E-Mail Verschlüsselung mit Thunderbird – Ein How To

Thunderbird Logo
Thunderbird Logo

Der neue Mailer von Mozilla ist draußen. Thunderbird mit der Versionsnummer 78. Und er bringt eine integrierte Ende-zu-Ende-Verschlüsselung mit – durch die enge Integration sehr vereinfacht und intuitiv. Um was es genau geht, erfahrt ihr hier.

Was ist Ende-zu-Ende-Verschlüsselung?

In der Regel sind E-Mails nichts anderes als ganz einfache Postkarten, die man im Urlaub mit besten Wünschen versieht und an den einen oder anderen daheimgebliebenen Empfänger verschickt. Eine Postkarte kann ein Postmitarbeiter beim Leeren des Posteinwurfkastens lesen oder im Verteilerzentrum oder der Postbote, der die Karte im heimischen Briefkasten versenkt.

E-Mails funktionieren ähnlich. Geschrieben werden diese am heimischen PC, der die fertige Mail dann dem Server des eigenen Mailproviders übergibt. Von dort aus wandern die Mails zum Postkasten des Empfängers (auf den Servern eines anderen Mailproviders). Auf eben jenen Servern ist die geschriebene Mail noch für jeden, der Zugriff auf die Server hat (sei es ein Mitarbeiter des Mailproviders oder ein fieser Hacker) lesbar. Das nennt man Klartext.

Ende-zu-Ende-Verschlüsselung setzt jetzt auf den PCs von Sender und Empfänger an. Im einfachsten Fall chiffiriert (neudeutsch für verschlüsselt) der Computer des Senders automatisch und ohne weiteres Zutun die Mail während des Sendevorganges. Das geht mit der heutigen Technik schon recht fix und der Sender merkt vom Chiffirieren nichts. Genau das Selbe passiert beim Empfänger in Gegenrichtung. Er ruft die Mail ab und der Computer entschlüssselt diese während des Ladevorganges und der Empfänger kann die Mail in Ruhe lesen.

Dieser ganze Vorgang passiert im Idealfall auf den heimischen Endgeräten, sei es der PC oder Laptop, aber auch das Smartphone oder Tablet. Doch die Praxis sieht auch hier ganz anders aus.

Was bringt diese Verschlüsselung eigentlich?

Fakt ist – jede Verschlüsselung kann mit mehr oder weniger (Zeit)Aufwand geknackt werden. Allerdings ist dieser Aufwand schon eine Hürde und schreckt die meisten, die fieses im Sinn haben, ab. Der Sinn hinter der ganzen Aktion ist ein Sicherheitsgewinn, der eigentlich mit wenigen Handgriffen installiert sein sollte. Private und geschäftlche Kommunikation geht im Prinzip niemanden etwas an, gerade weil da auch viel persönliches (oder geschäftliches) versendet wird, was im Zweifel nur der Empfänger lesen darf. Aber keine Angst, mit dem neuen Thunderbird ab Version 78, bekommt man schon alle Tools an die Hand und die Verschlüsselung ist schnell eingerichtet. Aber vorher noch etwas zu den Grundlagfgen.

Wie funktioniert die Ende-zu-Ende-Verschlüsselung eigentlich?

In früheren Artikeln über Verschlüsselung, habe ich das Problem schon erklärt, aber es passt hier auch wieder wunderbar zum Thema und deswegen kommt das auch hier wieder rein. Wem das zuviel ist, kann ja diesen Absatz überspringen.

Bei E-Mails gibt es immer mindesten 2 Leute, die an einer Korrespondenz beteiligt sind. Im Prinzip müssen sich alle (Sender und Empfänger) einig sein, eine Verschlüsselung einzusetzen. Denn Verschlüssselung heißt, daß jeder ein eigenes Schlüsselpaar, bestehend aus öffentlichem und geheimen Schlüssel, besitzen muss, mit dem zu sendende E-Mails chiffriert und empfangene dechiffriert werden. Das besagt prinzipiell schon alles.

Der Öffentliche Schlüssel wird öffentlich gemacht, beispielsweie über Schlüsselserver, oder als Anhang einer E-Mail. Der geheime Schlüssel wird daheim auf dem eigenen PC verwahrt.

Bob will nun seinem Freund Anton eine E-Mail schreiben, beide wollen in Zukunft auf die sichere Verschlüsselung setzen. Nun generieren beide ein Schlüsselpaar. Anton schickt seinen öffentlichen Schlüssel dem Bob zu und Bob macht das selbe mit seinem öffentlichen Schlüssel.

