[Gelöst]Kann verschlüsselte e-Mail nicht mehr entschlüsseln

    Thunderbird-Version: 24.2.0
    Betriebssystem + Version: Ubuntu 13.10
    Kontenart (POP / IMAP): IMAP, POP
    Postfachanbieter (z.B. GMX): t-online.de
    S/MIME oder PGP: PGP
    enigmail 1.6

    Hallo,
    unter Ubuntu 13.10 in einer VirtualBox kann ich mir selbst eine verschlüsselte e-Mail senden. Aber ich kann die empfangene e-Mail nicht mehr entschlüsseln, weil angeblich die Unterschrift nicht korrekt ist.

    Code
    OpenGPG Fehler - Überprüfung der Unterschrift fehlgeschlagen; klicken Sie auf "Details" für weitere Informationen


    Wenn ich mir ein e-Mail schicke, die ich nur signiere, funktioniert das auch nicht.

    Code
    Fehler - falsche Passphrase


    und weiter:

    Code
    Senden der Nachricht fehlgeschlagen.
Bitte überprüfen Sie Ihre Konten-Einstellungen, und wiederholen Sie den Vorgang.


    Die Konten-Einstellungen sind Ok.

    Woran kann das liegen, da ja das verschlüsselte Versenden funktioniert?

    Gruß
    Ch. Hanisch

    Einmal editiert, zuletzt von Hanisch (21. Januar 2014 um 19:12)

    Hallo,
    ich fange mal mit der letzten Frage an:

    Zitat

    Woran kann das liegen, da ja das verschlüsselte Versenden funktioniert?


    weil das Verschlüsseln keine Passphrase erfordert, im Gegensatz zum Signieren und Entschlüsseln.
    Ich habe ja schon mal beschrieben, wie man herausbekommt, mit welchen Schlüsseln eine Mail verschlüsselt ist. Also überprüf mal, ob da etwas faul ist.
    Gruß, muzel

    Edit: Vollzitat gelöscht! Bitte zum Antworten die Buttons Antworten oder SchnellAntwort verwenden bzw. bei Einsatz des Buttons Zitieren nur das unbedingt Notwendige aufführen! Mod. graba

    Ich habe die e-Mail abgespeichert und dann

    Code
    gpg -vv name_der_e-Mail


    gemacht.
    Dann wurde ich nach meinem privaten Key gefragt und sollte einen Dateinamen eingeben, unter dem dann die entschlüsselte e-Mail stand.
    Also es hat auf diese Weise erst mal funktioniert.

    Aber warum geht es mit enigmail nicht?

    Gruß
    Ch. Hanisch

    Zitat

    Aber warum geht es mit enigmail nicht?


    Das könnte aus dem Logfile und/oder der Konsole, beides unter OpenPGP / Fehlersuche, hervorgehen. Erscheint ein Passwort-Eingabefenster, oder gleich die Fehlermeldung "Passphrase falsch"?
    Läuft ein Passwort-Daemon oder -agent? In der Konsole

    Code
    ps -ef | grep gpg | grep daemon


    oder

    Code
    ps -ef | grep gpg | grep agent


    eingeben.
    Welche gpg-Version?

    Code
    gpg --version


    - m.

    Zitat von "muzel"

    ... Erscheint ein Passwort-Eingabefenster, oder gleich die Fehlermeldung "Passphrase falsch"?


    Sofort die Meldung: "Passphrase falsch".

    Code
    ~$ ps -ef | grep gpg | grep agent
benutzer   1861  1735  0 09:35 ?        00:00:00 gpg-agent --daemon --sh
    Code
    ~$ ps -ef | grep gpg | grep daemon
benutzer       1861  1735  0 09:35 ?        00:00:00 gpg-agent --daemon --sh

    Gruß
    Ch. Hanisch

    Versuch mal den Agenten abzuwürgen mit

    Code
    kill <PID>


    (wie ist die Einstellung OpenPGP / Einstellungen / Erweitert / ...GPG-Agent verwenden? ggfs ausschalten). Dann nochmal versuchen eine signierte Mail zu versenden.
    Und wie gesagt, es gibt da den Menüpunkt "Fehlersuche".
    - m.

    Zitat von "muzel"

    Versuch mal den Agenten abzuwürgen mit

    Code
    kill <PID>


    (wie ist die Einstellung OpenPGP / Einstellungen / Erweitert / ...GPG-Agent verwenden? ggfs ausschalten).


    "...GPG-Agent verwenden" gibt es bei mir nicht.
    Fehler werden auch nicht gemeldet, es funktioniert angeblich alles.
    Im Fehler-Log fällt auf:

    Code
    ...
Unsichere Zugriffsrechte der Konfigurationsdatei `/home/benutzer/.gnupg/gpg.conf'
gpg: WARNUNG: Unsichere Zugriffsrechte des umgebenden Verzeichnisses der Konfigurationsdatei `/home/benutzer/.gnupg/gpg.conf'
...


    Was mag das bedeuten?
    Gruß
    Ch. Hanisch

    "Experten-Optionen" sind hoffentlich aktiviert?

    Zitat

    "...GPG-Agent verwenden" gibt es bei mir nicht.

    Zitat

    Unsichere Zugriffsrechte der Konfigurationsdatei `/home/benutzer/.gnupg/gpg.conf'


    Wie sind denn die Zugriffsrechte? Du (der angemeldete Nutzer) sollte Eigentümer von ~/.gnupg und allen Dateien darin sein und volles Lese- und Schreibrecht haben.
    Falls nicht:

    Code
    sudo chown -R <benutzer> /home/benutzer/.gnupg


    - m.

    Zitat von "muzel"

    "Experten-Optionen" sind hoffentlich aktiviert?


    Die Zeile "Zur Passphrasen-Verwaltung die GPG-Agent-Anwendung verwenden" fehlt bei mir.

    Zitat

    Falls nicht:

    Code
    sudo chown -R <benutzer> /home/benutzer/.gnupg


    Müßte alles stimmen. Angeblich müssen die Rechte 600 und 700 eingetragen sein für alle Dateien in ~/.gnupg. Wie macht man das?

    Gruß
    Ch. Hanisch

    Zitat

    Müßte alles stimmen. Angeblich müssen die Rechte 600 und 700 eingetragen sein für alle Dateien in ~/.gnupg. Wie macht man das?


    mit chmod - aber vielleicht erst einmal testen mit

    Code
    cd ~/.gnupg
ls -l


    ...oder, falls du wie die meisten Menschen die Umrechnung der Zugriffsrechte in Oktalzahlen nicht beherschst ;)

    Code
    stat -c '%a %n' *


    "...für alle Dateien" würde ich übrigens bezweifeln, auf jeden Fall aber für die wichtigen wie *ring.gpg, *.conf usw.
    Und dann müßte man sich fragen, wenn es Abweichungen bei den Zugriffsrechten von der erwünschten "600" bzw. "-rw-------" gibt, warum (was ist bei der Installation oder Konfiguration schiefgelaufen)?
    - m.

    Hallo,
    also das müßte eigentlich alles Ok. sein:


    Oder muß ich da noch was auf 700 stellen?
    z.B.

    Code
    chmod 700 ~/.gnupg

    Aber woran liegt es denn bloß, daß ich nicht einmal nach der Passphrase gefragt werde?
    Im Fehler-Log:

    Code
    ...
gpg: Entschlüsselung mit Public-Key-Verfahren fehlgeschlagen: Falsche Passphrase
[GNUPG:] ERROR pkdecrypt_failed 11
[GNUPG:] BEGIN_DECRYPTION
[GNUPG:] DECRYPTION_FAILED
gpg: Entschlüsselung fehlgeschlagen: Geheimer Schlüssel ist nicht vorhanden
[GNUPG:] END_DECRYPTION
...


    Gruß
    Ch. Hanisch

    Zitat

    Oder muß ich da noch was auf 700 stellen?


    Nein, nicht so voreilig, und nicht im Rundumschlag, sondern einzeln.
    Ich hab jetzt kein Linux vor mir, daher kann ich nur vermuten, daß alle Konfigurationsdateien 600 kriegen sollten.
    Unabhängig davon kannst du ruhig mal wie oben beschrieben den Agenten abschießen, und schauen was passiert.
    Ach ja, was steht in gpg-agent.conf und gpg-agent-info-Ubuntu-VM?
    Und dazu

    Zitat

    Die Zeile "Zur Passphrasen-Verwaltung die GPG-Agent-Anwendung verwenden" fehlt bei mir.


    dann doch noch die Frage: ist Enigmail als Addon oder über die Paketverwaltung installiert?

    - m.

    Zitat von "muzel"


    Unabhängig davon kannst du ruhig mal wie oben beschrieben den Agenten abschießen, und schauen was passiert.


    Das bringt keine Verbesserung.

    Zitat

    Ach ja, was steht in gpg-agent.conf und gpg-agent-info-Ubuntu-VM?


