Gpg4win, Thunderbird und PGP-Passphrase

  • Zurzeit nutze ich Thunderbird in Verbindung mit Enigmail und Gpg4win, nun ist es so das Thunderbird bzw. viel mehr Gpg4win den Passphrase nicht speichert und ich ihn jedes mal neu eingeben muss wenn ich eine E-Mail abschicke.
    Mir ist die Möglichkeit bekannt die Zeitdauer die der Passphrase gespeichert wird per Config-File zu verlängern, gibt es Möglichkeit dieses quasi für immer zu speichern, sodass es beim absenden einer E-Mail nicht mehr eingegeben werden muss? (Gibt's ggf. eine alternative zu Gpg4win die nicht dieser Einschränkung unterliegt?)


    Thunderbird-Version: 24.6.0
    Enigmail-Version: 1.72
    Betriebssystem + Version: Windows 8.1
    S/MIME oder PGP: OpenPGP, Gpg4win 2.1.1 Kleopatra 2.1.1

  • Hallo, und Willkommen im Forum!
    Zunächst zwei Fragen:
    Thunderbird ist die ESR-Version?
    Enigmail hast Du ja schon als AddOn installiert. Hast Du dort die Einstellungen zur Passphrase ausgefüllt?


    MfG ... Vic

  • Enigmails Einstellungen sind doch mittlerweile dazu uninteressant, da die betreffenden Einstellungen zum Caching des Passworts vom PGP-Agent übernommen werden,oder nicht?
    (d. h. gpg-agent.conf mit default-cache-ttl ...
    max-cache-ttl ..., --> das bringt mir natürlich nichts da man hier nur eine Zeit einstellen kann)


    Diese Einstellung?



    Zur Thunderbird-Version mitlerweile ist es die 31.1.1, nein es ist nicht die ESR-Version.

  • Hallo,


    liegt hier vielleicht ein Missverständnis vor? Die Passphrase wird meines Wissens im RAM ge-cached. Selbst wenn man das Caching der Passphrase in Enigmail (oder im Agenten, für GnuPg 2.x) auf unendlich setzt (ttl auf -1), ist das Caching spätestens beim nächsten Reboot beendet.


    Meines Erachtens ist das auch gut und wichtig so. Aber jedem das Seine ... .


    Zitat von "harryhaller"

    ... gibt es Möglichkeit dieses quasi für immer zu speichern, ...


    Wenn Du erreichen möchtest, dass die Passphrase auch nach einem Reboot nicht erneut eingegeben werden muss (so verstehe ich "immer"), dann ist mir dazu keine Lösung bekannt, auch nicht mit GnuPG 1.x.


    Gruß


    Susanne

  • Aber wenn ich z.B. als seahorse zur Schlüsselverwaltung verwende dann wird der Passphrase doch auch permanent gespeichert, oder nicht?

  • Hallo,

    Zitat von "SusiTux"

    a) ... Meines Erachtens ist das auch gut und wichtig so. Aber jedem das Seine ...
    b) ... ist mir dazu keine Lösung bekannt, auch nicht mit GnuPG 1.x.


    a) Das sehe ich bezügl. der *Sicherheit* auch so!
    b) Mir ist da auch kein permanentes Speichern jenseits des Rebootens bekannt.
    ((ggfs. muß man sich halt dann die Passphrase im Klartext irgendwo speichern, was natürlich dem geneigten Verschlüsselungsfreund die Haare zu Berge stehen läßt ;) ~ gruselig!!!!))


    Ich fragte deshalb nach den Enigmail-Einstellungen, da ich diesen Hinweis bekomme, der eigentlich schon alles aussagt:



    Sprich die Ablaufzeit wird durch Enigmail nicht mehr kontrolliert.


    Seit ich auf Linux migriert bin habe ich Gpg4win nicht mehr im Einsatz {kann also auch Nichts testen} - ich war jedoch zu meinen WIN-Zeiten nicht begeistert von diesem Programm (mag sich jedoch geändert haben).
    Das verlinkte GnuPT habe ich in guter Erinnerung.


