Zugegeben, ich war hier einige Jahre nicht aktiv. Bei diesem Thema gewinne ich nun den Eindruck, ich sei bei versteckte Kamera gelandet.
Folgen (bei alten PGP-Keys) des zwingenden MDC Integritätsschutz seit Enigmal 2.0.5
-
Hanisch -
22. Mai 2018 um 13:36 -
Geschlossen -
Unerledigt
-
-
Bei diesem Thema gewinne ich nun den Eindruck, ich sei bei versteckte Kamera gelandet.
Na, das wäre doch mal etwas. Obwohl das Ganze nicht zwangsläufig ein Einschaltquotenrenner wäre.
-
Das ist natürlich ganz große Sch..., wenn vieles nur mit dem Standard Theme funktioniert.
Hallo Ch.,
Du bist ein wahrer Meister von Kraftausdrücken und vorschnellen Schuldzuweisungen. Beschwere Dich in diesem Fall beim Autor des von Dir verwendeten Themes, falls es wirklich daran liegen sollte. Da ich das von hier aus nicht beweisen kann (und will), halte ich mich mit vorschnellen Schuldzuweisungen zurück.
Du bist hier inzwischen seit über acht Jahren mit bald 200 Beiträgen dabei und solltest deshalb zur Fehlersuche eigentlich den abgesicherten Modus kennen:
Der "Abgesicherte Modus" (Safe-Mode) ist eine Art Notfall-Modus, in dem man ein Thunderbird-Profil vorübergehend frei von fremden Themes und Erweiterungen und ohne die (teilweise problematische) Hardwarebeschleunigung starten kann. Das ist sehr hilfreich, wenn Sie ein defektes Theme oder eine defekte Erweiterung suchen, die eine Fehlfunktion des Programms verursacht oder sogar den Start des Programms verhindert.
Thunderbird und Mozilla sind da unschuldig.
Bei diesem Thema gewinne ich nun den Eindruck, ich sei bei versteckte Kamera gelandet.
Das geht mir langsam genauso.
Gruß Ingo
-
Hallo zusammen,
Hallo Ch.,
Du bist hier inzwischen seit über acht Jahren mit bald 200 Beiträgen dabei und solltest deshalb zur Fehlersuche eigentlich den abgesicherten Modus kennen:
Der "Abgesicherte Modus" (Safe-Mode) ist eine Art Notfall-Modus, in dem man ein Thunderbird-Profil vorübergehend frei von fremden Themes und Erweiterungen und ohne die (teilweise problematische) Hardwarebeschleunigung starten kann. Das ist sehr hilfreich, wenn Sie ein defektes Theme oder eine defekte Erweiterung suchen, die eine Fehlfunktion des Programms verursacht oder sogar den Start des Programms verhindert.
da würde ich aber doch zu bedenken geben, daß Enigmail (wie alle Addons) und safe-mode sich ausschließen.
Gruß, muzel
-
Praktikabel ist einzig und allein ein neues enigmail 2.0.x gemäß meinem Vorschlag aus Posting #19.
Hallo Ch.,
hast Du das dem Entwickler mitgeteilt? Was hat er geantwortet?
Gruß Ingo
-
Hallo,
Praktikabel ist einzig und allein ein neues enigmail 2.0.x gemäß meinem Vorschlag aus Posting #19.
Hallo Ch.,
hast Du das dem Entwickler mitgeteilt? Was hat er geantwortet?
Gruß Ingo
Ja, seine Antwort war totale Ignoranz:
Code
Alles anzeigenI explained everything in the following thread, and I have nothing more to say to it. https://sourceforge.net/p/enigmail/forum/announce/thread/2905e54a/ The next version of Enigmail will contain a fix that allows to work around this by re-encrypting your email with a new (or updated) key. -Patrick On 26.05.18 23:19, Dr. Hanisch wrote:Code
Alles anzeigenHello, the new enigmail 2.0.5 can't decrypt my old e-Mails sending without MDC (my PGP-Key is very old) and ends with /Fehler - Nachricht enthält keinen Integritgätsschutz (MDC)/ *A warning*, with your own public key gpg --edit-key 0xYourKeyId setpref save necessarily update and then distribute to the partners - instead of the current error message with brutal demolition - *would be useful in my opinion.* This gives the user the freedom again to behave according to the warning instead of simply excluding it. If the user behaves according to this warning, everything will be fine again in the future. So why rape the user like that? Please make a WARNING instead the Error and exit.Gruß
Ch. Hanisch
-
Ich denke, ich verabschiede mich jetzt aus diesem Thema. Es scheint mir ein endloses, um nicht zu sagen hoffnungsloses, Unterfangen zu werden. Ein paar letzte Anmerkungen vielleicht noch.
