Beiträge von wicki_w

ich will gar nicht signieren - und natürlich ist es in der config [ ] AUS.

und alle "...sign_mail.." stehen ebenfalls auf false.

aber offenbar hat sich TB in den kopf gesetzt:

"wenn jemand eine pgp-mail schickt, dann bekommt er die antwort in signiert.

egal, was der doofe user da als standard eingestellt hat"

wenn man diese macke kennt, kann man sich drauf einstellen.

aber "allgemeine schutzverletzung" zu melden, das ist banane und

wenig hilfreich.

und für die rosinenausscheider: das war ein scherz, der auf eine sehr

aussagekräftige fehlermeldung eines softwareverkäufers aus redmond

anspielt.

ansonsten: problem nicht beseitigt, aber ursache erkannt und

workaround gefunden.

also für mich ist das thema durch.

frohe fingsten

Also das Problem ist wohl:

es findet die "unterschift" nicht - wenn ich eine neue mail erstelle, dann

will er defaultmässig nicht signieren.

wenn ich ein reply an einen pgp-versendet schicke, dann will er das.

(aktiviert sich automatisch)

wenn ich dann "unterschreiben" abwähle, dann geht die mail raus.

bestimmt gibt es irgendwo eine "sign.pgp.reply true"-einstellung irgendwo.

hi zusammen,

nachdem ich nun dauerhaft auf o.v. version umgestellt, tritt nachmal folgendes auf:

mail neu an empfänger mit pgp

mail schreiben

mail senden

"nachricht wird erstellt....."

und unmittelbar darauf - ohne merkliche verzögerung

"Senden der Nachricht fehlgeschlagen."

sonst nichts

starte ich TB im terminal, dann logged das hier:

console.debug: "sendFlags=000090c2"
console.debug: "in getEncryptionFlags, gSendEncrypted=true, gSendSigned=true"
console.debug: "getCryptParams parameters: from=0x0AABBCCDDEEFFGGH, to=hans@wurst.de bcc=, hash=SHA256, flags=53441, ascii=0, errorObj=%o, logObj=%o" ({value:""}) ({})
console.debug: "getCryptParams, got: to=hans@wurst.de, bcc="
console.debug: "getCryptParams returning:"
console.debug: ({sender:"0x0AABBCCDDEEFFGGH", sign:true, signatureHash:"SHA256", sigTypeClear:false, sigTypeDetached:true, encrypt:false, encryptToSender:false, armor:true, senderKeyIsExternal:true, to:["hans@wurst.de"], bcc:[]})
console.debug: "sendFlags=0000d0c1"
console.debug: (new Error("failure in finishCryptoEncapsulation", "chrome://openpgp/content/modules/mimeEncrypt.jsm", 592))
JavaScript error: chrome://openpgp/content/modules/mimeEncrypt.jsm, line 592: Error: failure in finishCryptoEncapsulation

es ist dann unmöglich, die mail los zu werden.

exit

neu starten

neue mail

gleicher empfänger, gleicher inhalt --> dann geht sie fehlerfrei raus

pgp erfolgt über

mail.openpgp.allow_external_gnupg

jemand eine idee dazu?

DISTRIB_ID=LinuxMint

DISTRIB_RELEASE=20.1

DISTRIB_CODENAME=ulyssa

DISTRIB_DESCRIPTION="Linux Mint 20.1 Ulyssa"

Zitat von Susi to visit

Zitat von wicki_w

... und wer sich mit diesen problemen rumschlägt und diesen thread

liest und die passagen, in denen mit schlamm geschmissen wird überliest,

der wird dieses problem lösen können.

Ich weiß ja, was du damit sagen willst. Aber wer das überliest, dem entgeht völlig, was ihr zwei für Experten seid.

 

Man hätte das jetzt auch einfach als "Problem gelöst, alles gut" so stehen lassen können.

Aber ich glaube, dass man an diesem Thread und seinen Protagonisten deutlich erkennen kann,

dass es nicht zwangsläufig die Anzahl der Beiträge ist, an denen man Qualifikation festmachen kann.

In diesem Sinne

einen schönen Ausgangssperrenabend noch

Wicki

Zitat von Susi to visit

 

So oder so, wie du inzwischen ja selbst überrascht festgestellt hast ist deine Anleitung viel zu kompliziert und deshalb nicht zu empfehlen. Ich wünsche anderen Betroffenen jedenfalls sehr, dass sie sich das unnötige Prozedere nicht antun.

eine zu komplizierte anleitung ist besser als gar keine!

also besten dank an BM, der sie geschrieben hat.