Jetzt schreibt Bob seine E-Mail und verschlüsselt die mit dem öffentlichen Schlüssel Antons und seinem (Bobs) geheimen Schlüssel. Anton empfängt jetzt erst einmal unleserliches Kauderwelsch. Doch in Kombination mit seinem eigenen geheimen Schlüssel und Bobs öffentlichen wird die Mail lesbar.

Was benötigt man nun zum Verschlüsseln von E-Mails?

Einfach gesagt: Nur noch Thunderbird ab Version 78. Der Mailclient liefert schon alles von Haus aus mit. Man braucht keine komplexen Installationen mit OpenPGP, Enigmail und Schlüsselverwaltung mehr. Der aktuelle Donnervogel vereint das alles für den PC (Linux, Mac und Windows) unter einer Haube.

Die Erstellung eigener Schlüssel ist hier nun sehr einfach. Man klickt einfach auf die Mailadresse, die gesichert werden soll und dann auf Ende-zu-Ende-Verschlüsselung. Im nächsten Menü auf Schlüssel erstellen.

 

Verschlüsseln mit Thunderbird
Verschlüsseln mit Thunderbird

 

Hat man sich für die Ende-zuEnde-Verschlüsselung entschieden, kann man bereits vorhandene Schlüssel einsehen oder einen neuen Schlüsseln Generieren.

Verschlüsselung Schritt 2
Verschlüsselung Schritt 2
Verschlüsselung Schritt 3
Verschlüsselung Schritt 3

Hier hat man nun die Wahl zwischen RSA und einer eliptischen Kurve. Beides sind verschiedene Kryptografieverfahren. Da ich jetzt nicht zu Tief in der Materie drin stecke, kann ich jetzt auch nicht beurteilen, welches Verfahren das sicherere und zukunftsträchtigere ist. Fakt ist jedenfalls, daß man die Schlüssellänge so lang wie möglich wählen sollte, denn das erhöht den Zeitaufwand beim Entschlüsseln enorm. Selbst mit einem Verfallsdatum kann man, wenn man möchte, das eigene Schlüsselpaar ausstaffieren.

Verschluesselung Schritt 4
Verschluesselung Schritt 4

 

Wo liegen die Vor- und Nachteile?

Thunderbird bringt schon alles fürs sichere Mailen am PC mit – Kryptografietool und eine Schlüsselverwaltung. Generell macht es der Mailer auch Anfängern einfacher, sicher zu kommunizieren. Im Falle eines Daten-GAUs durch Trojaner oder einfach nur, weil ein neuer PC her soll, kann man die Schlüssel samt Einstellungen mit dem Profil-Ordner Umziehen oder sichern. Das habe ich bereits in anderen Artikeln beschrieben.

Nicht so einfach und trivial wird das Portieren des eigenen Schlüsselpaares und der gesammelten öffentlichen Schlüssel (Schlüsselbund) von Kommunikationspartnern auf ein Smartphone oder Tablet sein. Auf absehbare Zeit wird es kein Thunderbird für Android oder iOS geben, in den man einfach den Profil-Ordner vom PC packen kann. Damit wird man, es sei denn man hat ein Workaround gefunden, seine verschlüsselten Mails nicht lesen und bearbeiten können.

Fazit

Die Integration der beschriebenen Verschlüsselungstools in den beliebten Mailclient Thunderbird, ist schon ein Schritt in die richtige Richtung. So wird das Verschlüsseln eigener E-Mails zugänglicher und leichter, ohne die zusätzliche Installation von Software, die das erledigt. Jetzt müssen plattformübergreifend weitere beliebte Mailclients nachziehen und insgesamt den Austausch der eigenen Schlüsselpaare vereinfachen. Das was Mozilla mit Thundrbird macht, ist vorbildlich. Bleibt zu hoffen, daß unser Donnervogel in Zukunft zum Mailen, geschäftlich wie privat eingesetzt wird. So braucht man für verschlüsseltes und sicheres Mailen kein komplexes Workaround mehr, weil man schon alles aus einem Guss hat.

Weiterführende Artikel

  1. Wie man Firefox und Thunderbird wieder herstellt
  2. Firefox und Thunderbird ganz mobil

Efail: Was Sie jetzt beachten müssen, um sicher E-Mails zu lesen

Mit PGP und S/MIME verschlüsselte E-Mails können unter bestimmten Umständen von Angreifern aus dem Netz mitgelesen werden. Was man tun muss, um weiterhin verschlüsselte Mails sicher zu lesen, erklärt dieser Artikel.