    ~/.gnupg/gpg-agent.conf hier:


    und ~/.gnupg/gpg-agent-info-Ubuntu-VM

    Code
    GPG_AGENT_INFO=/tmp/gpg-Xlh3TU/S.gpg-agent:2827:1


    Letzteres habe ich manuell eingetragen.

    Zitat

    dann doch noch die Frage: ist Enigmail als Addon oder über die Paketverwaltung installiert?


    Als Addon installiert.
    Habe jetzt das enigmal 1.5.2 aus der Paketverwaltung mal eingerichtet - keine Veränderung der Situation.

    Gruß
    Ch. Hanisch

    Hallo muzel,

    vielleicht hilft es Dir bei der Problemlösung ...

    Die aktuellen Versionen im Ubuntu-Repository sind meines Wissens:

    gpg: 1.4.11
    Enigmail: 1.5.2

    Das für mich nach wie etwas unklare Thema mit den Agents hatten wir ja schon. Wenn man gpg und Enigmail aus den Ubuntuquellen bezieht, dann zeigt GPG_AGENT_INFO auf den Keyring:

    Code
    Susi@Tux:~$ echo $GPG_AGENT_INFO
/tmp/keyring-MyFZef/gpg:0:1

    Gruß

    Susanne

    Hallo graba,

    ja, in diesem Fall meinte ich wirklich muzel. Mir fiel auf, dass auch gpg nicht aus den Ubuntu-Quellen zu stammen scheint. Ich weiß derzeit auch nicht, was die Ursache für das Problem ist, aber ich dachte, das hilft muzel vielleicht weiter, denn er hatte ja oben nach der Herkunft der Enigmail-Version gefragt.

    Ich weiß nicht, ob die Quelle eine Rolle spielt. Hinsichtlich des Agenten (und dazu hat muzel ja schon ordentlich geforscht) scheint es aber einen Unterschied zu geben.

    Gruß

    Susanne

    Zitat von "SusiTux"


    Wenn man gpg und Enigmail aus den Ubuntuquellen bezieht, dann zeigt GPG_AGENT_INFO auf den Keyring:

    Code
    Susi@Tux:~$ echo $GPG_AGENT_INFO
/tmp/keyring-MyFZef/gpg:0:1


    Bei mir ist:

    Code
    ~$ echo $GPG_AGENT_INFO
/tmp/gpg-0Z3VgQ/S.gpg-agent:1845:1


    Was bedeutet das?
    Sollte das in ~/.gnupg/gpg-agent-info-Ubuntu-VM stehen?

    Gruß
    Ch. Hanisch

    Ist schon alles sehr merkwürdig, zumal meine Installation ganz ähnlich ist (Ubuntu 12.04 precise / TB 24.2.0), nur nicht in einer VM, und ein selbst kompiliertes gpg 1.4.15.
    Habe jetzt auch alle möglichen Varianten durchgespielt, Enigmail 1.5.2 (Pakete), 1.6 (AMO), alle Agenten gekillt, $GPG_AGENT_INFO entsorgt - es funktioniert immer irgendwie!
    @Ch. Hanisch: versuch nochmal folgendes: im Konsolenfenster wie schon beschrieben den oder die Agenten finden und killen, dann

    Code
    unset GPG_AGENT_INFO
thunderbird


    gute nacht, m.

    Zitat von "muzel"


    @Ch. Hanisch: versuch nochmal folgendes: im Konsolenfenster wie schon beschrieben den oder die Agenten finden und killen, dann

    Code
    unset GPG_AGENT_INFO
thunderbird


    gute nacht, m.


    Oh, Wunder. Nach dem

    Code
    ~$ ps -ef | grep gpg | grep agent
benutzer       1845  1726  0 21:36 ?        00:00:00 gpg-agent --daemon --sh
~$ kill 1845


    und dann

    Code
    ~$ unset GPG_AGENT_INFO
~$ thunderbird


    startet der Thunderbird und die Entschlüsselung funktioniert. Allerdings bleibt die Passphrase nicht für längere Zeit wirksam.
    Das kann aber nicht der normale Zustand sein.
    Wie kriegen wir das nun geregelt?
    Kann ich gefahrlos ~/.gnupg/gpg-agent-info-Ubuntu-VM löschen?

    Gruß
    Ch. Hanisch

    Moin,

    Zitat

    Kann ich gefahrlos ~/.gnupg/gpg-agent-info-Ubuntu-VM löschen?


    ja, und auch /tmp/gpg* und/oder /tmp/keyring* - das sollte alles nach dem nächsten Betriebssystemstart wieder da sein, oder jedenfalls das, was benötigt wird.
    Außerdem machst du ja sicher vor jedem Experiment eine Datensicherung.
    - m.