PGP/Enigmail/TB78 - Stand der Dinge

    Ich bin einigermassen schockiert.


    Es geht um die PGP-Implementierung:

    Nachdem die 78er Version ungefragt alle Enigmail-Sachen ersetzt hat, stellte ich folgende ärgerlichen

    Änderungen fest:

    TB saugt sich einfach die PGP-Keys - und trent nicht mehr, zwischen "normalen" Mails und PGP-Mails

    und wenn er auf eine PGP-Mail stösst, dann mach er die einfach auf. ungefragt und ohne Passphrase.

    Und die Passphrase verliert auch nicht nach einstellbarer Zeit ihre Gültigkeit.

    Heisst also: Mailer offen --> alles offen.

    und dann kommt noch hinzu, dass lokale Mailing-Listen für PGP nicht mehr funktionieren.

    Solch katastrophale Updates kenne ich sonst nur aus der Windows-Welt.


    Also habe ich alle betroffenen User informiert, mit viel Aufwand wieder downgegraded - was aber

    nicht verhinderte, dass der eine oder andere User (na, eigentlich _alle_) irgendwann gefragt wurden:

    "willst du n upgrade? das ist toll!"

    und natürlich "ja" sagten.


    Kann ich wenigstens sicher sein, dass Enigmail in der 68er Version weiter supported wird und dass

    auch dieser Version selbst weiter supported wird?


    wicki


    Einmal editiert, zuletzt von graba (22. April 2021 um 17:57) aus folgendem Grund: rote Schriftfarbe entfernt

    Zitat von wicki_w

    Ich bin einigermassen schockiert.

    Ich auch, denn ich sehe gerade, dass du bereits in einem früheren Thema gebeten wurdest, die Eingangsfragen zu beantworten, weil die nämlich durchaus wichtig sein können. Das hat du leider wieder nicht gemacht. Hast du noch herausgefunden, welche MacOS du hast?

    Zitat von wicki_w

    Nachdem die 78er Version ungefragt alle Enigmail-Sachen ersetzt hat,

    Ungefragt kann gar nicht sein, weil du spätestens beim Import deiner Schlüssel einen Hinweis bekommen hast und deine Passphrase eingeben musstest. Außerdem wurdest du hier in einem deiner vorherigen Themen auf die Änderungen hingewiesen.

    Zitat von wicki_w

    und wenn er auf eine PGP-Mail stösst, dann mach er die einfach auf. ungefragt und ohne Passphrase.

    Die Passphrase wird ab der Version 78 von Thunderbird verwaltet, wie alle anderen Passwörter auch. Das führt wie bei S/MIME dazu, dass sie nicht mehr abgefragt wird. Das ist derzeit so und lässt sich auch nicht ändern. Du solltest deshalb ein Masterpasswort verwenden und den Rechner beim Verlassen sperren.

    Man kann als Workaround zumindest derzeit weiterhin GnuPG verwenden. Wie das geht, darfst du gern selbst nachlesen.

    Zitat von wicki_w

    und dann kommt noch hinzu, dass lokale Mailing-Listen für PGP nicht mehr funktionieren.

    Dafür gibt es meines Wissens inzwischen eine Lösung. Du weißt schon: Darfst du gern selbst nachlesen.

    Zitat von wicki_w

    Kann ich wenigstens sicher sein, dass Enigmail in der 68er Version weiter supported wird und dass

    auch dieser Version selbst weiter supported wird?

    Beides wird zunächst weiterhin funktionieren, wird aber nicht mehr supported. Enigmail hat dich übrigens mit einem entsprechenden Hinweis begrüßt. Musst du wohl übersehen haben.

    Zitat von wicki_w

    Solch katastrophale Updates kenne ich sonst nur aus der Windows-Welt.

    Für den Unsinn ein klares :thumbdown:. Unter anderem deshalb verspüre ich keine Motivation, dir zu den anderen Punkte von oben mehr zu schreiben.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Einmal editiert, zuletzt von Susi to visit (22. April 2021 um 20:18)

    1. die uralte Frage aus 2020 hatte und hat gar nichts mit meinem aktuellen Ungemach zu tun

    2. das aktuelle "Problem" hat _nichts_ mit dem OS zu tun.

    das passiert und linux, unter windows und unter macos

    3. Das _will_ ich aber nicht! Kein vernünftiger User sollte das wollen.

    "Die Passphrase wird ab der Version 78 von Thunderbird verwaltet, wie alle anderen Passwörter auch."

    4. "und dann kommt noch hinzu, dass lokale Mailing-Listen für PGP nicht mehr funktionieren."

