter stets mit einer gewissen Skepsis/Vorsicht bzw. lediglich einem bedingten Maß an Vertrauen betrachtet werden dürfen/sollten, da man eventuell nie vollständig ausschließen kann, dass derlei Ressourcen (oder, salopp ausgedrückt, auch die eigene Internet-Verbindung oder der PC) nicht womöglich durch Angreifer(innen) (im Volksmund oft als "Hacker" bezeichnet) kompromittiert worden sein könnten (ob nun bereits auf dem Server durch einen Einbruch und Einschleusen einer manipulierten Datei, oder gar eine sogenannte "Man-in-the-Middle"-Attacke, bis hin zu von vornherein "infizierten"/"infiltrierten" Quelltexten etc.)!
Selbstverständlich können auch Sicherheitslücken in der Implementierung vorliegen, die erst später entdeckt und vor der Behebung durch Updates ausgenutzt werden könnten.
Schlimmer noch, es lässt sich gerade heutzutage auch nie gänzlich ausschließen, ob nicht sogar bewusst unter fadenscheinigen Vorwänden Lücken, Schwachstellen, Hintertüren, oder wie immer man es bezeichnen will, zwangsweise auf Anordnung von Regierungen in derartige Software geschmuggelt wurden oder werden (welche ebenso wiederum entdeckt bzw. öffentlich bekannt und dann auch noch für kriminelle Zwecke missbraucht werden könnten), um bspw. Staatsorganen wie Geheimdiensten, Strafverfolgungsbehörden etc. den unbemerkten Zugriff auf sensible persönliche Daten zu ermöglichen.

Selbst diese Anleitung hier sollte aus derlei Gründen mit einem gesunden Maß an Misstrauen betrachtet werden (nicht zuletzt mit Blick auf die Links zu Installationsdateien, die mit einem → Pfeil nach rechts gekennzeichnet sind), vor allem natürlich auch für den Fall, dass die verschlüsselte Kommunikation zum Austausch höchst sensibler oder kritischer Daten zur Anwendung kommen sollte.

Ganz besonders sei auch betont, dass keinerlei Verantwortung für, wie auch immer geartete, Konsequenzen übernommen wird, die sich durch die Anwendung der hier aufgeführten Beschreibungen ergeben könnten!
Ebensowenig wird an dieser Stelle ein Anspruch auf Vollständigkeit oder (ggf. sogar fachliche) Fehlerfreiheit erhoben.
Sämtliche hier aufgeführten Aktionen, sowie jedwede erdenkliche daraus resultierenden Folgen o.ä., geschehen auf absolut eigenes Risiko!


Auch über den generellen Sinn und Zweck von Verschlüsselung soll in diesem Zusammenhang nicht ausschweifend philosophiert werden. Vielleicht nur als kurzer Denkanstoß: Wer sich fragt, weshalb man Verschlüsselung nutzen sollte, müsste sich gleichzeitig die Fragen stellen, weshalb man seine Terrassentür nicht einfach permanent sperrangelweit offen stehen lässt, oder die Polizei nicht jederzeit nach eigenem Gutdünken auch ohne Gerichtsbeschluss Haus- oder Wohnungsdurchsuchungen vornehmen darf - Stichworte dazu u.a. "Recht auf Privatsphäre" oder "Schutz persönlicher Daten".

In diesem Beispiel erfolgt die Installation in einem Windows-System, u.a. auch aus dem Grund, dass bspw. gängige Linux-Distributionen (insbesondere inklusive grafischer Benutzeroberflächen) oft schon den Großteil der hier erwähnten Programme "von Haus aus mitbringen" und diese dort häufig bereits vorinstalliert sind und ggf. lediglich noch entsprechend konfiguriert werden müssen.

Beim hier demonstrierten Vorgehen wird zusätzlich eine Container-Datei, die als verschlüsseltes Laufwerk eingebunden werden kann, erstellt und als Installationsziel des E-Mail-Programms verwendet.
Sollte dies nicht gewünscht werden, kann man ggf. an dieser Stelle auch direkt mit der Installation und Einrichtung des E-Mail-Clients fortfahren (bspw. auch auf einem externen Datenträger wie einem USB-Stick o.ä. - wobei hiervon eindeutig abzuraten wäre, allein schon aufgrund des möglichen Verlustfalls).
Dass die Verwendung dieser verschlüsselten Installation (oder einer vergleichbaren, sofern nicht bspw. ohnehin Festplattenverschlüsselung zum Einsatz kommt) allerdings durchaus zusätzliche Sicherheitsvorteile bieten kann, zeigt u.a. der Vorfall, dass in bestimmten Versionen von Thunderbird mit integrierter Schlüsselverwaltung (78.8.1 bis einschließlich 78.10.1) Implementierungsfehler entdeckt wurden, wodurch die geheimen Schlüssel im Klartext (ohne Passwortschutz) gespeichert wurden.
Die verschlüsselte Container-Datei kann bei Bedarf selbstverständlich, alternativ zu hier beschriebener Vorgehensweise, auch auf einem externen Datenträger erstellt (oder beliebig einfach dorthin kopiert oder verschoben) werden.

