- Thunderbird-Version (konkrete Versionsnummer Migration auf 78.2.2.
- Betriebssystem + Version: getestet unter verschiedenen W10
- Kontenart (POP / IMAP): n/a
- Postfachanbieter (z.B. GMX): n/a
- PGP-Software / PGP-Version: interne OpenPGP-Unterstützung
- Eingesetzte Antivirensoftware: verschiedene
- Firewall (Betriebssystem-intern/Externe Software): verschiedene
Servus mitanand,
ich dachte mir, ich schau kurz mal wieder bei euch vorbei, um meine Erfahrungen mit der Umstellung auf die 78.2.2 in Bezug auf die PGP-Verschlüsselung zu teilen.Dem einen oder anderen mag es vielleicht bei der Entscheidung hilfreich sein, ob der Umstieg bereits jetzt, später oder auch gar nicht infrage kommt.
Ok, so ganz uneigennützig ist das jetzt nicht. Ich habe in der Vergangenheit Bekannte aber auch einige kleine Unternehmen dabei unterstützt, ihre E-Mails, wenn schon nicht zu verschlüsseln, dann doch zumindest kryptografisch zu signieren. Die hatten bemerkt, dass einige Banken und andere vorbildliche Unternehmen das inzwischen machen.
Das hat guten Anklang gefunden, denn allein dieser kleine Schritt trägt doch schon sehr dem Schutz vor Physhing und Social Engineering bei.
Bei denjenigen, die dazu Thunderbird mit GnuPG benutzen, herrscht gerade große Unsicherheit, ob das alles mit TB 78 weiterhin funktioniert. Ein paar sind mit dem automatischen Update auf die 78.2.2. auch prompt auf die Nase gefallen. Das war wahrlich keine gute Werbung für den Thunderbird.
Die Quellen im Internet sind breit gestreut und zum großen Teil nur in Englisch verfügbar. Das macht die Sache nicht leichter. Also habe ich selbst getestet und recherchiert.
Die Ergebnisse möchte ich hier an zentraler Stelle teilen, verbunden mit dem Wunsch an die Foristen, den jetzigen Status bei hoffentlich rasch folgenden Änderungen fortzuführen. Ich verbringe nicht mehr viel Zeit mit und um den Thunderbird und möchte das nicht durchgehend beobachten und wieder aufwendig recherchieren müssen.
Nun zur Sache. Ich habe einiges getestet und war insgesamt eher positiv überrascht, wie glatt alles ging. Für den Einsatz in Firmen oder gehobene Anforderungen eines einzelnen Anwenders gibt es aber ein paar schwerwiegende Knackpunkte zu bedenken.
Was bereits geht:
- Einfache Schlüsselpaare, also solche ohne Substruktur, wurden direkt nach dem ersten Start automatisch importiert. Dazu wurde Enigmail automatisch auf die aktuelle Version, die nur für den Import benötigt wird, angepasst.
- Verschlüsseln und Signieren war somit quasi sofort wieder möglich.
- Der Betreff wird standardmäßig verschlüsselt.
- Die Schlüsselverwaltung ist einfach und intuitiv.
Dickes Plus: Der einfachen Benutzung von PGP steht eigentlich nichts im Weg. Man muss lediglich seine Passwörter eingeben und schon funktioniert alles wie gewohnt.
Da keine zusätzliche Software und nicht einmal eine Erweiterung nötig ist, können auch Neueinsteiger sehr einfach eine digitale Signatur einrichten. Dazu möchte ich ausdrücklich auch motivieren, selbst wenn man nicht verschlüsseln möchte!
Sehr nett fand ich auch, dass es ein paar Abschiedsworte des Teams Enigmail gab.
Für den Einsatz in Unternehmen sieht es allerdings noch nicht so gut aus.
Was (noch) nicht geht:
- Komplexere Schlüsselstrukturen, z.B. offline Keys, werden derzeit nicht unterstützt und können nicht importiert werden.
Das ist anscheinend in Arbeit, benötigt allerdings Support innerhalb RNP. Siehe dazu auch https://bugzilla.mozilla.org/show_bug.cgi?id=1654893 - Man kann einem Konto keinen Key mit einer abweichenden E-Mailadresse zuweisen, auch dann
nicht, wenn die Domain übereinstimmt. Joseph@firma.de und
Sophia@firma.de können kein gemeinsames Schlüsselpaar benutzen.
