Enigmail: Fehlermeldung beim Erzeugen von Schlüsseln

  • Thunderbird-Version: 24.5.0
    Betriebssystem + Version: Win7Prof
    Kontenart (POP / IMAP): POP
    Postfachanbieter (z.B. GMX): z.B. Strato und Freenet, macht keinen Unterschied
    S/MIME oder PGP: ???


    Hi,
    ich versuche seit über einer Woche, Enigmail zum Arbeiten zu bekommen, aber erstens bekomme ich Fehlermeldungen, zu denen ich nirgendwo Infos finde, und zweitens ist das alles auch schrecklich kompliziert und schwer zu verstehen und wie oft finden sich keine Infos, die wirklich anfängertauglich sind (ich zumindest finde mal wieder nix...).


    Es fing damit an, daß ich es trotz großer Mühen, sowie Wälzen von Infotexten nicht geschafft habe, Gpg4win nutzbar zum Laufen zu bringen. Irgendwann habe ich gemerkt, daß man den Enigmail-Assistenten auch verwenden kann, um Gpg4win "halb nachträglich" zu installieren, daraufhin habe ich Gpg4win wieder runtergeschmissen und von Enigmail installieren lassen. Ich nehme mal an, das hat auch geklappt (wüßte jetzt nicht, wie man das prüfen kann?).


    Wenn ich einen Schlüssel (manchmal heißt es "Schlüssel", manchmal "Schlüsselpaar"?) erzeugen lassen will, egal ob zu Fuß über die Schlüssel-Verwaltung oder über den OpenPGP-Assistenten, läuft der Laufbalken kurz und bleibt dann irgendwo stehen (manchmal gleich zu Beginn, manchmal ganz am Ende, meist aber grob irgendwo in der Mitte), und egal, wie lange ich warte, es tut sich nichts mehr. Im Logfile heißt es immer " failed: Permission denied" für den Versuch, die pubring.gpg umzubenennen, und nur kurz "Permission denied" für "Fehler beim Schreiben des öff. Schlüsselbundes". Habe das überprüft und Windows meldet wirklich permanent, so lange TB nur geöffnet ist, daß die Datei "GnuPG's" (??) nicht umbenannt werden kann, weil sie in "OpenPGP tool" geöffnet ist (woher der komische Dateiname kommt, wo ich doch eine "pubring.gpg" umzubenennen versuche, weiß ich nicht). Ich habe den TB auch schon als Administrator gestartet, sowie auf den betroffenen Ordner (C:\Users\ANMELDENAME\AppData\Roaming\gnupg) großzügig Rechte vergeben, aber das hat angesichts der Ursache des Problems so viel gebracht, wie zu erwarten war ;-)


    Wenn ich das Erzeugen s.o. manuell anstoße, bekomme ich wenigstens eine Fehlermeldung, nachdem ich den Vorgang abbreche:

    Zitat

    Das Erzeugen des Schlüssels ist fehlgeschlagen. Bitte schauen Sie in der OpenPGP-Konsole (Menü
    OpenPGP > Fehlersuche > Konsole anzeigen) für weitere Details.

    Wenn ich es über den Assistenten versuche, gibt es nichtmal 'ne Fehlermeldung.
    Und die Infos zum Fehler finde ich dann auch nicht wie in der Meldung genannt in der Konsole, sondern über den anderen Befehl des Fehlersuche-Menüs, "Log-Datei anzeigen".


    Ich bin mir sicher, daß ich nie die Erfolgsmeldung wie im Ratgeber Tutorial: E-Mails verschlüsseln in 30 Minuten gezeigt gesehen habe, sondern bei jedem Versuch abbrechen mußte, weil sich nach den ersten 1-2 Sekunden auch nach 60 Minuten der Laufbalken nicht mehr weiter bewegt hatte. Trotzdem aber war irgendwann ein Schlüssel eingetragen, für eins der beiden Mailkonten, für die ich es immer abwechselnd versuche. Aber auch damit komme ich nicht zurecht:
    Man liest überall, zu einem Schlüsselpaar (manchmal ist nur von "Schlüssel" die Rede??) würden ein privater und ein öffentlicher Schlüssel gehören, aber für den erzeugten Schlüssel habe ich weder das eine, nach das andere, dafür aber vier andere andere Dinge, nämlich eine "Passphrase", eine "Schlüssel-ID", einen "Unterschlüssel" und einen "Fingerabdruck". Und ich habe mir mal von diesem Konto selbst ein mail geschickt und da wurde von mir die Eingabe der Passphrase verlangt, um das mail zu entschlüsseln. Das ist doch nicht richtig, oder? Die Passphrase ist doch etwas, das nur mir bekannt sein sollte, und nicht dieser "öffentliche Schlüssel"?