... und wer sich mit diesen problemen rumschlägt und diesen thread

liest und die passagen, in denen mit schlamm geschmissen wird überliest,

der wird dieses problem lösen können.

also alles gut

Zitat von B. Mueller

Zitat von wicki_w

warum sieht der klick auf "security bei mir so ganz anders aus:

Hier helfen vielleicht die Standard Tips weiter: TB ohne Add-ons und/oder mit neuem Profil starten.

das glaub ich jetzt nicht....!

es ist ist ein unterschied ob man auf "security" oder das symbol daneben klickt...

(ich bin mir eigentlich sicher, dass ich das schon ein paar mal erfolglos versucht hatte)

ob es am expliziten abschalten des enigmail-plugin lag?

nun scheint jedenfalls auch das zu gehen.

besten dank

Zitat von B. Mueller

Das kann man jederzeit ändern. Ist zwar lästig, da TB 78 keine Empfängerregeln mehr kennt, aber sinnvoll - so kann man die Verschlüsselung nicht vergessend.

das hab ich ja auch erwartet und schon x-mal versucht.

aber warum sieht der klick auf "security bei mir so ganz anders aus:

(das "x-message" gehört natürlich nicht dazu)

So weit, so gut.

Das scheint bislang gut zu funktionieren - Im Prinzip muss man ja (fast) nichts weiter

tun, als auf die TB78-Frage

"darf ich all deine Keys und Passphrasen haben"

"nö" zu sagen. Bzw. den Migrationswunsch abzubrechen.

Warum diese Lösung hier unten in dem Link nicht deutlicher präsentiert und erklärt wird,

das verstehe ich nicht.

Denn das auf die Frage angegebene fette "Nein" und dann irgendwas von "Chipkarten"

lässt wohl jeden Leser (so auch mich) erst mal denken:

"Das geht für mich nicht. Smartcard habe ich nicht"

Was mir noch nicht ganz klar ist:

Ich habe "Standardmässig-PGP" aktiviert und möchte nun eine begonnene Mail an einen

nicht PGP-Empfänger schicken.

Wie geht das?

Bislang gings nur so:

"Standardmässig-PGP" ausschalten, Mailer verlassen und neu starten, neue Mail beginnen,

absenden.

Danach entscheidet TB aber irgendwie nach Lust&Laune, ob nun neue Mails an Empfänger,

deren Key man hat, als Klartext oder als PGP rausgehen.

Da habe ich noch kein wirkliches System drin erkennen können.

----------------------------------------------------------------

https://support.mozilla.org/de/kb/openpgp-…synchronisieren

Auszug:

Sie müssen sowohl GnuPG als auch Thunderbird parallel nutzen. Können Sie Ihre Schlüssel synchronisieren?

Nein. Aktuell benutzt Thunderbird seine eigene Kopie der Schlüssel und unterstützt keine Synchronisation der Schlüssel mit GnuPG. Die einzige Ausnahme ist der für Chipkarten (Smartcards) angebotene Mechanismus, mit dem von GnuPG verwaltete persönliche Schlüssel verwendet werden können.

Zitat von B. Mueller

Zitat von wicki_w

thunderbird starten. verschlüsselte mail abrufen:

"Enigmail ist jetzt teil von thunderbird. ... migrieren OK"

das aber abgebrochen.

Diesen Schritt habe ich damals leider nicht abgebrochen und mußte danach alles «zu Fuß» wieder einrichten:

Beitrag

Nach Update auf TB 78 Password/Passphrase-Abfrage für private Schlüssel wieder einrichten - Schritt für Schritt

Wer, wie ich, die Abfrage der Passphrase beim Einsatz der privaten Schlüssel unter TB vermißt, kann die Kontrolle darüber an GnuPG zurückgeben. Unter 'https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards' ist zwar gut beschrieben, wie man das macht, aber es fehlt ein wichtiger Schritt: Man muß die privaten Schlüssel aus der Schlüsselverwaltung von TB entfernen!