- Eine so komplizierte Prozedur, wie von Hanisch geschildert, ist nicht nötig.
- Dass die Signatur verloren geht, liegt auf der Hand. Das passiert beim dauerhaften Entschlüsseln. Schließlich wird die E-Mail dabei verändert.
In der Praxis spielt das keine Rolle, denn die Echtheit der E-Mail wurde ja bereits zuvor festgestellt. - Die Verschlüsselung der Betreffzeile ist eine Option in Enigmail 2. Nicht erst in der 2.0.6. Es ist eine Option, kein Muss und selbstverständlich konfigurierbar. So weit ich mich erinnere, ist diese Funktion standardmäßig aus, weil nicht alle Mailclients damit umgehen können. Das hieße, Hanisch hätte das selbst aktiviert und findet jetzt den Ausknopf nicht.
- Der Entwickler hat mitgeteilt, dass er aufgrund von Efail und, nicht zu vergessen, ähnlichen Vorgängern nicht plant, weiterhin Verschlüsselungen zu akzeptieren, die nicht MDC-konform sind. Siehe Beiträge #13 und #17.Zitatand in the light of the severe weaknesses that have been discovered, it's about time to enforce it. We (the OpenPGP community) should have done this already many years ago.
Recht hat er! Gern sei nochmals erwähnt, dass "Many years" hier 17 Jahre heißt! Irgendwann muss doch einmal Schluss sein mit dem alten - Entschuldigung - Mist.
Einen Button "Ja, ich bin mir der Gefahr bewusst. Trotzdem entschlüsseln." wird es deshalb Stand heute wohl nicht geben. - Wer Mailpartner hat, die noch Verschlüsselungsverfahren ohne MDC verwenden, sollte diese darauf hinweisen und sie bitten, ein neues Schlüsselpaar zu erstellen. Ich würde damit rechnen, dass jemand, der auf Verschlüsselung Wert legt, damit überhaupt kein Problem hat. Wenn er es nicht schon längst erledigt hat.
Ich sehe gerade ein Update im Thema:
Ja, seine Antwort war totale Ignoranz:
Hier von Ignoranz zu sprechen ist meiner Meinung nach eine Frechheit. Patrick hat dich nicht ignoriert sondern hat dir geantwortet. Das ist das Gegenteil von Ignoranz. Außerdem hat er seine Entscheidung nachvollziehbar begründet. Dass sie sich nicht mit deinen Wünschen deckt, gibt dir längst nicht das Recht, hier von Ignoranz zu sprechen.
Dein unsachliches Gemotze passt ins Schema deiner bisherigen Beiträge, von denen ich gestern noch einige gelesen habe. Es zieht sich wie ein roter Faden durch die Jahre. Du sprichst gern vorschnell von Bugs und weist anderen damit eine Schuld zu. Dabei hast du dich fast immer (und immer wieder) selbst in die Fehlersituation gebracht. Einsicht? Fehlanzeige!
-
Um das Thema vielleicht zu einem Abschluss zu bringen, siehe den Hinweis von graba hier: GnuPG verschärft Integritäts-Checks
Damit ist Enigmail nicht mehr beteiligt.
