Um nun verschlüsselte Mails austauschen zu können, braucht es den öffentlichen Schlüssel des jeweiligen Empfängers, in diesem Fall den von Sam. Es gibt verschiedene Wege für den Austausch der Schlüssel.

Man kann seinen Schlüssel zum Beispiel im Netz veröffentlichen, auf einem sogenannten Schlüsselserver. Dazu öffne ich über den Reiter Open PGP den Bereich Schlüssel verwalten und klicke dann auf den neuen Reiter Schlüssel-Server. Dort gibt es die Option Schlüssel hochladen. Nach dem Upload kann jeder PGP-Nutzer meinen öffentlichen Schlüssel finden und mir sofort eine verschlüsselte Nachricht zukommen lassen. Die Suche funktioniert über denselben Weg wie das Hochladen: Man öffnet die Schlüsselverwaltung und wechselt dann über den Reiter Schlüssel-Server zu Schlüssel suchen. Hier muss man nur den Namen der Person eingeben, deren Schlüssel man sucht. Da es durchaus denkbar ist, dass sich ein Betrüger als jemand anderes ausgibt und einen Schlüssel in dessen Namen erstellt und hochgeladen hat, ist dieser Weg nicht ganz ohne Risiko. Um dieses Risiko zu mindern, gibt es aber die Möglichkeit, Schlüssel zu signieren: Person A signiert den Schlüssel von Person B, wenn sie Person B vertraut. Die Signatur ist öffentlich, so dass Person C sieht, dass Person B vertrauenswürdig ist. Web oft Trust heißt das Prinzip.

Der dritte Weg ist, jemanden einfach in einer unverschlüsselten Mail nach seinem Schlüssel zu fragen und am besten den eigenen gleich mitzuschicken. Das funktioniert über den Reiter OpenPGP (oben in Thunderbird, nicht im Fenster der neuen E-Mail) und einen Klick auf Meinen öffentlichen Schlüssel anhängen. So tauschen Sam und ich unsere Schlüssel, denn schließlich sitzen wir nebeneinander und sehen, dass es wirklich wir beide sind, die sich gerade schreiben. Um seinen öffentlichen Schlüssel nutzen zu können, muss mich ihn importieren. Das geht zum Beispiel durch einen Rechtsklick auf den als Anhang mitgeschickten Schlüssel, woraufhin sich die Option OpenPGP-Schlüssel importieren anbietet.

Enigmail Schlüssel anhängen © Patrick Beuth / ZEIT ONLINE

Den eigenen geheimen Schlüssel findet man außerhalb von Thunderbird nicht so einfach. Man kann ihn aber in einen beliebigen Ordner exportieren und dann zum Beispiel auf einen USB-Stick ziehen, um ihn auch außerhalb des Rechners aufzubewahren. Das funktioniert in der Schlüsselverwaltung über einen Rechtsklick auf den eigenen Schlüssel, dann das Feld In Datei exportieren und schließlich die Option Geheime Schlüssel exportieren.

Nachdem Sam und ich die Schlüssel getauscht haben, machen wir eine Reihe von Tests: Kann der andere eine verschlüsselte Mail lesen? Kann er verschlüsselte Anhänge entschlüsseln? Ist die Mail außerhalb von Thunderbird, also zum Beispiel auf dem Smartphone oder bei Gmail, unleserlich? Das muss sie nämlich sein, weil auf dem Smartphone kein privater Schlüssel liegt – gleichzeitig ist das im Alltag natürlich unpraktisch. Die Versuche verlaufen allesamt erfolgreich. Nun kann ich mich auf die Suche nach weiteren Menschen machen, mit denen ich Schlüssel tauschen und dann vertraulich kommunizieren kann.

Der Alltag mit Enigmail

Die Einrichtung mag kompliziert sein, aber das Versenden und Empfangen von verschlüsselten Mails ist es nicht. Das gilt auch für E-Mail-Anhänge. Ich habe jedenfalls großen Gefallen daran gefunden und will es künftig so häufig wie möglich tun. Es fühlt sich einfach gut an zu wissen, dass mit Ausnahme des Empfängers wirklich niemand lesen kann, was ich schreibe. Außerdem ist es sinnvoll, möglichst viele Mails zu verschlüsseln. Denn hundert verschlüsselte Mails sind Alltag, nur zwei verschlüsselte zwischen hundert unverschlüsselten fallen einem eventuellen Beobachter auf.

Wer verschlüsselt und gleichzeitig anonym kommunizieren will, muss – wie im ersten Teil beschrieben – einen E-Mail-Account wählen, der nichts über seine Person verrät. Denn die Headerdaten, also Absender, Empfänger, Betreffzeile und einige andere Informationen werden auch mit OpenPGP nicht verschlüsselt und sind deshalb von Dritten unter Umständen lesbar.