("Enabling this preference will cause Thunderbird to attempt to decrypt a message using GnuPG, whenever RNP fails to decrypt a…

B. Mueller

20. Dezember 2020 um 13:35

So einfach kann es also sein - danke für die Info.

ja, so einfach scheint es zu sein.

mir ging es ja auch so - und deswegen war ich so stinkesauer - und habe das mit

deutlichen worten zum ausdruck gebracht.

natürlich ist man misstrauisch, wenn irgendeine software nach einer passphrase

fragt.

aber "hey, das ist thunderbird. denen wird man ja wohl vertrauen können"

ich wäre nie auf die idee gekommen, dass die sich einfach der decrypteden key

einverleiben und für sich behalten.

und man muss nicht verschwörungstheorie studiert haben, damit einem das

mindestens erst mal seltsam vorkommt.

Zitat von B. Mueller

Welche Version unter welchen Randbedingungen? So hört sich das nicht nach einem völlig neuen Profil an.

das war der ablauf:

uname -an

Linux -mint-19 5.4.0-66-generic #74-Ubuntu SMP Wed Jan 27 22:54:38 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux

cat /etc/lsb-release

DISTRIB_ID=LinuxMint

DISTRIB_RELEASE=20.1

DISTRIB_CODENAME=ulyssa

DISTRIB_DESCRIPTION="Linux Mint 20.1 Ulyssa"

benutzt wurde

thunderbird-68.12.1 - mit enigmail

(manuell installiert)

dann:

apt-get update

apt-get install thunderbird

thunderbird --version

Thunderbird 78.8.1

passt

thunderbird starten. verschlüsselte mail abrufen:

"Enigmail ist jetzt teil von thunderbird. ... migrieren OK"

das aber abgebrochen.

dann verschluesselte mail aufrufen:

passphrase wird abgefragt - mail entschluesselt

importieren der pubkey und einstellen der fingerprints.

und die agent.conf anpassen.

so sieht es für mich _erst mal_ OK aus.

Sagt mal:

kann das sein, dass es so relativ zu den vermeitlichen Folgen wenig

Drama um das ganze Thema gibt, weil es nur Leute betrifft, die vorher

Enigmail laufen hatten?

(und dann leichtfertigerweise bei "migrieren" auf OK geklickt haben?)

Ich habe grade eine Neuinstallation gemacht und da nimmt er scheinbar per

default den PGP-Agent mit den eingestellten Timeout-Zeiten.

in ~/.gnupg/gpg-agent.conf

Und wenn man die nach seinem Wunsch einstellt ist alles gut.

so scheint es jedenfalls zu sein.

nun wirds mir echt zu doof....

und hat auch nichts mehr mit dem thema zu tun.

als fazit ziehe ich:

man kann, wenn man es will und weiss wie, seinen TB78 auch so konfigurieren, dass man auch

bei offenem mailer verschiedene "crypt-ebenen" hat. von denen jede durch eine eigene

passphrase geschützt ist.

man kann es auch lassen, wenn man dazu zu bequem ist.

ersteres habe ich bislang nur unter linux getestet, gehe aber davon aus, dass es unter win ebenfalls

möglich ist.

(probieren und dann hier posten werde ich das aber nur, wenn mich die langeweile überkommt.

da ich win nur zum spielen benutze)

wer neu in verschlüsselung einsteigt, und nur die transportstrecke verschlüsselt habe möchte,

für den mag die TB78-implementation ja auch durchaus sinnvoll sein.

wer anderen umgang damit gewohnt ist, für den ist es eine katastrophe.

im übrigen haben mich sehr viele jahre in der branche eins gelehrt:

es gibt kaum berufe, die IT-inkompatibler sind als juristen und steuerberater

sie sprechen einfach eine ganz andere sprache.

Zitat von Susi to visit

Wie du gesehen hast, stammt der von mir. Und ja, es kann sein, dass diese Funktion irgendwann entfernt wird. Vielleicht auch nicht. Vorläufig funktioniert es jedenfalls.

