Thunderbird GPG Ready - E-Mails verschlüsseln und signieren

Thunderbird bietet die Möglichkeit E-Mails mit OpenPGP zu signieren und zu verschlüsseln.

Das E-Mail-Programm bietet eine übersichtliche GUI zur Verwaltung und hilft damit dem Benutzer bei der Einrichtung und der Arbeit mit der Verschlüsselung.

Die Schlüssel müssen bereits vorhanden sein, entweder im lokalen Schlüsselbund oder auf einer Smartcard, wie dem YubiKey. (👉 OpenPGP-Schlüssel erstellen).

Die Konfiguration von Thunderbird unter macOS wird nachfolgend beschrieben.

macOS vorbereiten

Auf dem Mac werden die folgenden Tools benötigt:

gnupg
gnutls
gpg-suite
pinentry-mac
gpgme

Die Programme können sehr einfach mit Homebrew installiert werden

🔗 https://brew.sh

Damit das PIN-Eingabefenster von Thunderbird aufgerufen werden kann, ist die Zeile am Ende der Datei ~/.gnupg/gpg-agent.conf hinzuzufügen.

pinentry-program /opt/homebrew/bin/pinentry-mac

Den Installationspfad von pinentry-mac lässt sich mit dem Befehl brew --prefix anzeigen.

Der Mac ist nach den Anpassungen komplett neu zu starten

sudo reboot

Thunderbird konfigurieren

Thunderbird ist auf dem Client zu installieren:

brew install --cask thunderbird

Der erste Schritt ist das Anlegen von E-Mail-Konten in Thunderbird, denen dann die Schlüssel zugeordnet werden.

Info

🚨 Die Einstellung ist bei neuen Thunderbird-Versionen NICHT mehr notwendig und dient nur der Vollständigkeit.
Smartcards werden von Thunderbird standardmäßig nicht erkannt. Die Funktion ist in den Einstellungen zu aktivieren.

Smartcards in Thunderbird

Den Eintrag mail.opengpg.allow_external_gnupg aufrufen und auf true stellen

mail.opengpg.allow_external_gnupg

Den öffentlichen Schlüssel in Thunderbird im jeweiligen E-Mail-Konto importieren.

Öffentlichen Schlüssel importieren

Die Option Externen Schlüssel mittels GnuPG benutzen (z.B, von einer Smartcard) auswählen.

Schlüssel hinzufügen

Es is die ID des geheimen Schlüssels einzutragen. Dieser Schlüssel ist auf dem YubiKey abgespeichert und verlässt den Hardwaretoken nicht. Er ist nicht auf dem Client oder in Thunderbird zu hinterlegen❗

gpg2 --card-status

Der Eintrag sec# zeigt die ID des geheimen Schlüssels an.
Die Nummer ist zu kopieren und bei Thunderbird einzufügen.

sec#

Schlüssel-ID speichern

Schlüssel-ID speichern

Die Smartcard wird in Thunderbird für das Konto als Standardquelle für den PGP-Schlüssel angezeigt.

Standardquelle für den PGP-Schlüssel anzeigen

In den Thunderbird-Schlüsselmanager ist der öffentliche GPG-Schlüssel zu importieren.

Öffentlichen GPG-Schlüssel importieren

Öffentlicher Schlüssel importieren

Der geheime Schlüssel lässt sich mit dem Befehl extrahieren, damit der Import in Thunderbird ohne Probleme funktioniert:

gpg2 --export-secret-subkeys --armor  key-id > key-id.sub_priv.asc

Vertrauensstufe hochsetzen

GPG Keychain

Der öffentliche Schlüssel ist zudem in der GPG Keychain zu hinterlegen.

Beschreibung

Wird der Schlüssel dort nicht hinterlegt, gibt Thunderbird die Fehlermeldung Senden der Nachricht fehlgeschlagen. zurück.

Senden der Nachricht fehlgeschlagen.

E-Mail versenden

Die E-Mails können nun mit dem öffentlichen Schlüssel signiert werden.

Die Abfrage der YubiKey-PIN erfolgt über pinentry-mac

pinentry-mac

YubiKey Themenseite

Hier geht es zur 👉 YubiKey Themenseite, dort findest du noch mehr Beiträge rund um den YubiKey.

Gib mir gerne einen Kaffee ☕ aus ❗️

Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕️ ausgeben.

•

Bitcoin Address: bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj

Follow Me❗️

Mastodon • Mastodon RSS • codeberg.org/sst • RSS

Source

Photo by Mathyas Kurmann on Unsplash
🔗 https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards
🔗 https://anweshadas.in/how-to-use-yubikey-or-any-gpg-smartcard-in-thunderbird-78/