Wenn Sie versuchen, eine E-Mail mit aktivierter Ende-zu-Ende-Verschlüsselung (E2EE) zu senden, meldet Thunderbird möglicherweise, dass die Verschlüsselung nicht möglich ist. Der Artikel beschreibt mögliche Ursachen für diese Meldung und welche Anforderungen erfüllt sein müssen, um eine E-Mail zu verschlüsseln.

Liste der Anforderungen

Alle folgenden Punkte müssen erfüllt sein:

• Sie benötigen einen persönlichen Schlüssel zur Verwendung von OpenPGP oder ein persönliches Zertifikat für S/MIME und müssen Thunderbird für deren Verwendung konfigurieren. Ausführliche Informationen dazu erhalten Sie unter Ihr E-Mail-Konto zur Verwendung der Ende-zu-Ende-Verschlüsselung einrichten.
• Wenn Sie zuvor Ihren eigenen Schlüssel oder Ihr eigenes Zertifikat eingerichtet haben, stellen Sie sicher, dass diese nicht abgelaufen sind, nicht widerrufen oder durch Sie gelöscht wurden.
• Jeder E-Mail-Empfänger, den Sie in den Feldern „An“, „Kopie (CC)“ oder „Blindkopie (BCC)“ hinzugefügt haben, muss ebenfalls einen persönlichen OpenPGP-Schlüssel oder ein persönliches S/MIME-Zertifikat besitzen und außerdem den entsprechenden öffentlichen Schlüssel bzw. das öffentliche Zertifikat zur Verfügung gestellt haben. Die nächsten Kapitel beschreiben, wie Sie diese erhalten und verwenden.
• Bei Verwendung der Gruppenverschlüsselung mithilfe der OpenPGP-Empfänger-Alias-Konfiguration müssen die öffentlichen Schlüssel aller für eine E-Mail-Alias-Adresse definierten Empfänger verfügbar sein.
• Sie müssen für alle Empfänger – einschließlich sich selbst – über Schlüssel oder Zertifikate derselben Technologie verfügen, da OpenPGP und S/MIME separate Verschlüsselungstechnologien sind, die in einer E-Mail nicht kombiniert werden können. Stellen Sie deshalb sicher, dass Sie beim Verfassen einer verschlüsselten E-Mail die richtige Technologie wählen.

Wenn Sie eine ausführliche Erklärung der hier verwendeten Begriffe benötigen und verstehen möchten, wie die E-Mail-Verschlüsselungstechnologie im Allgemeinen funktioniert, lesen Sie Einführung in Thunderbirds Ende-zu-Ende-Verschlüsselung.

Öffentliche OpenPGP-Schlüssel Ihrer Kommunikationspartner erhalten

Mit diesen Methoden erhalten Sie einen öffentlichen OpenPGP-Schlüssel:

• Ihr Kommunikationspartner (Ihr Kontakt) sendet Ihnen eine E-Mail und hängt seinen öffentlichen Schlüssel an diese E-Mail an. Wenn Sie beim Anzeigen einer solchen E-Mail auf die im Kopfzeilenbereich enthaltene OpenPGP-Schaltfläche klicken, bietet Thunderbird an, diesen Schlüssel zu importieren.
• Ihr Kommunikationspartner sendet Ihnen eine E-Mail mit einer Autocrypt-Kopfzeile, die seinen öffentlichen Schlüssel enthält. Wenn Sie beim Anzeigen einer solchen E-Mail auf die im Kopfzeilenbereich enthaltene OpenPGP-Schaltfläche klicken, bietet Thunderbird an, diesen Schlüssel zu importieren.
• Ihr Kommunikationspartner hat seinen öffentlichen Schlüssel auf einem Webserver veröffentlicht. Möglicherweise stellt er Ihnen einen Link zu seinem öffentlichen Schlüssel zur Verfügung oder Sie finden den Schlüssel mithilfe einer Websuche selbst. In beiden Fällen laden Sie den öffentlichen Schlüssel in eine lokale Datei herunter und verwenden dann die OpenPGP-Schlüsselverwaltung von Thunderbird, um die Datei mit dem öffentlichen Schlüssel zu importieren.
• Ihr Kommunikationspartner hat seinen öffentlichen Schlüssel auf einem Server veröffentlicht, der das WKD-Protokoll (Web Key Directory) verwendet. Wenn Sie versuchen, eine verschlüsselte E-Mail zu senden, aber noch nicht über einen öffentlichen Schlüssel für die E-Mail-Adresse des Empfängers verfügen, bietet Thunderbird möglicherweise die Durchführung einer Online-Erkennung an, bei der die mithilfe des WKD-Protokolls veröffentlichten öffentlichen Schlüssel gefunden werden können.
• Ihr Kommunikationspartner hat seinen öffentlichen Schlüssel auf einem von Thunderbird unterstützten Schlüsselserver veröffentlicht, z. B. keys.openpgp.org. Wenn Sie versuchen, eine verschlüsselte E-Mail zu senden, aber noch nicht über einen öffentlichen Schlüssel für die E-Mail-Adresse des Empfängers verfügen, bietet Thunderbird möglicherweise die Durchführung einer Online-Erkennung an, bei der die auf diesem Schlüsselserver veröffentlichten öffentlichen Schlüssel gefunden werden können.
• Ihr Kommunikationspartner hat seinen öffentlichen Schlüssel auf einem Schlüsselserver veröffentlicht, den Thunderbird noch nicht automatisch abfragen kann. Wenn Ihr Kommunikationspartner Sie informiert, auf welchem Schlüsselserver sich sein Schlüssel befindet, können Sie versuchen, mithilfe eines Webbrowsers diesen Schlüsselserver aufzurufen, den öffentlichen Schlüssel zu finden, ihn in eine Datei herunterzuladen und diese Datei dann mit der OpenPGP-Schlüsselverwaltung in Thunderbird zu importieren.