    "Dafür gibt es meines Wissens inzwischen eine Lösung. Du weißt schon: Darfst du gern selbst nachlesen."

    Das mit den MLs ist nur ein Ärgernis - dass sich TB erdreistet, meine PG-Passphrase abzuspeichern,

    das ist die Katastrophe. Das allein mag noch angehen - aber nicht, dass man es nicht abschalten kann.

    5. "Für den Unsinn ein klares :thumbdown:. Unter anderem deshalb verspüre ich keine Motivation, dir zu den anderen Punkte von oben mehr zu schreiben."

    Kannst Du Dir auch gerne sparen.

    Ich weiss nicht, welche Motivation dahinter steckt, PGP in _dieser_ Form zum Implementieren.

    Aber ich bin mir sehr sicher, dass es einen anderen Hintergrund hat, als "Benutzerfreundlichkeit".

    So, und nun darfst Du mich noch "Aluhuträger" nennen und mich sperren.

    Schönen Tag noch

    wicki

    ok, beruhigen wir uns mal wieder.....

    Kann man denn _irgendwie_ verhindern, das TB die PGP-Keys speichert?

    (also die Passphrase)

    Ich habe keine Möglichkeit gefunden, das zu verhindern.

    Eine PGP-Phrase gehört nirgendwo anders hin, als in den Kopf des

    Besitzers.

    Mailpasswörter für POP, IMAP oder sonst was, die kann man einfach

    so im Klartext über Netz schicken. Damit kann man zur Not leben.

    Aber das TB die Passphrase abspeichert, nimmt dem Anwendern

    ein eklatantes Stück Sicherheit und Freiheit.

    (auch wenn beides eh nur eine Illusion sind.)

    Vielleicht muss ich ja wirklich zurück zu "Pine" - ging ja auch rund

    10 Jahre lang prima. ;-)

    Hallo,

    vielleicht sagt dir ja diese Lösung zu?

    Thema

    Nach Update auf TB 78 Password/Passphrase-Abfrage für private Schlüssel wieder einrichten - Schritt für Schritt

    Wer, wie ich, die Abfrage der Passphrase beim Einsatz der privaten Schlüssel unter TB vermißt, kann die Kontrolle darüber an GnuPG zurückgeben. Unter 'https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards' ist zwar gut beschrieben, wie man das macht, aber es fehlt ein wichtiger Schritt: Man muß die privaten Schlüssel aus der Schlüsselverwaltung von TB entfernen!

    ("Enabling this preference will cause Thunderbird to attempt to decrypt a message using GnuPG, whenever RNP fails to decrypt a…
    B. Mueller
    20. Dezember 2020 um 13:35

    bezieht sich allerdings auf Linux.

    Die gegenwärtigen Möglichkeiten habe ich dir genannt:

    1. Auf der 68 bleiben. Das wird auf Dauer nicht gut sein.
    2. Mit der 78+ , solange es unterstützt wird, weiterhin GnuPG inklusive dessen Schlüsselverwaltung (bzw. die des unbekannten Betriebssystems) zu verwenden. Damit einher hättest du weiterhin die Abfrage der Passphrase.
      Dazu muss man sich aber einigermaßen gut auskennen. Bei jemandem, der schreibt, er kenne die Version seines MacOS nicht und wolle sie auch gar nicht wissen, habe ich gewisse Zweifel.
    3. Die Gegebenheiten akzeptieren und zur Herstellung der Sicherheit ein Masterpasswort einrichten, besser noch zusätzliche die Platte/Partition zu verschlüsseln. Den Rechner vor dem Verlassen zumindest sperren.

    Nun ist es so, dass insbesondere Option 2 sehr davon abhängt, welches Betriebssystem man verwendet und unter Linux eventuell auch davon, woher man den Thunderbird bezogen hat, ob über die Distri, von Mozilla, als Snap, als Flatpack, ... .

    Diese Fragen hast du nach wie vor nicht beantwortet - trotz doch recht deutlicher Ansage dazu. So geht es halt nicht, selbst wenn ich wollte.

    Ich will aber gar nicht mehr. Ich gebe dir nur noch den gut gemeinten Rat, diese Punkte zu klären, weil dir sonst auch die anderen hier nicht richtig helfen können.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Wenn sich keine andere Lösung findet, dann wird es darauf hinauslaufen, nach mehr

    als 10 Jahren wieder von TB weg zu gehen.

    Und das werde ich auch den von uns betreuten Unternehmen sagen müssen.

    Es geht nicht um Insellösungen für bestimmte Betriebssysteme.

    Selbstverständlich laufen _alle_ relevanten Systeme von denen ich rede, mit

    verschlüsselten Partitionen.

