Folgen (bei alten PGP-Keys) des zwingenden MDC Integritätsschutz seit Enigmal 2.0.5

    Hallo,

    Zitat von Thunder

    Ich würde somit das Wort "überflüssig" so nicht stehen lassen wollen - auch wenn irgendwas bei den Versuchen im Moment noch nicht funktioniert.

    Gottlob funktioniert dieser Filter 2 nicht, denn sonst hätte man laut Filter-Protokoll sämtliche e-Mails (verschlüsselte und unverschlüsselte) im betreffenden Ordner nun verschlüsselt.

    Das wäre eine Katastrophe.

    Wenn überhaupt, dann sollte die Verschlüsselung nur auf jeweils eine markierte e-Mail angewendet werden.

    Ich habe mir bei den Experimenten meinen IMAP-Posteingang total zermüllert. Dort wimmelt es nun von Kopien aller vorher verschlüsselten e-Mails (ich habe irrtümlich den Filter 1 mehrmals aufgerufen).

    Das zu bereinigen ist ein unzumutbarer Aufwand. Zumal man um die Aktualisierung und Verteilung des öffentlichen Schlüssels an alle Partner nicht umhin kommt.

    Eingimal 2.0.6 ist derzeit eine große Gefahr und sollte unbedingt auf meinen Vorschlag aus meinem Posting #19 zurückgeführt werden:

    Code
    Eine Warnung, den eigenen öffentlichen Schlüssel mit

gpg --edit-key 0xYourKeyId setpref save

unbedingt zu aktualisieren und dann an die Partner zu verteilen - statt der derzeitigen Fehlermeldung - wäre meiner Meinung nach zielführend.

    So wie jetzt geht es auf gar keinen Fall.

    Gruß

    Ch. Hanisch

    Einmal editiert, zuletzt von Hanisch (30. Mai 2018 um 11:54)

    Zitat von Hanisch

    Eingimal 2.0.6 ist derzeit eine große Gefahr

    So langsam sollte es doch mal gut sein. Das Theater zieht sich jetzt schon über drei Seiten und grenzt inzwischen schon an üble Nachrede.

    Enigmail 2.0.6 ist sicherer als die Versionen 1.9.x , weil es die Ausnutzung von Efail erschwert, nach derzeitigem Stand in Kombination mit Thunderbird 52.8 sogar verhindert.

    Die Lösung für das Problem, uralt E-Mails weiterhin entschlüsseln zu können, wurde vor bereits fast einer Woche gegeben. Das Verfahren wurde seitens Enigmail sogar insofern erleichtert, als dass man es auf auf ganze Ordner anwenden kann. Dafür sollte man den Entwicklern eher einen Dank aussprechen.

    Das hier geschilderte Chaos in den Mails hat seine Ursache in der falschen Anwendung der Filter durch den Benutzer. Das hat nichts mit Enigmail zu tun. Mit einem falsch eingerichteten Filter zum Kopieren oder Verschieben wäre ein ähnliches Durcheinander angerichtet worden.

    Wie Thunder schrieb, sollte man das Entschlüsseln in den Posteingang vermeiden. In jedem Fall dann, wenn es sich um ein IMAP-Konto handelt. Das würde die Idee der Verschlüsselung ad absurdum führen.

    Ratsamer ist es, für das Verfahren zwei Filter und zwei verschiedene lokale Ordner anzuwenden. In einem Order werden im ersten Schritt die entschlüsselten Kopien gespeichert, im anderen dann, in einem zweiten Schritt, die neu verschlüsselten E-Mails.

    Der mehrfach geäußerten Empfehlung, weiterhin Enigmail 1.9.x zu benutzen, muss deutlich widersprochen werden. Das ist kein guter Ratschlag.
    Ratsam ist vielmehr die Verwendung von Schlüsselpaaren, welche MDC unterstützen, so wie es seit vielen Jahren von GnuPG standardmäßig verwendet wird.


