GNUPT nicht (mehr) vertrauenswürdig?!

Am 24.09.2018, werden in der Zeit zwischen 21:00 Uhr und 09:00 Uhr des folgenden Tages Wartungsarbeiten am Server durchgeführt. Daher wird die Webseite in dieser Zeit nur eingeschränkt erreichbar sein.
  • * Thunderbird-Version: 31x [PORTABLE]
    * Betriebssystem + Version: Win7 Prof
    * Eingesetzte Antivirensoftware: Avira Pro
    * Firewall (Betriebssystem-intern/Externe Software): Avira Pro

    Bin neu im Forum und habe keine Ahnung, ob ich das so stehen lassen soll - wenn nicht, bitte bescheid geben.



    Hallo Leute,
    ich nutze seit geraumer Zeit Thunderbird Portable mit Enigmail von GNUPT.


    Nun wollte ich jemand anderem auch einen Account einrichten. Also befolgte ich folgende Schritte:
    1. https://www.thunderbird-mail.de/wiki/Portable_Thunderbird
    Hier wird man, wenn man Enigmail unter Thunderbird Portable verwenden möchte (wie ich es auch von Früher in Erinnerung habe) auf https://www.gnupg.org/ weiter geleitet.
    Nun mein erster Grund der Verwunderung: "Page source last changed on 2015-03-04": Die Seite sieht auch 100% anders aus und es gibt keine Downloadoption mehr für Thunderbird Portable mit integriertem GNUPT.


    Also habe ich Google angeworfen um mir Thunderbird Portable mit GNUPT wo anders her zu laden. Bin dann hier gelandet:
    https://gnupt.wordpress.com/20…table-20021-mit-enigmail/
    Die Seite erinnert schon mehr an die alte von GNUPT. Allerdings funktioniert auch hier der Downloadlink (http://www.gnupg.dethunderbirdportable.exe/) nicht.


    Zu meinem Glück hatte ich aber noch eine "Installdatei" von Thunderbird Portable (thunderbirdportable.exe) irgendwo auf dem PC rumfahren.
    Also startete ich diese. Und nun wirds richtig merkwürdig:
    Nachdem ich den Pfad, wohin Thunderbird Portable extrahiert werden soll gewohnheitsgemäß ausgewählt hatte und "Entpacken" geklickt habe erscheint mir, zeitgleich mit dem Fenster, ob ich die Lizenzvereinbarung akzeptiere (was ich tue) dieser Dialog:
    [IMG:http://www11.pic-upload.de/thumb/29.03.15/7xgtbigm47tk.jpg]


    Nachdem ich die Lizenzvereinbarung, sowie den Netzzugriff erlaubt habe wirds merkwürdig:
    Ich bin 100%ig sicher, dass früher die Versionshistorie angezeigt wurde. Nun sehe ich folgendes Fenster vor mir:
    [IMG:http://www11.pic-upload.de/thumb/29.03.15/9sjyz6b5bzvq.jpg]
    Ich klicke "OK" und darf nun die Thunderbird-Version auswählen, die ich nutzen möchte:
    [IMG:http://www11.pic-upload.de/thumb/29.03.15/341ttfxme7bt.jpg]
    Die neuste Version - klar und da ich verschlüsselung aktiviert haben möchte (sonst hätte ich nicht die Version von GNUPT genommen) wird auch OpenPGP aktiviert.
    Ich klicke auf "Speichern und weiter..." und nun erscheint folgender ERROR:
    [IMG:http://www11.pic-upload.de/thumb/29.03.15/7ssnt1p67kj.jpg]


    Kurz: Ich kann Thunderbird-Portable weder neu Laden, noch es mit meiner alten Datei installieren.