-
N'ahmd in die Runde,
ich beschreibe mal ganz kurz wie es mir geht: Ich nutze TB seit vielen Jahren, GnuPG und Enigmail ebenfalls, Mein Key ist mehr als 20 Jahre alt. Verschlüsselung benötige ich nur ganz, ganz selten will diese Möglichkeit aber haben. Was ich lange nicht wußte: Mit der Installation von Enigmail werden automatisch die Entwürfe der eMails ebenfalls verschlüsselt gespeichert. Merkt man erst, wenn man lange an einer Mail schreibt und zwischendurch TB geschlossen wird, ein Update eingespielt wird etc. OK, Passphrase eingeben und alles ist wieder schick.
Nicht mehr so seit Enigmail 2.0.5. Ich bin zwar selbst Informatiker (aber seit mehr als 10 Jahren raus) und denke schon, daß ich den Thread verstanden habe. Ich habe ca. 20-25 Mails in den Entwürfen stehen. Von jetzt auf gleich bekomme ich nichts mehr davon geöffnet weil kein MDC...
SO geht es einfach nicht! Ich empfinde das als Sabotage. Ich habe nie irgendwo eingestellt, daß meine gespeicherten Entwürfe zu verschlüsseln sind. Aber OK, Passphrase eingeben kann ich noch. Aber daß von heute auf morgen aufgrund eines Versions-Updates eines Add-Ons alles verschwindet ist eine Sauerei. Ohne Warnung, ohne Frage ob man das will oder nicht. Das ist so was von unprofessionell - da fällt mir nichts mehr ein. Insofern verstehe ich Ch nur mehr als gut.
In meinem Fall ist es die Vernichtung von vielen Stunden Arbeitszeit und dafür zolle ich den Entwicklern ganz sicher keine Anerkennung. Ich habe mehr als 30 Jahre lang Software entwickelt und weiß sehr genau wovon ich hier spreche.
Was ich hier sehe ist einfach nur Ignoranz. Wir haben neue Erkenntnisse/Verfahren. Das ist ok. Aber die Umsetzung ist grottenschlecht. Wie bitte sollen denn z.B. nicht ITler mit so was umgehen können? Menschen, die einfach ihre Mails verschlüsseln wollen ohne IT-Gurus sein zu müssen. Die haben keine Chance und damit ist die ganze Entwicklung ad absurdum geführt. Wie weiter oben schon gesagt: Enigmail ist ein absolutes Nischenprodukt. So kickt man es in das totale Aus. Richtig wäre, es so komfortabel und vor allem verständlich zu machen, daß es jeder anwenden kann. Und genau DAS war ja auch der ursprüngliche Ansatz. Der war richtig, der war sinnvoll, der war nützlich.
Bei keinem Update kam irgendeine Warnung, kein Hinweis, daß man aktiv werden müßte weil dieses weil jenes. Es hat einfach nur gekracht. Wie krank ist das denn?
Das macht das gesamte Anliegen kaputt. Und das ist unendlich schade und traurig, denn es steckt viel Arbeit, viel Zeit und viel Engagement in dem ganzen Projekt. Denn die Zielrichtung von Enigmail war stets dem TB-Nutzer eine komfortable Möglichkeit zur Verschlüsselung zu bieten. Wenn man das mit dem Verlust des eigenen Archivs oder - wie in meinem Fall - mit dem aktuellen Arbeitsstand bezahlt ist das schon heftig.
Steinigt mich dafür - es ist so nicht tragbar. Je eher es begriffen wird umso besser.
--
Jörg
-
Dass du dich ärgerst, verstehe ich. Wäre ich betroffen, würde ich mich auch ärgern.
Ich habe jedoch kein Verständnis dafür, wenn jemand die Schuld ausschließlich bei anderen sucht und die eigenen Versäumnisse so gar nicht reflektiert.
In meinem Fall ist es die Vernichtung von vielen Stunden Arbeitszeit
Kurzform: Die Mails lassen sich entschlüsseln. Wie das geht, ist weiter oben beschrieben. Beachte Beitrag #69 falls du auch GnuPG upgedatet hast.
Das ist mit etwas Aufwand verbunden. Ich schätze, es wird etwa so lange so dauern wie du für das Dampfablassen hier benötigt hast.
