Was ist das OpenPGP-Schlüsselverzeichnis für FAU-Mitglieder?

Als Alternative zu den X.509-Nutzerzertifikaten für das S/MIME-Verfahren unterstützt das RRZE für die Ende-zu-Ende-Verschlüsselung von E-Mails nun auch den Einsatz von OpenPGP. Um den eigenen OpenPGP-Schlüssel potenziellen Kommunikationspartnern auf sichere Weise bekannt zu machen, betreibt das RRZE einen Verifying Key Server (VKS), auf dem FAU-Mitglieder den Schlüssel für ihre persönliche @fau.de-Adresse sowie für in ihrer Verantwortung befindlicher, nicht personenbezogener Adressen (Funktionsadressen) unter @fau.de im FAU-Schlüsselverzeichnis veröffentlichen können. Damit der Schlüssel über die zugehörige Identität (E-Mail-Adresse) gefunden werden kann, müssen die Adressinhaber:innen zunächst über einen Link in einer Bestätigungsmail ihre E-Mail-Adresse verifizieren. Danach kann der Schlüssel durch eine Suche nach der E-Mail-Adresse gefunden und heruntergeladen werden und ist zusätzlich per WKD-Abfrage abrufbar.

Web Key Directory (WKD) ist ein Verfahren, mit dem OpenPGP-Schlüssel über eine verschlüsselte Verbindung und eine definierte URL aus einem vom Provider bereitgestellten Verzeichnis abgefragt werden können. WKD-Unterstützung bieten viele gängigen E-Mail-Programme (siehe Anleitungen zu Mozilla Thunderbird, Microsoft Outlook (mit Plugin GpgOL), Browser-Plugin Mailvelope und K-9 Mail/OpenKeychain (Android).

Wichtiger Hinweis:

Es ist grundsätzlich möglich, auch OpenPGP-Schlüssel für auf .fau.de oder .uni-erlangen.de endende E-Mail-Adressen im FAU-Schlüsselverzeichnis zu veröffentlichen. Via HKP-Protokoll (z.B. Schlüsselsuche im Selfservice oder mit HKP-fähigen E-Mail-Programmen bei eingestelltem Schlüsselserver hkps://keys.openpgp.fau.de) werden auch solche Schlüssel gefunden. Der Schlüsselabruf mit E-Mail-Clients per WKD-Abfrage ist allerdings auf E-Mail-Adressen unter @fau.de beschränkt.

Was muss ich tun, um OpenPGP zu benutzen?

Um OpenPGP zu benutzen, müssen Sie sich mit Hilfe der Schlüsselverwaltung Ihres E-Mail-Programms zunächst ein OpenPGP-Schlüsselpaar erzeugen, welches aus einem geheimen und einem öffentlichen Schlüssel besteht. Den geheimen Schlüssel müssen Sie sicher verwahren. Damit entschlüsseln Sie an Sie gerichtete, verschlüsselte E-Mails und versehen Ihre ausgehenden E-Mails mit einer digitalen Signatur. Durch dieses „Siegel“ kann der Empfänger überprüfen, ob die E-Mail tatsächlich von Ihnen stammt (Authentizität) und auf dem Übertragungsweg nicht verfälscht wurde (Integrität).

Den öffentlichen Schlüssel müssen Sie ihren Kommunikationspartnern bekannt machen, damit diese Ihnen verschlüsselte E-Mails senden und Ihre digitale Signatur prüfen können. Am einfachsten geht das Veröffentlichen, indem Sie Ihren Schlüssel ins FAU-Schlüsselverzeichnis hochladen. Von dort kann ihn das E-Mail-Programm Ihres Kommunikationspartners beim verschlüsselten Versand an Sie mehr oder weniger automatisch abrufen, je nachdem, wie gut dieses den WKD-Standard unterstützt. Moderne E-Mail-Programme wie Outlook oder Thunderbird führen die WKD-Abfrage immer dann automatisch aus, wenn online nach einem Schlüssel gesucht wird.

Wie richte ich K-9 Mail und OpenKeychain für die OpenPGP-Nutzung ein?