    ... Grade wollte ich nachsehen, wie es bei meinem (wie ich dachte) funktionierenden Thunderbird-Portable aussieht... dann sehe ich:


    Obwohl ich 100% sicher bin, den richtigen privaten Schlüssel zu besitzen:
    Ich möchte meine Mails lesen (und somit entschlüsseln) und werde nicht einmal nach der Passphrase gefragt. Es erscheint sofort dieser Fehler: [IMG:http://www11.pic-upload.de/thumb/29.03.15/ylgmmkl91a4m.jpg]



    EDIT: Ich hatte noch ein Backup meines Thunderbird-Portable (mitsamt geheimen Schlüssels). Dieses habe ich nun mal im Offline-Modus gestartet (also noch mit integriertem GNUPT und nicht gpg2.exe, da ich auf gpg4win umgestiegen bin, weil mir eine Warnmeldung erschien, dass ab der nächsten Thunderbird-Portable Version meine Version (GNUPT 1.4.18.) nichtmehr unterstützt wird und ich bitte GNUPG 2.0.x verwenden möge).
    Ich konnte problemlos entschlüsseln. Also habe ich den privaten Schlüssel exportiert um ihn in meine "Mainversion", also die mit Updates zu importieren.
    Da erscheint dann aber folgendes:
    [IMG:http://www11.pic-upload.de/thumb/29.03.15/yzhezctt1lmk.jpg]



    D.h. Ich kann mit ein und dem selben Schlüssel in der neusten Version (31.5.0) nicht entschlüsseln und in meinem Backup (v. 31.3.0) schon!!




    Nun habe ich ordentliche Bedenken, ob GNUPT unterwandert oder sonstwas wurde. Ich habe meine Daten verschlüsselt, um sicher(er) zu sein und jetzt das?!?!


    LG

    4 Mal editiert, zuletzt von Frostbert ()

  • Entschuldige das Offtopic, doch... wie setze ich mit dem in Verbindung? Den Namen anklicken und darauf hoffen, dass ein Chatfenster sich öffnet funktioniert nicht. :D

    EDIT:


    Update!
    Nach einigem Rumprobieren habe ich folgendes festgestellt:
    Nachdem gestern den Pfad des GNUPG (Enigmail-Einstellungen --> Allgemein) vom standardmäßigen "[...]Thunderbird Portable\GnuPG\gpg.exe"(wo logischerweise auch das verwendete Thunderbird liegt) auf "[...]Program Files\GNU\GnuPG\gpg2.exe" geändert hatte, funktionierte Thunderbird Portable noch. Wenn auch das Passphrasen-Abfragefenster nicht mehr im Enigmaildesign, sondern extern (wohl von gpg4win) wirkte.
    Nun habe ich den Pfad wieder auf das interne GNuPG\gpg.exe umgestellt... und siehe da: Ich kann wieder ordnungsgemäß entschlüsseln!


    Trotzdem habe ich noch das Problem, dass Enigmail von mir möchte, dass ich GNUPG update:
    [IMG:http://www11.pic-upload.de/thumb/29.03.15/4umwuw8x4pon.jpg]


    Offenbar ist also das Update daran schuld, dass das Entschlüsseln dann nicht geht. (Ich denke es liegt wohl nicht am Pfad^^)



    Nun: Wie nutze ich die nächste Version von Thunderbird (Portable), ohne dass mein GNUPG nicht mehr geht?


    Und immernoch wundert es mich, dass man Thunderbird Portable von GNUPG nicht mehr neu installieren oder laden kann!

    Einmal editiert, zuletzt von Frostbert ()

  • Gut, ich hoffe das mit der Konversation hab ich hinbekommen. :D


    Zum GNUPT Versionsproblem-Problem habe ich wieder mehr rausgefunden:


    Dadurch, dass ich nun (in einer Zweitversion damit mir nicht mein Mainmailzeugs wieder abschmiert) wieder auf GNUPT 2.0 geupdated habe (mit gpg4win, denn "Project Gpg4win provides a Windows version of GnuPG stable. It is nicely integrated into an installer and features several frontends as well as English and German manuals.") ändert sich die Abfrage der Passphrase folgendermaßen:
    [IMG:http://www11.pic-upload.de/29.03.15/e4ewg6tb7mo.jpg]


    Nebenbei vlt. wichtig zu erwähnen ist, dass beim Installieren von Gpg4win folgender Fehler aufgetreten ist:
    [IMG:http://www11.pic-upload.de/thumb/29.03.15/j6p58lgr6sf5.jpg]




    Also wie beschrieben habe ich nun die neueste Version von GNUPG installiert und den Pfad in Enigmail darauf (gpg2.exe) eingestellt.
    Bisher hat es mit dem Entschlüsseln funktioniert.
    Ich vermute allerdings, dass es bald nicht mehr funktionieren wird, da sich der gpg-agent nicht automatisch mit dem Schließen von Thunderbird sauber beendet.