-
Vermutlich hätte man seitens der PGP-Szene über Jahre hinweg aktiver für MDC und entsprechend neu erstellte Schlüssel werben müssen, damit es nicht zum großen Knall gekommen wäre.
-
Thunder
13. Juli 2018 um 20:40 Hat den Titel des Themas von „Was ist los mit enigmal 2.0.5“ zu „Folgen (bei alten PGP-Keys) des zwingenden MDC Integritätsschutz seit Enigmal 2.0.5“ geändert. -
Ja, rückschauend betrachtet hat die Community viel zu lange gewartet und es aufgrund von efail jetzt im Eilverfahren durchgezogen. Ich meine die Zitate von Patrick und Werner zeigen, dass auch sie das ähnlich sehen. Etwas mehr Zeit für die Anwender und ein großer, roter Warnhinweis wären vielleicht gut gewesen.
Andererseits war die "Publicity" wegen des Efail-Hypes sehr hoch. Fast jede IT-Seite hat darüber berichtet, auch darüber, dass seitens des GnuPG und Enigmail aber im Thunderbird darauf reagiert wird.
-
Moinsen,
es geht/ging mir nicht ums "Dampf ablassen" - auch nicht um die inhaltliche Frage nach dem ganzen sondern um das "wie". Es gibt tatsächlich Menschen, welche die Dinge einfach nur benutzen. Es geht darum, mit welcher Gedankenlosigkeit und ja, auch Arroganz, hier Änderungen an Software vorgenommen werden ohne sich auch nur im geringsten darum zu scheren welche Auswirkungen es beim Anwender hat.
Deshalb auch die Länge des Beitrages oben. Ich werde ganz sicher nicht Stunden um Stunden darauf verwenden, irgendwie die Mails und vor allem Entwürfe wieder her zu stellen. Einiges habe ich bereits versucht - war aber alles erfolglos und ich nehme meinerseits ganz arrogant in Anspruch, daß ich nicht total unbedarft bin.
Ich arbeite seit mehr als 10 Jahren in einem völlig anderem Bereich. Von MDC und Efail habe ich erst erfahren als ich plötzlich nicht mehr an meine eigenen Sachen kam. Ohne Warnung, von jetzt auf gleich, Sorry - es gibt auch User, die sich nicht den ganzen Tag mit IT beschäftigen und an denen geht das, was hier läuft, komplett vorbei. Ergo Konsequenz: Enigmail und wahrscheinlich auch GnuPG fliegen vom Rechner.
Ich bin mir sicher, viele andere, die sich nicht hier oder in anderen Foren zu Wort melden werden ähnlich frustriert sein und gleiche Entscheidungen treffen. Den Überwachungsstaat wird es freuen.
Last not least: Ich weiß, daß Ihr Euch hier sehr bemüht und die ganze Sache nicht zu verantworten habt. Dafür danke an alle hier.
-
es geht/ging mir nicht ums "Dampf ablassen" -
Ich bin sicher, nahezu jeder Leser wird, wie auch ich, volles Verständnis für deinen Ärger haben.
Ich selbst begrüße zwar ausdrücklich den längst überfälligen Schritt hin zu MDC, stimme dir aber zu, dass die so kurzfristige, harte Umstellung dem einen oder anderen Probleme schafft.
Die einzige Möglichkeit, die wir hier im Forum haben, deine Frustration etwas zu lindern, wäre die, dir Hilfestellung bei der Entschlüsselung der alten Mails zu geben. Die "verlorenen" Entwürfe, die dich mehrere Stunden Arbeit gekostet haben, wären vermutlich in weniger als 15 Minuten entschlüsselt.
Genau das möchtest du nach deinen eigenen Worten aber gar nicht!
Stattdessen hast du nun zwei Artikel geschrieben, in denen du namentlich bekannten Menschen öffentlich Vorwürfe machst und sie als arrogant und ignorant bezeichnest. Das gehört sich meiner Meinung nach nicht, schon gar nicht für einen gebildeten Menschen.
Wenn du also selbst keine Hilfe möchtest, darf man sich fragen, welchen Sinn diese Beiträge haben, wenn nicht den des "Dampfablassens".
