Nach der Installation von Enigmail und Gpg4win muss die Erweiterung für Thunderbird noch konfiguriert werden. Darüber hinaus muss auch ein gültiger Schlüssel erstellt und auf einem Server hochgeladen werden, damit in anderen Nutzer importieren können. Nur so ist es möglich, dass verschlüsselte Nachrichten gesendet und auch empfangen werden können. Bei der Konfiguration von Enigmail gibt es einige Punkte zu beachten, damit die Erweiterung reibungslos funktioniert und das Verschicken von sicheren E-Mails problemlos möglich ist.
Nach der Installation von Enigmail sollte eine weitere Option mit dem Namen "OpenPGP" in der oberen Menüleiste von Thunderbird auftauchen. Hier verbergen sich alle Einstellungsmöglichkeiten, die notwendig sind, um unkompliziert verschlüsselte E-Mails mit Thunderbird senden zu können. Im ersten Schritt muss jedoch ein Schlüssel erstellt werden, damit dieser anderen Benutzern zugänglich gemacht werden kann.
Einen neuen GPG-Schlüssel erstellen
[1 OpenPGP-Schlüssel verwalten.png]
Zuerst öffnet man "OpenPGP" und klickt auf "Schlüssel verwalten". Nun werden alle bereits eingerichteten Schlüssel angezeigt und können bearbeitet, erstellt oder eingebunden werden. Um einen neuen Schlüssel zu erstellen, wählt man den Eintrag "Erzeugen" und anschließend "Neues Schlüsselpaar" aus. Nun öffnet sich ein weiteres Fenster, dass die Erstellung eines neuen OpenPGP-Schlüssels für eine bestimmte E-Mail-Adresse erlaubt.
[2 OpenPGP-Schlüssel erzeugen]
Bei der Konfiguration eines neuen Schlüssels müssen einige Punkte beachtet werden. In dem Feld Benutzer-ID muss das E-Mail-Konto ausgewählt werden, für das ein neuer Schlüssel erstellt werden soll. Nur weil man einen Schlüssel zur Verschlüsselung von E-Mails erstellt hat, bedeutet dies noch lange nicht, dass zukünftig jede Nachricht verschlüsselt gesendet werden und der Empfänger ebenfalls über das Programm zum Entschlüsseln verfügen muss. Es können natürlich nach wie vor unverschlüsselte Nachrichten verschickt werden.
Das Häkchen bei "Schlüssel zum unterschreiben verwenden" sollte gesetzt werden, da so Nachrichten mit einer digitalen Signatur versehen werden können. Darüber hinaus sollte eine "Passphrase" eingestellt werden. Dabei handelt es sich um ein Passwort, das eingegeben werden muss, wenn eine Nachricht verschlüsselt bzw. entschlüsselt werden soll. Es ist nicht zu empfehlen, keine Passphrase zu verwenden. Das gewählte Passwort sollte darüber hinaus auch nicht zu einfach sein, da es andernfalls vielleicht erraten werden könnte und der Schutz somit wieder hinfällig wäre.
Auf einen Kommentar kann ebenfalls verzichtet werden. Beim Ablaufdatum können die voreingestellten Einträge übernommen werden, da diese bereits als sicher einzustufen sind. Unter dem Reiter "Erweitert" kann darüber hinaus noch die Schlüsselstärke und der zu verwendende Algorithmus eingestellt werden. Hier braucht man jedoch ebenfalls keinen stärkeren Schlüssel auswählen, da 2048 Bit in Kombination mit einem starken Passwort ausreichenden Schutz bieten. Mit einem Klick auf "Schlüsselpaar erzeugen" wird ein neuer Schlüssel für die ausgewählte Benutzer-ID erstellt.
[3 OpenPGP-Bestätigung]
Nun öffnet sich ein Fenster, das folgende Meldung enthält und mit "Schlüssel erzeugen" bestätigt werden muss. Das Erzeugen eines neuen Schlüssels kann unter Umständen auf leistungsschwachen Computern mehrere Minuten in Anspruch nehmen und sollte auf keinen Fall abgebrochen werden, da der Vorgang ansonsten wiederholt werden muss.
[4 OpenPGP-Bestätigung 2]
Auch auf die Erstellung eines Widerrufszertifikats sollte nicht verzichtet werden, da man mit diesen den gerade erstellten Schlüssel für ungültig erklären lassen kann, falls dieser verloren geht oder Missbrauch mit dem Konto getrieben wird. Daher wird bei dem nun angezeigten Fenster auf "Zertifikat erzeugen" geklickt.
[5 Speicherort auswählen]
Nun muss ein Speicherort für das Widerrufszertifikat ausgewählt werden.
[6 Passphrase]
Hat man eine Passphrase gewählt, muss diese nun eingegeben werden, damit der geheime OpenPGP Schlüssel entsperrt werden kann.
[7 OpenPGP-Meldung]
Nach der erfolgreichen Erstellung des Widerrufszertifikats wird der Vorgang durch das Programm bestätigt. Das Zertifikat sollte an einen sicheren Ort aufbewahrt werden, da andernfalls unbefugte in der Lage sind, den eigenen OpenPGP-Schlüssel für ungültig erklären zu lassen.
[8 OpenPGP-Schlüssel verwalten2]
Wurde der Schlüssel erfolgreich erstellt, tauchte dieser mit allen, für die weitere Konfiguration notwendigen, Informationen in der OpenPGP-Schlüsselverwaltung auf.
Eine Passphrase schützt die Schlüsseldatei auf dem Rechner. Mit der Sicherheit der verschlüsselten Nachrichten hat sie nichts zu tun. Sie muss eingegeben werden, wenn der jeweilige geheime Schlüssel benutzt werden soll, aber typischerweise nicht jedes Mal, weil sie (über eine konfigurierbare Zeitspanne) gecacht wird. Wie gut die Passphrase sein sollte, hängt von der Bedrohung ab: Angriff auf den ausgeschalteten Rechner (mit Plattenverschlüsselung), Angriff auf den laufenden Rechner von innen (kleine Schwester) oder von außen (Malware)?
“Auch auf die Erstellung eines Widerrufszertifikats sollte nicht verzichtet werden”
Das kann man auch später immer noch erzeugen – mit dem Unterschied, dass man dafür dann noch die Passphrase benötigt, für das fertige Zertifikat nicht. Wenn man das Widerrufszertifikat sicher verwahren kann, sollte man auch den geheimen Schlüssel und die Passphrase sicher verwahren können…
Wenn man nicht nur mal rumspielen will, sondern einen (potentiell) langlebigen Schlüssel erzeugt (einen für die Öffentlichkeit), dann lohnt es sich, vorher mal zu sichten, was gute Schlüssel von schlechten unterscheidet, weil sich manches im nachhinein nicht mehr (ohne Unannehmlichkeiten) ändern lässt:
http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/