    Hallo,

    Zitat

    Ratsamer ist es, für das Verfahren zwei Filter und zwei verschiedene lokale Ordner anzuwenden. In einem Order werden im ersten Schritt die entschlüsselten Kopien gespeichert, im anderen dann, in einem zweiten Schritt, die neu verschlüsselten E-Mails.

    Schön wenn das funktionieren würde.

    Aber siehe mein Posting #39, wonach der zweite Filter gottlob nicht funktioniert.

    Die vorgesehene Lösung ist nicht nur äußerst umständlich, sondern auch durch unbeabsichtigte fehlerhafte Anwendung gefährlich.

    Gleich ganze Ordner in die Aktion mit einzubeziehen halte ich für keine gute Idee. Und die Mehrfachausführung sollte auch unterbleiben.

    Ich kann narürlich nicht gegen diesen Schwachsinn ankommen und werde wohl bei enigmail 1.9.9 bleiben müssen.

    Ich generiere mir auch nicht jedes Jahr ein neues Schlüsselpaar, um mir weitere PGP-Passwörter zu merken und den Key-Server mit verfallenen Schlüsseln voll zu müllen.

    In meinem IMAP Postfach und anderen lokalen Ordnern liegen unzählige verschlüsselte e-Mails auf verschiedenen Rechnern.

    Da kann ich nicht wegen enigmail 2.0.6 diese gewagten Aktionen durchführen und ein Chaos riskieren.

    Ich vermute, Ihr seid von dem Problem selbst nicht betroffen und diskutiert hier theoretisch aus prinzipiellen Erwägungen heraus, ohne den unbedarften User vordergründig zu berücksichtigen.

    Jedenfalls trägt die Zumutung von enigmail 2.0.6 gewiß nicht zur gewünschten Verbreitung von PGP bei.

    Allein die Aktualisierung meines öffentlichen Schlüssels, um die MDC-Fähigkeit hinzuzufügen, würde das Problem für die Zukunft lösen.

    Gruß

    Ch. Hanisch

    Einmal editiert, zuletzt von Hanisch (30. Mai 2018 um 16:57)

    Zitat von Hanisch

    Ich habe mir bei den Experimenten meinen IMAP-Posteingang total zermüllert. Dort wimmelt es nun von Kopien aller vorher verschlüsselten e-Mails (ich habe irrtümlich den Filter 1 mehrmals aufgerufen).

    Hallo Ch. :)

    weil Du offenbar mit zu viel Schaum vor dem Mund die wohl gemeinte Hilfestellung nicht (richtig) gelesen hast:

    Zitat von Thunder

    In dem Ordner sollten dann nur die gerade entschlüsselten Mails liegen, wenn der 1. Filter durchgelaufen ist.

    Zitat von Hanisch

    Das zu bereinigen ist ein unzumutbarer Aufwand.

    Für den Du ganz alleine verantwortlich bist. Also PEBKAC.

    Zitat von Hanisch

    werde wohl bei enigmail 1.9.9 bleiben müssen.

    Wenn Dir Komfort wichtiger ist als Sicherheit, kannst Du auch gleich ganz auf die Verschlüsselung verzichten.

    Zitat von Hanisch

    So wie jetzt geht es auf gar keinen Fall.

    Ansonsten schließe ich mich @Solaris an.

    Gruß Ingo

    Zitat von Hanisch

    Schön wenn das funktionieren würde.

    Ich finde es ärgerlich, dass du hier nach wie unterstellst, Thunderbird oder Enigmail würden nicht richtig funktionieren.

    Es funktioniert nachweislich. Ich habe es selbst ausprobiert. Man muss lediglich die Filter richtig und so wie oben beschrieben anlegen.

    In deinem Fall waren es eindeutig Anwenderfehler beim Erstellen und Ausführen der Filter. Das Chaos hast du selbst angerichtet. Das muss vielleicht einmal so deutlich erwähnt werden.