Nachdem nun die Details zum Angriff auf die heute veröffentlichten Sicherheitslücken in PGP und S/MIME bekannt geworden sind, bleiben viele Anwender verunsichert und fragen sich, was sie tun müssen, um nach wie vor sicher verschlüsselte Mails versenden zu können. Wir wissen, dass Angreifer unter Umständen verschlüsselte Mails abfangen und manipulieren können, um an den entschlüsselten Inhalt der Mails – oder zumindest Teile davon – zu gelangen. Die als Efail bekannt gewordene Schwachstelle betrifft dabei die meisten gängigen Mail-Programme, die HTML-E-Mails empfangen und darstellen können wenigstens in Teilen. Um sich und seine Geheimnisse zu schützen, gibt es mehrere Möglichkeiten.

Ein guter Anfang ist damit gemacht, das Anzeigen externer Bilder in Mails zu unterbinden. Das ist sowieso zum Schutz der Privatsphäre, auch bei unverschlüsselten Mails, immer empfehlenswert. Wer damit Leben kann, Mails als Plaintext ohne HTML angezeigt zu bekommen, sollte das Anzeigen von HTML in Mails deaktivieren und ist damit nach aktuellem Kenntnisstand erst mal sicher.
Mail-Programme und Plug-ins aktualisieren

Laut der Veröffentlichungen der Efail-Entdecker ist S/MIME weitaus angeschlagener als PGP. Eigentlich sind alle von ihnen getesteten Programme, die HTML und S/MIME unterstützen, betroffen. Beim Einsatz von PGP sind vor allem Thunderbird (mit Enigmail), Outlook 2007, Apple Mail und Airmail betroffen.

Anwender sollten jetzt vor allem ihre Mailprogramme und Verschlüsselungs-Plug-ins aktualisieren. Die Enigmail-Entwickler empfahlen auf Nachfrage von heise online, mindestens auf Version 2.0 des Plug-ins zu aktualisieren, in dem die Efail-Lücken bereits geschlossen wurden. Nutzer mit aktuellen Thunderbird- und GPG-Versionen sollten dieses Update über die automatische Update-Funktion des Plug-ins bereits erhalten haben. Thunderbird hat mit Version 52.7 fast alle der Sicherheitslücken geschlossen, Version 52.8 verspricht weitere Fixes. Bis dahin empfehlen die Entwickler, Mails nur als Plaintext anzuzeigen.

Sichere PGP-Clients

Die PGP-fähigen Mailprogramme K-9 Mail und Delta.chat für Android waren nicht von den Lücken betroffen. Das teilten deren Entwickler auf der Mailingliste des PGP-Werkzeugs autocrypt mit. Man beobachte die Situation allerdings aufmerksam und werde auch diese Apps updaten, falls das in Zukunft nötig wird. Die Entwickler wollen also nicht ausschließen, dass nicht doch noch Wege entdeckt werden, wie man die Efail-Schwachstellen mit ihren Apps ausnutzen kann.

Die Programme des pEp-Projektes sind ebenfalls nicht angreifbar, da sie aus Sicherheitsgründen das Nachladen von externen Bildern deaktiviert haben. Wie uns die Entwickler mitteilten, konnten sie Angriffe auf Efail-Angriffe auf pEp for Outlook nicht reproduzieren.

Grundsätzlich lassen sich alle Risiken nur mit Veränderungen an den zugrundeliegenden Protokollen für PGP und S/MIME ausräumen. Die Protokolle müssen besser die Integrität der verschlüsselten Mails sicherstellen, damit Angreifer diese nicht auf dem Weg zum Empfänger manipulieren können. Bis solche grundlegenden Änderungen greifen, wird allerdings noch einige Zeit ins Land gehen.

Mails extern entschlüsseln, HTML abschalten

Am sichersten ist es, verschlüsselte Mails nicht im Mail-Client zu entschlüsseln. Die Entdecker der Efail-Lücke empfehlen, den verschlüsselten Ciphertext aus der Mail zu exportieren und in einem eigenständigen Programm (etwa der Kommandozeilen-Ausgabe von GPG) zu entschlüsseln. Auf diesem Wege kann ein eventuell anfälliges Mailprogramm oder dessen Plug-Ins den geheimen Inhalt der Nachricht nicht an den Angreifer im Web verraten. Allerdings ist das ein sehr umständlicher und für die meisten Endbenutzer wohl unakzeptabler Ansatz.

Wer seine Mails trotzdem im Mailprogramm entschlüsseln will oder muss, der schaltet am besten den Empfang von HTML-Mails ab und lässt alle Nachrichten als Plaintext darstellen. Das stopft zwar nicht alle möglichen Schwachstellen, sollte momentan allerdings so gut wie alle praktischen Angriffe verhindern. Entsprechend sind auch Plaintext-Only-Clients wie Claws oder Mutt nicht betroffen.

