OpenPGP-E-Mail-Verschlüsselung mit Thunderbird#

(Nitrokey 3 - Windows)

Thunderbird 78.3 und neuere Versionen#

Im Moment ist Thunderbirds 78 Unterstützung für OpenPGP-E-Mails nicht einfach einzurichten. Siehe Thunderbirds Dokumentation für Details. Hier ist eine umfassende deutsche Anleitung.

Fehlersuche#

Fehlermeldung: Die konfigurierte Schlüssel-ID '4BA0183FCBA844A7' kann nicht auf Ihrem Schlüsselbund gefunden werden

  • Stellen Sie sicher, dass der öffentliche Schlüssel in den Manager von Thunderbird importiert wird und

  • Die Schlüssel-ID enthält keine Leerzeichen und besteht aus 16 Zeichen aus dem Bereich 0-9 A-F

  • Sie haben die Software GPA oder Kleopatra installiert.

Bitte verwenden Sie Kleopatra oder GPA Software, um die Chipkarte zu verwalten.

Thunderbird 77 und älter#

Installation#

  1. Installieren Sie den Gerätetreiber wie hier beschrieben.

  2. Installieren Sie Thunderbird und das Add-on Enigmail.

Ändern von PINs#

Es gibt zwei PINs für den Nitrokey:

  • Die für die tägliche Arbeit erforderliche Benutzer-PIN

  • Die Admin-PIN wird benötigt, um Tasten oder andere Einstellungen des Geräts zu ändern. Außerdem kann der Nitrokey mit Hilfe der Admin-PIN entsperrt werden (z. B. nach 3-maliger Fehleingabe der Benutzer-PIN).

Nach Erhalt des Nitrokeys sollten Sie sofort die Benutzer-PIN = „123456“ und Admin-PIN = „12345678“ ändern.

Verfahren#

  1. Stecken Sie den Nitrokey in einen USB-Anschluss an Ihrem Computer.

  2. Starten Sie Thunderbird.

  3. Wählen Sie in Thunderbird, wie in der folgenden Abbildung gezeigt. „OpenPGP“ → „Smartcard verwalten“

img1
  1. Wählen Sie im Fenster „SmartCard-Details“ den Menüpunkt „SmartCard → PIN ändern“

img2
  1. Wählen Sie „PIN ändern“. Dies ist Ihre Benutzer-PIN, die Sie für die tägliche Arbeit benötigen. Geben Sie die aktuelle PIN ein („123456“ bei Auslieferung) und zweimal Ihre neue PIN. Für diese PIN können Sie die Zeichen verwenden: a-z A-Z 0-9 / .;;:- !? () [] {}% +. Die PIN sollte mindestens 6 Zeichen lang sein. Klicken Sie auf „OK“.

img3
  1. Wiederholen Sie den Vorgang für die Admin-PIN. „SmartCard → PIN ändern“

img4
  1. Wählen Sie Admin-PIN ändern. Dies ist Ihre Admin-PIN, die Sie nur selten benötigen. Geben Sie die aktuelle PIN („12345678“ bei Auslieferung) und die neue PIN zweimal ein. Für diese PIN können Sie die Zeichen verwenden: a-z A-Z 0-9 / .;;:- !? () [] {}% +. Die PIN sollte mindestens 8 Zeichen lang sein. Klicken Sie auf „OK“.

img5

Sie haben nun die PINs geändert und sollten weiterhin Ihre persönlichen Schlüssel erzeugen.

Generierung von Schlüsseln#

Um Daten und E-Mails zu verschlüsseln, muss zunächst ein Schlüsselpaar, bestehend aus einem öffentlichen Schlüssel und einem privaten Schlüssel, erzeugt werden. Mit dem sogenannten öffentlichen Schlüssel werden die Daten oder E-Mails verschlüsselt. Diesen können Sie an alle Personen verteilen, mit denen Sie sicher kommunizieren wollen (z. B. öffentlich auf Ihrer Website veröffentlichen). Der sogenannte private Schlüssel wird verwendet, um die Daten oder Nachrichten zu entschlüsseln. Dieser Schlüssel sollte NIE bekannt gemacht werden! In der Regel haben Sie auch keinen direkten Zugriff darauf (siehe unten), da dieser sicher auf dem Nitrokey gespeichert ist. Verwenden Sie den Nitrokey, um beide Schlüssel nach dem folgenden Verfahren zu erstellen:

