Aloha ;)
Habe mich erst vor einigen Tagen mit der Verschlüsselung von Mails beschäftigt, aber eigentlich nichts verstanden. Es soll einen privaten und einen öffentlichen Schlüssel geben, aber mir wurde von Thunderbird nur einer zugeordnet, ich schaue mal nach ...
Keine Sorge, das was da als "ein Schlüssel" erscheint ist eigentlich ein Paar aus deinem PrivateKey und dem dazu passenden PublicKey. Man spricht da an der Stelle im Thunderbird von "einem Schlüssel", weil an der Stelle nur der PrivateKey wirklich wichtig ist, der PublicKey kann immer aus dem PrivateKey generiert werden. Und die ID, die du da geschwärzt hast, ist prinzipiell auch unproblematisch - sie dient nur der Unterscheidung und verrät meines Wissens nach nichts über dich.
Ich habe das Thema auch viel zu lange schleifen lassen. Mitte 2019 habe ich mich dann endlich mal damit befasst, das einmal richtig verstanden, überall eingerichtet und seither bin ich praktisch und theoretisch fähig, verschlüsselte Mails zu empfangen.
Noch besser: Seit ein-zwei Monaten braucht man dafür mit Thunderbird nichtmal mehr ein Plugin! (Darüber bist du ja laut Screenshot auch schon gestolpert, dein Thunderbird ist also entsprechend aktuell, sehr gut - Thunderbird kann Verschlüsselung nativ ohne Plugin seit Version 78.2.)
Ich lasse dich gerne an meinem Wissen teilhaben.
Statt mir jetzt hier den Mund fusslig zu erklären, wie man das Ganze initial einrichtet: Heise hat eine gute, bebilderte Anleitung dazu. Wobei du diese Anleitung ggf. sogar überspringen kannst, du hast ja offenbar schon einen persönlichen Key (eigentlich ist das sogar ein Schlüsselpaar) eingerichtet!
Ich würde dir dann außerdem empfehlen, am Ende des Prozesses (siehe letzter Schritt der Anleitung) noch "Nachricht unterschreiben" anzuhaken. Die digitale Signatur funktioniert gut und sorgt auch bei unverschlüsselten Nachrichten dazu, dass man dich immerhin eindeutig identifizieren kann - eine Form der Unterschrift eben.
Wenn du jetzt mit Thunderbird eine Mail schreiben willst, wirst du feststellen, dass das scheitert - Thunderbird wird dir sagen, dass er zu dem Kontakt, den du anschreiben möchtest, keinen PGP-Key hat. Du musst also den Modus "Nur mit Verschlüsselung senden" zunächst wieder abstellen. Und ja: Kontakte, deren öffentliche Schlüssel du nicht besitzt, kannst du leider nicht verschlüsselt kontaktieren.
Den Modus "Nur mit Verschlüsselung senden" aktivierst du also nur dann, wenn du auch wirklich verschlüsseln willst und insbesondere den Key des Empfängers kennst.
Wie kannst du also verschlüsselte Nachrichten verschicken?
Viele Wege führen zum Ziel:
-
Du kannst deine Kontakte fragen, ob sie sich Verschlüsselung einrichten und dir ihren Key schicken. Dann über "Extras > OpenPGP-Schlüssel verwalten" den Schlüssel eintragen und beim nächsten Mail-Verfassen die Verschlüsselung aktivieren - müsste dann sofort funktionieren.
-
Du kannst auf Verdacht versuchen, eine verschlüsselte Nachricht zu schicken und dann in dem Dialog, der dir sagt, dass du keine Schlüssel hast, auf "Schlüssel verwalten" klicken und dann mit ein wenig Glück über "Schlüssel suchen" den gültigen Schlüssel von einem öffentlichen Schlüsselserver abfragen. Wenn was gefunden wird, klappt der Versand (auch für die Zukunft).
-
Die Suche auf dem öffentlichen Schlüsselserver geht auch unter "Extras > OpenPGP-Schlüssel verwalten" > "Schlüsselserver > Schlüssel online finden", danach kannst du die Verschlüsselung für die Personen aktivieren.
