Daten- und Informantenschutz

Emails dauerhaft entschlüsselt speichern (mit den Enigmail-Filtern)

Wer regelmäßig und im Alltag mit verschlüsselten Emails kommuniziert (so wie ich), bemerkt irgendwann drei lästige Begleiterscheinungen:

  1. Man kann verschlüsselte Emails nicht durchsuchen
  2. Man muss beim Browsen der Emails ständig das Passwort eingeben
  3. Große Anhänge frieren das Emailprogramm für Sekunden oder Minuten ein

Dafür gibt es seit einigen Jahren in Thunderbird eine Lösung: 2014 hatte ich die Idee, dieses Problem mit Filtern zu lösen. Mit einem Crowdfunding und der Unterstützung von einigen Experten habe ich 2015 eine Implementierung in Enigmail organisiert. Mittlerweile werde ich in meinen Informantenschutz-Kursen öfters gefragt, wie man den Filter genau nutzt, deswegen hier ein Tutorial zu der eher unbekannten Option.

Sicherheitshinweis

Am Anfang ein wichtiger Hinweis: Das dauerhafte Entschlüsseln von Emails verringert auf hohem Niveau die Sicherheit. Es ist für externe Angreifer je nach genutzter Sicherheitslücke möglicherweise leichter, die unverschlüsselten Emails auf dem Computer direkt auszulesen als die Entschlüsselung über Kommandozeilenzugriff und Abfangen des Entschlüsselungs-Passworts durchzuführen. Da sollte jeder seinen Sicherheitsanspruch gegen die Bequemlichkeit abwägen. Die Entschlüsselungs-Filter sind vor allem für die Leute gedacht, die ihre Emails vorwiegend auf dem Transportweg sichern wollen. In Einzelfällen sollte man bei Emails mit besonders sensiblem Inhalt die entschlüsselte Kopie löschen – es bleibt ja die automatische Kopie im Backup.

Was sind Filter

Filter gibt es in den meisten Emailprogrammen. Das sind einfache Regeln, die normalerweise zur automatischen Organisation der Emails dienen. Bei der Installation von Enigmail (Version 1.8 oder höher) gibt es im Menü von Thunderbird unter Manage message filters je nach Version zwei bis drei neue Aktionen:

In Verbindung mit den übrigen Filterfunktionen kann man daraus natürlich beliebige Konstruktionen bauen, z.B. auch derart, dass nur bestimmte Emails dauerhaft entschlüsselt werden. Die erste Funktion würde ich gar nicht verwenden, da es immer besser ist, ein verschlüsseltes Original zu behalten. Ich habe folgende Filter eingerichtet:

  1. Alle verschlüsselten Emails taggen (damit sie auch im entschlüsselten Zustand noch farblich erkennbar sind)
  2. Eine entschlüsselte Kopie in einem neuen, künstlichen Eingangsordner anlegen (ich nenne ihn „Gefiltert“)
  3. Das verschlüsselte Original in einen Backup-Ordner verschieben (ich nenne ihn „PGP Backup“)
  4. Alle unverschlüsselten Emails in den neuen Eingangsordner verschieben (damit man dort alle Emails bequem lesen kann)

Der Filter wird immer ausgeführt, wenn neue Emails eintreffen. In unserer Inbox wird dann also keine Email mehr zu finden sein – der neue Posteingang, in dem ich die Emails lese ist also der Ordner „Gefiltert“.

Schritt für Schritt

Vorbereitungen

Zuerst legen wir einen neuen Tag mit dem Namen „PGP“ und einer schönen Farbe an.

Dann mit der rechten Taste auf das Email-Konto und einen neuen Ordner „Gefiltert“ unterhalb der Inbox anlegen. Außerdem einen Ordner „PGP Backup“ anlegen.

Der erste Filter

Dann mit der linken Taste auf das Konto und Manage message filters/New …. Dort legen wir folgende Felder an und speichern den ersten Filter:

Hinweis: Linux-Nutzer, die noch das ältere Enigmail 1.9.9 aus den Repositories beziehen, haben noch nicht die vorgegebene Matching-Option „OpenPGP is“. Sie müssen das matching manuell erstellen (Screenshot). Dabei beachten, dass man „Match any of the following“ wählt. Diese Details müssen manuell eingegeben werden:
-----BEGIN PGP MESSAGE-----
application/pgp-encrypted
Auch das Feld „Content-Type“ muss unter „Customize…“ manuell erstellt werden.

Der zweite Filter

Der zweite Filter wählt alle gerade getaggten Emails und entschlüsselt eine Kopie in den manuell angelegten Ordner „Gefiltert“:

Der dritte Filter

Der dritte Filter verschiebt das verschlüsselte Original in den Backup-Ordner:

Der vierte Filter

Und der vierte Filter verschiebt alle unverschlüsselten Nachrichten in den Ordner „Gefiltert“.

Reihenfolge ändern

Zum Abschluss müssen wir nur noch die Filter in die richtige Reihenfolge bringen.

Dann für den ersten Testlauf einfach mal eine Mail an sich selbst schreiben, danach kann man den Filter von der Filterverwaltung aus auch für den ganzen Posteingang durchführen lassen.

Leave a Reply