Eine E-Mail ist wie eine Postkarte – jeder kann mitlesen.
Um dies zu verhindern, können E-Mails verschlüsselt werden. Die passende Lösung heisst «OpenPGP».
Der Mailclient «Thunderbird» hat mit dem Update auf Version 78.2.1 vor einem Jahr die Verschlüsselung per OpenPGP komplett integriert. Es sind also keine Add-ons mehr notwendig, um verschlüsselt E-Mails zu senden.
Sehen wir uns im Detail an, wie wir dies einrichten und ein verschlüsseltes Mail senden. Die Installation von Thunderbird und ein darin eingerichtetes Mailkonto setzen wir voraus. Los gehts.
Die Einrichtung – OpenPGP konfigurieren
Zuerst müssen wir Thunderbird starten, dann links auf die Mailadresse klicken, anschliessend auf «Ende-zu-Ende Verschlüsselung»:
Schlüssel hinzufügen:
Neuen OpenPGP-Schlüssel erzeugen.
Die Standardeinstellungen übernehmen:
– Schlüssel läuft ab in: 3 Jahren
– Schlüsseltyp: RSA
– Schlüsselgrösse: 3072
Schlüssel erzeugen auswählen.
Zum Schluss sollte noch «Eigene digitale Unterschrift standardmässig hinzufügen» ausgewählt werden. Dazu ein bisschen runterscrollen:
Schlüssel empfangen
Wir versenden nun mit jeder Mail unseren öffentlichen Schlüssel mit. Der Empfänger unserer Nachricht sieht jetzt ein OpenPGP Signet:
Mit einem Klick darauf kann er unseren öffentlichen Schlüssel importieren:
Hier noch auf «Akzeptiert» wechseln:
Jetzt können Nachrichten an diesen Empfänger verschlüsselt versendet werden. Dazu im neuen Mail «Sicherheit» > «Nur mit Verschlüsselung senden» auswählen:
Überprüfung zum Schluss
Doch woher wissen wir, ob der uns zugesandte, öffentliche Schlüssel auch wirklich von dieser Person stammt? Dies sollten wir über einen zweiten Kommunikationskanal (bsp. Telefon) überprüfen.
Dazu wählen wir nochmal die Mail der Person aus und sehen nun eine Warnung beim OpenPGP Signet:
Ein Klick darauf ermöglicht uns, die Identität zu prüfen:
Der Fingerabdruck kann nun auf dem zweiten Kommunikationskanal mit der Person abgeglichen werden und dann mit «Ja, ich selbst…» bestätigt werden:
Den Fingerabdruck seines eigenen Zertifikats sieht man übrigens in den Kontoeinstellungen > Ende-zu-Ende Verschlüsselung:
Das OpenPGP Signet wechselt nun auf Grün und zeigt an, dass die Nachricht aus vertrauenswürdiger Quelle stammt: