Hallo,
- die letzten 8 Stellen ("short keyid") sind mit Aufwand fälschbar.
Ja, aber wenn in meinem Signaturtext die richtigen 8 Stellen stehen, dann wird doch nicht auf einen gefälschten Key ausgewichen - oder werden da nur die vorangehenden Zeichen des Fingerprint gefälscht?
Letzteres halte ich allerdings für ausgesprochen schwierig.
Gruß
Ch. Hanisch
Hallo,
KEYID ist die ID des betroffenen Schlüssels.
Ist KEYID die e-Mail Adresse des betreffenden Schlüssels oder die letzten 8 Stellen (xxxxxxxx) oder auch alle 16 Stellen der Schlüsselkennung aus:
Enigmail -> Schlüssel verwalten?
Da ich die geheimen Schlüssel vieler Einträge auf dem Key-Server nicht mehr habe (auch keine Widerrufszertifikate) wird der Müll wohl ewig dort liegen bleiben.
Ich habe mir nun Folgendes ausgedacht:
Mit folgendem Signaturtext in Thunderbird weise ich meine e-Mail Partner auf den gültigen Eintrag meines öffentlichen Schlüssels auf dem Key-Server hin.
Mein öffentlicher Schlüssel ist auf dem Keyserver 'pool.sks-keyservers.net' unter <e-Mail Adresse> (xxxxxxxx)Dabei sind 'xxxxxxxx' die letzten 8 Stellen der zur <e-Mail Adresse> gehörenden Schlüsselkennung auf dem Key-Server.
Dadurch unterscheiden sich nämlich die vielen Einträge zur gleichen <e-Mail Adresse> auf dem Key-Server.
Gruß
Ch. Hanisch
Hallo,
Du kannst aber den Schlüssel widerrufen und das entsprechende Zertifikat ebenfalls hochladen. Die Keyserver werden dann einen entsprechenden Vermerk anzeigen und deine Kommunikationspartner sind gewarnt, dass der Schlüssel kompromittiert sein könnte.
Wie kann ich einen Schlüssel widerrufen?
Ich kann die Schlüssel auf dem Key-Server nur anhand des Erstellungsdatums und der ID=xxxxxxxx unterscheiden.
Ein Zertifikat davon habe ich nicht.
Gruß
Ch. Hanisch
Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
Hallo,
gibt es eine Möglichkeit, irrtümlich hochgeladene oder verfallene Schlüssel von Key-Server: pool.sks-keyservers.net zu löschen?
Gruß
Ch. Hanisch
Hallo,
Die ganze Nummer finde ich unter dem Strich sehr beunruhigend. Wir leben in einer Überwachungsgesellschaft. Deshalb ist so was wie PGP/GnuPG/Enigmail natürlich nötig. Nur was hilft es wenn den meisten Usern das Bewußtsein dafür überhaupt abgeht und wenn sie es versuchen wird es so kompliziert, daß Otto-Normalverbraucher damit nicht umgehen mag und spätestens an solch einer Situation wie hier diskutiert gnadenlos scheitert? Sollte es nicht möglich sein, eine Technologie wie GnuPG so nutzbar gemacht wird, daß es praktisch "Lieschen Müller" sicher verwenden
Die PGP-Implementierung in Thunderbird/enigmail ist sehr gut. Allerdings erfordert die Konfiguration vom User einige Mühe und ein Vertrautmachen mit dem Verschlüsselungsprinzip (öffentliche und private Schlüssel).
Leider wird auch meiner Meinung nach zu wenig für die Verschlüsselung geworben.
Unternehmen, Behörden, Sparkassen, Banken, Versicherungen usw. sollten gesetzlich verpflichtet werden, verschlüsselten e-Mail Verkehr anzubieten.
Eigentich braucht meiner Meinung nach dieses enigmail 2.0.x niemand, denn mit einigmail 1.99 und einer entsprechenden Warnung gemäß meinem Posting #19 wäre das Problem gelöst.
"Eine Warnung, den eigenen öffentlichen Schlüssel mit
gpg --edit-key 0xYourKeyId setpref save
unbedingt zu aktualisieren und dann an die Partner zu verteilen - statt der derzeitigen Fehlermeldung - wäre meiner Meinung nach zielführend.
So würde niemand vor den Kopf gestoßen und neuere e-Mails laufen dann ohnehin ohne diese Warnung."
Alle e-Mail Partner müssen damit ihre Schlüssel aktualisieren und neu an alle ihre Partner verteilen bzw. auf den Key-Server hochladen. Das wär's dann auch schon.