    Ich wollte dann gemäß der Empfehlung in How can I test if I'm using Enigmail correctly? testen, ob alles funktioniert, habe aber die kilometerlange Anleitung nicht verstanden. Und ich weiß ja gar nicht, wie ich rausfinde, wie mein öffentlicher Schlüssel ist.


    hat da jemand Tipps für mich?


    danke

  • Hallo,
    du hast schon richtig erkannt, daß man GPG4Win nicht benötigt, höchstens, um Gnupg (gpg) zu installieren.
    Am besten, du fängst noch einmal von vorn an, löschst alles, was sich unter %APPDATA%/Gnupg befindet, deinstallierst GPG4Win und installierst nur die aktuelle 1.4er Version von gpg, das dürfte momentan 1.4.16 sein, von
    ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.16.exe
    Danach erzeugst du ein Schlüsselpaar, entweder in Enigmal oder auf der Kommandozeile, jedenfalls als "Normal-User" und nicht mit Admin-Rechten.
    Das sollte dann in der Schlüsselverwaltung als "Öffentlich und privat" erscheinen.
    Sobald das der Fall ist, kannst du dir als ersten Test auch eine verschlüsselte und signierte Mail schicken. Dann vielleicht an Adele.
    Soweit erstmal,
    Gruß, muzel

  • danke, aber Gpg4win wurde doch von Enigmail installiert, weil festgestellt wurde, daß auf dem System etwas gpg-mäßiges fehlt
    trotzdem deinstallieren?
    installiert der Enigmail-Assistent wirklich was falsches bzw. zu viel?

  • Na ja, der Assi lädt gp4win runter, und wenn man dann versucht es zu installieren, bekommt man eine Fehlermeldung, wenn man sicherheitsbewußt nicht als Administrator angemeldet ist - erscheint mir alles unausgegoren.
    Man kann gpg4win verwenden, aber es ist ein überladenes Paket, aus dem man nur gpg braucht, alles andere ist überflüssig. Deshalb meine Empfehlung, das 1.4er gpg-Minimalpaket s.o.
    - m.

  • und das ginge, ohne Enigmail wieder zu deinstallieren?
    einfach danach den neuen Pfad zur Echse angeben und dann läuft Enigmail?

  • Nein.




    es geht sogar, ohne den Pfad neu anzugeben, mein TB hat den Pfad beim Neustart selbst gefunden und eingetragen
    :D:D:D
    und jetzt weiß ich es auch sicher, daß das mit dem Erzeugen des Schlüssels vorher nicht geklappt hatte - schon fies, daß trotzdem der Schlüssel in meiner Verwaltung angezeigt wurde


    Ja, echt kompliziert alles und mühsam zu lernen/verstehen, weil man fitzelweise immer mal wieder ein Häppchen Information bekommt - gut wäre eine 100% anfängertaugliche Einführung mit allen Infos an einer Stelle.
    Aber Adele hat mir geantwortet und es scheint zu funktionieren. :P



    • Ist das echt so, daß man formatierte mails nicht nur nicht verschlüsseln, sondern noch nicht einmal unterschreiben kann?
    • Und ist es wirklich so, daß man bei jedem verschickten mail einzeln seine OpenPGP Passphrase eintragen muß (ganz schön nervig)?
    • Und was ist das denn für eine merkwürdige Funktion zum Importieren der Schlüssel, die man für die Mailadressen "im eigenen Adreßbuch" braucht?? Da kommt eine ellenlange Liste und nur eine einzige Person davon steht in meinem Adreßbuch und ich kannte auch sonst niemanden aus der Liste, die mir da zum Importieren angeboten wurde: Das ist ja eine super Quelle für SPAMmer auf der Suche nach neuen Opfern!!??


    danke!

  • Zitat

    Ist das echt so, daß man formatierte mails nicht nur nicht verschlüsseln, sondern noch nicht einmal unterschreiben kann?


    Du meinst vermutlich HTML-Mails. Doch, das geht, man muß nur PGP-MIME benutzen.

    Zitat

    Und ist es wirklich so, daß man bei jedem verschickten mail einzeln seine OpenPGP Passphrase eintragen muß (ganz schön nervig)?


    Nein. Nur bei signierten Mails. Außerdem wird die Passphrase eine bestimmte (einstellbare) Zeit lang gespeichert.