Verschlüsselte Datei (als Installations-Laufwerk) mit dem Programm "VeraCrypt" erstellen

Zur Erstellung einer verschüsselten Datei, die als eigenes Laufwerk dient, kann das Programm VeraCrypt verwendet werden.
Auf der → Download-Seite lädt man sich dazu einfach die gewünschte bzw. (dem eigenen System entsprechend) benötigte Installationsdatei herunter und führt diese wie gewohnt in üblicher Weise aus (selbstverständlich böte die Verifikation anhand der PGP-Signatur eine höhere Sicherheitsstufe, da diese Anleitung sich allerdings eher an Einsteiger(innen) richten soll - und die GPG-Installation erst später beschrieben wird - möge man es an dieser Stelle bitte verzeihen, dass hier darauf verzichtet wird).

Nach der Installation startet man also das Programm und betätigt in der Haupt-Maske die Schaltfläche "Create Volume":



Im hier gezeigten Beispiel wird - allein schon der Einfachheit halber - eigentlich in annähernd allen Installationsschritten von den Standard-Einstellungen ausgegangen, also klickt man in der Regel unter Beibehaltung der entsprechenden Vorauswahl einfach auf "Next >" (für die Dateigröße, den Speicherort und Dateinamen usw. wählt man natürlich einfach beliebig die eigenen bevorzugten Werte, hier im Beispiel wird eine neue Datei namens "gpgemail.vcv" im Benutzerverzeichnis erstellt):








In diesem Schritt sollte man innerhalb des angezeigten Fensters den Mauszeiger so lange bewegen, bis der Balken zur Anzeige der ermittelten Zufallswerte unter "Randomness Collected From Mouse Movements" möglichst den maximalen grünen Zustand erreicht hat:




Nun wird das Laufwerk mit Klick auf "Format" erstellt (dies kann, vor allem je nach angegebener Größe, etwas Zeit beanspruchen).
Wenn die Formatierung abgeschlossen ist, bestätigt man per "OK" und kann das Fenster zum Erstellen eines weiteren Laufwerks eigentlich per "Exit" schließen:




Selbstverständlich ist die soeben beschriebene Formatierung lediglich ein- bzw. nur erstmalig zur Erzeugung einer neuen derartigen Container-Datei erforderlich.

In der Startmaske des Programms kann man diese nun als ein verschlüsseltes Laufwerk einbinden, indem man einen entsprechenden Laufwerksbuchstaben markiert und die Datei mit dem, bei der Formatierung selbst vergebenen, Passwort per "Select File..." öffnet/auswählt und die Schaltfläche "Mount" zum Einhängen der Datei als Laufwerk betätigt. Dies kann, je nach Dateigröße, auch wieder einige Zeit beanspruchen, worauf aber auch hingewiesen wird (auf einen Screenshot der Hinweismeldung wird hier allerdings verzichtet):





Dieses Fenster kann nun per "Exit" geschlossen werden, es ist allerdings als Symbol in der Windows-Taskleiste vorhanden und kann von dort bei Bedarf jederzeit wieder geöffnet werden.
Die Datei ist nun als verschlüsseltes Laufwerk (im Beispiel mit dem Buchstaben "M:") wie gewohnt im Windows-Datei-Explorer vorhanden.

Aktualisierung (wichtiger Hinweis): OpenPGP integriert in Thunderbird ab Version 78.2 !

Ab Version 78.2 von Thunderbird ist OpenPGP (der Verschlüsselungs-Standard, den z.B. GnuPG implementiert) bereits von vornherein integriert!
Eine Anleitung dazu gibt es online u.a. bei den Tipps+Tricks dieses Verlags (externer Verweis auf dessen Seite).
Auch die Verwendung von Enigmail für ältere Versionen, vergleichbar zu hiesiger Anleitung, wird dort ebenfalls beschrieben (in diesem Fall als Variante in Kombination mit Gpg4win), wird aber, wie erwähnt, nicht mehr benötigt.

