Thunderbird integriert Email-VerschlĂĽsselung mit OpenPGP
Zukünftig wird das Mail-Programm Thunderbird direkt mit PGP ver- und entschlüsseln können. Das bisher dazu eingesetzte Add-on EnigMail wird überflüssig.
Wer bisher seine E-Mails mit PGP verschlüsseln wollte, musste dazu meist eine Erweiterung installieren. Bei Mozillas Thunderbird war Enigmail das Add-on fürs Verschlüsseln, Signieren und die zugehörige Schlüsselverwaltung. Ab Thunderbird 78, das im Sommer 2020 erscheinen soll, stellt der Open-Source-Mailer diese Funktionen selbst bereit.
Der Umbau war notwendig geworden, weil Thunderbird seine Schnittstellen für Zusatzmodule grundsätzlich überarbeitet und Funktionen nicht mehr bereitstellen wird, die Enigmail für seine Arbeit benötigt. Ein Umbau auf das neue API hätte es erfordert, Enigmail von Grund auf neu zu schreiben, erklärt Enigmail-Maintainer Patrick Brunschwig. Enigmail wird deshalb nur noch mit der aktuellen Thunderbird-Version 68 funktionieren, die noch bis Herbst 2020 mit Updates versorgt wird. Danach ist Schluss – zumindest bei Thunderbird. Brunschwig will Enigmal zwar bis auf weiteres für den Mailer Postbox weiter pflegen; der ist allerdings kostenpflichtig.
Die PGP-Zukunft
Dafür soll Thunderbird ab Version 78 zukünftig selbst den OpenPGP-Standard umsetzen. Dabei wird man anders als Enigmail auch nicht auf GnuPG als Backend für die Krypto-Funktionen zurückgreifen. Das sei wegen Lizenzkonflikten nicht möglich, heißt es in Thunderbirds OpenPGP-Wiki, das den Stand der aktuellen Entwcklung dokumentiert. Man werde stattdessen für alle unterstützten Plattformen eine alternative OpenPGP-Bibliothek direkt mit Thunderbird ausliefern.
Das Kernproblem bei der Verschlüsselung ist die Verwaltung der benötigten Schlüssel. Wie Thunderbird das lösen will, ist derzeit noch weitgehend offen. So soll es zwar in Thunderbird 78 "wahrscheinlich" irgendwelche Funktionen zum Austausch von Schlüsseln über Mail-Anhänge und Interaktionen mit existierenden Keyservern geben. Doch welche das sein werden, steht noch nicht fest. Insbesondere ist unklar, ob man das indirekte Vertrauensmodell des Web of Trust weiterführen werde, erklärt das Thunderbird-Team. Das einzige, worauf sich die Entwickler da wirklich festlegen: Es soll eine einfache Möglichkeit geben, Schlüssel etwa nach einer Überprüfung des Fingerprints direkt das Vertrauen auszusprechen.
Der mit Thunderbird 78 kommende Neuanfang wird für viele eingefleischte PGP-Nutzer einiges an Problemen mit sich bringen. Denn insbesondere zu Beginn werden viele der gewohnten Funktionen nicht oder nur sehr reduziert zur Verfügung stehen. Auf der anderen Seite ist er eine große Chance, alte Konzepte auf den Prüfstand zu stellen und bei Bedarf durch bessere zu ersetzen. Es könnte die letzte große Chance sein, dass PGP-verschlüsselte E-Mail doch noch großflächig zum Einsatz kommt. (ju)