Software::Security
Thunderbird 78 erhält integrierte E-Mail-Verschlüsselung
Mozillas E-Mail-Client Thunderbird soll 2020 mit eigener OpenPGP-Verschlüsselung ausgestattet werden, die die bisherige Erweiterung Enigmail überflüssig macht.
Mozilla
Bisher wird Verschlüsselung und digitale Signatur bei Thunderbird durch die Erweiterung Enigmail bereitgestellt. Nicht selten kam es in der Vergangenheit zu Versionskonflikten zwischen den beiden. Damit soll mit Thunderbird 78 im nächsten Jahr Schluss sein. Dann soll Thunderbird selbst mit PGP verschlüsseln, wie
im Mozilla-Blog zu lesen ist.
Hintergrund für den Abschied von Enigmail und anderen Add-ons ist Thunderbirds Übernahme von Mozillas neuer Erweiterungsarchitektur WebExtensions. Eine Anpassung von Enigmail an die neuen APIs käme dem Neuschreiben der Applikation gleich. Thunderbird 68, das noch bis zum Herbst 2020 unterstützt wird, ist die letzte Version des E-Mail-Clients, die Enigmail unterstützt. Als Ersatz plant das Thunderbird-Team eine integrierte Unterstützung für OpenPGP-Messaging zu entwickeln. Patrick Brunschwig, Entwickler von Enigmail, wird die Thunderbird-Entwickler dabei unterstützen.
Ziel ist, verschlüsselte und digital signierte E-Mails zu versenden, empfangene E-Mails zu entschlüsseln sowie die Richtigkeit der digital signierten E-Mails zu überprüfen. Diese Funktionalität soll auf sichere, kompatible und benutzerfreundliche Weise bereitgestellt werden. Da Thunderbird das GnuPG-Backend aus Lizenzgründen nicht bündeln kann, soll hier eine andere OpenPGP-Bibliothek zum Einsatz kommen. Während Thunderbird mit MPL 2.0 lizenziert ist, untersteht GnuPG der GPLv3+. Teile von Enigmail, die nicht mit GnuPG zusammenhängen, sollen aber beim Umbau weiter verwendet werden.
Thunderbird 78 will Optionen zur Migration vorhandener Schlüssel und Einstellungen bereitstellen, sodass für die Anwender ein möglichst nahtloser Übergang angeboten werden kann. Wichtige Teile der praktischen Umsetzung sind derzeit noch nicht geklärt, wie im Mozilla-Wiki nachzulesen ist. Demnach ist noch unklar, wie die Verwaltung der Schlüssel, der Schlüsselaustausch und der Umgang mit Schlüsselservern realisiert wird. Unklar ist zudem, ob das Modell des Web of Trust weiterhin das Vertrauen der Entwickler genießt.
){kind=logo}