Die nachfolgend beschriebenen Schritte können oder müssen daher mitunter sogar - zumindest teilweise - als veraltet bzw. nicht mehr notwendig betrachtet werden (es genügt die Installation einer passenden Thunderbird-Version, ähnlich wie im späteren Verlauf hier beschrieben wird)!

 

Installation von GnuPG

Die separate Installation von GnuPG ist - genau wie die Enigmail-Erweiterung - nicht mehr erforderlich, wenn direkt einfach nur Thunderbird ab Version 78.2 (!) ähnlich zum weiter unten beschriebenen Vorgehen installiert wird.

 

Zur Vereinfachung wird hier eine Version der etablierten Verschlüsselungssoftware "GNU Privacy Guard" (auch bekannt als "GnuPG" oder einfach "GPG") verwendet, die, sozusagen in angepasster Form als Plugin, von der Seite PortableApps.com angeboten wird.
Dazu die entsprechende → Installationsdatei herunterladen und erneut wie gewohnt ausführen und in der Regel einfach die angebotenen Installationsschritte in den Fenstern bestätigen:




Da in diesem Beispiel von der Verwendung des o.g. verschlüsselten Laufwerks ausgegangen wird, wird hier als Installationsziel der Ordner "M:\portapps\CommonFiles\GPG" angegeben.
Sollte ein anderes Laufwerk oder auch Installationsverzeichnis (bspw. das standardmäßig vorgegebene "PortableApps") gewünscht sein, kann dieses selbstverständlich nach eigenem Geschmack gewählt werden, allerdings sollte darauf geachtet werden, dass wenigstens die Struktur der Unterverzeichnisse "CommonFiles\GPG" beibehalten wird:


Mozilla Thunderbird E-Mail-Client installieren und einrichten

Auch von dem, in diesem Beispiel (größtenteils in Version 60.5.3) verwendeten, E-Mail-Client Mozilla Thunderbird bietet PortableApps eine angepasste Variante an, deren Installationsdatei dort heruntergeladen werden kann.
Je nach persönlicher Vorliebe sollte hier darauf geachtet werden, die → Installationsdatei der deutschsprachigen Version herunterzuladen, da diese unter "Localizations" explizit angeboten wird (im Gegensatz dazu enthielt die Installationsdatei für GnuPG alle verfügbaren Sprachen).
Auch diese Installationsdatei kann wieder wie üblich ausgeführt werden:



An dieser Stelle ist u.U. nun dringend besonders darauf zu achten, dass sich das Zielverzeichnis "ThunderbirdPortable" in demselben Verzeichnis befindet, in dem zuvor bei der GPG-Installation das "CommonFiles" erstellt wurde (zumindest, sofern dies nicht übersprungen und sofort mit der Thunderbird-Installation einer Version mit bereits integriertem OpenPGP begonnen wurde) - im Beispiel also unter "M:\portapps":



Nach der Installation kann man Thunderbird für die weitere Konfiguration direkt ausführen:



Der Assistent zur Einrichtung des E-Mail-Kontos startet beim ersten Aufruf dabei für gewöhnlich automatisch (oder evtl. sogar, solange noch kein Konto eingerichtet ist, auch bei weiteren erneuten Programmaufrufen). Hier natürlich die Daten für den Zugriff auf das eigene E-Mail-Postfach eintragen ;-) (bspw. die eigene Mail-Adresse und das Passwort, mit denen man sich in anderen E-Mail-Programmen, auf dem Smartphone oder häufig auch einfach beim Zugriff auf das Postfach per Internet-Browser anmeldet) und auf "Weiter" klicken:



In der Regel sind eine Vielzahl etablierter E-Mail-Anbieter bekannt und werden im nächsten Schritt automatisch bestimmt, so dass hier im Optimalfall keine manuellen Eintragungen notwendig sein sollten (ansonsten müsste man Postein- und -ausgangsserver mit den Daten des eigenen Mailanbieters/ -servers manuell konfigurieren). Auch die vorausgewählte Option, IMAP zu verwenden, ist durchaus empfehlenswert (kurz umrissen bedeutet diese, dass die lokalen Mail-Ordner und diejenigen auf dem Mail-Server stets synchron gehalten werden, wie es für gewöhnlich bspw. auch bei Mail-Clients auf dem Smartphone üblich ist - löscht man also z.B. eine E-Mail in dem Programm, so wird diese bei bestehender Verbindung auch auf dem Server gelöscht). Also kann man hier im Normalfall einfach durch Klick auf "Fertig" fortfahren:

Die nachfolgend beschriebene Installation des Add-ons "Enigmail" ist nur dann notwendig, wenn es sich bei Thunderbird um eine Version handelt, die älter ("kleiner") als 78.2 ist (ab dieser Version wird die Erweiterung nicht mehr benötigt, in diesem Fall ist die Schlüsselverwaltung bereits integriert)!!!