  1. Stecken Sie den Nitrokey in einen USB-Anschluss an Ihrem Computer. StartThunderbird

  2. Wählen Sie in Thunderbird, wie im folgenden Bild gezeigt, „OpenPGP“ → „Smartcard verwalten“

  3. Wählen Sie im Fenster „SmartCard-Details“ den Menüpunkt „SmartCard“ → „Schlüssel generieren“

  4. Wählen Sie im folgenden Fenster Ihre E-Mail-Adresse aus, für die Sie Schlüssel erzeugen möchten. Überprüfen Sie, ob die unter „Benutzer-ID“ angegebene E-Mail-Adresse korrekt ist. Sie können auch angeben, ob eine Sicherungskopie des privaten Schlüssels auf Ihrem Computer gespeichert werden soll.

img6
  1. Wenn Sie keine Sicherungskopie erstellen, haben Sie bei Verlust oder Beschädigung des Nitrokeys keine Chance, an Ihre verschlüsselten Daten zu kommen!

img7
  1. Es wird empfohlen, diese Sicherheitseinrichtung zu speichern. Wählen Sie „Schlüsselkopie des Schlüssels außerhalb der Smard Card speichern“. Geben Sie dann unter „Passphrase“ Ihr persönliches Passwort für die Sicherungskopie ein. Dieses Passwort sollte nicht weniger als 8 Zeichen lang sein und sowohl Groß- und Kleinbuchstaben als auch Zahlen enthalten. Sie können auch einen langen Satz verwenden, aber vermeiden Sie bekannte Prosa oder Lyrik. Auch sollte kein Name oder bekannter Begriff verwendet werden.

Erlaubte Zeichen: a-z A-Z 0-9 /.,;:-!?( )%+ (keine Umlaute ä,ü,ö,Ä,Ü,Ö oder ß)

Schlechte Passwörter: qwerty123, ILoveSusi3, Passwort, Wenn du es träumen kannst, kannst du es auch tun.

Starke Passwörter: g(Ak?2Pn7Yn oder Ki.stg2bLqzp%d oder A dog with greeen Earz and fife legs (Rechtschreibfehler erhöhen die Sicherheit)

Sie brauchen dieses Passwort nicht für die tägliche Arbeit. Es ist nur für die Wiederherstellung des geheimen Schlüssels notwendig, z. B. wenn Sie den Nitrokey verloren haben. Bewahren Sie das Passwort deshalb an einem sicheren Ort auf.

Sie können auch festlegen, ob und wann der Schlüssel automatisch ungültig werden soll. Das heißt, ab diesem Zeitpunkt können keine E-Mails mehr mit diesem Schlüssel verschlüsselt werden und Sie müssen ein neues Schlüsselpaar erstellen.

  1. Klicken Sie abschließend auf „Schlüsselpaar generieren“.

img8
  1. Sie werden nun gefragt, ob der Schlüssel generiert werden soll. Bestätigen Sie mit „Ja“.

img9
  1. Damit das Programm Ihre Schlüssel auf den Stick schreiben kann, müssen Sie die Admin-PIN und die Benutzer-PIN (oben geändert) eingeben.

img10

Die Schlüsselerzeugung kann einige Minuten dauern. Beenden Sie das Programm nicht vorzeitig!

  1. Wenn die Schlüsselerzeugung abgeschlossen ist, erhalten Sie die folgende Meldung. Es wird nun ein Zertifikat erstellt, mit dem Sie Ihren Schlüssel im Notfall ungültig machen können. Dieses Zertifikat wird automatisch mit Ihrem privaten Schlüssel gespeichert. Dieses sollten Sie ausdrucken oder auf mindestens einem anderen externen Medium sichern, damit Sie die Gültigkeit der Schlüssel widerrufen können, falls Ihre Schlüssel und Sicherungen verloren gehen. Klicken Sie auf „Ja“

Sie können nun das Verzeichnis auswählen, in dem die Sicherungskopie gespeichert wird. Diese Kopie wird mit Ihrem oben eingegebenen Passwort verschlüsselt. Das bedeutet, dass niemand ohne Ihr Passwort die Schlüssel lesen oder benutzen kann. Geben Sie Ihr Kennwort nicht an Dritte weiter. Diese Datei mit dem Namen Ihrer E-Mail-Adresse und der Endung „.asc“ sollte auf einem anderen Medium gesichert werden. Nachdem Sie das Verzeichnis ausgewählt haben, klicken Sie auf „Speichern“.

img11
  1. Hier müssen Sie erneut Ihre Benutzer-PIN oder Passphrase angeben. Klicken Sie dann auf „OK“

img12
  1. Sie sehen nun die Meldung, dass das Zertifikat erstellt und gespeichert wurde. Klicken Sie auf „OK“

img13
  1. Die Schlüsselerzeugung ist nun abgeschlossen. Sie können das Programm nun beenden (Datei - Schließen).

img14

Ihr Nitrokey ist personalisiert und einsatzbereit. Viel Spaß mit der sicheren E-Mail-Verschlüsselung!