Diese Woche war es mal wieder so weit – ich musste persönliche Dokumente per E-Mail übermitteln. Ziel war die Hannoversche Lebensversicherung, die brauchten eine Kopie meines Ausweises. Ich muss mich dann bei sowas immer ärgern, weil jeder erwartet, dass ich eine Ausweiskopie einfach so unverschlüsselt per Mail durchs Netz jage. Typischerweise versehe ich das PDF dann mit einem Passwort, das dem Gegenüber aus den Vertragsdaten bekannt ist, um einerseits mein Gewissen zu beruhigen und andererseits mein Gegenüber auch technisch nicht zu überfordern. Wirklich zufrieden bin ich mit dieser Lösung nie.
Doch siehe da, als ich die Mail abgeschickt habe, kommt auch schon eine Beschwerde zurück: Der Mailserver hat erkannt, dass ich ein verschlüsseltes PDF angehängt habe. Dies wird so von der Hannoverschen nicht akzeptiert, die Mail wird nicht zugestellt, ich solle stattdessen meine Mail verschlüsseln. Wow – das ist mir noch nie passiert: Ich wurde zum ersten mal aufgefordert, meine Mails zu verschlüsseln! Meine letzte verschlüsselte Mail liegt Jahre zurück, ich hatte schon still und heimlich akzeptiert, dass einfach niemand das nutzt.
Zufällig habe ich noch im Hinterkopf, dass die aktuelle Version von Thunderbird (ich nutze Version 78.10.0 auf einem Manjaro-Linux) nun Mailverschlüsselung out-of-the-box mitbringt. Eine perfekte Gelegenheit also, das auszuprobieren.
Zuerst also mal ein Schlüsselpaar für mich anlegen, das geht ganz einfach: Ich starte die Schlüsselverwaltung unter “Extras” -> “OpenPGP Schlüssel verwalten” (oder ALT gedrückt halten und x + p drücken). In dem erscheinenden Dialog rechts oben auf “Erzeugen” -> “Neues Schlüsselpaar” (oder ALT gedrückt halten + e + n). Jetzt wird ein neues Schlüsselpaar angelegt:
Das Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Den öffentlichen Schlüssel könnt ihr der Welt bekannt machen: Jeder kann diesen Schlüssel nutzen, um eine Mail zu verschlüsseln. Aber nur ihr könnt diese Mail mit euerem privaten Schlüssel entschlüsseln – also gut darauf aufpassen. Am besten lege ich hier gleich eine passwortgeschützte Sicherheitskopie an. Dazu im Schlüsselverwaltungsdialog auf “Datei” -> “Sicherheitskopie für geheimen Schlüssel erstellen” (ALT + d + g) . Damit wäre mal mein persönlicher Schlüssel erzeugt.
Jetzt brauchen wir den öffentlichen Schlüssel unseres Gegenübers, in meinem Fall der Hannoverschen. Den gibts auf deren Website unter https://www.hannoversche.de/datenschutz/emailverschluesselung/pgp-anleitung?wkz=0086917/unternehmen/unternehmen. Die Hannoversche schreibt:
Bitte beachten Sie, dass der Schlüssel der Hannoverschen für alle E-Mail-Adressen der Domain, also hannoversche.de, gültig ist (Domainkey)
Also ein Schlüssel, mit dem ich jedem dort eine verschlüsselte Mail schicken kann – das klingt doch super. Zunächst importiere ich diesen Schlüssel. Dazu kopiere ich den OpenPGP-Schlüssel von der Website in die Zwischenablage. Im Schlüsselverwaltungsdialog unter “Bearbeiten” -> “Schlüssel aus Zwischenablage importieren” (ALT + b + z). Den darauffolgenden Dialog bestätigen. Nun wird dieser Schlüssel in der Schlüsselverwaltung aufgelistet. Ein Doppelklick auf den Schlüssel der Hannoverschen zeigt zusätzliche Informationen:
Diesen Schlüssel muss ich noch akzeptieren. Ich muss zumidest “Ja, aber ich habe nicht überprüft, dass es sich um den korrekten Schüssel handelt” auswählen, ansonsten lässt mich Thunderbird diesen Schlüssel nicht verwenden beim Senden. Da ich den Schlüssel von der Website der Hannoverschen bezogen habe und den Fingerprint (eine Art Quersumme über den gesamten Schlüssel) überprüft habe, wähle ich “Ja, ich habe selbst überprüft…”.