 

Soll bzw. muss allerdings die Enigmail-Erweiterung noch installiert werden (bei älteren Thunderbird-Versionen vor 78.2), ruft man im Menü oben rechts (drei waagerechte Striche) den Eintrag "Add-ons" auf:



Dadurch öffnet sich das Fenster "Add-ons-Verwaltung", in welchem man im linken Menü "Erweiterungen" auswählt und in das Suchfeld einfach "Enigmail" eingibt und mit der Eingabetaste bestätigt :



Aus der Liste der verfügbaren Erweiterungen installiert man Enigmail nun durch Klick auf die grüne Schaltfläche "+ Zu Thunderbird hinzufügen" und bestätigt die nachfolgenden Installationsschritte:




Nach der Installation startete der Assistent zur Schlüsselerzeugung im Beispiel daraufhin automatisch.

 

In den entsprechenden Thunderbird-Versionen mit bereits integriertem OpenPGP hingegen ist die Schlüsselverwaltung von vornherein direkt im Menü unter "Extras" ⇒ "OpenPGP-Schlüssel verwalten" zu erreichen:



Nachfolgend werden nun die weiteren Schritte anhand des Einrichtungs-Assistenten demonstriert, welcher nach der Installation des Enigmail-Add-ons automatisch startet und bei der Erzeugung des persönlichen Schlüsselpaars unterstützt (auch hier werden im Beispiel die vorgegebenen Standardangaben beibehalten - das Vorgehen in der integrierten OpenPGP-Schlüsselverwaltung neuerer Thunderbird-Versionen sollte vergleichbar ablaufen):






Im Beispiel wird das erstellte Widerrufszertifikat einfach im Hauptverzeichnis "M:\" des verschüsselten Laufwerks gespeichert - hier kann man ggf. natürlich auch wieder einen persönlich bevorzugten (möglichst sicheren) Speicherort wählen, weiterhin sei an dieser Stelle erneut verziehen, dass nicht genauer auf die (technische) Bedeutung dessen eingegangen wird:



Das Passwort ist das, welches für den privaten Schlüssel bei der Erzeugung im vorherigen Schritt vergeben wurde:






Die beiden Fenster mit der Suche nach dem Enigmail-Add-on und "Add-ons-Verwaltung" aus dem vorherigen Schritt können nun eigentlich geschlossen werden, so dass man sich wieder auf der Startseite des Thunderbird-Clients befindet.

Die grundlegenden Installationen und Konfigurationen zur verschlüsselten E-Mail-Kommunikation sollten hiermit weitestgehend abgeschlossen sein, auch wenn auf weitere entscheidende Faktoren, wie bspw. eine möglichst sichere Verwaltung bzw. ein möglichst sicherer Austausch von Schlüsseln mit anderen Kommunikationspartner(inne)n, in dieser Kurzanleitung leider nicht tiefergehender eingegangen werden kann/soll.

Da in diesem Beispiel die portable Anwendung installiert wurde, wurde kein Desktop-Symbol oder Eintrag im Startmenü erstellt. Um die Anwendung zu einem späteren Zeitpunkt wieder zu starten, muss man daher im Datei-Explorer das Installationsverzeichnis öffnen (im Beispiel "M:\portapps\ThunderbirdPortable") und das Programm durch Doppelklick auf "ThunderbirdPortable.exe" aufrufen.

Kurzer "Exkurs": Verfassen von Mails

Als ganz simples Beispiel sei hier lediglich quasi ein kurzer Exkurs dazu angeboten, wie man den öffentlichen Schlüssel, der momentan für eine möglichst sichere Kommunikation auf der Seite unserer Band heruntergeladen werden kann, in Enigmail importiert.
Selbstverständlich gilt auch hier wieder die Devise, dass man auch dieser Quelle sowie dem dazwischen liegenden "Transportweg" beim Herunterladen lediglich bedingtes Vertrauen schenken sollte.
Vielleicht als kleine Anekdote nebenbei: Um sich halbwegs sicher beim Schlüsselaustausch zu sein, gab bzw. gibt es in interessierten oder engagierten Kreisen sogenannte Keysigning-Parties, bei denen man seine(n) öffentlichen Schlüssel durch persönliche Anwesenheit von anderen signieren (also sozusagen das "Vertrauen" in diesen "beglaubigen") lassen kann/konnte.
Um also bspw. den Schlüssel, der von unserer Band-Seite heruntergeladen wurde, in Enigmail zu importieren, öffnet man das Menü in Thunderbird, in dem sich nach der Installation ein Enigmail-Eintrag befindet, und wählt daraus den Menüeintrag "Schlüssel verwalten..." (oder in neueren Thunderbird-Versionen, wie weiter oben bereits erwähnt, "Extras" ⇒ "OpenPGP-Schlüssel verwalten"):



