Wer, wie ich, die Abfrage der Passphrase beim Einsatz der privaten Schlüssel unter TB vermißt, kann die Kontrolle darüber an GnuPG zurückgeben. Unter 'https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards' ist zwar gut beschrieben, wie man das macht, aber es fehlt ein wichtiger Schritt: Man muß die privaten Schlüssel aus der Schlüsselverwaltung von TB entfernen!
("Enabling this preference will cause Thunderbird to attempt to decrypt a message using GnuPG, whenever RNP fails to decrypt a message with the secret keys that are available inside Thunderbird's key storage.")
Damit nicht jeder das Rad neu erfinden muß, habe ich mein Vorgehen mal protokolliert. Die folgenden Schritte beziehen sich jedoch alle auf Linux, da ich kein anderes Betriebsystem nutze!
Gegeben: Debian GNU/Linux 10 (buster), Update von Thunderbird 68.12.0 auf Thunderbird 78.5.1 (32-Bit), erfolgreiche Migration der OpenPGP-Schlüssel von Enigmail nach TB, Update auf Thunderbird 78.6.0 (32-Bit)
Ziel: Sicherheit der privaten Schlüssel beim Signieren/Entschlüsseln wie bei Enigmail wieder herstellen.
1. Die externe Verwaltung der privaten Schlüssel erlauben:
Bearbeiten → Einstellungen → Allgemein → Konfiguration bearbeiten:
Den folgenden Schlüsseleintrag suchen und mit Doppelklick auf 'true' setzen:
mail.openpgp.allow_external_gnupg = true
2. *** W i c h t i g ! *** Ein Backup der Dateien 'pubring.gpg' und 'secring.gpg' anlegen:
'ls -lA ~/.thunderbird/<profile>.default/*ring*'
'cp ~/.thunderbird/<profile>.default/pubring.gpg ~/.thunderbird/<profile>.default/pubring.gpg_backup'
'cp ~/.thunderbird/<profile>.default/secring.gpg ~/.thunderbird/<profile>.default/secring.gpg_backup'
('<profile>.default' entspricht dabei dem Profilverzeichnis aus 'cat ~/.thunderbird/profiles.ini')
Wer ganz vorsichtig ist, schützt die Backup-Dateien auch noch vor Veränderungen:
(Der Schutz kann später wieder mit 'sudo chattr -i <dateiname>' aufgehoben werden.)
'sudo chattr +i ~/.thunderbird/<profile>.default/pubring.gpg_backup'
'sudo chattr +i ~/.thunderbird/<profile>.default/secring.gpg_backup'
('lsattr ~/.thunderbird/<profile>.default/*ring*' zeigt den Erfolg.)
3. Die eigenen Schlüssel (fett formatiert) jeweils in eine eigene Datei exportieren:
Extras → OpenPGP-Schlüssel verwalten:
Rechtsklick auf eigenen Schlüssel → Schlüssel in Datei exportieren
*** Achtung: Es wird nur der öffentliche Schlüssel exportiert! *** (Daher Backup, s. o.)
anschließend Rechtsklick auf eigenen Schlüssel → Schlüssel löschen
4. Die öffentlichen Schlüssel wieder aus den erstellten Dateien importieren:
Datei → Öffentliche(n) Schlüssel aus Datei importieren:
Dabei auswählen: (*) Akzeptiert (nicht verifiziert)
anschließend: Details anzeigen und Schlüsselakzeptanz verwalten:
(oder: Rechtsklick auf den gerade importierten Schlüssel → Schlüsseleigenschaften)
Akzeptanz auf die höchste Stufe setzen (unterster Eintrag)
Nach erfolgreicher Operation ist die Datei 'pubring.gpg' kleiner geworden und 'secring.gpg' hat die Größe 0:
'ls -lA ~/.thunderbird/<profile>.default/*ring*'
5. Damit Thunderbird wieder Zugriff auf den privaten Schlüssel bekommt:
Privaten Schlüssel in GnuPG anzeigen lassen:
'gpg --list-secret-keys'
Die letzten 16 Zeichen des Fingerabdrucks des gewünschten Schlüssels kopieren
In Thunderbird die ID des privaten Schlüssels eintragen:
Bearbeiten → Konto-Einstellungen → Ende-zu-Ende-Verschlüsselung → Schlüssel hinzufügen:
(*) Externen Schlüssel mittels GnuPG benutzen
ID des geheimen Schlüssels eingeben (die 16 Zeichen von oben, ohne Leerzeichen)
Externen GnuPG-Schlüssel aktivieren
6. Verhalten von GnuPG konfigurieren:
'nano ~/.gnupg/gpg-agent.conf'
Bei mir steht da als letztes (vermutlich ein Überbleibsel von Enigmail):
###+++--- GPGConf ---+++### Fr, 2018-05-25 19:02:37 CEST
# GPGConf edited this configuration file.
# It will disable options before this marked block, but it will
# never change anything below these lines.
Daher stehen die relevanten Einträge ganz unten:
default-cache-ttl 60
max-cache-ttl 600
ignore-cache-for-signing
Das bedeutet: die minimale Timeoutzeit beträgt 1 min., spätestens nach 10 min. wird erneut die Passphrase abgefragt. Beim Signieren ist der Cache außer Kraft - es wird immer nach der Passphrase gefragt.
7. Rechner neu starten und das Verhalten von TB beim Signieren/Verschlüsseln/Entschlüsseln überprüfen.
Positiver Nebeneffekt: Wenn alles richtig funktioniert, bekommt in der Ansicht der 'Nachrichten-Sicherheit OpenPGP' das Unterschriftensiegel auch das grüne Häkchen.
Der obige Text erhebt keinen Anspruch auf Vollständigkeit und für Risiken und Nebenwirkungen übernehme ich keine Verantwortung.
Viel Erfolg!
--
"Wer nichts zu verbergen hat, hat auch ein Gmail-Konto und verzichtet auf Verschlüsselung."
"Die Grenzenlosigkeit der Informationsverarbeitung wird es gestatten, das Individuum auf seinem gesamten Lebensweg zu begleiten, von ihm laufend Momentaufnahmen, Ganzbilder und Profile seiner Persönlichkeit zu liefern, Lebensformen und Lebensäußerungen zu registrieren, zu beobachten, zu überwachen und die so gewonnenen Daten ohne die Gnade des Vergessens ständig präsent zu halten. Die Gefahren des 'großen Bruders' sind nicht mehr bloß Literatur. Sie sind real."
BKA-Chef Horst Herold, 1980