[Gelöst]Kann verschlüsselte e-Mail nicht mehr entschlüsseln

  • Thunderbird-Version: 24.2.0
    Betriebssystem + Version: Ubuntu 13.10
    Kontenart (POP / IMAP): IMAP, POP
    Postfachanbieter (z.B. GMX): t-online.de
    S/MIME oder PGP: PGP
    enigmail 1.6


    Hallo,
    unter Ubuntu 13.10 in einer VirtualBox kann ich mir selbst eine verschlüsselte e-Mail senden. Aber ich kann die empfangene e-Mail nicht mehr entschlüsseln, weil angeblich die Unterschrift nicht korrekt ist.

    Code
    1. OpenGPG Fehler - Überprüfung der Unterschrift fehlgeschlagen; klicken Sie auf "Details" für weitere Informationen


    Wenn ich mir ein e-Mail schicke, die ich nur signiere, funktioniert das auch nicht.

    Code
    1. Fehler - falsche Passphrase


    und weiter:

    Code
    1. Senden der Nachricht fehlgeschlagen.
    2. Bitte überprüfen Sie Ihre Konten-Einstellungen, und wiederholen Sie den Vorgang.


    Die Konten-Einstellungen sind Ok.


    Woran kann das liegen, da ja das verschlüsselte Versenden funktioniert?


    Gruß
    Ch. Hanisch

    Einmal editiert, zuletzt von Hanisch ()

  • Hallo,
    ich fange mal mit der letzten Frage an:

    Zitat

    Woran kann das liegen, da ja das verschlüsselte Versenden funktioniert?


    weil das Verschlüsseln keine Passphrase erfordert, im Gegensatz zum Signieren und Entschlüsseln.
    Ich habe ja schon mal beschrieben, wie man herausbekommt, mit welchen Schlüsseln eine Mail verschlüsselt ist. Also überprüf mal, ob da etwas faul ist.
    Gruß, muzel

  • Edit: Vollzitat gelöscht! Bitte zum Antworten die Buttons Antworten oder SchnellAntwort verwenden bzw. bei Einsatz des Buttons Zitieren nur das unbedingt Notwendige aufführen! Mod. graba


    Ich habe die e-Mail abgespeichert und dann

    Code
    1. gpg -vv name_der_e-Mail


    gemacht.
    Dann wurde ich nach meinem privaten Key gefragt und sollte einen Dateinamen eingeben, unter dem dann die entschlüsselte e-Mail stand.
    Also es hat auf diese Weise erst mal funktioniert.


    Aber warum geht es mit enigmail nicht?


    Gruß
    Ch. Hanisch

  • Zitat

    Aber warum geht es mit enigmail nicht?


    Das könnte aus dem Logfile und/oder der Konsole, beides unter OpenPGP / Fehlersuche, hervorgehen. Erscheint ein Passwort-Eingabefenster, oder gleich die Fehlermeldung "Passphrase falsch"?
    Läuft ein Passwort-Daemon oder -agent? In der Konsole

    Code
    1. ps -ef | grep gpg | grep daemon


    oder

    Code
    1. ps -ef | grep gpg | grep agent


    eingeben.
    Welche gpg-Version?

    Code
    1. gpg --version


    - m.

  • "muzel" schrieb:

    ... Erscheint ein Passwort-Eingabefenster, oder gleich die Fehlermeldung "Passphrase falsch"?


    Sofort die Meldung: "Passphrase falsch".


    Code
    1. ~$ ps -ef | grep gpg | grep agent
    2. benutzer 1861 1735 0 09:35 ? 00:00:00 gpg-agent --daemon --sh


    Code
    1. ~$ ps -ef | grep gpg | grep daemon
    2. benutzer 1861 1735 0 09:35 ? 00:00:00 gpg-agent --daemon --sh


    Gruß
    Ch. Hanisch

  • Versuch mal den Agenten abzuwürgen mit

    Code
    1. kill <PID>


    (wie ist die Einstellung OpenPGP / Einstellungen / Erweitert / ...GPG-Agent verwenden? ggfs ausschalten). Dann nochmal versuchen eine signierte Mail zu versenden.
    Und wie gesagt, es gibt da den Menüpunkt "Fehlersuche".
    - m.

  • "muzel" schrieb:

    Versuch mal den Agenten abzuwürgen mit

    Code
    1. kill <PID>


    (wie ist die Einstellung OpenPGP / Einstellungen / Erweitert / ...GPG-Agent verwenden? ggfs ausschalten).


    "...GPG-Agent verwenden" gibt es bei mir nicht.
    Fehler werden auch nicht gemeldet, es funktioniert angeblich alles.
    Im Fehler-Log fällt auf:

    Code
    1. ...
    2. Unsichere Zugriffsrechte der Konfigurationsdatei `/home/benutzer/.gnupg/gpg.conf'
    3. gpg: WARNUNG: Unsichere Zugriffsrechte des umgebenden Verzeichnisses der Konfigurationsdatei `/home/benutzer/.gnupg/gpg.conf'
    4. ...


    Was mag das bedeuten?
    Gruß
    Ch. Hanisch

  • "Experten-Optionen" sind hoffentlich aktiviert?

    Zitat

    "...GPG-Agent verwenden" gibt es bei mir nicht.


    Zitat

    Unsichere Zugriffsrechte der Konfigurationsdatei `/home/benutzer/.gnupg/gpg.conf'


    Wie sind denn die Zugriffsrechte? Du (der angemeldete Nutzer) sollte Eigentümer von ~/.gnupg und allen Dateien darin sein und volles Lese- und Schreibrecht haben.
    Falls nicht:

    Code
    1. sudo chown -R <benutzer> /home/benutzer/.gnupg


    - m.

  • "muzel" schrieb:

    "Experten-Optionen" sind hoffentlich aktiviert?


    Die Zeile "Zur Passphrasen-Verwaltung die GPG-Agent-Anwendung verwenden" fehlt bei mir.

    Zitat

    Falls nicht:

    Code
    1. sudo chown -R <benutzer> /home/benutzer/.gnupg


    Müßte alles stimmen. Angeblich müssen die Rechte 600 und 700 eingetragen sein für alle Dateien in ~/.gnupg. Wie macht man das?


    Gruß
    Ch. Hanisch

  • Zitat

    Müßte alles stimmen. Angeblich müssen die Rechte 600 und 700 eingetragen sein für alle Dateien in ~/.gnupg. Wie macht man das?


    mit chmod - aber vielleicht erst einmal testen mit

    Code
    1. cd ~/.gnupg
    2. ls -l


    ...oder, falls du wie die meisten Menschen die Umrechnung der Zugriffsrechte in Oktalzahlen nicht beherschst ;) 

    Code
    1. stat -c '%a %n' *


    "...für alle Dateien" würde ich übrigens bezweifeln, auf jeden Fall aber für die wichtigen wie *ring.gpg, *.conf usw.
    Und dann müßte man sich fragen, wenn es Abweichungen bei den Zugriffsrechten von der erwünschten "600" bzw. "-rw-------" gibt, warum (was ist bei der Installation oder Konfiguration schiefgelaufen)?
    - m.

  • Hallo,
    also das müßte eigentlich alles Ok. sein:


    Oder muß ich da noch was auf 700 stellen?
    z.B.

    Code
    1. chmod 700 ~/.gnupg


    Aber woran liegt es denn bloß, daß ich nicht einmal nach der Passphrase gefragt werde?
    Im Fehler-Log:

    Code
    1. ...
    2. gpg: Entschlüsselung mit Public-Key-Verfahren fehlgeschlagen: Falsche Passphrase
    3. [GNUPG:] ERROR pkdecrypt_failed 11
    4. [GNUPG:] BEGIN_DECRYPTION
    5. [GNUPG:] DECRYPTION_FAILED
    6. gpg: Entschlüsselung fehlgeschlagen: Geheimer Schlüssel ist nicht vorhanden
    7. [GNUPG:] END_DECRYPTION
    8. ...



    Gruß
    Ch. Hanisch

  • Zitat

    Oder muß ich da noch was auf 700 stellen?


    Nein, nicht so voreilig, und nicht im Rundumschlag, sondern einzeln.
    Ich hab jetzt kein Linux vor mir, daher kann ich nur vermuten, daß alle Konfigurationsdateien 600 kriegen sollten.
    Unabhängig davon kannst du ruhig mal wie oben beschrieben den Agenten abschießen, und schauen was passiert.
    Ach ja, was steht in gpg-agent.conf und gpg-agent-info-Ubuntu-VM?
    Und dazu

    Zitat

    Die Zeile "Zur Passphrasen-Verwaltung die GPG-Agent-Anwendung verwenden" fehlt bei mir.


    dann doch noch die Frage: ist Enigmail als Addon oder über die Paketverwaltung installiert?


    - m.

  • "muzel" schrieb:


    Unabhängig davon kannst du ruhig mal wie oben beschrieben den Agenten abschießen, und schauen was passiert.


    Das bringt keine Verbesserung.

    Zitat

    Ach ja, was steht in gpg-agent.conf und gpg-agent-info-Ubuntu-VM?