Unter Android stellt K-9 Mail einen der beliebtesten und zudem kostenlos verfügbaren E-Mail-Clients dar. Zusammen mit der ebenso kostenfreien App OpenKeychain für die Schlüsselverwaltung steht eine komfortable OpenPGP-Verwaltung bereit. Beide Apps können über den Google Play Store oder über F-Droid bezogen werden.

In K-9 Mail muss zunächst die Verbindung zu OpenKeychain hergestellt werden. Unter Einstellungen wählen Sie das konfigurierte E-Mail-Konto an und gehen dann auf Ende-zu-Ende-Verschlüsselung. Ist OpenKeychain installiert, dann können Sie dort die Option OpenPGP-Unterstützung aktivieren einschalten.

Schlüsselsuche konfigurieren

In OpenKeychain sollten Sie unter Einstellungen zunächst die Schlüsselsuche konfigurieren, indem Sie dort die gewünschten Suchmethoden und Schlüsselserver angeben. Wählen Sie hier folgende Einstellungen:

Bei dieser Konfiguration wird zunächst im Web Key Directory (WKD) gesucht, das ggf. der Provider des Empfängers bereitstellt, und danach per HKP-Protokoll über den ganz oben aufgelisteten, „ausgewählten Schlüsselserver“. Weitere Schlüsselserver können hinzugefügt werden, werden aber für die Suche nicht genutzt, solange sie nicht ganz nach oben geschoben und damit „ausgewählt“ werden.

Um für die Suche nur das  FAU-Schlüsselverzeichnis zu verwenden, geben Sie als obersten Server hkps://keys.openpgp.fau.de an. Dies ist nur dann sinnvoll, wenn Sie ausschließlich FAU-intern verschlüsselt per E-Mail kommunizieren.

Bei dieser Einstellung wird nach einer @fau.de-Adresse immer zuerst per WKD-Abfrage und danach per HKP-Protokoll im FAU-Schlüsselverzeichnis gesucht. Nach allen anderen Adressen wird dort nur per HKP gesucht. Per HKP werden somit auch Schlüssel für auf .fau.de oder .uni-erlangen.de endende Adressen gefunden.

Um auch Schlüssel für FAU-externe E-Mail-Adressen zu finden, nehmen Sie als „ausgewählten Schlüsselserver“ einen globalen Verifying Key Server wie hkps://keys.openpgp.org oder hkps://keys.mailvelope.com.

Bei dieser Einstellung wird nach einer @fau.de-Adresse zuerst per WKD im FAU-Schlüsselverzeichnis gesucht, danach per HKP beim ausgewählten Schlüsselserver. Nach allen anderen Adressen wird ausschließlich bei letzterem per HKP gesucht.

Schlüsselpaar erzeugen  / importieren

Nun können Sie mit OpenKeychain Ihr Schlüsselpaar erzeugen oder dort ein bestehendes importieren. Wenn Sie OpenKeychain erstmals aufrufen, werden Ihnen die entsprechenden Menüpunkte direkt angezeigt. Später erreichen Sie diese, indem Sie das Menü Schlüssel anwählen und dann rechts oben unter dem „Drei-Punkte-Menü“ den Punkt Meine Schlüssel verwalten aufrufen.

Ordnen Sie nun in K-9 Mail Ihren Schlüssel Ihrem E-Mail-Konto zu, indem Sie unter Einstellungen Ihr E-Mail-Konto auswählen und dort unter Ende-zu-Ende-Verschlüsselung den Punkt Using key: … aufrufen und über die weiteren Anweisungen den gewünschten Schlüssel auswählen.

Schlüssel von Kommunikationspartnern finden / importieren

Weiterhin müssen Sie die öffentlichen Schlüssel ihrer Kommunikationspartner importieren. Hierzu klicken Sie im Menü Schlüssel auf das Symbol mit dem Plus-Zeichen. Sie haben nun die Wahl zwischen drei verschiedenen Optionen: (1) QR-Code einscannen, (2) Schlüsselsuche und (3) Aus Datei importieren.