Im dadurch geöffneten Dialog ruft man aus dem Menü "Datei" den Eintrag "Importieren..." auf und wählt z.B. die in diesem Fall heruntergeladene Datei aus:






Das Fenster für die Schlüsselverwaltung kann man daraufhin ggf. wieder schließen.

Wenn man nun aus der Thunderbird-Oberfläche eine neue E-Mail verfasst, sind die beiden Menü-Buttons zum Verschlüsseln bzw. Signieren der Mail zunächst deaktiviert:



Gibt man hier die E-Mail-Adresse einer Empfängerin bzw. eines Empfängers an, deren Schlüssel bekannt bzw. in der Schlüsselverwaltung bereits vorhanden sind, so sollte sich der Button bzw. das Symbol in der oberen Leiste zum Verschlüsseln automatisch aktivieren (das Schloss-Symbol mit dem "E" rechts von "Rechtschr." hat einen grünen Haken erhalten):



Die Empfangsadresse wird hierbei rot dargestellt, da diese nicht als Eintrag im persönlichen Adressbuch der Anwendung enthalten und daher sozusagen unbekannt ist, sofern eine schnelle Recherche dies korrekt ergeben hat. Es kann daher an dieser Stelle aber augenscheinlich auch ignoriert werden.

Kurzer "Exkurs": Public key (bspw. zur Weitergabe) exportieren

Wie mehrfach erwähnt, bedauerlicherweise kann bzw. soll, um den Umfang noch überschaubar zu halten, insbesondere auf die (technischen) Details, aber womöglich auch noch einige "Einsteiger(innen)-Fragen" zur grundsätzlichen Verwendung dieses Verfahrens hier nicht tiefergehender eingegangen werden.
Wissenswert wäre womöglich noch, wie man seinen eigenen öffentlichen Schlüssel (public key), den andere Absender(innen) benötigen, z.B. sinnvoll veröffentlichen bzw. verteilen kann.
Als ganz kurzer Hinweis könnte vielleicht dienen, dass man diesen, analog zum o.g. Import eines Schlüssels, über die Schlüsselverwaltung in eine Datei exportieren kann (der (öffentliche) public key darf bzw. muss dabei sogar, wie der Name bereits impliziert, selbstverständlich weitergegeben werden):




Nach dem Klick auf "Nur öffentliche Schlüssel exportieren" kann die entsprechende Datei an beliebiger Stelle gespeichert werden.

Als Alternative gibt es zudem auch die Option, den Schlüssel direkt per Mail zu versenden:


Es kann natürlich auch durchaus sinnvoll sein, den eigenen (privaten) geheimen Schlüssel, bspw. als eine Sicherungskopie, in eine Datei zu exportieren. Selbstverständlich ist hierbei besonders darauf zu achten, dass diese vor Fremdzugriff geschützt ist.
Diese kann u.a. dann z.B. bei einer Neuinstallation dazu dienen, anstatt ein neues Schlüsselpaar zu generieren, in die Schlüsselverwaltung importiert zu werden.

VeraCrypt-Laufwerk nach Beenden von Thunderbird "auswerfen"

Nach dem Beenden von Thunderbird sollte man möglicherweise noch ein wenig warten, bis alle Prozesse vollständig beendet wurden.
Wird es dann nicht mehr benötigt, kann das Laufwerk "ausgeworfen" bzw. die enthaltende Datei geschlossen werden, indem man aus der Task-Leiste in Windows (am rechten unteren Rand links neben Datum und Uhrzeit) heraus die VeraCrypt-Oberfläche über das entsprechende Symbol aufruft.
Dort betätigt man, wenn das entsprechende Laufwerk ausgewählt ist, einfach "Dismount" (bzw. würde ein Klick auf "Dismount All" einfach alle vorhandenen schließen):




Sind keinerlei Laufwerke mehr verbunden, beendet ein Klick auf "Exit" das Programm dann vollständig.