Die Geschichte, dass Kunden/Firmen/Praxen, die mit sensiblen medizinischen Daten umgehen, sich von dir zu einer veralteten Version oder gar zu einer Migration zu einem ebenso alten Fork oder gar zur einem Mixbetrieb mit Claws überzeugen lassen, erzähle besser der sprichwörtlichen Uroma. Das nehme ich dir nie und nimmer ab.

hab ich irgendwann irgendwo irgendwas von "Kunden/Firmen/Praxen" geschrieben?

nein, hab ich nicht. - nicht in bezug auf medizinische daten.

und meine uroma lass bitte aus solchen postings erst recht raus.

wenn lieschen müller benno kusche schreibt, dass sie schwanger ist (und von wem sie

das sein könnte), dann sind das sensible medizinische daten.

dafür müssen weder sender noch empfänger mediziner sein.

aber auch ergebnisse von c-tests, die das DRK verschickt sind sensible m.-daten.

und genau die verschickt das DRK offen durchs netz.

und wenn ich von einer betonsteinfabrik aus dem sauerland plötzlich meine

eigene vorsorgevollmacht im klartext einer spam-mail erhalte, dann ist mit dem

datenschutz in .de ganz gewaltig was nicht in ordnung.

(genau das ist passiert. da war, wohl gemerkt, ein leak bei meinem notar die ursache)

und dieser kleine exkurs hatte jetzt nichts mit dem aktuellen TB-problem zu tun.

aber ist ein mailer offen und der ppg-key von keiner phrase mehr geschützt, dann ist

auch liesels schwangerschaftstest ruckzuck im netz - auch wenn es als mail encrypted war.

jedenfalls schneller, als mit manuell einzugebender phrase.

nachtrag:

das mit dem übertragen des key-handlings an den pgp-agent scheint aber zu

funktionieren wie ich es gern hätte.

besten dank

Zitat von schlingo

dazu hatte ich oben schon auf die Security Advisories for Thunderbird hingewiesen. Reichen die etwa nicht?

 

also da sehe ich nur "fixed".

und

"Jetzt schau doch endlich einmal nach Option 2 von oben "

ja, das ist der Tat eine Option.

Mit einem Aufwand, der der Neuinstallation von Claws-Mail gleichkommt.

Aber ob das auch unter win geht müsste ich dann auch erst noch testen.

Und der direkt folgende Einwand in dem Posting

• Die Funktion, auf GnuPG zurückzugreifen, ist vorrangig für Benutzer von Smartcards gedacht. Irgendwann in der Zukunft wird Thunderbird selbst Smartcards unterstützen. Es kann also sein, dass man diese Funktion dann wieder entfernt.

würde dann das Problem auch nur wieder verschieben.

Denn wenn TB das 1x gemacht hat ( ein funktionierendes Plugin rauswerfen), dann tun

sie es auch ein zweites mal.

Trotzdem teste ich beide Varianten. Wenn es wen interessiert, poste ich die Ergebnisse

hier. Was mir auf den ersten Blick gut gefällt, ist die OS-nahe Einbindungsmöglickeit

eigener Mail-Handler. Aber das ist ja auch nur ein erster Eindruck.

Könnte sogar auf Parallelbetrieb TB/Claws hinauslaufen.

Wenn man es hinbekommen kann, das die beiden sich auf ein gemeinsames Format/Maildir

einigen können.

Hat das schon mal jemand versucht?

Zitat von B. Mueller

Hier geht es um Sicherheitslücken der gegenwärtigen Implementierung von OpenPGP in TB - die lassen sich halt nicht schönreden und verharmlosen.

Ich will das jetzt auch gar nicht weiter breittreten. Und wer TB in dieser Form mit PGP nutzen will, der kann das ja gerne tun. Die 68er ist auch (nach meinem Kenntnisstand kein"unsupported Fork".

Und so lange ich von der 68er keine Sicherheitslücken kenne oder Funktionen vermisse, werde ich

sie auch erst mal beibehalten.

Aber parallel dazu Claws-Mail weiter testen. Und dann schauen, wie es weiter geht....

Nach dem, was ich bislang herausgefunden habe, wird aber eine "Ungültigmachung" der Passphrase nach Zeitablauf nicht realisierbar sein - weil TB78 halt gar keine Passphrase mehr kennt.

Das Problem wäre also nur mit einem Plugin zu lösen.

Vielleicht findet sich ja jemand, der das umsetzt.

Mich würde es freuen.

Wie ich sehe, ist dieses Thema ja im letzten Jahr mit gleichen Protagonisten auch

hier schon mal hochgekocht und abgewürgt worden.

Gezwungernermassen habe ich mir nur also mal Claws-Mail angesehen. für Linux.

Gibt es aber wohl auch für Win (https://www.claws-mail.org/)

Erster Kurztest:

Mail geht, etwas "spartanischer" als TB aber nach aktivieren des PGP-plugins

funktionieren verschlüsselte Mails auf Anhieb.