Um den öffentlichen Schlüssel eines anderen FAU-Mitglieds zu finden, wählen Sie Option (2). Wenn dieses seinen Schlüssel im FAU-Schlüsselverzeichnis oder auf externen verifizierenden Schlüsselservern wie keys.openpgp.org oder keys.mailvelope.com (siehe oben) veröffentlicht hat, finden Sie ihn auf diesem Wege und er wird Ihnen zum Import angeboten.

 

 

 

 

 

Den importierten Schlüssel können Sie z.B. durch Abgleich dessen Fingerabdrucks bestätigen:

 

 

 

 

 

Der bestätigte Schlüssel wird durch einen grün unterlegten Haken gekennzeichnet (siehe rote Markierung):

Wie richte ich Thunderbird für die OpenPGP-Nutzung ein?

Mozilla Thunderbird hat ab Version 78 die Implementierung für den OpenPGP-Standard direkt integriert und benötigt hierfür nicht mehr das Plugin Enigmail, das die Vorgängerversionen verwendeten. Es benutzt nun auch nicht mehr GnuPG, die bekannteste OpenPGP-Implementierung, sondern basiert auf der neueren Implementierung RNP.

Was Sie vom Prinzip her tun müssen, um OpenPGP zu benutzen, finden Sie unter Funktionsprinzip von OpenPGP beschrieben.

Den geheimen Schlüssel müssen Sie dem E-Mail-Konto [1] zuordnen, das Sie für Ihre persönliche @fau.de-Adresse [2] in Thunderbird eingerichtet haben. Dies erledigen Sie, indem Sie bei Thunderbird im Menü Extras (Windows) bzw. Bearbeiten (Linux) den Punkt Konten-Einstellungen anwählen, und dort beim entsprechenden Konto den Punkt Ende-zu-Ende-Verschlüsselung aufrufen. Wenn Sie Ihr Schlüsselpaar mit diesem Thunderbird erzeugt haben, sollte er bereits richtig zugeordnet sein oder Sie können den richtigen Schlüssel hier auswählen. Andernfalls können Sie über Schlüssel hinzufügen und dann Bestehenden OpenPGP-Schlüssel importieren den Schlüssel aus Ihrer beim Erzeugen erstellten Sicherheitskopie importieren.

Setzen Sie außerdem den Haken bei den Optionen Verschlüsselung standardmäßig nicht aktivieren und Eigene digitale Unterschrift standardmäßig hinzufügen.

Bei Thunderbird ab Version 91 gibt es zusätzlich eine Rubrik Erweiterte Einstellungen. Hier können Sie festlegen, ob

  • der eigene Schlüssel einer signierten E-Mail als Anhang beigefügt werden soll (Standard: ja)
  • der Betreff einer OpenPGP-Nachricht verschlüsselt werden soll (Standard: ja)
  • Nachrichtenentwürfe verschlüsselt gespeichert werden sollen (Standard: ja)

Die Betreff-Verschlüsselung ist kein Bestandteil des OpenPGP-Standards. Falls Sie mit Personen kommunizieren, deren E-Mail-Programm die Betreff-Verschlüsselung nicht unterstützt (z.B. Outlook), lassen Sie den Betreff unverschlüsselt. Andernfalls werden diesen Personen im Betreff der empfangenen E-Mail lediglich drei Punkte (‚…‘) angezeigt. Ansonsten können Sie die Standardeinstellungen belassen.

[1] oder der entsprechenden Identität des E-Mail-Kontos, falls Sie für dieses mehrere Identitäten eingerichtet haben

[2] oder eine in Ihrer Verantwortung befindliche, nicht personenbezogene @fau.de-Adresse

Wie bereite ich Outlook für die OpenPGP-Nutzung vor?

Um mit Microsoft Outlook die Ende-zu-Ende-Verschlüsselung mittels OpenPGP nutzen zu können, bedarf es etwas Vorbereitung. Zunächst müssen Sie sicherstellen, dass das Paket Gpg4win installiert ist. Dieses stellt u.a. das Plugin GpgOL sowie die Schlüsselverwaltung Kleopatra für Outlook zur Verfügung, die als graphisches Frontend für das darunter liegende GnuPG-System fungiert, welches wiederum die bekannteste Implementierung des OpenPGP-Standards darstellt.

