E-Mails verschlüsseln mit Thunderbird

Thunderbird stellt alle Features für die Verschlüsselung mit OpenPGP oder S/MIME bereit.

Vorbereitung: sichere Konfiguration

Der Efail Angriff hat 2018 demonstriert, dass eine sichere Konfiguration des E-Mail Clients notwendige Voraussetzung für sichere OpenPGP oder S/MIME Verschlüsselung ist (E-Mails als Plain Text anzeigen, keine eingebundene Anzeige von Anhängen usw.)
Thunderbird sichert die privaten Schlüssel mit einer zufälligen Passphrase, die in der Passwortdatenbank gespeichert wird. Es ist daher wichtig, die Passwortdatenbank mit einem Masterpasswort zu sichern, damit die privaten Schlüssel nicht offen rumliegen.

E-Mail Verschlüsselung aktivieren

Um die Verschlüsselung von E-Mails mit OpenPGP oder S/MIME zu aktivieren, muss man in den Kontoeinstellungen eines Account in der Sektion "Ende-zu-Ende Verschlüsselung" einen PGP-Schlüssel generieren oder importieren oder ein S/MIME Zertifikat importieren.

Schlüssel verteilen / austauschen

Damit die Kommunikationspartner verschlüsselt schreiben können, muss man den eigenen öffentlichen Schlüssel verteilen (per Mail oder zum Download anbieten).
Damit man selbst verschlüsselt schreiben kann, muss man die Schlüssel der Kommunikationspartner in die Schlüsselverwaltung von Thunderbird importieren.
Die frisch importierten Schlüssel der Partner müssen danach noch akzeptiert bzw. verifiziert werden, bevor man sie zum Verschlüsseln von E-Mails verwenden kann.

Bei modernen Krypto-Messengern wird das im Hintergrund automatisch erledigt. Bei der E-Mail Verschlüsselung muss man sich noch selbst darum kümmern.

Verschlüsselte E-Mail lesen

Verschlüsselte E-Mails werden von Thunderbird automatisch entschlüsselt und angezeigt, wenn man sie öffnet. Man sieht oben rechts im Kopf der E-Mail ein oder zwei kleine Symbole bei verschlüsselten und/oder signierten E-Mails (im Beispiel: verschlüsselt und signiert):

Hinweis: Verschlüsselte E-Mails werden nicht in den globalen Index aufgenommen und können nicht bei einer Suche nach Begriffen aus dem Inhalt der Mail gefunden werden.

Verschlüsselte E-Mails versenden

Wenn man alle Hürden beim Austausch der Schlüssel überwunden hat, kann man beim Schreiben der E-Mail mit zwei Klicks OpenPGP bzw. S/MIME Verschlüsselung aktivieren:

Wenn man auf verschlüsselte E-Mails antwortet, wird die Option automatisch aktiviert.

Leider bietet Thunderbird (noch) keine Möglichkeit, Präferenzen zur Verschlüsselung für bestimmte Empfänger zu definieren. Man muss vor dem Versenden einer E-Mail kurz innehalten und über die Verschlüsselungsoptionen nachdenken.