Sollte Thunderbird den Schlüssel nicht automatisch finden, ist es normalerweise am einfachsten, eine kurze unverschlüsselte E-Mail an Ihren Kommunikationspartner zu senden und ihn zu bitten, Ihnen eine E-Mail mit dem öffentlichen Schlüssel zu senden.

Wenn Sie bei den Thunderbird-Versionen 78 und 91 eine E-Mail mit dem Schlüssel eines Kommunikationspartners erhalten haben, mussten Sie mit dieser Nachricht interagieren, um den Schlüssel zu importieren. Dazu konnten Sie entweder mit einem Rechtsklick auf den Anhang das Kontextmenü öffnen und den Import des Schlüssels veranlassen oder auf die im Kopfzeilenbereich enthaltene OpenPGP-Schaltfläche klicken, die Sie informierte, dass die E-Mail einen öffentlichen Schlüssel enthielt und anbot, diesen zu importieren.

Ab Thunderbird-Version 102 und höher sammelt Thunderbird die gefundenen Schlüssel automatisch in einem Schlüsselzwischenspeicher zur späteren Verwendung. Wenn beim Verfassen einer E-Mail der öffentliche Schlüssel des E-Mail-Empfängers noch nicht importiert wurde, bietet Thunderbird möglicherweise automatisch an, bereits gesammelte öffentliche Schlüssel zu verwenden.

Um die Liste der bereits importierten OpenPGP-Schlüssel anzuzeigen, können Sie die OpenPGP-Schlüsselverwaltung von Thunderbird verwenden.

S/MIME-Zertifikate Ihrer Kommunikationspartner erhalten

Die Standardmethode zur Verteilung des Zertifikats eines Ihrer Kommunikationspartner ist das Senden einer digital signierten E-Mail. Wenn Sie von einem Kommunikationspartner eine signierte E-Mail erhalten haben, klicken Sie auf die E-Mail, um sie anzuzeigen. Wenn Thunderbird die Signatur der E-Mail und das Zertifikat des Absenders als gültig anerkennt, werden diese automatisch importiert und sind verfügbar, wenn Sie versuchen, eine E-Mail an diesen Kommunikationspartner mithilfe der S/MIME-Technologie zu verschlüsseln. Wenn Sie von diesem Kommunikationspartner noch keine signierte E-Mail erhalten haben, können Sie ihn bitten, Ihnen eine digital signierte E-Mail zu senden.

Organisationen, die einen LDAP-Server betreiben, können diesen so konfigurieren, dass er S/MIME-Zertifikate speichert. Wenn ein LDAP-Server konfiguriert ist, kann Thunderbird möglicherweise automatisch beim LDAP-Server nachfragen, ob ein S/MIME-Zertifikat benötigt wird.

Um die Liste Ihrer bereits vorhandenen S/MIME-Zertifikate zu prüfen, können Sie die Zertifikatsverwaltung von Thunderbird verwenden.

Technische Gültigkeit

Thunderbird verwendet nur die vom Programm als technisch gültig erachteten Schlüssel und Zertifikate.

Thunderbird erfordert, dass ein OpenPGP-Schlüssel mindestens einen gültigen primären oder untergeordneten Schlüssel enthält, mit dem digitale Signaturen erstellt werden können, sowie mindestens einen Schlüssel, der zur Verschlüsselung verwendet werden kann.

Thunderbird kann sich weigern, OpenPGP-Schlüssel zu verwenden, die beschädigt sind oder auf Verschlüsselungsalgorithmen basieren, die Thunderbird für unsicher hält.

Ein öffentlicher OpenPGP-Schlüssel besitzt eine innere Struktur, er kann mehrere untergeordnete Schlüssel enthalten sowie Eigenschaften (z. B. die Gültigkeitsdauer, zugehörige Benutzernamen und E-Mail-Adressen). Solche Eigenschaften können hinzugefügt, entfernt oder aktualisiert werden. Um sicherzustellen, dass diese Eigenschaften tatsächlich vom rechtmäßigen Eigentümer des Schlüssels geändert wurden, werden sie mit dem geheimen Schlüssel des Eigentümers digital signiert. Jede digitale Signatur verwendet einen Signaturalgorithmus. Thunderbird ignoriert möglicherweise Eigenschaften, die auf unsicheren Signaturalgorithmen basieren.