Also bleiben wir bei enigmail 1.99
Gruß
Ch. Hanisch
Auch wenn du es hier inzwischen gelöscht hast, du hast noch ein zweites Problem: Die Rechte in
Code/home/opa/.gnupgsind offen wie ein Scheunentor.
Ja, das habe ich inzwischen bereinigt.
Die Rechte sehen nun folgendermaßen aus - siehe Anhang.
Gruß
Ch. Hanisch
Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
Hallo,
es ist mir nicht möglich, nach Schlüsseln zu suchen.
Enigmail -> Schlüsselverwalten -> Schlüsselserver (pool.sks-keyservers.net) -> Schlüssel suchen -> die Fortschrittsanzeige läuft unendlich
Enigmail -> Schlüsselverwalten -> Schlüsselserver (pool.sks-keyservers.net) -> Alle öffentlichen Schlüssel aktualisieren ->
Herunterladen der Schlüssel ist fehlgeschlagen gpg: failed to start the dirmngr '/usr/bin/dirmngr': No such file or directory gpg: connecting dirmngr at '/run/user/1000/gnupg/S.dirmngr' failed: No such file or directoryWas ist hier falsch?
L ö s u n g:
Es fehlte 'dirmngr'
sudo apt install dirmngrGruß
Ch. Hanisch
Hallo,
Praktikabel ist einzig und allein ein neues enigmail 2.0.x gemäß meinem Vorschlag aus Posting #19.
Hallo Ch.,
hast Du das dem Entwickler mitgeteilt? Was hat er geantwortet?
Gruß Ingo
Ja, seine Antwort war totale Ignoranz:
I explained everything in the following thread, and I have nothing more
to say to it.
https://sourceforge.net/p/enigmail/forum/announce/thread/2905e54a/
The next version of Enigmail will contain a fix that allows to work
around this by re-encrypting your email with a new (or updated) key.
-Patrick
On 26.05.18 23:19, Dr. Hanisch wrote:CodeHello, the new enigmail 2.0.5 can't decrypt my old e-Mails sending without MDC (my PGP-Key is very old) and ends with /Fehler - Nachricht enthält keinen Integritgätsschutz (MDC)/ *A warning*, with your own public key gpg --edit-key 0xYourKeyId setpref save necessarily update and then distribute to the partners - instead of the current error message with brutal demolition - *would be useful in my opinion.* This gives the user the freedom again to behave according to the warning instead of simply excluding it. If the user behaves according to this warning, everything will be fine again in the future. So why rape the user like that? Please make a WARNING instead the Error and exit.
Gruß
Ch. Hanisch
Hallo,
hier jetzt nach dem zerfahrenen Thread wegen der fehlerhaften Filter aufgrund eines unzureichenden Thunderbird Themes (Empfehlung: Immer Standard Theme (Default) benutzen!) die Geschichte noch einmal zusammengefaßt.
1) Weil mein Filter 1 keine Angabe eines Zielordners für die entschlüsselten e-Mails ermöglichte, sind diese Kopien im IMAP Posteingang gelandet. Das mußte ich dann manuell erst wieder alles rauslöschen.
2) Mit dem Thunderbird Standard Theme konnte ich einen Filter 1 im IMAP-Ordner anlegen (Extras -> Filter -> Neu ...), mit dem ich alle verschlüsselten e-Mails aus dem IMAP Posteingang nach "Entwürfe" in Lokale Ordner kopiert habe. Vorher noch den Ordner "Entwürfe" in Lokale Ordner leer gemacht.
Siehe Anhang_1
3) Im Ordner "Entwürfe" in Lokale Ordner habe ich dann den Filter 2 (Extras -> Filter -> Neu ...) angelegt und ausgeführt. Danach waren alle (neuen und) alten e-Mails wieder verschlüsselt mit meinem aktualisierten Schlüssel (mit Integritätsschutz (MDC)) in "Entwürfe".
Allerdings wird beim Aufruf einer so neu verschlüsselten e-Mail in der Statuszeile statt wie bisher immer:
Eingmail Entschlüsselte Nachricht, Korrekte Signatur von ...
nur
Eingmail Entschlüsselte Nachricht
angezeigt.
Siehe Anhang_2
4) Mit einem weiteren Filter_3 im IMAP Ordner habe ich alle dort befindlichen verschlüsselten e-Mails aus dem IMAP Posteingang nach Lokale Ordner "Papierkorb" verschoben.
5) Schließlich mit einem Filter_4 in Lokale Ordner die neu verschlüsselten e-Mails wieder nach IMAP Posteingag kopiert.