    Man könnte argumentieren, das sei alles viel zu kompliziert. Das kann man gewiss so sehen, weil es von den Kenntnissen des jeweiligen Anwenders abhängig ist.

    Jedoch: Die Filter sind eine Standardfunktionalität des Thunderbird. Enigmail fügt nur weitere Auswahl- und Aktionsmöglichkeiten hinzu.

    Ich sage mal: Es wäre natürlich toll, wenn es eine Funktion geben würde, womit man mehr oder minder vollautomatisch alle betroffenen "alten" Mails in neu verschlüsselte Umwandeln könnte, aber das wird wohl Wunschdenken bleiben oder einfach länger dauern, bis ein solches Feature eingebaut ist. Im Grunde könnte ja jemand solch ein Feature programmieren und bei Patrick Brunschwig für Enigmail anbieten.

    Ich bin mir nicht sicher, ob eine solche Funktion die Sache wirklich spürbar vereinfachen würde. Ich denke, Patrick hat das bereits gut durchdacht.

    Würde man automatisch ent- und wieder neu verschlüsseln, dann bräuchte man auch dort die Möglichkeit, den zu verwendenden Schlüssel festzulegen. Man müsste dies für jedes Konto bzw. Schlüsselpaar einstellen können, ganz wie bei einem Filter. Die Möglichkeit, einen Zielordner auszuwählen, bräuchte man ebenfalls. Auch dies ggf. für jedes Konto.

    Der Unterschied zur jetzigen Methode wäre somit nicht groß, denn viel mehr als Zielordner und Schlüssel auswählen macht man beim Erstellen der Filter auch nicht. Dafür so einen Aufwand treiben?

    Die Methode per Filter bietet außerdem den Vorteil, damit alle Altlasten in einem Rutsch endgültig loszuwerden. Wer möchte, kann gleich weitere Filteraktionen nutzen, vielleicht um die E-Mails danach passend in andere Ordner zu verteilen, sie zu markieren etc. .

    Zitat von Solaris

    Wer möchte, kann gleich weitere Filteraktionen nutzen, vielleicht um die E-Mails danach passend in andere Ordner zu verteilen, sie zu markieren etc. .

    Je weniger komplex, desto weniger Ärger durch unbedachte Auswirkungen: Also besser auf das reine Neu-Verschlüsseln beschränken.

    Hallo,

    Zitat von Solaris
    Zitat von Hanisch

    Schön wenn das funktionieren würde.

    Ich finde es ärgerlich, dass du hier nach wie unterstellst, Thunderbird oder Enigmail würden nicht richtig funktionieren.

    Es funktioniert nachweislich. Ich habe es selbst ausprobiert. Man muss lediglich die Filter richtig und so wie oben beschrieben anlegen.

    In deinem Fall waren es eindeutig Anwenderfehler beim Erstellen und Ausführen der Filter.

    Ok. - das kann sein.

    Aber dann zeige doch bitte einmal Deine beiden Filter, damit ich meine Fehler korrigieren kann.

    Vor allem Filter 2 wäre interessant.

    Gruß

    Ch. Hanisch

    Hallo,

    Zitat von Solaris
    Zitat von Hanisch

    Aber dann zeige doch bitte einmal Deine beiden Filter, damit ich meine Fehler korrigieren kann.

    Das hat Thunder bereits in Beitrag #38 gemacht.

    Genau so habe ich es gemacht:

    Code
    2. Filter:
Bedingung: Keine Bedingung
Aktion: Verschlüsseln (Enigmail) > ...E-Mail-Adresse mit neuem MDC-fähigem Key von Dir...

    Im Anhang ist mein Filter 2, der nicht funktioniert.

    Es wird nicht nach "...E-Mail-Adresse mit neuem MDC-fähigem Key von Dir..." gefragt.