    Dennoch traue ich keinem OS und kleine Schlüsselveraltung über den "Weg".

    (Einzig teilweise der von Firefox, weil über den Browser sowieso keine relevanten Informationen

    laufen sollten.)

    Aber es kann und darf nicht sein, dass sich Lieschen Müller mal eben an den Arbeitsplatz von

    Peter Pan setzt und sie dann lesen kann, was er grade für Mails von der Geschäftsleitung

    bekommen hat (weil er in der Pinkelpause vergessen hat, dass im Background noch der Mailer

    offen ist)

    "Dann soll er eben den Bildschirm sperren...:"

    kommt nun vermutlich wieder.

    Ja, soll er. Tut er aber nicht.

    Und eine Bildschirmabschaltung nach x-Sekunden ist keine Lösung.

    Weil das nur nervt.

    Die "Passphrase wird nach 5 Minuten vergessen"-Lösung war ideal.

    Wenn das nicht mehr realisierbar ist, dann gibts nur den Weg: Weg von TB.

    Oder PGP-Mail-handling in externe Scripte auslagern.

    Zitat von wicki_w

    Aber es kann und darf nicht sein, dass sich Lieschen Müller mal eben an den Arbeitsplatz von

    Peter Pan setzt und sie dann lesen kann, was er grade für Mails von der Geschäftsleitung

    bekommen hat (weil er in der Pinkelpause vergessen hat, dass im Background noch der Mailer

    offen ist)

    Also in so einer Umgebung ist doch das Sperren der Arbeitsstation der einzig sinnvolle Weg? gibt ja nicht nur mails auf so einem Rechner?

    was die ganze andre Problematik angeht, kann man doch mit TB68 noch ganz glücklich sein, zumindest für einige Zeit. das kann man auch so einstellen, daß es nicht automatisch aktualisiert.

    Zitat von stefan327

    Also in so einer Umgebung ist doch das Sperren der Arbeitsstation der einzig sinnvolle Weg? gibt ja nicht nur mails auf so einem Rechner?

    was die ganze andre Problematik angeht, kann man doch mit TB68 noch ganz glücklich sein, zumindest für einige Zeit. das kann man auch so einstellen, daß es nicht automatisch aktualisiert.

    nein, es gibt keine anderen sachen auf den rechnern, die niemand sonst sehen sollte.

    Aber Mails - insbesondere PGP-verschlüsselte - sind der ureigenste privateste Bereich

    desjenigen, der davor sitzt.

    Auch 08/15-Mails kann ruhig jeder lesen.

    Aber verschlüsselte Mails enthalten Passwörter, Daten, die niemand etwas angehen

    und auch vielleicht mal schnell geschriebene Infos zu Gesundheitszustand von

    Personen oder gar Diagnosedaten.

    "Sperren der Arbeitsstation" ist keine Option.

    TB68 mit Enigmail und Zeitablauf für Passphrase war optimal.

    Das hier unterdrückt hoffentlich die auto-update-vorschläge und wir können die 68er Version

    noch weiter nutzen. Bis es entweder eine Lösung dafür gibt - oder eine andere Alternative:

    cat ./distribution/policies.json

    {

    "policies":

    {

    "DisableAppUpdate": true

    }

    }

    Zitat von wicki_w

    Das hier unterdrückt hoffentlich die auto-update-vorschläge und wir können die 68er Version

    noch weiter nutzen.

    Hallo,

    wenn's wegen der Security Advisories for Thunderbird nicht so traurig wäre, könnte ich jetzt schallend lachen.

    Zitat von wicki_w

    traue ich keinem OS und kleine Schlüsselveraltung über den "Weg".

    Passt wie die Faust auf's Auge. Du nutzt sicher noch Windows 7 oder gar XP.

    Zitat von wicki_w

    verschlüsselte Mails enthalten Passwörter, Daten, die niemand etwas angehen

    und auch vielleicht mal schnell geschriebene Infos zu Gesundheitszustand von

    Personen oder gar Diagnosedaten.

    Stattdessen greift der pöhse $Hacker die Daten ab. Glückwunsch, gut gemacht :thumbup:

    Zitat von wicki_w

    Bis es entweder eine Lösung dafür gibt - oder eine andere Alternative:

    In anderen Foren werden solche Anleitungen, die die Sicherheit aushebeln, gelöscht. Wowereit!