6) Im Ordner "Entwürfe" in Lokale Ordner alles gelöscht, dann schließlich noch in "Papierkorb" in Lokale Ordner.
Diese komplizierte Prozedur sollte ich nun für alle speziellen Ordner auf allen meinen Rechnern machen, die noch "alte" e-Mails enthalten.
Es sollte für jedermann einzusehen sein, daß das unzumutbar ist; sowohl vom Zeitaufwand als auch vom Risiko, daß Fehler passieren können.
Praktikabel ist einzig und allein ein neues enigmail 2.0.x gemäß meinem Vorschlag aus Posting #19.
Und nochwas - Die Verschlüsselung der Betreff-Zeile in einigmail 2.0.6 halte ich für eine typische Verschlimmbesserung.
Wer braucht so etwas, daß alle e-Mails nun den Betreff: "Verschlüsselte Nachricht" tragen?
Gruß
Ch. Hanisch
Wie stelle ich das Standard-Theme des Thunderbird ein?
das ist eine FAQ: Installation & Verwaltung von Themes.
Da muß man erst mal drauf kommen.
Danke für die Information.
Das ist natürlich ganz große Sch..., wenn vieles nur mit dem Standard Theme funktioniert.
Schon aus diesem Grunde ist die für enigmail 2.0.6 vorgeschlagene Methode unzumutbar für Normal-User, die sich im allgemeinen auch nicht mit Filtern auskennen.
Wer diesen Thread nicht kennt, der steht doch auf dem Schlauch bei dem Problem.
Zur Verbreitung von PGP trägt das alles gewiß nicht bei.
Und daß nun gleich alle e-Mails im betreffenden Ordner mit einem Ruck verschlüsselt werden, halte ich auch nicht für gut. Ebenso wie beim Entschlüsseln.
Da werden z.B. alle e-Mails im beteffenden Ordner plötzlich verschlüsselt - auch die, die man gar nicht verschlüsseln möchte.
Da möchte ich nicht das Chaos sehen, wenn man das als unbedarfter User im IMAP-Posteingang macht.
Gruß
Ch. Hanisch
Hallo,
Macht zwar in diesem Fall wahrscheinlich keinen Unterschied, aber wie schaut es denn aus, wenn Du das Standard-Theme des Thunderbird verwendest?
Verstehe ich nicht.
Wie stelle ich das Standard-Theme des Thunderbird ein?
Aha, habe es gefunden. Hatte ein anderes Theme eingestellt.
Mit dem Standard Theme funktioniert es nun.
Oh Wunder, was da alles abgeht!
Gruß
Ch. Hanisch
Hallo,
Es wird nicht nach "...E-Mail-Adresse mit neuem MDC-fähigem Key von Dir..." gefragt
Im Screenshot fehlt rechts das Feld zur Eingabe. Den Grund dafür kenne ich nicht. Es sollte so aussehen
Da haben wir ein Problem.
Bei mir unter Manjaro, Thunderbird 52.8.0 (64-Bit), gpg (GnuPG) 2.2.7 gibt es das zweite Feld rechts bei "Auszuführende Aktionen:" nicht.
Unter Windows 7 Thunderbird 52.8.0 (32-Bit) das gleiche Problem.
Offensichtlich wieder ein Bug in Thunderbird.
Gruß
Ch. Hanisch
Hallo,
Aber dann zeige doch bitte einmal Deine beiden Filter, damit ich meine Fehler korrigieren kann.
Genau so habe ich es gemacht:
2. Filter:
Bedingung: Keine Bedingung
Aktion: Verschlüsseln (Enigmail) > ...E-Mail-Adresse mit neuem MDC-fähigem Key von Dir...Im Anhang ist mein Filter 2, der nicht funktioniert.
Es wird nicht nach "...E-Mail-Adresse mit neuem MDC-fähigem Key von Dir..." gefragt.
Gruß
Ch. Hanisch
Hallo,
Schön wenn das funktionieren würde.
Ich finde es ärgerlich, dass du hier nach wie unterstellst, Thunderbird oder Enigmail würden nicht richtig funktionieren.
Es funktioniert nachweislich. Ich habe es selbst ausprobiert. Man muss lediglich die Filter richtig und so wie oben beschrieben anlegen.
In deinem Fall waren es eindeutig Anwenderfehler beim Erstellen und Ausführen der Filter.
Ok. - das kann sein.
Aber dann zeige doch bitte einmal Deine beiden Filter, damit ich meine Fehler korrigieren kann.
Vor allem Filter 2 wäre interessant.
Gruß
Ch. Hanisch
Hallo,
Ich benutze folgende Version:
$ gpg --version
gpg (GnuPG) 2.2.7
libgcrypt 1.8.2
Copyright (C) 2018 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <https://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Home: /home/opa/.gnupg
Unterstützte Verfahren:
Öff. Schlüssel: RSA, ELG, DSA, ECDH, ECDSA, EDDSA
Verschlü.: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
CAMELLIA128, CAMELLIA192, CAMELLIA256
Hash: SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Komprimierung: nicht komprimiert, ZIP, ZLIB, BZIP2Da alles bisher funktioniert werde ich auf dieses
sudo chmod 600 ~/.gnupg/*
verzichten.
Wozu bracht man das eigentlich?
Gruß
Ch. Hanisch
Hallo,
Ratsamer ist es, für das Verfahren zwei Filter und zwei verschiedene lokale Ordner anzuwenden. In einem Order werden im ersten Schritt die entschlüsselten Kopien gespeichert, im anderen dann, in einem zweiten Schritt, die neu verschlüsselten E-Mails.
Schön wenn das funktionieren würde.
Aber siehe mein Posting #39, wonach der zweite Filter gottlob nicht funktioniert.
Die vorgesehene Lösung ist nicht nur äußerst umständlich, sondern auch durch unbeabsichtigte fehlerhafte Anwendung gefährlich.
Gleich ganze Ordner in die Aktion mit einzubeziehen halte ich für keine gute Idee. Und die Mehrfachausführung sollte auch unterbleiben.
Ich kann narürlich nicht gegen diesen Schwachsinn ankommen und werde wohl bei enigmail 1.9.9 bleiben müssen.
Ich generiere mir auch nicht jedes Jahr ein neues Schlüsselpaar, um mir weitere PGP-Passwörter zu merken und den Key-Server mit verfallenen Schlüsseln voll zu müllen.
In meinem IMAP Postfach und anderen lokalen Ordnern liegen unzählige verschlüsselte e-Mails auf verschiedenen Rechnern.
Da kann ich nicht wegen enigmail 2.0.6 diese gewagten Aktionen durchführen und ein Chaos riskieren.
Ich vermute, Ihr seid von dem Problem selbst nicht betroffen und diskutiert hier theoretisch aus prinzipiellen Erwägungen heraus, ohne den unbedarften User vordergründig zu berücksichtigen.
Jedenfalls trägt die Zumutung von enigmail 2.0.6 gewiß nicht zur gewünschten Verbreitung von PGP bei.
Allein die Aktualisierung meines öffentlichen Schlüssels, um die MDC-Fähigkeit hinzuzufügen, würde das Problem für die Zukunft lösen.
Gruß
Ch. Hanisch
Hallo,
Ich würde somit das Wort "überflüssig" so nicht stehen lassen wollen - auch wenn irgendwas bei den Versuchen im Moment noch nicht funktioniert.
Gottlob funktioniert dieser Filter 2 nicht, denn sonst hätte man laut Filter-Protokoll sämtliche e-Mails (verschlüsselte und unverschlüsselte) im betreffenden Ordner nun verschlüsselt.
Das wäre eine Katastrophe.
Wenn überhaupt, dann sollte die Verschlüsselung nur auf jeweils eine markierte e-Mail angewendet werden.
Ich habe mir bei den Experimenten meinen IMAP-Posteingang total zermüllert. Dort wimmelt es nun von Kopien aller vorher verschlüsselten e-Mails (ich habe irrtümlich den Filter 1 mehrmals aufgerufen).
Das zu bereinigen ist ein unzumutbarer Aufwand. Zumal man um die Aktualisierung und Verteilung des öffentlichen Schlüssels an alle Partner nicht umhin kommt.
Eingimal 2.0.6 ist derzeit eine große Gefahr und sollte unbedingt auf meinen Vorschlag aus meinem Posting #19 zurückgeführt werden:
Eine Warnung, den eigenen öffentlichen Schlüssel mit
gpg --edit-key 0xYourKeyId setpref save
unbedingt zu aktualisieren und dann an die Partner zu verteilen - statt der derzeitigen Fehlermeldung - wäre meiner Meinung nach zielführend.So wie jetzt geht es auf gar keinen Fall.
Gruß
Ch. Hanisch
Hallo,
Alles anzeigenWie kann ich mit Filter 1 die verschlüsselten E-Mails entschlüsselt speichern? Die lassen sich doch gar nicht entschlüsseln.