    Ich muss ihn allerdings beenden, da mein Thunderbird-Portable in einem verschlüsselten Container liegt. (Deshalb habe ich mich auch für die portable Version entschieden.)
    Also habe ich das Trennen erzwungen, bzw. den Prozess "gpg-agent" mit dem Taskmanager abgeschossen, obwohl das Programm im Container noch lief.


    Ich vermute nun, dass das "unsaubere" Beenden des gpg-agent die Ursache dafür ist, dass er irgendwann denkt, der private Schlüssel wäre verloren.
    (Denn der gpg-agent ist ja für die Schlüsselverwaltung verantwortlich, wenn ich's richtig weiß.)


    Also ist meine Frage nun:
    Wie kann ich den gpg-agent sauber mit dem Schließen von Thunderbird-Portable ,und somit Enigmail, beenden, sodass er die Passphrasen und Schlüssel mir nicht zerberstet?


    LG

  • Hallo Frostbert,


    Ich muss ihn allerdings beenden, da mein Thunderbird-Portable in einem verschlüsselten Container liegt. (Deshalb habe ich mich auch für die portable Version entschieden.)

    Wenn ich Dir einen Rat geben darf, dann den, es nicht unnötig so kompliziert zu machen. Welchen Sinn es soll es ergeben, ein Programm in einen verschlüsselten Conainer zu legen? Entweder Du verschlüsselst die gesamte Platte, oder Du beschränkst Dich darauf, die Daten in einen solchen Container zu legen. In diesem Fall wäre dies das TB-Profil. Dann könntest Du auch die normale Version des TB verwenden und hättest eine Reihe Deiner Probleme nicht.


    Gruß


    Susanne

  • Hallo Susanne,


    getan habe ich das mit dem Container, weil es mir in einem Tutorial so empfohlen wurde und es mir sinnvoll erschien, da ja nicht alle meine Mails verschlüsselt (gespeichert) sind.
    Durch den Container sind sie dann zumindest verschlüsselt gespeichert und somit gegen direkte Angriffe auf meinen PC gesichert.


    Wenn ich jetzt nur das TB-Profil in den Container packen würde, wäre dadurch denn das gpg-agent Problem behoben?



    Ich merke selbst allerdings, dass ich etwas vom eigentlichen Thema abgekommen bin:


    Mir scheint, GnuPG ist nicht mehr vertrauenswürdig, da es keine öffentlich auffindbaren Downloads für das GnuPG-Thunderbird-Portable gibt und man die alte Version nicht mehr entpacken kann, ohne dass die im ersten Post geschilderte Fehlerkette erscheint.
    (Keine Versionshistorie angezeigt & nach Auswahl der Version 31.x: "Download-Datei nicht verfügbar")



    Ich habe nun von Jesus zwar einen Downloadlink für die "letzte aktuelle Version" bekommen (portable.gnupt.de/Thunderbird-Portable.zip), doch es handelt sich eben nicht um eine Seite, auf der das Projekt irgendwie umschrieben wird oder dergleichen, sondern nur um einen Downloadlink.


    Jesus meinte zusätzlich:

    Zitat

    Es wird zukünftig keine Pflege des GnuPT-Projektes geben. Über Hintergründe muss ich mich bedeckt halten.


    ... Das alles spricht für mich nicht grade für GnuPT!

  • Hallo Frostbert,


    zum Thema GnuPT kann ich nicht viel beitragen, weil ich es nicht aus eigener Erfahrung kenne. Wenn es nicht mehr gepflegt wird, dann ist es eh müßig.