    Gruß Ingo

    es gibt also keine lösung und kein gefahrenbewusstsein....

    habe ich zur kenntnis genommen.

    und denen, die mit sprüchen von "sicher noch win7" u.ä. kommen sei gesagt:

    ich habe schon emails geschrieben als es den begriff "internet" noch gar nicht gab.

    und nun

    auf wiesegehn

    wicki

    hey, gebt mir schnell noch n paar daumen nach unten.

    aber hier wird zumindest ein TB-clone "interlink" vorgeschlagen,

    den ich gelegentlich mal testen werde:

    https://support.mozilla.org/en-US/questions/1304363

    und im letzten posting von 2/2021 wird das nochmal deutlich dargelegt, warum es

    so wie es jetzt ist einfach nicht geht.

    incl. einfachem lösungsvorschlag, den die entwickler aber scheinbar nicht umsetzen

    wollen/können/dürfen.

    was für mich bedeutet: TB ist für mich und kunden tabu, wenn die 68er version

    nicht mehr supported wird.

    ich weiss nicht, was die jungs geritten hat, eine pgp-phrase auf die platte zu schreiben.

    aber mit halbwegs gesundem menschenverstand ist das nicht mehr zu erklären.

    Wie ich sehe, ist dieses Thema ja im letzten Jahr mit gleichen Protagonisten auch

    hier schon mal hochgekocht und abgewürgt worden.

    Gezwungernermassen habe ich mir nur also mal Claws-Mail angesehen. für Linux.

    Gibt es aber wohl auch für Win (https://www.claws-mail.org/)

    Erster Kurztest:

    Mail geht, etwas "spartanischer" als TB aber nach aktivieren des PGP-plugins

    funktionieren verschlüsselte Mails auf Anhieb.

    Unter Verwendung des Standard-PGP-key-Handlings (also Phrase-request bei PGP-Mail

    über den pgp-Agent).

    So, wie sich das gehört.

    Ich werde weiter testen und mich bei positivem Ergebnis von TB endgültig trennen.

    so, und nun kommt.

    noch ein paar mehr -Daumen für den Überbringer der schlechten Nachricht sind

    doch sicher noch drin....

    Zitat von wicki_w

    mit halbwegs gesundem menschenverstand ist das nicht mehr zu erklären.

    So sehr ich den Wunsch nach der Abfrage der Passphase vestehe - ich hätte sie auch gern wieder - so ist es doch schwer zu erklären, wie jemand unter dem Aspekt der Sicherheit auf die Idee kommt, seinen Kunden einen kaum beachteten (und kaum kontrollierten) Fork zu empfehlen, der auf einer alten, nicht mehr unterstützen Version beruht.

    Einen Fork, der Enigmail benutzt, das von seinen Urhebern ebenfalls nicht mehr weiter entwickelt wird, einen Fork, dessen Kalender schon nicht mehr richtig rund läuft, den es für macOS gar nicht erst gibt usw. .

    Dabei ließe sich auch Thunderbird 78 noch mit GnuPG benutzen, siehe oben.

    Was sagt der gesunde Menschenverstand dazu? Was ist von solch einem Berater zu halten?

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Zitat von wicki_w

    noch ein paar mehr -Daumen für den Überbringer der schlechten Nachricht sind doch sicher noch drin....

    Das mit den «Daumen» finde ich albern - das paßt eher zu Twitter & Co.

    Hier geht es um Sicherheitslücken der gegenwärtigen Implementierung von OpenPGP in TB - die lassen sich halt nicht schönreden und verharmlosen.

    Hallo B. Mueller,

    Zitat von B. Mueller

    Das mit den «Daumen» finde ich albern - das paßt eher zu Twitter & Co.

    Kann man so sehen, da die Funktion aber zur Verfügung steht, steht es den Foristen auch frei diese zu nutzen.

    Im Übrigen trägt das teilweise unverschämte, unsachliche und schlechte Benehmen des TE nicht unerheblich dazu bei, sich solche "Daumen" einzufangen.

    Im Übrigen ist dies auch ein Forum von Thunderbird-Nutzern für Thunderbird-Nutzer. Hier lesen keine Entwickler mit. Wenn es dem TE wirklich um die Sache gehen würde, dann würde er sich nicht hier in dieser Art und Weise auskotzen, sondern würde an den entsprechend dafür vorgesehenen Orten (u.a. Bugzilla) die Entwickler sachlich zu überzeugen versuchen.

    Da der TE wohl auch durchgehende Kleinschreibung bevorzugt, was im Deutschen nicht regelkonform ist (Rechtschreibung und Grammatik), kann er sich dann dort in der Verkehrssprache Englisch kleinschreibend austoben.

    Mir sticht beim Lesen der Beiträge des TE folgendes Bild ins Auge:

    Gruß

    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier