Kein Entschlüsseln mit Enigmail seit Update (V1.7)

  • Thunderbird-Version: 31.0
    Betriebssystem + Version: Windows 7 Ultimate, 64 Bit
    Kontenart (POP / IMAP): IMAP
    Postfachanbieter (z.B. GMX): GMX
    S/MIME oder PGP: weiß nicht (wo guck ich das nach?)


    Ein Freund und ich verwenden seit über einem Jahr Thunderbird und Enigmail, um unsere Emails untereinander zu verschlüsseln. Hat immer funktioniert. Nach einem automatischen Update von Enigmail auf meinem Computer vor ca. 2 Tagen -- da hatte ich aber noch eine frühere Version von Thunderbird (24, soweit ich weiß) -- war meine Nachricht an ihn zwar noch verschlüsselt und von ihm entschlüsselbar, aber seine verschlüsselte Nachricht an mich konnte ich nicht mehr öffnen, weil ich folgende Fehlermeldung bekam:


    ***
    Fehler - geheimer Schlüssel wird zur Entschlüsselung benötigt
    gpg: Entschlüsselung fehlgeschlagen: Kein geheimer Schlüssel
    ***


    Gestern habe ich noch Thunderbird auf Version 31 upgedated. Das Problem besteht: Der Freund kann meine Email entschlüsseln, ich aber seine nicht (die gleiche Fehlermeldung).


    Kann jemand helfen? Welche Info benötigt Ihr?

  • Es gibt zwei naheliegenden, einfache Ursachen.


    1. Dir ist Dein eigener, privater Schlüssel abhanden gekommen bzw. er ist defekt, falsch zugeordnet etc..


    2. Der Freund hat mit einem falschen öffentlichen Schlüssel verschlüsselt. Verwendet er ebenfalls EnigMail 1.7? Wenn ich mich richtig erinnere, dann hat es in dieser Version Verbesserungen/Änderungen bzgl. der Auswahl des zu verwendenden Schlüssels gegeben. Durchaus möglich, dass dies eine Rolle spielt.


    Überprüfe einmal folgendes:


    Kannst Du frühere E-Mails des Freudes an Dich entschlüsseln?
    Kannst Du die E-Mails, die Du dem Freund geschickt hast, in Deinem Sent-Ordner entschlüsseln?
    Wenn Du Dir selbst eine von Dir verschlüsselte E-Mail schickst, kannst Du sie entschlüsseln?

  • Vielen Dank für die Hilfe!


    Zitat

    Kannst Du frühere E-Mails des Freudes an Dich entschlüsseln?


    Nein.


    Zitat

    Kannst Du die E-Mails, die Du dem Freund geschickt hast, in Deinem Sent-Ordner entschlüsseln?


    Nein.
    Nach Klicken von "Entschlüsseln" (Menü) geht ein Fenster auf, in das ich das Paßwort eintragen soll. Habe es mehrfach eingetragen, ich bekomme immer die Fehlernachricht: "Ungültige Passphrase. Versuchen Sie es bitte noch einmal."


    Zitat

    Wenn Du Dir selbst eine von Dir verschlüsselte E-Mail schickst, kannst Du sie entschlüsseln?


    Nein. Die Details:


    Es geht ein Fenster auf: "Enigmail-Schlüssel auswählen". Das passierte, als es noch funktionierte, nicht. "Benutzerkennung" ist angehakt, meine eigene Emailadresse, von der ich aus und an die ich auch die Email versendete, ist ebenfalls angehakt. Weiter unten in dem Fenster ist "Verschlüsselt absenden" angehakt, "Unterschrieben absenden" nicht. Habe dann auf "Absenden" geklickt. Die Email wurde dann verschlüsselt und abgesendet. Die verschlüsselte Email konnte ich aber nicht entschlüsseln. Wie oben bekomme ich die Fehlernachricht: "Ungültige Passphrase. ...".



    Noch eine Info: Ich hatte den Freund auch gefragt, ob er etwas geändert hat. Er sagt, nein. Aber das Update bei mir, seit dem ich die o.g. Probleme habe, wurde auch automatisch angestoßen. Vielleicht hat er es nur nicht gemerkt.

  • Das sieht so aus, als hättest Du ein Problem mit Deinem privaten Schlüssel. Die wichtigste Frage daher gleich vorweg: Hast Du eine sicher aufbewahrte Kopie des Schlüsselpaares, die Du zurückspielen könntest?


    Hast Du mehrere E-Mail-Konten, die Du mit gpg verwendest oder mehrere Schlüsselpaare erzeugt? Ich frage, weil vielleicht auch nur die Zuordnung der Schlüssel zu den Konten nicht (mehr) stimmt? Bist Du Dir sicher, dass Du die richtigen Schlüssel ausgewählt hast?


    Hast Du, außer dass Enigmail und TB ein Update bekommen haben, weitere Änderungen vorgenommen, z.B. im Rahmen der Fehlersuche?


    Sende Dir selbst einmal eine E-Mail, die Du nur digital signierts (nicht verschlüsselst). Beim Signieren ist es umgekehrt wie beim Verschlüsseln: Zum Signieren wird Dein privater Schlüssel benötigt, um die Echtheit zu prüfen der öffentliche Schlüssel.
    In der empfangenen E-Mail kannst Du Dir die ID des verwendeten privaten Schlüssels anzeigen lassen und dann mit der vergleichen, die beim diesen Konto eigentlich verwendet werden sollte.

  • Zitat

    Hast Du eine sicher aufbewahrte Kopie des Schlüsselpaares, die Du zurückspielen könntest?


    Ja. Ich habe aber mehrere Schlüsselpaare, die meiner Emailadresse, um die es hier geht, zugeordnet sind. Es gab auch schon OpenPGP-, GnuPG- und PGP-Schlüssel. Wie bekomme ich die Schlüssel-ID des Schlüssels raus, die ich vor dem Update verwendet habe?


    Zitat

    Hast Du mehrere E-Mail-Konten, die Du mit gpg verwendest oder mehrere Schlüsselpaare erzeugt? Ich frage, weil vielleicht auch nur die Zuordnung der Schlüssel zu den Konten nicht (mehr) stimmt? Bist Du Dir sicher, dass Du die richtigen Schlüssel ausgewählt hast?


    Mehrere Schlüsselpaare, ja, siehe oben. Ich bin mir nicht sicher, daß ich den richtigen Schlüssel ausgewählt habe.


    Zitat

    Hast Du, außer dass Enigmail und TB ein Update bekommen haben, weitere Änderungen vorgenommen, z.B. im Rahmen der Fehlersuche?


    Ich habe meinen Schlüssel gestern auch einmal über den Enigmail-Assistenten geändert (d.h. einen anderen Schlüssel gewählt unter den Schlüsseln, die der betreffenden Emailadresse von mir zugeordet sind). Es funktionierte aber wie oben beschrieben davor und danach nicht. Mein Freund konnte meine Emails entschlüsseln, ich aber seine nicht.


    Zitat

    Sende Dir selbst einmal eine E-Mail, die Du nur digital signierts (nicht verschlüsselst).


    Geht nicht. Muß in einem Fenster mein Paßwort eingeben. Das ist angeblich falsch. Habe anschließend den Schlüssel geändert (Menüpunkt: Enigmail (O) -> Schlüssel verwalten). Habe einen neueren Schlüssel, der derselben Emailadresse von mir zugeordet ist, ausgewählt. Habe dann wieder versucht, mir eine signierte (unverschlüsselte) Email zu senden. Hier bekomme ich die Fehlermeldung:


    ***
    Das Senden wurde abgebrochen.
    Der Schlüssel <Schlüssel-ID> wurde nicht gefunden oder ist ungültig. Der (Unter-)Schlüssel könnte abgelaufen sein.
    ***


    Laut Schlüsselverwaltung (Menüpunkt: Enigmail (O) -> Schlüssel verwalten) läuft das Schlüsselpaar 2018 ab.

    2 Mal editiert, zuletzt von saschagabler ()

  • Noch zur Info: Mir liegt nichts an diesem bestimmten Schlüsselpaar, also dem, das ich vor dem Update verwendet hatte. Ich kann auch ein neues generieren (müßte nur wieder rauskriegen, wie ich das mache). Nur was müssen dann der Freund von mir und ich jeweils tun, um sicherzustellen, daß alles wieder funktioniert, d.h. muß nur ich etwas ändern, oder er auch?

  • "saschagabler" schrieb:

    Ja. Ich habe aber mehrere Schlüsselpaare, die meiner Emailadresse, um die es hier geht, zugeordnet sind. Es gab auch schon OpenPGP-, GnuPG- und PGP-Schlüssel.


    Nun, dann hast Du das Problem wohl gefunden. Es hat nichts mit Enigmail oder dem Update des TB zu tun sondern damit, dass Du die Übersicht über Deine Schlüssel verloren hast :mrgreen:


    Ich ziehe gern den Vergleich zu einer Schatulle heran, die Du samt einem Vorhängeschloss an Deinen Freund sendest. Das Schloss entspricht Deinem öffentlichen Schlüssel. Dein Freund kann nun die Post für Dich in die Schatulle legen, das Schloss schließen und Dir die Schatulle zusenden. Zu Öffnen benötigst Du dann den passenden Schlüssel zu genau diesem Vorhängeschloss. Das ist Dein privater Schlüssel. Dem Paar aus Vorhängeschloss und passendem Schlüssel entspricht also in gpg ein Schlüsselpaar.
    Nun hast Du dem Freund offenbar viele verschieden Schatullen und Vorhängeschlösser geschickt und weißt nicht mehr, welcher Schüssel zu welchem Vorhängeschloss gehört. Gegenwärtig versuchst Du die Schatulle mit dem falschen Schlüssel zu öffnen. Daher die Fehlermeldungen.


    "saschagabler" schrieb:

    Wie bekomme ich die Schlüssel-ID des Schlüssels raus, die ich vor dem Update verwendet habe?


    Du musst den privaten Schlüssel finden, der zu dem öffentlichen Schlüssel passt, welchen Du dem Freund gegeben hast. Aus der E-Mail ablesen kann man das meines Wissens nicht.
    Aber zum Glück sind das ja immer Paare. Lass Dir von ihm die ID des öffentlichen Schlüssels geben, den er für die E-Mails an Dich verwendet. Du solltest dann wissen, welcher Deiner privaten zu dem Schlüsselpaar gehört.


    "saschagabler" schrieb:

    Mir liegt nichts an diesem bestimmten Schlüsselpaar, ...


    Bist Du sicher? Ohne diese Schlüssel wirst Du die alten E-Mails, die damit verschlüsselt wurden, nicht mehr lesen können. Das gilt für gesendete wir für empfangene E-Mails.


    "saschagabler" schrieb:

    Nur was müssen dann der Freund von mir und ich jeweils tun, um sicherzustellen, daß alles wieder funktioniert, d.h. muß nur ich etwas ändern, oder er auch?


    Zunächst solltest Du Dich ein wenig mehr darüber informieren, wie diese Sache mit der Verschlüsselung überhaupt funktioniert. Etwas Grundlagenwissen benötigt man schon. Keine Sorge, ich meine nicht die Mathematik dahinter sondern so Basissachen wie "wofür werden die Schlüssel benötigt? Was ist der Unterschied zwischen Verschlüsseln und Signieren, wie hängt das wiederum mit den Schlüsseln zusammen, wie ist das mit dem Vertrauen usw. ."
    Dann solltest Du Ordnung schaffen, also Dein Schlüssel-Durcheinander sortieren. Benötigst Du überhaupt mehrere Schlüsselpaare pro E-Mail-Adresse?


    Wenn Du den richtigen Schlüssel wieder zuordnen kannst, sollte alles wieder funktionieren. Dein Freund muss zunächst nichts ändern. Solltest Du durch den Salat nicht mehr durchblicken und am Ende ein neues Schlüsselpaar erzeugen müssen, dann benötigt er natürlich den neuen öffentlichen Schlüssel von Dir und sollte den alten rauswerfen.

  • Ich muß noch Deine letzte Email ganz durcharbeiten. Hier erstmal eine Sache. Es hat sehr wohl mit dem Update zu tun, da es vorher ging und ich nichts geändert hatte. Erst als es nach dem Update nicht mehr funktionierte, mußte ich rausfinden, ob es an dem Schlüssel liegt.

  • Ich hatte ja geschrieben, dass es mit der Version 1.7 einige Änderungen gab, die u.a. auch dazu dienen sollen, die Schlüsselauswahl zu vereinfachen. Beim ersten Start der 1.7. popt auch ein entsprechendes Fenster hoch und weist auf einige Einstellungen hin. Dieses Fenster muss man bestätigen.


    Ich kann mir ja noch vorstellen, dass Enigmail bei Dir zunächst aufgrund geänderter Einstellungen nicht mehr richtig funktionierte. Aber dass es das Durcheinander bei den Schlüsseln verursacht hätte, halte ich für unwahrscheinlich. Auszuschließen ist es nicht, aber ich halte Deine Reparaturversuche für deutlich wahrscheinlicher.


    Bei mir hat Enigmail nichts umsortiert oder durcheinandergebracht. Und ich habe bisher auch noch von keinem Fall gehört.

  • Ich habe kein Durcheinander bei meinen Schlüsseln. Die PGP-Schlüssel sind in einem PGP-Ordner, die OpenPGP-Schlüssel in einem entsprechenden Ordner. Es gibt auch einen entsprechenden Enigmail-Ordner. Funktioniert hat das Ganze nicht mehr seit dem Update. Ich habe auch keine Schlüssel umsortiert. Das Einzige, was ich nach dem Update probiert hatte, nachdem das Problem aufgetaucht war, ist, einen anderen Schlüssel zu verwenden. Und das tat ich, weil ich herausfinden wollte, ob nicht ich ein Durcheinander produziert hatte, sondern Enigmail seit dem Update etwas falsch zugeordnet hatte. Deswegen will ich auch die ID des öffentlichen Schlüssels herausfinden, mit dem mein Freund meine Emails verschlüsselt. Der neu zugewiesene Schlüssel funktionierte aber auch nicht. Danach habe Ich auch noch einmal den einen Enigmail-Schlüssel probiert, den ich für diese Emailadresse habe. Kein Schlüssel, den ich ausprobiert habe, funktioniert. Mehr Enigmail-Schlüssel habe ich nicht. Und die Schlüssel sind alle in ihren Ordnern sortiert, eine Ordnung, die ich nicht angefaßt habe. Auch wenn Du noch von keinem Fall gehört hast, bei mir geht das Ganze nicht mehr seit dem Update.


    Die ID des öffentlichen Schlüssels, den der Freund von mir verwendet, bekomme ich frühestens heute abend heraus.


    Kann ich das Update für Enigmail 1.7 noch einmal installieren?

  • "saschagabler" schrieb:

    Kann ich das Update für Enigmail 1.7 noch einmal installieren?


    Ja klar kannst Du das. Ich weiß auch, dass das so ein Reflex vieler unerfahrener Anwender ist, im Problemfall mal eben neu zu installieren. Aber was soll das bringen?


    "saschagabler" schrieb:

    Ich habe kein Durcheinander bei meinen Schlüsseln. Die PGP-Schlüssel sind in einem PGP-Ordner, die OpenPGP-Schlüssel in einem entsprechenden Ordner. Es gibt auch einen entsprechenden Enigmail-Ordner.


    Wo und wie Du die Schlüssel bei Dir auf dem Rechner sortiert und abgespeichert hast, spielt überhaupt keine Rolle. Wichtig ist, welche Schlüssel in der Schlüsselverwaltung sind und welcher E-Mail-Adresse sie zugeordnet sind.
    Und genau an dieser Stelle passt bei Dir etwas nicht. Selbst wenn das Update hier etwas durcheinander gebracht hat, alle Symptome und Fehlermeldungen deuten darauf hin, dass der private Schlüssel nicht zu Deinem öffentlichen Schlüssel passt, den der Freund verwendet hat.


    Da Du aber auch die alten und die gesendeten E-Mails nicht mehr entschlüsseln kannst, liegt es nicht daran, dass der Freund einen falschen öffentlichen Schlüssel verwendet hätte sondern daran, dass etwas mit Deinem privaten Schlüssel nicht stimmt. Er passt nicht zu dem bisher verwendeten öffentlichen Schlüssel.
    Die Tatsache, dass Du eine E-Mail auch nicht mehr signieren kannst, zeigt ebenfalls ein Problem mit Deinem privaten Schlüssel an. Zum Signieren wird nämlich genau dieser Schlüssel benötigt, deshalb hatte ich ja nach dem Test gefragt.
    Der Schlüssel könnte auch beschädigt sein. Dann sollte er aber nach dem erneuten Import funktionieren.


    Dass der Freund Deine E-Mails entschlüsseln kann, besagt, dass Du beim Verschlüsseln seinen korrekten öffentlichen Schlüssel verwendet hast und dass er auf auf seinem Rechner kein Problem mit seinem privaten Schlüssel hat.

    "saschagabler" schrieb:

    Ich habe aber mehrere Schlüsselpaare, die meiner Emailadresse, um die es hier geht, zugeordnet sind. Es gab auch schon OpenPGP-, GnuPG- und PGP-Schlüssel. [...] Ich bin mir nicht sicher, daß ich den richtigen Schlüssel ausgewählt habe [...] Ich habe meinen Schlüssel gestern auch einmal über den Enigmail-Assistenten geändert [...] Muß in einem Fenster mein Paßwort eingeben. Das ist angeblich falsch. [...] Habe einen neueren Schlüssel, der derselben Emailadresse von mir zugeordet ist, ausgewählt


    Nimm es mir nicht übel, aber für mich ist das ein Durcheinander. Das beginnt schon damit, dass Du überhaupt mehrere Schlüsselpaare für eine E-Mailadresse verwendest, offenbar ohne zwingenden Grund.
    Ich habe auch den Eindruck, Du weißt gar nicht genau was die Unterschiede zwischen öffentlichen und privaten Schlüsseln sind. Es gibt auch keine Enigmail-Schlüssel. Enigmail erzeugt die Schlüssel nicht selbst sondern benutzt dazu GnuPG.


    Das ist wirklich nicht bös gemeint. Aber durch hektische Aktionen, ohne zu wissen was sie genau bewirken, verbesserst Du die Situation nicht.


    Ich sitze nicht vor Deinem Rechner. Das macht es schwer, denn ich kann nicht sehen welche Aktionen Du wann mit welchem Schlüssel durchgeführt hast. Ich bin mir aber ziemlich sicher, dass das Problem mit Deinen privaten Schlüsseln zusammenhängt. Das kannst Du nun glauben oder nicht.


    Du könntest einmal einen Screenshot von der Kleopatra hochladen, der zeigt wie viele Schlüssel bei Dir in der Schlüsselverwaltung existieren. Die E-Mail-Adresse solltest Du zuvor unkenntlich machen.


    Ansonsten sehe ich nur zwei Möglichkeiten: Entweder Du bekommst das sortiert oder Du machst einen Neustart mit einem neuen Schlüsselpaar und sagst "goodbye" zu den alten verschlüsselten E-Mails.


    Nachtrag:


    In Zusammenhang mir dem verbesserten Auswahlalgorithmus der Version 1.7. wäre auch folgendes Szenario denkbar: Der Freund schickt Dir eine E-Mail, für die Enigmail einen anderen Deiner öffentlichen Schlüssel ausgewählt hat als sonst. Wenn der zugehörige private Schlüssel bei Dir nicht mehr aktiv ist, kannst Du diese E-Mail nicht mehr entschlüsseln, wohl aber die, die zuvor für die bei Dir aktiven privaten Schlüssel verschlüsselt wurden.
    Wenn dann bei Deinen Versuchen auch diese Schlüssel "durcheinander" gekommen sind, würde das erklären, weshalb Du nun auch die älteren E-Mais nicht mehr entschlüsseln kannst.
    Das ist allerdings alles hypothetisch, denn außer Dir weiß niemand, was genau Du gemacht hast.

  • * Thunderbird-Version: 31.3.0
    * Betriebssystem + Version: Vista Home Premium SP2
    * Kontenart (POP / IMAP): POP
    * Postfachanbieter (z.B. GMX): GMX
    * S/MIME oder PGP: Enigmail 1.7.2 (20140829-0917)


    Habe ein ähnliches Problem:


    bisher, bis zum update im August 2014, konnte ich alle veschlüsselt gesendeten und empfangenen e-mails stets entschlüsseln und lesen.


    Seit dem Update kann ich alle alten emails nicht mehr entschlüsseln. Es wird nach der Passphrase gefragt. Es kommt die Fehlermeldung "ungültige Passphrase".
    Ich kann neue emails verschlüsselt senden. Der Empfänger dieser e-mails kann diese auch entschlüsseln.
    Die im Sent Ordner befindliche e-mail ist von mir aber ebenso nciht mehr entschlüsselbar.
    Ich denke es liegt daran: Ich habe in meiner Passphrase einen Umlaut und ein scharfes s.
    Nun habe ich gelesen, dass diese Buchstaben nicht verwendet werden dürfen.


    Übrigens.
    Als ich einen neuen Schlüssel generiert habe, nun natürlich ohne Umlaute, funktioniert alles wieder, aber eben nur bei allen neuen e-mails.


    Meinen alten Schlüssel (mit Umlauten) kann ich auch nicht deaktivieren, da ich ja hierzu zuerst den Schlüssel eingeben muss, der aber nicht mehr akzeptiert wird.


    Gibt es eine Möglichkeit, die alten e-mails zu entschlüsseln? Muss man bei der Passphrasen-Abfrage die Umlaute auf andere Weise eingeben?
    Wie kann ich meinen alten öffentlichen Schlüssel (mit Umlauten) deaktivieren?


    Danke & Gruß

  • Hallo Woiddl,


    Gibt es eine Möglichkeit, die alten e-mails zu entschlüsseln?


    das geht nur mit dem alten Schlüssel. Ob Umlaute und Co. in der Passphrase Probleme bereiten, habe ich nie ausprobiert. Wenn es aber zuvor ging und seit dem Update von Enigmail nicht mehr, dann versuche Dein Glück einmal mit der Version 1.6. . In der 1.7. wurden wohl ein paar Dinge, wenn auch in guter Absicht, verschlimmbessert.


    Gruß


    Susanne