Um GpgOL bei Outlook zu aktivieren, öffnen Sie das Menü Datei und dann Com-Add-Ins verwalten. Die Einstellmöglichkeiten für GpgOL finden Sie in Outlook wie in folgender Abbildung markiert.

GpgOL bzw. das von GpgOL verwendete GnuPG-System sollten wie in den beiden folgenden Screenshots dargestellt konfiguriert werden.

Beim Eingabefeld NAME als voreingestellten Schlüssel benutzen kann man im Falle, dass Kleopatra mehrere gültige Schlüssel für die eigene Identität zur Verfügung hat, einen definierten Schlüssel als Voreinstellung durch Angabe dessen Schlüssel-Id festlegen.

Die Suche nach Schlüsseln im Web Key Directory (WKD) ist implizit aktiv, wenn Gpg4win in der Version 4 installiert ist. Hierzu ist keine weitere Einstellung erforderlich. Outlook/GpgOL findet beim Adressieren von Kommunikationspartnern aus der FAU über deren @fau.de-Adresse deren im FAU-Schlüsselverzeichnis hinterlegten Schlüssel dann automatisch über eine WKD-Abfrage. Analoges gilt auch für die Adressierung von E-Mail-Adressen aus Maildomains anderer E-Mail-Provider, sofern letztere ein WKD zur Verfügung stellen.

Wie erzeuge ich mit Kleopatra ein OpenPGP-Schlüsselpaar?

Microsoft Outlook/GpgOL verwendet die ebenfalls zum Paket Gpg4win gehörige Schlüsselverwaltung Kleopatra. Um damit ein neues OpenPGP-Schlüsselpaar zu erzeugen, gehen Sie wie folgt vor.

Rufen Sie in Kleopatra das Menü „Datei >> Neues Schlüsselpaar …“ auf.

Wählen Sie Persönliches OpenPGP-Schlüsselpaar erstellen und dann Weiter.

Geben Sie im folgenden Dialog Name und E-Mail-Adresse ein, für die das Schlüsselpaar erstellt werden soll. Setzen Sie den Haken bei Den generierten Schlüssel mit einer Passphrase schützen.

Klicken Sie dann auf Erweiterte Einstellungen. Wählen Sie in der Eingabemaske die Einstellungen wie im folgenden Screenshot dargestellt und klicken dann auf OK.

Geben Sie nun die Passphrase ein, mit welcher der geheime Schlüssel geschützt werden soll und bestätigen Sie diese durch eine nochmalige Eingabe. Wenn Sie auf Weiter klicken, wird das Schlüsselpaar erstellt.

Wählen Sie nun Sicherheitskopie Ihres Schlüsselpaares erstellen … und speichern Sie damit den geheimen Schlüssel auf einem externen Medium, welches Sie sicher verwahren müssen.

Den öffentlichen Schlüssel können Sie exportieren, indem Sie den Schlüssel markieren und mit der rechten Maustaste das Kontextmenü öffnen. Dort wählen Sie Exportieren … und speichern den Schlüssel ebenfalls in einer Datei ab.

Diesen Schlüssel können Sie nun an Ihre Kommunikationspartner verteilen, z.B. indem Sie ihn im FAU-Schlüsselverzeichnis veröffentlichen.

 

 

 

Wie erzeuge ich mit Thunderbird ein OpenPGP-Schlüsselpaar?

Um die Ende-zu-Ende-Verschlüsselung mit OpenPGP in Thunderbird verwenden zu können, müssen sich E-Mail-Nutzer:innen zunächst ein Schlüsselpaar generieren oder ein bereits vorhandenes Schlüsselpaar in Thunderbird importieren. Nachfolgend wird die Schlüsselerzeugung in der OpenPGP-Schlüsselverwaltung von Thunderbird beschrieben.

Öffnen Sie in der OpenPGP-Schlüsselverwaltung von Thunderbird den Schlüsselgenerator über folgende Menüpunkte:
Extras >> OpenPGP-Schlüssel verwalten >> Erzeugen >> Neues Schlüsselpaar

Verwenden Sie die Einstellungen wie im folgenden Screenshot dargestellt:

Nach der Erzeugung wird das Schlüsselpaar in der Schlüsselverwaltung fett gedruckt dargestellt:

Das neu erzeugte Schlüsselpaar kann man exportieren, wobei der geheime Schlüssel auf einem externen Medium gesichert und mit einer Passphrase geschützt werden sollte.