    ~/.gnupg/gpg-agent.conf hier:


    und ~/.gnupg/gpg-agent-info-Ubuntu-VM

    Code
    1. GPG_AGENT_INFO=/tmp/gpg-Xlh3TU/S.gpg-agent:2827:1


    Letzteres habe ich manuell eingetragen.

    Zitat

    dann doch noch die Frage: ist Enigmail als Addon oder über die Paketverwaltung installiert?


    Als Addon installiert.
    Habe jetzt das enigmal 1.5.2 aus der Paketverwaltung mal eingerichtet - keine Veränderung der Situation.


    Gruß
    Ch. Hanisch

  • Hallo muzel,


    vielleicht hilft es Dir bei der Problemlösung ...


    Die aktuellen Versionen im Ubuntu-Repository sind meines Wissens:


    gpg: 1.4.11
    Enigmail: 1.5.2


    Das für mich nach wie etwas unklare Thema mit den Agents hatten wir ja schon. Wenn man gpg und Enigmail aus den Ubuntuquellen bezieht, dann zeigt GPG_AGENT_INFO auf den Keyring:


    Code
    1. Susi@Tux:~$ echo $GPG_AGENT_INFO
    2. /tmp/keyring-MyFZef/gpg:0:1


    Gruß


    Susanne

  • Hallo graba,


    ja, in diesem Fall meinte ich wirklich muzel. Mir fiel auf, dass auch gpg nicht aus den Ubuntu-Quellen zu stammen scheint. Ich weiß derzeit auch nicht, was die Ursache für das Problem ist, aber ich dachte, das hilft muzel vielleicht weiter, denn er hatte ja oben nach der Herkunft der Enigmail-Version gefragt.


    Ich weiß nicht, ob die Quelle eine Rolle spielt. Hinsichtlich des Agenten (und dazu hat muzel ja schon ordentlich geforscht) scheint es aber einen Unterschied zu geben.


    Gruß


    Susanne

  • "SusiTux" schrieb:


    Wenn man gpg und Enigmail aus den Ubuntuquellen bezieht, dann zeigt GPG_AGENT_INFO auf den Keyring:

    Code
    1. Susi@Tux:~$ echo $GPG_AGENT_INFO
    2. /tmp/keyring-MyFZef/gpg:0:1


    Bei mir ist:

    Code
    1. ~$ echo $GPG_AGENT_INFO
    2. /tmp/gpg-0Z3VgQ/S.gpg-agent:1845:1


    Was bedeutet das?
    Sollte das in ~/.gnupg/gpg-agent-info-Ubuntu-VM stehen?


    Gruß
    Ch. Hanisch

  • Ist schon alles sehr merkwürdig, zumal meine Installation ganz ähnlich ist (Ubuntu 12.04 precise / TB 24.2.0), nur nicht in einer VM, und ein selbst kompiliertes gpg 1.4.15.
    Habe jetzt auch alle möglichen Varianten durchgespielt, Enigmail 1.5.2 (Pakete), 1.6 (AMO), alle Agenten gekillt, $GPG_AGENT_INFO entsorgt - es funktioniert immer irgendwie!
    @Ch. Hanisch: versuch nochmal folgendes: im Konsolenfenster wie schon beschrieben den oder die Agenten finden und killen, dann

    Code
    1. unset GPG_AGENT_INFO
    2. thunderbird


    gute nacht, m.

  • "muzel" schrieb:


    @Ch. Hanisch: versuch nochmal folgendes: im Konsolenfenster wie schon beschrieben den oder die Agenten finden und killen, dann

    Code
    1. unset GPG_AGENT_INFO
    2. thunderbird


    gute nacht, m.


    Oh, Wunder. Nach dem

    Code
    1. ~$ ps -ef | grep gpg | grep agent
    2. benutzer 1845 1726 0 21:36 ? 00:00:00 gpg-agent --daemon --sh
    3. ~$ kill 1845


    und dann

    Code
    1. ~$ unset GPG_AGENT_INFO
    2. ~$ thunderbird


    startet der Thunderbird und die Entschlüsselung funktioniert. Allerdings bleibt die Passphrase nicht für längere Zeit wirksam.
    Das kann aber nicht der normale Zustand sein.
    Wie kriegen wir das nun geregelt?
    Kann ich gefahrlos ~/.gnupg/gpg-agent-info-Ubuntu-VM löschen?


    Gruß
    Ch. Hanisch

  • Moin,

    Zitat

    Kann ich gefahrlos ~/.gnupg/gpg-agent-info-Ubuntu-VM löschen?


    ja, und auch /tmp/gpg* und/oder /tmp/keyring* - das sollte alles nach dem nächsten Betriebssystemstart wieder da sein, oder jedenfalls das, was benötigt wird.
    Außerdem machst du ja sicher vor jedem Experiment eine Datensicherung.
    - m.