Ich bin mir sicher, viele andere, die sich nicht hier oder in anderen Foren zu Wort melden werden ähnlich frustriert sein und gleiche Entscheidungen treffen.
Diese anderen gibt es. Man findet entsprechende Beiträge im Internet. Viele sind es nach meinem Dafürhalten nicht. Von den ohnehin wenigen Benutzern sind schließlich wiederum nur wenige überhaupt betroffen.
Ein echter Schaden sollte auch nicht auftreten. Die Mails lassen sich entschlüsseln. Das erfordert etwas Aufwand, aber ein Diplom in Informatik ist dazu nicht erforderlich.
-
N'ahmd,
kurze Antwort:
ZitatStattdessen hast du nun zwei Artikel geschrieben, in denen du namentlich bekannten Menschen öffentlich Vorwürfe machst und sie als arrogant und ignorant bezeichnest. Das gehört sich meiner Meinung nach nicht, schon gar nicht für einen gebildeten Menschen.
kann man darüber streiten - aber egal. Wenn ich mit meiner Entscheidung die Arbeit einer unbekannten Zahl anderer Menschen quasi vernichte ist das für mich ignorant. Sorry, aber sehe ich nach wie vor so. Wenn das ohne Warnung geschieht umso mehr.
ZitatWenn du also selbst keine Hilfe möchtest, darf man sich fragen, welchen Sinn diese Beiträge haben, wenn nicht den des "Dampfablassens".
genau den, daß das in Zukunft nicht mehr passiert und ein Umdenken einsetzt. Ist das so schwer zu verstehen? Wem wäre eine Perle aus der Krone gefallen wenn man vorher kommuniziert hätte: he, aus den und den Gründen stellen wir um auf xyz. Das hat diese und jene Konsequenzen und du kannst dieses und jenes tun und für dich entscheiden. Nein! WIR entscheiden selbstherrlich für alle... DAS ist es was ich meine.
Um es noch mal klar zu sagen: Warum ist Enigmail überhaupt entstanden? Dafür, daß auch nicht so sehr IT-affine User ihre Privatsphäre schützen können. Das ist gut, das ist richtig, das ist wichtig. Dafür gebührt dem Entwickler Dank und Anerkennung. Sehe ich auch jetzt nicht anders. Aber wenn man so was in die Welt entläßt hat man auch Verantwortung für sein "Baby". Ein klein wenig Achtsamkeit hätte geholfen....
Ich wäre den Weg zu MDC mitgegangen - ohne Probleme. Wenn es denn in etwa so kommuniziert worden wäre wie man es jetzt hier irgendwie aufzuräumen versucht. Ich denke, es gibt noch viele andere User die ebenso frustriert sind wie ich - aber keine Äußerungen ablassen.
-
Du benimmst dich wie jemand, der seiner Vertragswerkstatt die Schuld am Dieselskandal gibt. Obwohl du weißt, dass die Mechaniker daran nicht Schuld sind sondern oftmals selbst Betroffene.
daß das in Zukunft nicht mehr passiert und ein Umdenken einsetzt.
Mit diesem Anliegen bist du hier völlig falsch. Damit müsstest du dich an die Entwickler wenden. Die Foristen hier sind nur Mechaniker und gehören nicht einmal einer offiziellen Vertragswerkstatt an.
Sag' nicht, das hättest du nicht gewusst. Das wäre etwas unglaubwürdig.
Für einen Informatiker sind die Beiträge oben sehr unsachlich. Einige deiner Punkte entsprechen überhaupt nicht den Tatsachen.
So entspricht es nicht der Wahrheit, dass die E-Mails quasi vernichtet wurden, denn die Entwürfe lassen sich innerhalb weniger Minuten wieder entschlüsseln.
Dennoch verbreitest du das wieder und wieder, obwohl du weißt, dass es nicht stimmt. An dieser Art Diskussion möchte ich mich nicht weiter beteiligen.