Auch die meisten Web-Apps scheinen sicher zu sein. Eine Ausnahme bildet Gmail mit S/MIME und auch der Mailer Horde ist für GPG-Angriffe und, falls der Nutzer mithilft, für die S/MIME-Schwachstellen verwundbar. Roundcube scheint unter bestimmten Umständen für PGP-Lücken anfällig zu sein. Es bleibt zu hoffen, dass die Anbieter die verbliebenen Lücken bald schließen. Admins von Webmail-Systemen sollten hier auf jeden Fall ein wachsames Auge auf Updates halten und diese zeitnah einspielen.

 

Quelle: heise.de

Autor: Fabian A. Scherschel

E-Mail Made in Germany – SSL-Zwang startet in Kürze

Ab 31. März 2014, also in gut einer Woche, startet die Initiative E-Mail Made in Germany der deutschen Internetprovider GMX, Freenet, Web.de und Telekom. Das geht einher mit dem Zwang zur SSL verschlüsselten Verbindung zu den IMAP, POP3 und SMTP Konten. Konkret heißt das, daß die Verbindung zwischen eigenem Computer, oder auch Smartphone und Tablet und dem Server des jeweiligen Mailproviders prinzipiell verschlüsselt ist. Somit hat es ein Angreifer schwerer, auf dem Weg zwischen den einzelnen Vermittlungsstellen (Computer des Senders, Sendeserver – Empfängerserver, Empfängercomputer) Mails mitzuschneiden. Allerdings ersetzt das keine Ende-zu-Ende-Verschlüsselung via PGP oder S/MIME. Durch die Transportverschlüsselung werden nur die Wege zwischen den einzelnen Stellen verschlüsselt, allerdings nicht die E-Mail an sich selbst.

Wer sich nun ab dem 31. März 2014 via Mailclient vom Computer (beispielsweise Thunderbird oder Outlook) oder App vom Smartphon bzw vom Tablet ohne SSL-Verbindung einloggen möchte, bekommt nur noch eine oftmals recht kryptische Fehlermeldung. Die Nutzer der Weboberflächen der Provider betrifft die Änderung nicht direkt. Dort wird gleich auf SSL gesetzt. Daher sollte in den genannten Mailclients die entsprechenden Einstellungen vorgenommen werden. Was genau geändert werden muß, steht weiter unten in der Tabelle. Die notwendigen Einstellungen lassen sich mit wenigen Mausklicks am Computer und Wischgesten am Smartphone einstellen. Einen Mehrwert bringt derZwang zu SSL Verbidungen gerade an öffentlichen W-LAN Hostspots. Dort ergibt sich durch die aktive Transportverschlüsselung von Mails und Passwörtern ein Vorteil.

ProviderIMAPPOP3SMTP
Freenetmx.freenet.de:143 (STARTTLS)mx.freenet.de:110 (STARTTLS)mx.freenet.de:587 (STARTTLS)
GMXimap.gmx.net:993 (SSL)pop.gmx.net:995 (SSL)mail.gmx.net:587 (STARTTLS)
mail.gmx.net:465 (SSL)
Telekomimap.t-online.de:993 (SSL)
imapmail.t-online.de:993 (SSL)
secureimap.t-online.de: 993 (SSL) (2)
popmail.t-online.de:995 (SSL)
securepop.t-online.de: 995 (SSL) (2)
smtpmai.t-online.de: 446 (SSL)
securesmtp.t-online.de: 465 (SSL)
Web.deimap.web.de:993 (SSL) (1)pop3.web.de:995 (SSL)smtp.web.de:587 (STARTTLS)
(1) Nur für Web.de Clubmitglieder verfügbar, sonst POP3
(2) Keine Umstellung erforderlich, da SSL bereits aktiviert

Die vier genannten Mailprovider, Telekom, GMX, WEB.de und Freenet haben ausführliche Hilfetexte, mit Bildern und Screenshots zu gängigen Mailclients und Smartphone/Tablet Apps auf ihren Hilfeseiten zusammengestellt. Links zu diesen Hilfeseiten finden Sie wieder ganz unten unter den Links zum Artikel.

Links

  1. Hilfeseite Freenet
  2. Hilfeseite GMX
  3. Hilfeseite Telekom
  4. Hilfeseite Web.de

Weitere Artikel zum Thema

  1. Sicherheitsnotiz – Telekom und der verschlüsselte Mailtransport
  2. Mail Made in Germany – Mailprovider in Deutschland werben um Vertrauen