Das ist eine berechtigte Frage, die genau Du ausprobieren müsstest, da hier nur Du die relevanten Nicht-MDC-E-Mails hast. Vielleicht hat man da halt eine entsprechende Lösung mit den Code-Änderungen eingebaut.
1. Filter:
Bedingung: OpenPGP-verschlüsselt > ist
Aktion: Entschlüsselte Kopie anlegen > ...in einem neuen Ordner Deiner Wahl...
In dem Ordner sollten dann nur die gerade entschlüsselten Mails liegen, wenn der 1. Filter durchgelaufen ist.
2. Filter:
Bedingung: Keine Bedingung
Aktion: Verschlüsseln (Enigmail) > ...E-Mail-Adresse mit neuem MDC-fähigem Key von Dir...
Lass die Filter einzeln manuell nacheinander laufen, denke ich.
Also es funktioniert mit dem 1. Filter. Aber nicht "...in einem neuen Ordner Deiner Wahl...", sondern es wird die betreffende e-Mail direkt unter der Zeile mit der MDC-Mail z.B. im "Posteingang" angezeigt - und zwar entschlüsselt.
Das geschieht beim manuellen Aufruf des Filters mit allen verschlüsselten e-Mails, z.B im Posteingang oder einem anderen Ordner, wohin die e-Mail(s) kopiert/verschoben wurde(n).
Auch mit denen, die nicht von MDC betroffen sind. Das ist natürlich völlig unnötig und lästig.
Man kann dann alle ersten verschlüsselten e-Mails mit gleichem Betreff aus dem Ordner (Posteingang) löschen. Und hat dann nur noch Kopien als entschlüsselte e-Mails dort (evtl. sogar mehrfach).
Der 2. Filter hat keinerlei Wirkung bezüglich Verschlüsseln. Es wird nach keinem PGP-Schlüssel gefragt.
Im Filterprotokoll wird aber ausgewiesen, daß alle sich im betreffenden Ordner befindlichen e-Mails (verschlüsselte und unverschlüsselte) verschlüsselt worden sind. Es kommt aber gottlob nichts an.
Wenn ich nun verschlüsselte e-Mails aus dem "Posteingang" nach z.B. "Entwürfe" kopiere und dort dann den Filter 1 anwende, funktioniert es nun dort auch sowohl bei IMAP als auch bei POP3 und Lokale.
Allerdings werden pauschal von allen dort befindlichen verschlüsselten e-Mails (mit und ohne MDC) entschlüsselte Kopien erzeugt.
Es wäre aber besser, wenn nur von einer markierten verschlüsselten e-Mail eine entschlüsselte Kopie erzeugt werden würde.
Wenn man den Filter 1 mehrmals aufruft, werden immer wieder die entschlüsselten Kopien der e-Mails angelegt. Das sollte aber eigentlich nicht sein, denn damit läuft der Ordner mit "Müll" voll.
Gruß
Ch. Hanisch
Hallo,
offensichtlich ist die Ursache für das seltsame Verhalten ein Rechteproblem im Verzeichnis ~/.gnupg.
Ich konnte mir ~/.gnupg aus einer Sicherung zurückspeichern und dann mit:
# Set ownership to your own user and primary group
sudo chown -R "$USER:$(id -gn)" ~/.gnupg
# Set permissions to read, write, execute for only yourself, no others
sudo chmod 700 ~/.gnupgdie Rechte neu setzen.
Allerdings habe ich nach:
# Set permissions to read, write for only yourself, no others
sudo chmod 600 ~/.gnupg/*keinen geheimen Schlüssel mehr.
Woran liegt das?
Jetzt stehen die Rechte für ~/.gnupg - Siehe Anhang
Gruß
Ch. Hanisch
Mit Filter 1 die verschlüsselten E-Mails entschlüsselt speichern. Diese dann mit Filter 2 und einem geeigneten Schlüssel erneut verschlüsseln. Zur Auswahl des Schlüssels genügt die Eingabe der E-Mailadresse. Man muss nicht die ID nachschlagen.
Letztendlich ist das nichts anderes als die von uns bereits vor fast einer Woche in den Beträgen #15 und #17 vorgeschlagenen Lösung, die Mails zu ent- und dann erneut mit einem tauglichen Schlüssel zu verschlüsseln.
Was sind denn das für Filter?
Bitte teile mir Deine zwei Filter mit.
Wie kann ich mit Filter 1 die verschlüsselten E-Mails entschlüsselt speichern? Die lassen sich doch gar nicht entschlüsseln.
Mir ist da alles zu kompliziert, werde wohl wider auf enigmail 1.9.9 zrückgehen.
Gruß
Ch. Hanisch