Ich wäre den Weg zu MDC mitgegangen - ohne Probleme
Dazu hättest du lediglich irgendwann in den letzten Jahren ein neues Schlüsselpaar erstellen müssen. Ganz normal mit den Standardeinstellungen. Aus diesem Grund sind auch nur relativ wenige Benutzer betroffen. Wer in den letzten Jahren mit GnuPG begonnen oder seine Schlüssel erneuert hat, der sollte kein Problem haben.
Dein Schlüsselpaar hingegen ist mehr als 20 Jahre alt und damit älter als der Thunderbird und Enigmail. Viele Verfahren wurden in dieser Zeit gebrochen. Manche sind längst obsolet.
Einem Informatiker sollte man nicht erläutern müssen, dass 20 Jahre in der IT und gerade auch in Sachen Verschlüsselung eine Ewigkeit sind.
-
Ich mache den "Zirkus" rund um die IT-Sicherheit ja nun auch schon seit rund 20 Jahren mit, ohne ein ausgewiesener Experte zu sein. Was mir über die Jahre immer wieder mal auffällt, ist das gelegentlich überstürzte Handeln (und das dann teilweise nach einer Phase des vorherigen Aussitzens) bei Bekanntwerden von Sicherheitslücken. Daran sind meiner Meinung nach manchmal auch indirekt die Medien mit schuld, da diese mit teils übertriebener Panikmache die Entwickler dann über das verängstigte Feedback der User "nötigen". Dann hat man den Salat.
In der aktuellen Problematik rund um EFail und Enigmail kann ich mir vorstellen, das womöglich irgendwelche Firmen ein vorübergehendes Problem haben, wenn diese bisher mit Ihren Partnern schon lange (mit alten Schlüsseln) und viel PGP-verschlüsselt kommuniziert haben (...kaum vorstellbar...) und nun plötzlich nur mit Schwierigkeiten auf die Mails zugreifen können. Da steht man erstmal vor einem wirklich ernsten Problem, bis man die notwendige Umwandlung mit neuen Schlüsseln vorgenommen hat - wenn man es denn hin bekommt.
-
Was mir über die Jahre immer wieder mal auffällt, ist das gelegentlich überstürzte Handeln (und das dann teilweise nach einer Phase des vorherigen Aussitzens) bei Bekanntwerden von Sicherheitslücken.
Das ist gewiss richtig. Man erkennt in diesem Fall sogar beide Phasen recht gut.
Zunächst das Aussitzen über viele Jahre, einerseits durch die Community, die sich nicht einigen konnte oder wollte, etwas hart durchzusetzen, andererseits aber auch Aussitzen durch uns Anwender, die sich nicht ausreichend darum gekümmert haben.
Vielleicht wäre es anders verlaufen, wenn die Presse den efail-ähnlichen Angriffen bereits vor Jahren mehr Aufmerksamkeit geschenkt hätte, ohne gleich ein Untergangsszenario zu erzeugen. Aber damals gab es noch keinen Snowden und auch weniger IT-Sensationsjournalismus.
Die übertriebene Inszenierung durch die Presse hat sicher eine Rolle gespielt. Gerade in den ersten Stunden und Tagen waren auch Falschnachrichten darunter, weil die Artikel von Journalisten stammten, die nicht über ausreichend Fachkenntnis verfügten.
In der aktuellen Problematik rund um EFail und Enigmail kann ich mir vorstellen, das womöglich irgendwelche Firmen ein vorübergehendes Problem haben, wenn diese bisher mit Ihren Partnern schon lange (mit alten Schlüsseln) und viel PGP-verschlüsselt kommuniziert haben (...kaum vorstellbar...) und nun plötzlich nur mit Schwierigkeiten auf die Mails zugreifen können.
Zumindest in größeren Firmen mit einer professionellen IT kann dieser Fall eigentlich nicht eintreten, weil Updates nicht unkontrolliert und ohne vorherige Prüfung und Genehmigung ausgerollt werden dürfen. Siehe zum Beispiel ITIL und das zugehörige Change Management.
-
Zumindest in größeren Firmen
Ich denke da eher an den Mittelstand. Aber letztlich ist das hier auch nicht das zentrale Problem/Thema, wen nun genau davon betroffen ist bzw. sein könnte.
