Enigmail 1.7 Digitale Unterschrift

    Thunderbird-Version: 31
    Betriebssystem + Version: Win7
    Kontenart (POP / IMAP): POP
    Postfachanbieter (z.B. GMX):
    S/MIME oder PGP: PGP

    Hi, seit etlichen Jahren nutze ich die Kombination Thunderbird + Enigmail + GPG4WIN (aktuell seit letztem Jahr 2.2.1).
    Seit Enigmail 1.7 tritt folgendes Problem auf.

    Ich erhalte regelmäßig unverschlüsselte Nachrichten, die aber digital signiert sind.
    Seit Enigmail 1.7 wird die digitale Signatur als "Falsche Unterschrift" angezeigt.
    - Der Absender ist nachvollziehbar korrekt.
    - Der Absender hat die Signatur nicht geändert.
    - Eine Überprüfung ergibt: Die Signatur ist gültig, nicht abgelaufen und korrekt.

    Trotzdem habe ich die Signatur auf meinem PC mittels Kleopatra gelöscht, die aktuelle Signatur nochmals von dem Inhaber geladen und neu installiert, lokal unterschrieben, und Vertrauensstatus eingerichtet.
    Der Stand ist unverändert - Enigmail stuft die Signatur als falsch ein

    Ist dies ein Problem von Enigmail, oder muss ich da noch einen weiteren Parameter einstellen, um wieder die Funktionsweise der Vorgängerversionen einzurichten. (Es war schon einiges zu ändern, um Enigmail 1.7 wieder möglichst auf die Funktionsweise von 1.6 einzustellen.)
    Beste Grüße

    Hallo flashtight,

    Zitat von "flashtight"

    Trotzdem habe ich die Signatur auf meinem PC mittels Kleopatra gelöscht, die aktuelle Signatur nochmals von dem Inhaber geladen und neu installiert, lokal unterschrieben, und Vertrauensstatus eingerichtet.

    Ja, das ist merkwürdig. Spätestens nach dieser Neuinstallation und nachdem Du das Vertrauen ausgesprochen hast sollte dieses Zertifikat erkannt werden.
    Es hat mit der 1.7 einige Änderungen gegeben. Vielleicht haben die damit zu tun. Allerdings habe ich dieses Verhalten bei mit bisher nicht beobachten können. Die 1.7 läuft bei mir wie ein Glöckchen. Wobei ich nur wenige signierte E-Mails erhalten.

    Tritt das Problem mit verschiedenen Absendern auf oder nur bei einem? Wie lautet denn die genaue Meldung? Lässt Du ein Log-File erstellen? Lassen sich darin vielleicht genauere Informationen ablesen, was im konkreten Fall beanstandet wird?

    Gruß

    Susanne

    Hi Susanne, bisher ist das mit allen signierten Nachrichten einer Behörde aufgetreten. Signaturen von Anderen, in diesen Fällen Privatpersonen, funktionieren.
    Die genaue Fehlermeldung laiutet:
    Unterschrift NICHT überprüft
    Falsche Unterschrift von [hier ist der Name des Schlüssels eingefügt]

    Ich erzeuge ein Log, kann das aber nicht interpretieren, und da es viele Informationen über die Innereien meines PCs enthält, möchte ich es nicht einfach so veröffentlichen. Ich kenne aber auch keine vertrauenswürdige Gruppe für eine Auswertung.

    Natürlich ist so eine "Behördensignatur" deutlich umfangreicher als die von Privatpersonen. Sie enthält z.B. viele Unterschriften. Der Verschlüsselungstyp ist DSA/1024, bei den bisher funktionierenden Signaturen ist der Verschlüsselungstyp RSA/4096.

    Beste Grüße

    Hallo flashtight,

    DSA an sich sollte nicht das Problem sein. GPG/Enigmail kann auch mit DSA umgehen.

    Zitat von "flashtight"

    ... möchte ich es nicht einfach so veröffentlichen.

    Ja, das kann ich zwar gut verstehen, nur ist es ohne weitere Informationen schwierig, die Ursache zu finden. Ich weiß auch nicht, ob mir die Logs etwas sagen würden.

    Warte noch ein wenig. Es gibt hier im Forum noch weitere Enigmail-Nutzer. Vielleicht hat von denen noch jemand eine Idee oder hat ein ähnliches Problem gar selbst schon gesehen.