    Zitat

    Und was ist das denn für eine merkwürdige Funktion zum Importieren der Schlüssel, die man für die Mailadressen "im eigenen Adreßbuch" braucht?? Da kommt eine ellenlange Liste und nur eine einzige Person davon steht in meinem Adreßbuch und ich kannte auch sonst niemanden aus der Liste, die mir da zum Importieren angeboten wurde: Das ist ja eine super Quelle für SPAMmer auf der Suche nach neuen Opfern!!??

    Keine Ahnung, was du meinst.
    - m.

  • Zitat von "micmen"

    Und was ist das denn für eine merkwürdige Funktion ...


    Vermutlich hast Du auf einen Schlüsselserver geschaut. Das ist eine Feature, über das Du Dir öffentliche Schlüssel anderer importieren kannst, wenn diese ihren Schlüssel über einen Schlüsselserver zur Verfügung stellen. U.a. aus dem von Dir genannten Grund (Spam), habe ich das nicht gemacht.

  • Zitat von "muzel"

    Du meinst vermutlich HTML-Mails. Doch, das geht, man muß nur PGP-MIME benutzen.

    ah danke, schau ich mir mal an (ja, HTML - andere Formatierung steht mir, glaube ich, gar nicht zur Verfügung)



    Zitat von "muzel"

    Nein. Nur bei signierten Mails. Außerdem wird die Passphrase eine bestimmte (einstellbare) Zeit lang gespeichert

    Ja, ich meinte signierte und/oder verschlüsselte mails und daß ich die 10 Minuten speichern kann, weiß ich. Trotzdem nervig für jemanden mit einem eigenen und geschützten Rechner...



    Zitat von "SusiTux"

    Vermutlich hast Du auf einen Schlüsselserver geschaut. Das ist eine Feature, über das Du Dir öffentliche Schlüssel anderer importieren kannst, wenn diese ihren Schlüssel über einen Schlüsselserver zur Verfügung stellen. U.a. aus dem von Dir genannten Grund (Spam), habe ich das nicht gemacht.

    ja, genau
    Aber wie geschrieben bietet mir die Enigmail-Funktion an, auf dem Schlüsselserver Schlüssel zu suchen, die ich auf Basis meines Adreßbuchs brauchen könnte. Also nimmt man doch an, diese Importfunktion klappert Server nach den in den eigenen Kontakten verwendeten Mailadressen ab. Und für weltweit alle veröffentlichten Schlüssel erschien mir die Liste nun auch beileibe zu klein.
    Aber wer denkt sich nur in Zeiten solch massiver weltweiter SPAM-Probleme so einen Mist aus, Mailadreßlisten öffentlich abrufbar zu machen...
    Andererseits:
    Ein SPAMmer würde wochenlang mit Listen erfundenener Mailadressen Abfragen starten, da hätte er irgendwann auch einen großen Teil der Adressen vom Schlüsselserver...


    danke!

  • Zitat von "micmen"

    Aber wer denkt sich nur in Zeiten solch massiver weltweiter SPAM-Probleme so einen Mist aus, Mailadreßlisten öffentlich abrufbar zu machen...


    Es ist halt ein Komfortgewinn. So ähnlich, wie die Entscheidung, ob man seine Telefonnummer veröffentlicht oder nicht. Wie gesagt, ich halte die Idee der Schlüsselserver und des WoT auch nicht für ideal. Gerade wenn es um Schlüssel geht, ziehe ich den persönlichen Austausch vor.
    Diejenigen, die ihre Schlüssel dort hochgeladen haben, werden das aber schon abgewogen haben. Es wird aber ja niemand gezwungen, seine E-Mailadresse auf einen dieser Server zu stellen.

  • Man sollte auch berücksichtigen, wann diese Public Key Infrastruktur entwickelt wurde, nämlich lange bevor Spam so ein massives Problem wurde. Dazu kommt, daß nicht nur jeder dort Schlüssel abrufen, sondern auch hochladen kann, natürlich auch gefälschte.
    Der persönliche Kontakt (bzw. Kontakt auf einem vertrauenswürdigen Kanal, wie z.B. Instant Messenger mit OTR) ist also meistens nötig zur Echtheitsbestätigung.
    [OT]Ich hab das kürzlich mal mit einem anderen TB-Forum-User durchgespielt...[/OT]
    m.