Wenn Sie den öffentlichen Schlüssel eines Kommunikationspartners erhalten und Thunderbird sich weigert, ihn zu importieren oder zu verwenden, kann dies folgende Ursachen haben:

• Nach dem Importieren des Schlüssels scheint es, als ob dem Schlüssel bestimmte Eigenschaften fehlen.
• Die Gültigkeitsdauer des Schlüssels ist falsch.
• Der Schlüssel enthält möglicherweise unsichere Eigenschaften, die Thunderbird ablehnt oder ignoriert.

Passende E-Mail-Adresse

Damit ein öffentlicher OpenPGP-Schlüssel oder ein S/MIME-Zertifikat zum Senden einer verschlüsselten E-Mail an eine E-Mail-Adresse verwendet werden kann, verlangt Thunderbird normalerweise, dass in der inneren Struktur des Schlüssels oder Zertifikats die genau passende E-Mail-Adresse aufgeführt ist. Dadurch kann Thunderbird automatisch entscheiden, ob ein öffentlicher Schlüssel oder ein Zertifikat für eine E-Mail-Adresse verwendet werden kann.

Mit anderen Worten: Wenn Anja eine verschlüsselte E-Mail an bernd@beispiel.com senden möchte, benötigt sie einen öffentlichen OpenPGP-Schlüssel oder ein S/MIME-Zertifikat, das für die E-Mail-Adresse bernd@beispiel.com gilt. Ein Schlüssel oder Zertifikat, das vorgibt, für christian@beispiel.com bestimmt zu sein, wird von Thunderbird nicht verwendet.

Wenn Anja unbedingt den öffentlichen Schlüssel oder das Zertifikat verwenden möchte, das die Adresse christian@beispiel.com beinhaltet, um E-Mails an bernd@beispiel.com zu senden, muss sie zusätzliche Kenntnisse über Bernds E-Mail-Adressen haben, die nicht offensichtlich sind. Bernd muss Anja bitten, diesen Schlüssel trotz der nicht übereinstimmenden E-Mail-Adresse zu verwenden. Anja muss dann Thunderbird auffordern, trotz der fehlenden Übereinstimmung den öffentlichen Schlüssel oder das Zertifikat zu verwenden.

Hierbei handelt es sich um ein sehr komplexes Szenario und ein Vorgehen, das möglicherweise von einigen Nutzern angewendet werden muss, das die meisten Nutzer aber nicht benötigen. Thunderbird bietet dafür derzeit keine interaktive Lösung an.

Da jedoch einige erfahrene Nutzer um Unterstützung zur Verwendung nicht übereinstimmender öffentlicher OpenPGP-Schlüssel gebeten haben, bietet Thunderbird einen erweiterten Konfigurationsmechanismus an, der unter Thunderbird und OpenPGP Alias-Schlüssel dokumentiert ist.

Öffentliche OpenPGP-Schlüssel akzeptieren

Wenn Sie einen öffentlichen OpenPGP-Schlüssel erhalten haben und der Schlüssel angeblich auf den Namen Ihres Kommunikationspartners lautet und dessen E-Mail-Adresse enthält, besteht immer noch das Risiko, dass es sich nicht um den „richtigen Schlüssel“ handelt. Ausführliche Informationen zum Risiko erhalten Sie unter OpenPGP-Schlüssel können echt oder gefälscht sein.

Aufgrund dieses Risikos verwendet Thunderbird nicht automatisch öffentliche OpenPGP-Schlüssel. Stattdessen müssen Sie (wie oben beschrieben) für jeden öffentlichen Schlüssel, den Sie verwenden möchten, zuerst bestätigen, dass Sie diesen Schlüssel akzeptieren.

Mit anderen Worten: Wenn Anja einen öffentlichen OpenPGP-Schlüssel erhalten hat, der die E-Mail-Adresse bernd@beispiel.com enthält, und sie versucht, eine verschlüsselte E-Mail an bernd@beispiel.com zu senden, meldet Thunderbird möglicherweise, dass für Bernd noch kein „akzeptierter“ Schlüssel existiert. Anja sollte der Anleitung auf dem Bildschirm folgen, um den oder die für bernd@beispiel.com verfügbaren Schlüssel zu prüfen, sie idealerweise zu verifizieren und sie dann als „akzeptiert“ zu markieren.

S/MIME-Zertifikate akzeptieren

Für S/MIME werden technisch gültige Zertifikate, die von einer in Thunderbird enthaltenen Zertifizierungsstelle gemäß der Richtlinie Mozilla Root Store Policy signiert wurden, automatisch von Thunderbird akzeptiert, um verschlüsselte E-Mails an die im Zertifikat angegebene Adresse zu senden.