    Ansonsten wende Dich doch einfach einmal an diese Behörde. Dort muss es ja jemanden geben, der sich mit deren Zertifikat auskennt.

    Gruß

    Susanne

    Hi,
    habe nochmals alles überprüft. Die anfänglich genannte Signatur ist korrekt und gültig.
    Jetzt habe ich ein weiteres Dokument erhalten, bei welchem der gleiche Fehler auftritt. Auch ddieses Dokument ist mit einem DSA/1024 Schlüssel signiert. Die Dokumente von diesem Absender haben bis zur Version 1.6 funktioniert.
    In diesem Fall kann ich den Schlüsselinhaber benennen, das hilft vielleicht jemandem weiter.
    Es handelr sich um BürgerCERT vom BSI. Die Dokumente werden verschickt, wenn man sich für Sicherheitsinformationen registriert.
    https://www.buerger-cert.de
    Beste Grüße

    Hallo flashtight,

    eine Frage noch dazu:

    bist Du sicher, dass das Problem mit dem Update auf Enigmail 1.7 zusammenhängt? Etwa zeitgleich kam ja auch das Update auf TB 31. Hättest Du die Möglichkeit die Kombinationen

    TB 30, Enigmail 1.7
    TB 31, Enigmail 1.6

    zu testen?

    Sollte sich herausstellen, dass es tatsächlich an Enigmail liegt, könntest Du dort einen bug melden. Die Chance, dass ein bug in Enigmail schnell gefixed wird, ist m.E. sehr gut.

    Gruß

    Susanne

    Zitat von "SusiTux"

    bist Du sicher, dass das Problem mit dem Update auf Enigmail 1.7 zusammenhängt?


    Ich kann stellvertretend die Aussage machen, dass sofort mit Wechsel von V. 1.6 auf die V. 1.7 unter Th 31 der Fehler auftritt.

    M.f.G. Kienberger

    Hi,
    unter TB31 ist enigmail 1.6 nicht mehr installierbar - Version nicht kompatibel.
    Habe dann nur die TB Version 24 noch gefunden, zusammen mit enigmail 1.6 funktionieren die Signaturen.
    Ich bestätige die Beobachtung nach diesem Versuch, dass sofort mit TB31 und enigmail 1.7 der Fehler auftritt.
    Es ist zwar nicht wirklich sicher, von welchem der Programme der Fehler kommt, ich denke aber, dass enigmail das Modul ist, welches sich um die Signaturen kümmert.
    Beste Grüße

    Siehe oben, einer von euch, der das reproduzieren und auch die gewünschten Logs von Einigmail beisteuern kann, möge doch bitte einen bug beim Team Enigmail eröffnen. Ich denke, ein Fix wird dann nicht lange auf sich warten lassen.

    Hallo flashtight und kienberger,

    darf ich mal nachfragen? Hat jemand von euch den Fehler an das Team Enigmail gemeldet? Könntet ihr dann bitte hier die Nummer posten?
    Der Fehler ist sicher auch für andere interessant. Nur, von allein löst er sich nicht ;-)

    Nachtrag:

    Es könnte folgender Bug sein: http://sourceforge.net/p/enigmail/bugs/298/?page=0

    Patrick B. arbeitet daran

    Zitat

    That's easily answered. Until v1.6 Enigmail constructed a clearsigned message to feed GnuPG. This is however not working correctly if the sender sends the email without using "--textmode" (e.g. KMail does this). In Enigmail v1.7 and newer, we no longer construct a clearsigned message, but simply feed the unchanged message plus the detached signature to GnuPG.

    I have attached the message that Martin sent me. I can verify it (and Martin too), but Etienne not. Ludwig, could you try to verify the message?

    Wenn also einer von euch beiden über den bug eine solche E-Mail vom BSI zur Verfügung stellen könnte, würde es Patrick vielleicht helfen. Dann geht der Fix vielleicht noch in die 1.7.1 .

    Ubuntu-Linux 14.04.1 LTS, Thunderbird 31, IMAP, Web.de, Enigmail 1.7

    Hallo, habe gerade das gleiche Verhalten festgestellt. Allerdings werden ältere E-Mails des Buerger-Cert als korrekt Signiert angezeigt.