    Nein Seahorse speichert permanent die keys aber *nicht* die Passphrase :!: ~ Das wäre auch eine Katastrophe! - und würde von der Community niemals akzeptiert werden.
    [es widerspricht allen Sicherheitsaspekten der Kryptographie!]


    Kurz und gut: Ist der PC neu gestartet und man will Verschlüsseln, so ist die Passphrase einzugeben. Selbige kann - nach Belieben / Einstellung - zwischengespeichert werden. :cool:


    MfG ... Vic

  • Hi,
    [verschwoerungstheorie]
    ich denke inzwischen, es ist kein Zufall, daß das Konfigurieren und Benutzen von Verschlüsselung so kompliziert ist.
    Das kann nur Absicht sein. GPG4Win wird empfohlen und unterstützt vom BSI :wall:
    [/verschwoerungstheorie]
    Im Ernst, es ist manchmal zum Verzweifeln.
    Grüße, muzel

  • Ich lege doch nochmal nach.
    Der TO will grundsätzlich die Passphrase wenigstens über die Einstellung von Enigmail länger vorhalten.
    Das ist mit Gpg4win nicht, aber mit den von mir vorgeschlagenen Programmen, möglich.
    Die Passphrase wird von Enigmail bis zum Ablauf der voreingestellten Zeit vorgehalten oder vorzeitig durch das Beenden von Th gelöscht.


    @ muzel.
    Mit GnuPG 1.4.18 (mein Kandidat) gibt es nichts außer Enigmail zum Konfigurieren.

    M.f.G. Kienberger

  • Zitat von "kienberger"

    Mit GnuPG 1.4.18 (mein Kandidat) gibt es nichts außer Enigmail zum Konfigurieren.


    Ist auch mein Favorit, muß man (für Windows) aber erstmal finden. Auf gnupg.org wird man direkt zu gpg4win geschickt. Nur mühsam über einen Mirror findet man die Windows-Version von gnupg ohne den gpg4win-Schnickschnack.
    - m.

  • Zitat von "kienberger"

    Der TO will grundsätzlich die Passphrase wenigstens über die Einstellung von Enigmail länger vorhalten.


    harryhaller  
    Das solltest Du in der Tat einmal aufklären. Ich habe Dein Anliegen nämlich ganz anderns verstanden:


    Zitat von "harryhaller"

    Mir ist die Möglichkeit bekannt die Zeitdauer die der Passphrase gespeichert wird per Config-File zu verlängern, gibt es Möglichkeit dieses quasi für immer zu speichern, ...


    Das heißt für mich, dass es nicht darum geht, eine Zeitdauer einzustellen (das kannst Du nach obiger Aussage ja bereits) sondern darum, dass die Passphrase überhaupt nicht wieder abgefragt werden soll, also auch nach einem Neustart des Rechners nicht.

  • Mein Ziel war es gewesen, dass das Passwort für immer gespeichert wird auch nach einen Neustart. Leider scheint das nicht möglich zu sein.
    (Per Config-File kann ja auch bei GPG4Win das zwischenspeichern der Passphrase verlängert werden, wobei es natürlich sinnvoll wäre wenn man dieses aus Enigmail steuern könnte insb. wenn man weitere Nutzerkreise erschließen will aber mich persönlich stört es nicht weiter eine Config-File editieren zu müssen )

  • Zitat von "harryhaller"

    ... das Passwort für immer gespeichert wird auch nach einen Neustart. Leider scheint das nicht möglich zu sein.


    Hallo,


    so begreife doch ... das darf NICHT MÖGLICH sein!


    Es würde allen Regeln der primitivsten Verschlüsselungspraxis widersprechen :!:


    Gerne darfst Du Dir persönlich eine passende Lösung basteln (Empfehlung hatte ich ja schon gepostet.). Aber eingedenks der immanenten Sicherheitslücke die daraus entsteht!
    Beklage Dich also nicht, wenn es schief geht.