Der öffentliche Schlüssel lässt sich exportieren, indem man das Schlüsselpaar markiert und das Kontextmenü mit der rechten Maustaste öffnet:

Der öffentliche Schlüssel kann nun an Kommunikationspartner verteilt werden, z.B. indem man ihn im FAU-Schlüsselverzeichnis veröffentlicht. Der geheime Schlüssel muss sicher verwahrt werden.

Wichtiger Hinweis:

Bitte setzen Sie bei Thunderbird über Einstellungen >> Datenschutz und Sicherheit >> Hauptpasswort verwenden unbedingt ein Hauptpasswort, da andernfalls der geheime Schlüssel ungeschützt im Thunderbird-Profilverzeichnis abgelegt wird.

Zusatzinformation für fortgeschrittene OpenPGP-Nutzer:

Thunderbird bietet seit Version 78 für den geheimen Schlüssel leider nicht mehr den von Enigmail/GnuPG gewohnten Schutz durch eine Passphrase, die nach Ablauf einer einstellbaren Caching-Dauer immer wieder abgefragt wird. Vielmehr wird der Schlüssel nur durch das Hauptpasswort geschützt, das einmalig beim Starten von Thunderbird abgefragt wird. Mit dem Hauptpasswort wird ein automatisch generiertes Zufallspasswort symmetrisch verschlüsselt und im Profilverzeichnis in der Datei encrypted-openpgp-passphrase.txt  abgelegt. Mit dem Zufallspasswort werden u.a. alle in der Thunderbird-Schlüsselverwaltung vorhandenen geheimen OpenPGP-Schlüssel verschlüsselt in der Datei key4.db gespeichert.

Es besteht grundsätzlich die Möglichkeit, den geheimen Schlüssel mittels GnuPG statt mit der Thunderbird-Schlüsselverwaltung zu verwalten und damit erhöhte Sicherheitsanforderungen zu erfüllen (Konfig-Editor: mail.openpgp.allow_external_gnupg = true setzen). Den geheimen GnuPG-Schlüssel kann man dann über Konten-Einstellungen >> Ende-zu-Ende-Verschlüsselung >> OpenPGP >> Schlüssel hinzufügen über die Option Externen Schlüssel mittels GnuPG benutzen (z.B. von einer Smartcard) dem E-Mail-Konto zuordnen. Der zugehörige öffentliche Schlüssel muss allerdings in der Thunderbird-Schlüsselverwaltung vorhanden sein.

Bei Thunderbird (64 bit) unter Windows ist es zusätzlich erforderlich, die Umgebungsvariable PATH manuell anzupassen.

Unter Linux muss zusätzlich zu GnuPG die C-Bibliothek GPGME installiert werden.

Wie sende ich mit K-9 Mail eine OpenPGP-signierte und -verschlüsselte E-Mail?

Wir gehen davon aus, dass Sie K-9 Mail und OpenKeychain für die OpenPGP-Nutzung eingerichtet haben.

Erstellen Sie eine neue E-Mail, indem Sie in K-9 Mail über das Stift-Symbol den Verfassen-Dialog öffnen. Beginnen Sie, die E-Mail-Adresse der Empfänger:in einzutippen. Die Autovervollständigung schlägt Ihnen die in Frage kommenden Empfänger:innen vor. Für Empfänger:innen, deren OpenPGP-Schlüssel bereits in OpenKeychain importiert wurde, erscheint am rechten Rand ein Schloss-Symbol und bei Ihrer Absenderadresse sehen Sie ein durchgestrichenes Schloss-Symbol. Dieses zeigt an, dass Ende-zu-Ende-Verschlüsselung für diese Empfänger:in möglich ist. Wenn Sie dieses Symbol anklicken, wird es zu einem grünen Schloss-Symbol, welches eine nun aktivierte Ende-zu-Ende-Verschlüsselung signalisiert. Wenn der Absender verifiziert wurde, dann wird dies rechts neben dem grünen Schloss-Symbol beim Absender durch drei vertikal angeordnete grüne Punkte dargestellt.