-
Wenn dir Kontakte signierte Nachrichten schicken, ist die Wahrscheinlichkeit hoch, dass ihr Schlüssel auf einem Schlüsselserver hinterlegt ist. Mit einem Klick auf die unbekannte Signatur kannst du auf dem Schlüsselserver suchen (und wenn du sicher sagen kannst, dass die signierte Mail von der Person wie angegeben stammte, hast du damit gleich sichergestellt, dass der Schlüssel vom Schlüsselserver auch passt)
-
Wenn du eine verschlüsselte Nachricht erhältst und darauf antwortest, ist deine Antwort automatisch verschlüsselt und der Schlüssel wird mWn direkt in deine bekannten Schlüssel übertragen (oder das geht zumindest mit einem Klick auf das Verschlüsselungssymbol)
Gerade bei automatisch übertragenen Schlüsseln (ankommende signierte Mails etc.) macht es Sinn, das "Vertrauen" dieser Schlüssel hochzustufen, falls du dir wirklich sicher bist, dass die Mail von diesen Personen stammt.
Jetzt noch zur Frage, wie du deinen (öffentlichen!) Schlüssel möglichst weit verteilt bekommst.
-
du solltest alle deine Mails signieren (zumindest mach ich das so) um Kommunikationspartnern zu zeigen, dass du dich mit der Thematik auskennst 😉
-
du solltest deinen Schlüssel auf einem öffentlichen Schlüsselserver hinterlegen, z.B. auf dem offiziellen OpenPGP-Server. Dazu öffnest du deine Schlüsselverwaltung und rechtsklickst auf deinen Schlüssel, "in Datei exportieren" (es wird automatisch nur der public key exportiert), dann die exportierte Datei auf dem Schlüsselserver hochladen und die E-Mail-Nachfrage vom Schlüsselserver bestätigen
-
du kannst deinen öffentlichen Schlüssel per Mail verschicken, z.B. direkt aus der Schlüsselverwaltung mit Rechtsklick auf den Schlüssel "per Mail versenden"
-
ich rate dir davon ab, aber es gibt die Option "meinen öffentlichen Schlüssel anhängen", das kann man natürlich immer prinzipiell tun. Warum rate ich ab? Weil ich die Erfahrung gemacht habe, dass das alle Menschen verwirrt. Ich bekam ständig die Rückmeldung "danke für die Nachricht, aber ich kann die angehängte Datei nicht öffnen"... Ständige Erklärungsnot bei DAUs, nein Danke!
-
stattdessen gehe ich inzwischen folgenden Weg: Meine Signatur enthält folgenden Passus:
----------------------------------------------------------------------
Diese E-Mail-Nachricht ist vermutlich nicht sicher. Sie können mir
sichere Nachrichten schicken, indem Sie PGP-Verschlüsselung verwenden.
Für Thunderbird: https://www.enigmail.net/
Für Outlook/Windows: https://gpg4win.de/
Für K9Mail/Android: https://www.openkeychain.org/
Mein öffentlicher Schlüssel: https://dlc.campingrider.de/jzpubkey.asc
----------------------------------------------------------------------
(Oh, ich sehe gerade, den Thunderbird-Eintrag muss ich mal updaten 😉)
Damit habe ich gleich mehrere Fliegen mit einer Klappe erschlagen:
a) mein öffentlicher Schlüssel ist verifizierbar, weil er auf meinem Server liegt
und
b) es wundert sich keiner mehr, was "die komische .asc-Datei ist"
und
c) ich mache Werbung dafür, Verschlüsselung zu verwenden
Für mich eine Win-Win-Situation.
Ich hoffe, ich konnte dir mit meinen Erfahrungen ein wenig weiterhelfen. Du wirst mit Sicherheit davon enttäuscht sein, wie wenig Menschen mit verschlüsselten Mails umgehen können, so war das bei mir auch. Da hilft nur: hartnäckig sein. PGP mag ein bissl unbequem sein, aber es ist das einzige wirklich sinnvolle Verschlüsselungskonzept…
Oh, und wenn du das mit den verschlüsselten Mails mal testen willst: meinen Schlüssel hast du ja damit schon 😉 (und die Mailadresse ist da übrigens gleich eingebettet)
Grüße,
RIDER
--
Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Albers-Zoller
#
Twitter #
Steam #
YouTube #
Self-Wiki #
Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[