    MfG ... Vic


    Anm.: Da es (leider) user wie Dich gibt (die es mit der Sicherheit in der Verschlüsselungskette nicht so genau nehmen), ist es sinnvoll einem key nicht nur das Vertrauen auszusprechen [Vertrauensanker], sondern eben das selbige auch abzustufen.

  • Zitat von "Vic~"

    Es würde allen Regeln der primitivsten Verschlüsselungspraxis widersprechen


    Was soll der Grund für diese Regel sein? Wenn eine andere Person zu gang zu den laufenden Rechner hat, wäre das Passwort ja ohnehin im zwischen gespeichert. Wenn der PC aus ist die Festplatte verschlüsselt (So ziemlich jedes Betriebssystem bietet heute diese Option von IOS, Windows der Linux.kernel etc.) und wenn jemand über einen Trojaner auf den PC im aktiven Zustand zugreifen kann, ist der PC und damit jeder potentielle Key ohnehin kompromittiert.


    Welches Angriffsszenario soll den nun das Risiko noch wesentlich erhöhen?

  • Wie ich schrieb, halte ich es für wichtig, dass die Passphrase einen Reboot nicht übersteht. Dass dies der primitivsten Verschlüsselungspraxis widersprechen würde, kann ich allerdings nicht unterschreiben. S/MIME würde dann übrigens per se gegen diese Praxis verstoßen.


    Meiner Meinung nach ist das aber nichts weiter als eine zusätzliche Sicherheitsmaßnahme. Das liegt wohl immer etwas im Auge des Betrachters. Manch einer möchte gar nicht, dass die Passphrase im Cache verbleibt, andere möchten sie lieber dauerhaft gespeichert sehen.


    Edit: doppelte Passage gelöscht

    Einmal editiert, zuletzt von SusiTux ()

  • Zitat von "harryhaller"

    Welches Angriffsszenario soll den nun das Risiko noch wesentlich erhöhen?


    Hallo,


    nun wenn Deine Sicherheitsbedenken nicht besser sind als Dein Deutsch, so mancherlei ...


    Zitat von "harryhaller"

    Wenn eine andere Person zu gang zu den laufenden Rechner hat, wäre das Passwort ja ohnehin im zwischen gespeichert. Wenn der PC aus ist die Festplatte verschlüsselt (So ziemlich jedes Betriebssystem bietet heute diese Option von IOS, Windows der Linux.kernel etc.) und wenn jemand über einen Trojaner auf den PC im aktiven Zustand zugreifen kann, ist der PC und damit jeder potentielle Key ohnehin kompromittiert.


    ... ich kann mit solcherlei Ergüssen einfach nichts anfangen. Wieso machst auch Du Dir beim posten so wenig Mühe, so daß nicht mal ein halbwegs normaler Satz rauskommt?


    Nochmals die Kurzfassung: Mache es wie Du willst! - Es gab / gibt (in Deinen Augen Idioten) Entwickler die gewisse Standards in ihre Software implementiert haben. Nutze einfach deren Software nicht mehr ... und alles ist gut. [BTW: Du kannst jederzeit GPG neu schreiben! Ganz nach Deinen Wünschen.]


    Danke liebe Susanne, daß du mir 'per se' (gleich zweimal) S/MIME erklärst ... ;)


    MfG ... Vic
    {der hiermit für sich diesen Thread schließt}

  • Gern geschehen, lieber Vic


    und danke für den Hinweis auf die doppelte Passage in meinem Posting. Da hatte ich kopiert anstatt auszuschneiden. Ich habe das korrigiert.
    Den Verstoß gegen die primitivste Verschlüsselungspraxis vermag ich allerdings trotz Deiner (allzu) deutlichen Worte an harryhaller noch wie vor nicht zu erkennen.


    Gruß


    Susanne