Zusammen mit 1. ist das für den Einsatz in Unternehmen oftmals schon ein Ausschlusskriterium.
Siehe auch Beitrag #2 von @muzel mit einem workaround.
Dazu habe ich einen Bug-Eintrag gefunden, den Thunder eröffnet hat. https://bugzilla.mozilla.org/show_bug.cgi?id=1663406 - Smartcards werden nicht unterstützt. Abhilfe schafft hier der Workaround, weiterhin GnuPG zu benutzen.
Siehe https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards - Die konfigurierbare Passwortabfrage nach x Minuten gibt es nicht mehr. Die Schlüssel liegen direkt im Profil des TB und werden (nur) durch das Masterpassword geschützt. Die einmalige Eingabe beim Start gibt die Schlüssel für die gesamten Dauer der Session frei.
- Die von
Enigmail bekannte Funktion des dauerhaften Entschlüsselns gibt es nicht.
Auch das ist für manche, die nicht nur signieren sondern auch
verschlüsseln, ein Ausschlusskriterium, weil die Suche nach Inhalten
nicht mehr funktioniert und vor allem, weil das Archivieren damit sehr
erschwert wird.
Ich habe dazu Kommentare von Kai Engert gefunden, die besagen, dass man das eventuell in der Zukunft implementieren wird. - Verschlüsselte Dateien im Angang lassen sich gegenwärtig nicht über das Kontextmenü "Entschlüsseln und speichern unter ... " speichern. Der Menupunkt existiert, aber es passiert nichts.
- Kann man auch positiv sehen: Es gibt nur noch PGP/MIME. INLINE gibt es nicht mehr.
Nachtrag: Die Release Notes zur 78.5 und zur 83 beta 3 sagen: Support for inline PGP messages improved - Es gibt (noch) keine Möglichkeit, Empfängerregeln festzulegen. (Danke an stefan327 für den Hinweis.)
- Das Senden an Empfängerlisten geht noch nicht. Siehe hier von guenther.b .
- Verschlüsselte Anhänge können derzeit nicht entschlüsselt abgespeichert werden. Siehe auch hier. Fix ist auf dem Weg. Danke an pedrito für den Hinweis auf den Bug.
Schönheitsfehler:
- Der PGP-Status einer E-Mail wird (ähnlich wie bei Outlook) nur durch kleine, etwas unscheinbare Symbole angezeigt. Eine ungültige Signatur erkennt man nicht mehr sofort auf den ersten Blick. Man muss genauer hinschauen.
- Bei der ersten Verwendung wurden mir beim Empfang meine eigenen Signaturen als fehlerhaft angezeigt. Die Ver- und Entschlüsselung klappte sofort. Ich musste für meine Schlüssel das bereits vorhandene Vertrauen nochmals bestätigen, seitdem passt das.
- Enigmail könnte nach dem Import automatisch deinstalliert werden.
- Siehe Beitrag #3 von KerstinUtz . Bedingt dadurch, dass die Schlüsselverwaltung im Thunderbird selbst durchgeführt wird, stehen neue, d.h. im Thunderbird angelegte, Schlüssel anderen Programmen nicht zur Verfügung. Sie müssen erst ex- und importiert werden.
- Wenn man seine E-Mails per Einstellung stets signiert, dann wird jeweils der öffentliche Schlüssel angehängt. Das ist derzeit nicht konfigurierbar. Siehe hier von AndyC .
Laut Release Notes gibt es die Option ab 83 beta 3. - Grafiken in HTML-Signaturen werden nicht mehr angezeigt, wenn die E-Mail unterschrieben wird. Siehe hier von Andy.C .
Weitere Links:
Bei generellen Fragen vor einer Migration lohnt sich ein Blick auf https://support.mozilla.org/en-US/kb/openp…d-howto-and-faq
Bei Problemen könnt ihr, neben diesem Forum, auch hier Hilfe bekommen:
https://thunderbird.topicbox.com/groups/e2ee
Dort seid ihr näher an den Entwicklern.
[scallout='#cc0000','Wichtig']Es wäre schön, wenn andere hier Feedback geben, Fehler korrigieren und ergänzen, was (verifiziert) geht und was nicht geht.
Bitte benutzt diesen Thread nicht, um individuelle Probleme zu melden. Dazu eröffnet bitte ein eigenes Thema.[/scallout]
Pfiats eich, bleibt gesund!
Susanne