  • Wie geschrieben ist mein Kritikpunkt ja, daß einem da haufenweise Mailadressen angezeigt werden, mit denen man gar nichts am Hut hat.
    Ich hätte erwartet, jeder User bekommt nur Treffer angezeigt für solche Mailadressen, die er selbst in seinen Kontakten hat.


    Also sprich, der Server spuckt Informationen nur in Form von Schlüsseln aus, aber nicht in Form von Mailadressen:
    Schlüssel gibt es nur für Mailadressen, die man schon kennt/hat.


    danke

  • Nein, das hast Du den Sinn des Ganzen noch nicht verstanden. Die Idee dahinter ist die, dass man jemandem, dessen öffentlichen Schlüssel man noch nicht hat, eine verschlüsselte E-Mail schicken möchte. Unabhängig davon, ob dieser Adressat im lokalen Adressbuch ist oder nicht, kann man auf dem Schlüsselserver nach der E-Mail-Adresse suchen und den öffentlichen Schlüssel importieren. Ob Du diesem Schlüssel dann vertraust, bleibt Dir überlassen. Ich würde es zunächst einmal nicht.

  • ja nun, den grundsätzlichen Sinn habe ich schon verstanden, würde ich sagen
    Aber aus SPAMschutzgründen hätte ich erwartet, daß man dem Server schon eine Mailadresse nennen muß, um die Info zu bekommen "Schlüssel vorhanden: ja/nein". Und in Enigmail heißt der entspr. Menübefehl auch "Schlüssel für alle Kontakte suchen", und was bitte versteht man üblicherweise unter Kontakten, zumal innerhalb eines Mailprogramms...


    Aber dann wäre das ja kraß, denn das würde ja bedeuten, daß weltweit erst eine handvoll Leute ihre Schlüssel auf Schlüsselserver geladen haben? Daß der Server da einen gewaltigen Filter gesetzt hatte, hatte ich schon fest erwartet (nur halt zu lasch). Oder schlägt Enigmail eher unübliche Schlüsselserver vor (ich habe bislang nur die ersten zwei gelisteten getestet) und die Masse der veröffentlichten Schlüssel liegt wo anders?

  • Zitat von "micmen"

    Aber aus SPAMschutzgründen hätte ich erwartet, daß man dem Server schon eine Mailadresse nennen muß, um die Info zu bekommen "Schlüssel vorhanden: ja/nein".


    Dort sind ja nur E-Mail-Adressen hinterlegt, zu denen die Anwender einen Schlüssel hochgeladen haben. Aber möglicherweise reden wir von zwei verschiedenen Features: Wenn ich unter OpenPGP -> Schlüssel verwalten -> Schlüsselserver -> Schlüssel suchen gehen, dann bekomme ich ein Fenster zur Eingabe des Suchkriteriums und es Schlüsselservers angezeigt. Wenn ich dort z.B. "Merkel" eingeben, bekomme ich natürlich eine Reihe Treffer, darunter auch mehr als eine handvoll sofort eindeutig als Fake erkennbare.


    Zitat von "micmen"

    Und in Enigmail heißt der entspr. Menübefehl auch "Schlüssel für alle Kontakte suchen"


    Diesen Menüpunkt kenne ich gar nicht. Wo findest Du den denn?

  • Hallo Feuerdrache,


    das ist interessant. Bei mir gibt es diesen Menüeintrag nicht


    Ubuntu, 12.04
    TB 24.5.0
    Enigmail 1.5.2.
    GPG 1.4.11


    verwendest Du eine andere Version? Ich schau bei Gelegenheit, ob die Windowsversion diesen Menüpunkt hat.


    Gruß


    Susanne

  • Hi Susi, die aktuelle EM-Version 1.6 hat bei mir (Lubuntu 14.04, gpg 1.4.16, TB 24.5.0) diesen Menüpunkt (leider?) auch, wie ich gerade gesehen habe.
    Im Repository gibt es bisher nur die 1.5.2, vermutlich hast du die installiert?
    Gruß, muzel

  • Hallo muzel,


    ja, ich habe die 1.5.2 aus dem Repository. Da hat Enigmail wohl ein neues Feature bekommen, das ich nicht benötige.
    Ich habe gestern nicht schlecht gestaunt, wie viele Fake-Adressen auf den Schlüsselservern vorhanden sind. Das ist umso erschreckender, weil diese Schlüssel ja von Spaßvögeln hochgeladen worden, die sich zumindest ein wenig mit Verschlüsselung beschäftigt haben. So kann man eine Idee kaputt machen, noch bevor sie richtig ans Laufen gekommen ist.


    Gruß


    Susanne