Nun hätte ich gedacht, dass ich – da es ja ein Schlüssel für die gesamte Domäne “@hannoversche.de” ist, jeder beliebigem Empfänger dort eine verschlüsselte Nachricht schicken kann. Das klappt natürlich nicht, wenn ich eine Mail verfasse dort oben auf “Sicherheit” drücke, sehe ich die Meldung “kein Schlüssel vorhanden”:
Hm, in den Schlüsseleigenschaften des Hannoverschen-Schlüssel sehe ich, dass dieser mit der Adresse [email protected] verknüpft ist. Dort kann ich auch eine E-Mail hinschicken:
Also schicke ich mein Mail also dorthin. Die Antwort folgt sogleich:
Das Z1 SecureMail Gateway der Empfaenger Domain konnte die Email intern nicht weiterleiten an: <[email protected]>
…
Deshalb ist eine Verschluesselung mit Organisations- oder Gruppenzertifikaten nur moeglich mit einer speziellen Adressierung. Die Empfaengeradresse muss dem folgenden Muster entsprechen: “[email protected]” <[email protected]>
Der Adressteil zwischen den Anfuehrungszeichen muss einen eindeutigen Namen oder Identifikator der Empfaengerperson enthalten.
Der Adressteil in den spitzen Klammern muss die Email Adresse, die in dem Organisationszertifikat eingebettet ist, enthalten.
Aha! Dann nutze ich das vorgeschlagene Muster “[email protected]” <[email protected]> und siehe da, so klappt es mit dem Senden. Was da wirklich dahintersteckt und ob das eine Spezial-Lösung ist, habe ich noch nicht herausgefunden.
Trotzdem ist das Ergebnis irgendwie unbefriedigend, also frage ich nochmal bei den Mozilla-Entwicklern nach. Und siehe da, sie haben erst neulich ein Feature eingebaut, das genau mein Problem löst. Die Funktionalität heißt OpenPGP Aliase und ist hier genauer beschrieben: https://wiki.mozilla.org/Thunderbird:OpenPGP:Aliases
Aktuell (ich nutze Version 78.10.0 auf einem Manjaro Linux), gibts dazu noch keine grafische Oberfläche, sondern man muss die gewünschten Aliase in einer JSON-Konfigurationsdatei eintragen. Das geht wie folgt:
- In Thunderbird oben den Dialog hinter “Bearbeiten” -> “Einstellungen” (ALT + b + e + e) öffnen
- Im Reiter “Allgemein” ganz nach unten scrollen, “Konfiguration bearbeiten” und bestätigen, dass man weiß, was man tut
- Im dem neuen Dialog nach “mail.openpgp.alias_rules_file” suchen und dort den Pfad zur Konfigurationsdatei (“file://pfad/zur/datei”) eintragen:
Jetzt muss ich nur noch die Datei mit dem Domänenalias anlegen, der Inhalt für die Hannoversche sieht wie folgt aus:
Jetzt kann ich verschlüsselte Mails an jeden Empfänger and der Hannoverschen Domäne schicken. Dass ein Alias verwendet wird, zeigt mir Thunderbird mit einem “a->b”:
Vergesst nicht, beim senden euren öffentlichen Schlüssel mitzuschicken, nur so kann der Empfänger auch verschlüsselt antworten. Die Alias-Konfiguration wird wohl auch in einer zukünftigen Version noch als GUI mitkommen.
Viel Spass damit!