Während PGP (Pretty Good Privacy) eine starke und flexible Lösung für die Verschlüsselung und Signatur von Dateien oder E-Mails bietet, hat es einige Nachteile gegenüber S/MIME, insbesondere in Bezug auf Benutzerfreundlichkeit, Kompatibilität und Verwaltung von Vertrauensbeziehungen. Um PGP nativ in E-Mail-Clients nutzen zu können, müssen häufig Plugins installiert werden. Außerdem müssen Maßnahmen festgelegt werden, um die Authentizität des öffentlichen Schlüssels zu verifizieren.
Der wesentliche Unterschied zu S/MIME besteht darin, dass bei PGP kein von einer Zertifizierungsstelle ausgestelltes Zertifikat verwendet wird, sondern ein selbst generiertes Schlüsselpaar, bestehend aus einem privaten Schlüssel, den man sicher aufbewahren muss, und einem öffentlichen Schlüssel, den man mit seinen Kommunikationspartnern teilt.
Für eine detaillierte Erläuterung der konzeptionellen Funktionsweise von PGP siehe den Artikel PGP (Pretty Good Privacy)
Diese Anleitung basiert auf Ubuntu Linux 24.04 und einem in Mozilla Thunderbird eingerichteten IMAP-Konto.
OpenPGP wurde 2020 mit der Veröffentlichung von Thunderbird 78 nativ in Mozilla Thunderbird integriert. Diese Integration ersetzte das bis dahin häufig verwendete Enigmail-Add-on, das für die Verwaltung von PGP-Verschlüsselung und -Signaturen in Thunderbird erforderlich war. Mit Thunderbird 78 wurde OpenPGP zu einem integralen Bestandteil des E-Mail-Clients, so dass Benutzer Verschlüsselung und Signaturen direkt nutzen können, ohne zusätzliche Software installieren zu müssen.
Generieren der Schlüssel
Navigieren Sie im Drei-Striche-Menü von Thunderbird ☰ nach Tools → OpenPGP Manager → Generate → New Key Pair:
Damit starten Sie den Prozess der Schlüsselgenerierung:
Der öffentliche Schlüssel kann danach auf einem Keyserver veröffentlicht werden. Thunderbird nimmt dafür standardmäßig den Keyserver von OpenPGP keys.openpgp.org:
In Thunderbird auf Ubuntu werden die OpenPGP-Schlüssel standardmäßig in mehreren gpg-Dateien innerhalb des Thunderbird-Profilordners gespeichert:~/snap/thunderbird/common/.thunderbird/<Profilordner>/*.gpg
Dieser Speicherpfad unterscheidet sich vom üblichen GPG-Schlüsselbund, der sich normalerweise unter ~/.gnupg befindet.
Konfiguration des E-Mail Accounts
Wählen Sie in Mozilla Thunderbird links in der Navigation das Root-Verzeichnis Ihres E-Mail-Kontos und aktivieren Sie die Ende-zu-Ende-Verschlüsselung. Wählen Sie den zuvor erstellten Schlüssel aus und aktivieren Sie den Radiobutton Disable encryption for new messages sowie die Checkbox Sign unencrypted messages:
Diese Einstellung deaktiviert die E-Mail-Verschlüsselung, aktiviert aber standardmäßig das Signieren von E-Mails.
Senden signierter E-Mails
Beim Verfassen einer E-Mail sind die Einstellungen zum Signieren der E-Mail durch die oben durchgeführte Konfiguration bereits aktiv. Nach dem Versenden einer signierten E-Mail können Sie die Signatur überprüfen:
Wenn Sie in Thunderbird die standardmäßig integrierte OpenPGP-Signatur für E-Mails aktivieren, wird die gesamte E-Mail, einschließlich aller Anhänge wie PDFs, digital signiert. Das bedeutet, dass auch die Anhänge in die Signatur einbezogen werden, um ihre Integrität sicherzustellen. Mit der E-Mail werden zwei Anhänge versendet: einer enthält den öffentlichen Schlüssel, der andere die digitale Signatur. Mit diesen Anhänge lässt sich überprüfen, ob der Inhalt unverändert und authentisch ist.