    Gruß

    Ch. Hanisch

    Zitat von Hanisch

    Es wird nicht nach "...E-Mail-Adresse mit neuem MDC-fähigem Key von Dir..." gefragt

    Im Screenshot fehlt rechts das Feld zur Eingabe. Den Grund dafür kenne ich nicht. Es sollte so aussehen

    Hallo Hanisch,

    zum Test habe ich die Anweisung vom Thunder getestet.
    Ich hatte einige Mail aus dem Jahre 2017 die ich nicht entschlüsseln konnte.

    Nach der Filter Aktion nach der Beschreibung aus Beitrag #38, wurde alle Mails entschlüsselt und dann wieder verschlüsselt.

    Das alles habe ich mit Enigmail 2.0.6 und gnupg 2.2.7 durchgeführt.

    Zitat von Hanisch

    Es wird nicht nach "...E-Mail-Adresse mit neuem MDC-fähigem Key von Dir..." gefragt.

    Die Mail Adresse musst Du selber eintragen.


    Gruß
    EDV-Oldi

    Hallo,

    Zitat von Solaris
    Zitat von Hanisch

    Es wird nicht nach "...E-Mail-Adresse mit neuem MDC-fähigem Key von Dir..." gefragt

    Im Screenshot fehlt rechts das Feld zur Eingabe. Den Grund dafür kenne ich nicht. Es sollte so aussehen

    Da haben wir ein Problem.

    Bei mir unter Manjaro, Thunderbird 52.8.0 (64-Bit), gpg (GnuPG) 2.2.7 gibt es das zweite Feld rechts bei "Auszuführende Aktionen:" nicht.

    Unter Windows 7 Thunderbird 52.8.0 (32-Bit) das gleiche Problem.

    Offensichtlich wieder ein Bug in Thunderbird.

    Gruß

    Ch. Hanisch

    Einmal editiert, zuletzt von Hanisch (30. Mai 2018 um 20:31)

    Hallo,

    Zitat von Thunder

    Macht zwar in diesem Fall wahrscheinlich keinen Unterschied, aber wie schaut es denn aus, wenn Du das Standard-Theme des Thunderbird verwendest?

    Verstehe ich nicht.

    Wie stelle ich das Standard-Theme des Thunderbird ein?

    Aha, habe es gefunden. Hatte ein anderes Theme eingestellt.

    Mit dem Standard Theme funktioniert es nun.

    Oh Wunder, was da alles abgeht!

    Gruß

    Ch. Hanisch

    Einmal editiert, zuletzt von Hanisch (30. Mai 2018 um 20:44)

    Zitat von schlingo
    Zitat von Hanisch

    Wie stelle ich das Standard-Theme des Thunderbird ein?

    das ist eine FAQ: Installation & Verwaltung von Themes.

    Da muß man erst mal drauf kommen.

    Danke für die Information.

    Das ist natürlich ganz große Sch..., wenn vieles nur mit dem Standard Theme funktioniert.

    Schon aus diesem Grunde ist die für enigmail 2.0.6 vorgeschlagene Methode unzumutbar für Normal-User, die sich im allgemeinen auch nicht mit Filtern auskennen.

    Wer diesen Thread nicht kennt, der steht doch auf dem Schlauch bei dem Problem.

    Zur Verbreitung von PGP trägt das alles gewiß nicht bei.

    Und daß nun gleich alle e-Mails im betreffenden Ordner mit einem Ruck verschlüsselt werden, halte ich auch nicht für gut. Ebenso wie beim Entschlüsseln.

    Da werden z.B. alle e-Mails im beteffenden Ordner plötzlich verschlüsselt - auch die, die man gar nicht verschlüsseln möchte.

    Da möchte ich nicht das Chaos sehen, wenn man das als unbedarfter User im IMAP-Posteingang macht.

    Gruß

    Ch. Hanisch

    3 Mal editiert, zuletzt von Hanisch (30. Mai 2018 um 21:26)