Bei der Empfängeradresse sehen Sie gleichzeitig rechts oben eine grüne Ecke. Klicken Sie nun auf den Rechtspfeil im Menü rechts oben, um die E-Mail abzusenden. Nun wird die Passphrase zum Entsperren Ihres geheimen Schlüssels abgefragt, der zum Signieren der E-Mail benötigt wird. Diese Passphrase merkt sich OpenKeychain standardmäßig für eine Stunde, was ein guter Kompromiss zwischen Komfort und Sicherheit ist. War die Entsperrung erfolgreich, wird die E-Mail signiert und verschlüsselt abgeschickt.

 

Wie sende ich mit Thunderbird eine OpenPGP-signierte und -verschlüsselte E-Mail?

Wir gehen an dieser Stelle davon aus, dass Sie sich bereits ein Schlüsselpaar erzeugt und Thunderbird für die OpenPGP-Nutzung eingerichtet haben. Weiterhin sollten Sie den öffentlichen Schlüssel Ihres Kommunikationspartners aus einer verlässlichen Quelle (FAU-Schlüsselverzeichnis, öffentliche Verifying Key Server wie keys.openpgp.org oder keys.mailvelope.com, Download per HTTPS von Webseite des Kommunikationspartners etc.) beschafft haben. Alternativ können Sie diesen auch beim Verfassen-Dialog wie hier beschrieben finden oder bei Thunderbird 102 wie weiter unten auf dieser Seite beschrieben über den OpenPGP-Schlüsselassistenten.

Thunderbird 78 bis 97

Wenn Sie im Menü Verfassen auswählen, dann sollte standardmäßig nur das digitale Signieren der E-Mail aktiviert sein, sofern Sie Thunderbird wie unter dem obigen Link beschrieben eingerichtet haben:

Sie müssen nun die Verschlüsselung über das Menü Sicherheit aktivieren. Wählen Sie Verschlüsselungstechnologie >> OpenPGP sowie Nur mit Verschlüsselung senden aus. In der rechten unteren Ecke des Fensters (rot umrandet) sehen Sie dann ein Siegel-Symbol und ein Schloss-Symbol, und links daneben das eingestellte Verschlüsselungsverfahren (OpenPGP).

Wenn Sie anschließend auf Senden klicken, sollte der Versand erfolgen. Bei der Empfängerin wird die E-Mail wie folgt angezeigt, sofern diese ebenfalls Thunderbird ab Version 78 verwendet:

Der grüne Haken auf dem Schloss-Symbol zeigt an, dass die Verschlüsselung korrekt war. Ein grüner Haken auf dem Siegel-Symbol zeigt an, dass die Signatur gültig ist und der Schlüssel des Kommunikationspartners per Fingerabdruck-Abgleich überprüft wurde.

Anmerkung:

Wenn es sich wie im obigen Beispiel bei der Absenderadresse um eine persönliche Adresse des Empfängers handelt, erscheint hier kein grüner Haken. Wenn man auf das Siegel-Symbol klickt, wird einem dies ausführlich erläutert.

Wie Sie links unten sehen, wurde der öffentliche Schlüssel des Absenders als Anhang beigefügt. Bei Thunderbird ab Version 91 lässt sich dies bei der OpenPGP-Einrichtung unter Erweiterte Einstellungen auch unterdrücken. Klickt die Empfängerin mit der rechten Maustaste auf den Anhang, dann kann sie im Kontextmenü über OpenPGP-Schlüssel importieren diesen bei Bedarf in ihre Thunderbird-Schlüsselverwaltung importieren.

Neuerungen bei Thunderbird 102

Thunderbird bietet in der Version 102 eine deutlich verbesserte Benutzerführung in Bezug auf Ende-zu-Ende-Verschlüsselung. Insbesondere gibt es nun einen OpenPGP-Schlüsselassistenten, der beim Verfassen-Dialog aufgerufen werden kann, nachdem eine oder mehrere Empfängeradressen ins Adressfeld eingegeben wurden.