Unter Verwendung des Standard-PGP-key-Handlings (also Phrase-request bei PGP-Mail

über den pgp-Agent).

So, wie sich das gehört.

Ich werde weiter testen und mich bei positivem Ergebnis von TB endgültig trennen.

so, und nun kommt.

noch ein paar mehr -Daumen für den Überbringer der schlechten Nachricht sind

doch sicher noch drin....

hey, gebt mir schnell noch n paar daumen nach unten.

aber hier wird zumindest ein TB-clone "interlink" vorgeschlagen,

den ich gelegentlich mal testen werde:

https://support.mozilla.org/en-US/questions/1304363

und im letzten posting von 2/2021 wird das nochmal deutlich dargelegt, warum es

so wie es jetzt ist einfach nicht geht.

incl. einfachem lösungsvorschlag, den die entwickler aber scheinbar nicht umsetzen

wollen/können/dürfen.

was für mich bedeutet: TB ist für mich und kunden tabu, wenn die 68er version

nicht mehr supported wird.

ich weiss nicht, was die jungs geritten hat, eine pgp-phrase auf die platte zu schreiben.

aber mit halbwegs gesundem menschenverstand ist das nicht mehr zu erklären.

es gibt also keine lösung und kein gefahrenbewusstsein....

habe ich zur kenntnis genommen.

und denen, die mit sprüchen von "sicher noch win7" u.ä. kommen sei gesagt:

ich habe schon emails geschrieben als es den begriff "internet" noch gar nicht gab.

und nun

auf wiesegehn

wicki

Zitat von stefan327

Also in so einer Umgebung ist doch das Sperren der Arbeitsstation der einzig sinnvolle Weg? gibt ja nicht nur mails auf so einem Rechner?

was die ganze andre Problematik angeht, kann man doch mit TB68 noch ganz glücklich sein, zumindest für einige Zeit. das kann man auch so einstellen, daß es nicht automatisch aktualisiert.

nein, es gibt keine anderen sachen auf den rechnern, die niemand sonst sehen sollte.

Aber Mails - insbesondere PGP-verschlüsselte - sind der ureigenste privateste Bereich

desjenigen, der davor sitzt.

Auch 08/15-Mails kann ruhig jeder lesen.

Aber verschlüsselte Mails enthalten Passwörter, Daten, die niemand etwas angehen

und auch vielleicht mal schnell geschriebene Infos zu Gesundheitszustand von

Personen oder gar Diagnosedaten.

"Sperren der Arbeitsstation" ist keine Option.

TB68 mit Enigmail und Zeitablauf für Passphrase war optimal.

Das hier unterdrückt hoffentlich die auto-update-vorschläge und wir können die 68er Version

noch weiter nutzen. Bis es entweder eine Lösung dafür gibt - oder eine andere Alternative:

cat ./distribution/policies.json

{

"policies":

{

"DisableAppUpdate": true

}

}

Wenn sich keine andere Lösung findet, dann wird es darauf hinauslaufen, nach mehr

als 10 Jahren wieder von TB weg zu gehen.

Und das werde ich auch den von uns betreuten Unternehmen sagen müssen.

Es geht nicht um Insellösungen für bestimmte Betriebssysteme.

Selbstverständlich laufen _alle_ relevanten Systeme von denen ich rede, mit

verschlüsselten Partitionen.

Dennoch traue ich keinem OS und kleine Schlüsselveraltung über den "Weg".

(Einzig teilweise der von Firefox, weil über den Browser sowieso keine relevanten Informationen

laufen sollten.)

Aber es kann und darf nicht sein, dass sich Lieschen Müller mal eben an den Arbeitsplatz von

Peter Pan setzt und sie dann lesen kann, was er grade für Mails von der Geschäftsleitung

bekommen hat (weil er in der Pinkelpause vergessen hat, dass im Background noch der Mailer

offen ist)

"Dann soll er eben den Bildschirm sperren...:"

kommt nun vermutlich wieder.

Ja, soll er. Tut er aber nicht.

Und eine Bildschirmabschaltung nach x-Sekunden ist keine Lösung.

Weil das nur nervt.

Die "Passphrase wird nach 5 Minuten vergessen"-Lösung war ideal.

Wenn das nicht mehr realisierbar ist, dann gibts nur den Weg: Weg von TB.

Oder PGP-Mail-handling in externe Scripte auslagern.