Achtung, diese Anleitung gilt nur bis Thunderbird kleiner als Version 78.0.0 denn für aktuellere Versionen ist Enigmail nicht mehr verfügbar. Ich werde ein Update nachreichen wenn das jetzt eingebaute OpenPGP einen fortgeschrittenen Eindruck macht was derzeit nicht der Fall ist.
GNU Privacy Guard (GnuPG) ist ein Kryptographiesystem was zum Verschlüsseln, Entschlüsseln und der Erzeugung und Verifizierung von Signaturen von Daten dient. Das Open-Source-Emailprogramm Thunderbird bietet mit der Erweiterung Enigmail eine gute Grundlage um sowohl den Yubikey leicht einzurichten als auch für den späteren Gebrauch der Smartcard als Kryptografiesystem für Email.
Zunächst einmal muss Enigmail installiert werden. In Thunderbird kann man unter Extras → Addons nach Addons suchen und installieren. Nachdem Thunderbird mit aktiven Enigmail gestartet ist wird der Yubikey in einen freien USB-Port gesteckt. In der Konsole kann man dann überprüfen ob der Yubikey richtig erkannt wurde:
$ gpg --card-status Reader ...........: 1050:0116:X:0 Application ID ...: D2760001240102000006073265510000 Version ..........: 2.0 Manufacturer .....: Yubico Serial number ....: 06353846 Name of cardholder: [not set] Language prefs ...: [not set] Sex ..............: unspecified URL of public key : [not set] Login data .......: [not set] Signature PIN ....: forced Key attributes ...: rsa2048 rsa2048 rsa2048 Max. PIN lengths .: 127 127 127 PIN retry counter : 3 3 3 Signature counter : 0 Signature key ....: [none] Encryption key....: [none] Authentication key: [none] General key info..: [none]
Unter Enigmail → Smardcard verwalten kann man den Yubikey bearbeiten und seine persönlichen Daten eingeben – unter Smartcard findet sich ein Menupunkt „Daten bearbeiten“. Im gleichen Pull-Down-Menu findet sich auch der Menupunkt „Schlüssel erzeugen“
Dann öffnet sich ein neues Fenster und man kann Passwort und dann auf Schlüssel erzeugen gehen. Das Ganze dauert eine Weile aber man wird benachrichtigt. Nachdem der Schlüssel angelegt ist wird man im weiteren Verlauf gefragt ob man ein Widerrufszertifikat anlegen möchte und das wollen wir. Dieses Zertifikat wird an einer sicheren Stelle deponiert. An dieser Stelle kann man auch eine neue PIN vergeben. Wenn man das erste Mal nach der PIN gefragt wird so ist die Standard-PIN für den Besitzer 123456 und den Administrator 12345678 und das sind die Mindestlängen der PINs für den Yubikey.
Nun ist der Yubikey im Prinzip einsatzbereit. Der GnuPG-Schlüssel sollte jedoch noch auf den Key-Server hoch geladen werden um den öffentlichen Schlüssel zu teilen. Dies kann man z.B. mit KGpg machen aber auch mit jedem anderen GPG-Tool.
Wer den Yubikey auch für die Authentifizierung von ssh einsetzen möchte findet hier eine entsprechende einfache Anleitung und wie man den Schlüssel und den Fingerprint zum Veröffentlichen ermittelt erkläre ich hier.
2 Gedanken zu „Einen Yubikey mit Enigmail/Thunderbird für GnuPG einrichten“
Kommentare sind geschlossen.