Wurde die Verschlüsselung standardmäßig ausgeschaltet und ist bereits für jeden der Empfänger ein verwendbarer Schlüssel in der Thunderbird-Schlüsselverwaltung vorhanden, dann erscheint unten eine Hinweiszeile, dass OpenPGP-Verschlüsselung verfügbar ist.

Ist hingegen nicht für jeden Empfänger ein verwendbarer Schlüssel vorhanden, dann kann man über das Menü OpenPGP den Schlüsselassistenten aufrufen.

Dieser bietet die Option Öffentliche Schlüssel online finden an. Dahinter verbirgt sich die Suche im Web Key Directory (WKD), welches für @fau.de-Adressen vom FAU-Schlüsselverzeichnis zur Verfügung gestellt wird.

Wurde die Verschlüsselung standardmäßig eingeschaltet und es ist nicht für jeden Empfänger ein verwendbarer Schlüssel vorhanden, dann wird die betreffende Adresse im Adressfeld gelb unterlegt und mit einem Warnsymbol versehen. Gleichzeitig erscheint unten eine gelb unterlegte Statuszeile, welche ein Problem mit dem Schlüssel von … ausweist. Über die Option Beheben lässt sich wieder der Schlüsselassistent aufrufen und nach einem Schlüssel im WKD suchen.

Schlüsselauswahl bei mehreren gültigen Schlüsseln pro Empfänger

Sind in Ihrer Thunderbird-Schlüsselverwaltung mehrere gültige Schlüssel für einen Empfänger vorhanden, dann entscheidet Thunderbird standardmäßig automatisch, welcher zur Verschlüsselung verwendet wird. Über die Bedienoberfläche gibt es seit Version 78 keine Möglichkeit mehr, diesen Vorgang zu beeinflussen. Sie können allerdings über Einstellungen >> Allgemein >> Konfiguration bearbeiten den Parameter mail.openpgp.alias_rules_file suchen und als dessen Wert den Namen einer Datei im Thunderbird-Profilverzeichnis angeben, und in dieser Datei bestimmten Empfängeradressen einen definierten Schlüssel zuordnen. Nachfolgend ist ein Muster für den Inhalt einer solchen Datei abgebildet.

{
  "description": "Thunderbird OpenPGP Alias Rules",
  "rules": [
    {
      "email": "max.mustermann@fau.de",
      "keys": [
        {
          "description": "Max Mustermann",
          "fingerprint": "C023629567A8FB2DC6F352E6E1C15647C40EC8C9"
        }
      ]
    },
    {
      "email": "maria.musterfrau@fau.de",
      "keys": [
        {
          "description": "Maria Musterfrau",
          "fingerprint": "152ED51DC1270A0FC535EB2F4429EEC396D4AF24"
        }
      ]
    }
  ]
}

S/MIME-Zertifikate in Outlook für mehrere Adressen

Um mehrere S/MIME-Zertifikate in Outlook zu installieren, müssen die Zertifikate zuerst normal hinzugefügt werden (vgl. https://www.anleitungen.rrze.fau.de/e-mail/e2ee/smime/s-mime-zertifikat-in-outlook-2016-2019-einbinden/)

Dafür im Outlook über „Datei“ in die Optionen gehen. Im Anschluss öffnen sich die Outlook-Optionen, dort öffnen Sie dann den Eintrag Trust Center und damit die „Einstellungen für das Trust Center.

Dann muss der Reiter „E-Mail-Sicherheit“ geöffnet werden. In diesem Fenster müssen zunächst alle Zertifikate importiert werden.

Um nun mehrere Zertifikate gleichzeitig zu verwenden, erstellen Sie weitere Zertifikatsprofile:

  1. Nachdem alle Zertifikate importiert sind, klicken Sie auf Einstellungen:
  2. Klicken Sie auf „Neu“ um ein weiteres Profil anzulegen
  3. Geben Sie dem Profil einen aussagekräftigen Namen der das zusätzliche Zertifikat gut beschreibt
  4. Wählen Sie das vorher importierte neue Zertifikat aus.

Damit sollte für jedes Zertifikat ein Profil vorhanden sein. Diese werden dann automatisch passend zur Mailbox bzw. Absende-E-Mail-Adresse ausgewählt, wenn Sie eine Mail versenden.