    Bis zum: 26.02.2014 > Details
    "
    Korrekte Unterschrift von Buerger-CERT Signatur-Schluessel <mailversand@buerger-cert.de>
    Schlüssel-ID: 0xF4C48B4C / Unterschrieben am: 26.02.2014 19:17
    Schlüssel-Fingerabdruck: 5774 E00D 9C28 19EC 9C86 D3B4 DD68 333B F4C4 8B4C
    "

    Ab dem: 05.03.2014 > Details
    "Enigmail Unterschrift NICHT überprüft"
    "FALSCHE Unterschrift von Buerger-CERT Signatur-Schluessel <mailversand@buerger-cert.de>"
    > Schlüsseleigenschaften
    "
    Primäre Benutzerkennung: Buerger-CERT Signatur-Schluessel <mailversand@buerger-cert.de>
    Schlüssel-Kennung: 0xF4C48B4C
    Fingerabdruck: 5774 E00D 9C28 19EC 9C86 D3B4 DD68 333B F4C4 8B4C
    "

    Hallo Kris Kaiser, flashtight und kienberger,

    Dann muss ich mir vor dem Urlaub doch einen gönnen :mrgreen:

    Es herrscht wohl Einigkeit darüber, dass dies sehr wahrscheinlich ein bug in Enigmail 1.7 ist. Da nutzt es wenig, wenn wir hier darüber diskutieren.
    Die 1.7.1 steht mehr oder weniger vor der Tür. Patrick arbeitet an diesem oder einem ähnlichen Thema.

    Was also möglichst bald geschehen sollte ist, dass jemand von euch dreien, die diesen Newsletter beziehen und das reproduzieren können, den Fehler an das Team Enigmail melden, wie oben beschrieben.

    Zitat von "Kris Kaiser"

    Allerdings werden ältere E-Mails des Buerger-Cert als korrekt Signiert angezeigt.

    Je nachdem wie weit Patrick schon in der Fehleranalyse ist und sofern es sich um dasselbe Problem handelt, könnte das ein sehr wichtiger Hinweis sein.

    Also Mander, wenn ihr wollt, dass dieser Fehler bald behoben wird, dann traut euch und meldet das hier: https://www.enigmail.net/support/bugs.php

    Servus

    Susanne

    Es könnte doch ein Problem von Thunderbird 31 sein:

    Die älteren als korrekt erkannten E-Mails liegen bei mir in einem lokalen Ordner.
    Wenn ich diese in einen anderen lokalen Ordner verschiebe/kopiere, werden diese nicht verändert und weiterhin als korrekt signiert erkannt.

    Wenn ich diese jedoch als Datei speichere oder in einen IMAP-Ordner verschiebe/kopiere (auch zurück-verschiebe), dann hat sich der Quelltext wie folgt verändert: Oben wurde eine Zeile entfernt, z.B.:
    From - Tue Mar 4 14:17:23 2014
    Weiter unten wurden z.B. folgende Zeilen entfernt:
    X-Mozilla-Status: 0001
    X-Mozilla-Status2: 00000000
    Diese E-Mails mit den fehlenden Zeilen werden dann nicht mehr als korrekt signiert erkannt.

    Die neueren bereits im lokalen Archiv gespeicherten, _nicht_ als korrekt signiert erkannten enthalten aber diese obigen Zeilen, allerdings fehlt die X-UIDL-Zeile.

    Eine im IMAP-Posteingang befindliche E-Mail, die glaube ich nie verschoben wurde, enthält die ganzen führenden X-Zeilen nicht, sondern beginnt mit:
    Return-Path: mailversand@buerger-cert.de
    Allerdings wird auch die _nicht_ als korrekt signiert erkannt.


    Beispiel: Quelltext-Anfang (Der Rest ist identisch):

    1. Im lokalen Ordner gespeichert und als richtig erkannt:
    ---
    From - Tue Mar 4 14:16:47 2014
    X-Account-Key: account2
    X-UIDL: ***Nummer-ID-gelöscht***
    X-Mozilla-Status: 0001
    X-Mozilla-Status2: 00000000
    X-Mozilla-Keys:
    Return-Path: mailversand@buerger-cert.de
    Received: from mail.cert-bund.de ([93.187.113.4]) by mx-ha.web.de (mxweb106)
    with ESMTP (Nemesis) id ***Nummer-ID-gelöscht*** for <***GELÖSCHT***@web.de>;
    Fri, 14 Feb 2014 16:50:38 +0100

    2. In einen IMAP-Ordner kopiert und dort als falsch erkannt:
    ---
    X-Account-Key: account2
    X-UIDL: ***Nummer-ID-gelöscht***
    X-Mozilla-Keys:
    Return-Path: mailversand@buerger-cert.de
    Received: from mail.cert-bund.de ([93.187.113.4]) by mx-ha.web.de (mxweb106)
    with ESMTP (Nemesis) id ***Nummer-ID-gelöscht*** for <***GELÖSCHT***@web.de>;
    Fri, 14 Feb 2014 16:50:38 +0100

    Ich habe schon versucht, in die gespeicherte => falsche E-Mail die Zeilen aus dem richtigen Quelltext hineinzukopieren, aber sie wurde auch als falsch erkannt. * editiert: * Das lag wohl am falschen Zeilenende (Windows statt Unix/Linux). Mit dem Unix/Linux-Zeilenende funktioniert es wohl. ------------->>> siehe nächster Beitrag

    2 Mal editiert, zuletzt von Kris Kaiser (27. August 2014 um 13:50)

    Ich hatte ja schon festgestellt, dass Thunderbird 31 die E-Mails beim verschieben/kopieren in IMAP-Ordner und beim Abspeichern als Datei so verändert, dass die Signatur von Enigmail als falsch erkannt wird.
    Die führende From-Zeile wird beim Abspeichern entfernt.
    *** edit ***
    Vergesst das mit den fehlenden Zeilen: Thunderbird speichert die .eml mit Windows-Zeilenende.
    Zumindest für die von Buerger-Cert als .eml-Datei abgespeicherten habe ich einen Weg gefunden, dass die Signatur wieder als korrekt erkannt wird:
    > (unter Linux) > Bearbeiten mit gedit > ***Nichts ändern*** > Speichern unter > Zeilenende: Unix/Linux > Speichern.
    Wenn man die .eml-Datei nun mit Thunderbird öffnet, zeigt Enigmail: Korrekte Unterschrift

    Das ganze Problem tritt auch nur mit den Bürger-Cert-E-Mails auf.
    Bei von mir selbst erstellten (Nicht-Multipart) gibt es keinen dieser Effekte, auch nicht beim abspeichern, trotz Windows-Zeilenende.

    Sehr merkwürdig das Ganze.

    Folgendes habe ich noch festgestellt:
    1. Korrekte E-Mail in Thunderbird aus lokalem Ordner in anderen lokalen Ordner kopiert => Kopie wird von Enigmail als korrekt erkannt.
    2. Selbe Korrekte E-Mail erst in einen IMAP-Ordner kopiert und dann in den selben lokalen Ordner => Diese Umweg-Kopie wird _nicht_ als korrekt erkannt.
    3. Von Thunderbird angezeigten Quelltext beider Kopien in Textdateien.eml hineinkopiert und mit Unix/Linux-Zeilenende abgespeichert.
    => nach Öffnen in Thunderbird werden diese .eml _beide_ als korrekt erkannt.

    Das Inkorrekte scheint also an der Speicherung/Behandlung innerhalb Thunderbirds für die IMAP-Ordner zu liegen.

    Habe leider erst jetzt folgende Seite gefunden:
    http://sourceforge.net/p/enigmail/bugs/301/

    Ich übersetze mal die Antwort von Patrick Brunschwig am 2014-08-10
    "Ich kann den Fehler jetzt auch nachvollziehen.
    Das Problem ist, dass die Signatur nur dann gültig ist, wenn man das <LF>-Zeilenende (z.B. Linux-Art) benutzt. Aber die Nachricht ist (richtig) gespeichert unter Benutzung des <CR><LF>-Zeilenendes, wie in RFC 3156 festgelegt.
    Die Nachricht scheint ohne die "--textmode" -Einstellung von GnuPG erzeugt worden zu sein; deshalb ist die Signatur ungültig, wenn das richtige Zeilenende angewendet wird.
    Dies muss Absender-seitig berichtigt werden."

    Ich habe Bürger-Cert darüber informiert.

    Thunderbird scheint in einer neueren Version das Abspeichern von E-Mails geändert zu haben, sodass die ursprünglich mit <LF>-Zeilenende geschickte E-Mail dann mit <CR><LF>-Zeilenende versehen wurde, allerdings nur dann, wenn ein IMAP-Ordner benutzt wird. Beim Kopieren unterhalb der lokalen Ordner wird das Zeilenende nicht verändert.