    Aus meiner Sicht ist das erst recht ein Grund, auf die normale Version des TB umzusteigen. Und ja, dann erübrigt sich auch das von Dir geschilderte Problem mit dem agenten.
    Um es nochmals zu erläutern. Es ist nicht sinnvoll Programme verschlüsselt abzulegen. Das, was Du schützen möchtest, sind ja nicht die Programme sondern die Informationen, sprich Deine Daten.
    Es lohnt sich, darüber nachzudenken, die gesamte Festplatte zu verschlüsseln. So handhabe ich das bei meinem Notebook, und so ist es auch z.B. in unserer Firma vorgeschrieben. Der Grund dafür ist natürlich in der Schutz bei Diebstahl.
    Das ist die einfachste Lösung, denn als Anwender musst Du Dich danach um nichts weiter kümmern, als dass Du beim Start des Rechners die Passphrase eingeben musst. Du musst also keine weiteren Container mounten usw. .
    Es gibt geringe Performanceeinbußen, weil natürlich jeder Plattenzugriff erst noch durch die Kryptologie muss. Ähnlich wie in Deinem Modell, müssen also auch die Programme zunächst dekodiert werden, bevor sie in den Speicher geladen werden. Im normalen Gebrauch bemerkst Du davon nichts. Wie es sich bei starkem Ressourcenbedarf, wie z.B. Spielen oder 3D-Rendern verhält, kann ich nicht aus eigener Erfahrung sagen.


    Um Deine E-Mails und Dokumente zu schützen, genügt es aber, lediglich die Daten in einen verschlüsselten Container zu legen. So handhabe ich das für einen Teil meiner Daten auf den Desktop-Rechnern.
    Du musst dann aber natürlich selbst dafür Sorge tragen, dass dieser Container gemountet ist, wenn Programme daraus Daten anfragen. Der Vorteil ist, dass die Programme selbst im normalen, unverschlüsselten Kontext des Betriebssystems laufen.
    Zu beachten ist, dass bei dieser Methode die Auslagerungsdatei, also der Swap, zunächst nicht verschlüsselt ist. Sollte das Betriebssystem Daten auslagern müssen, dann landen diese unverschlüsselt auf der Festplatte. Deshalb habe ich bei meinem Notebook die gesamte Festplatte verschlüsselt. Bei meinem Desktop stört mich das nicht weiter, weil hier das Risiko des Diebstahls geringer ist.


    Noch etwas Grundsätzliches: Falls Du den TB auf einem Stick mit Dir führst und diesen auf Reisen in fremden Rechner steckst, dann bedenke, dass Dich die Verschlüsselung nur bedingt schützt. Alles, was Du Dir anschaust, befindet sich dann unverschlüsselt im RAM dieses Rechners und kann mitgelesen werden. Unter Umständen landet es sogar im Swap dieses Rechners und ist damit auf dessen Platte.


    Last but not least: Bedenke auch das Backup. Es hilft wenig, wenn Deine Daten auf dem PC verschlüsselt sind, das Backup auf dem Stick oder der Platte auf dem Schreibtisch es aber nicht ist.


    Susanne

  • Hallo,


    ein paar Sachen sollte man nicht so stehenlassen (Verwechslungen vermutlich)


    Frostbert schrieb:

    Mir scheint, GnuPG ist nicht mehr vertrauenswürdig, da es keine öffentlich auffindbaren Downloads für das GnuPG-Thunderbird-Portable gibt

    und



    Frostbert schrieb:

    Dadurch, dass ich nun (in einer Zweitversion damit mir nicht mein Mainmailzeugs wieder abschmiert) wieder auf GNUPT 2.0 geupdated habe (mit gpg4win...

    GnuPG ist die Basis der anderen erwähnten Pakete, sowohl von GnuPT, als auch GPG4Win, und vermutlich wurde es auch bei verschiedenen TB-Portables mitgeliefert. Es ist bei gnupg.org oder dort verlinkten Mirrors zu haben. Die "Vertrauensfrage" stellt sich also zuerst für GnuPG. Wenn man GnuPG vertraut, kann man sich als nächstes fragen, ob man GPG4Win, GnuPT, Enigmail vertraut, aber nicht umegkehrt. GPG4Win hat nichts mit GnuPT zu tun, beide bringen GnuPG und einiges mehr im Paket mit.
    Und dazu:

    Jesus schrieb:

    Es wird zukünftig keine Pflege des GnuPT-Projektes geben. Über Hintergründe muss ich mich bedeckt halten.

    frage ich mich besorgt, ob er nur keine Zeit mehr für das Projekt hat, oder einen NSL bekommen hat.


    Grüße, muzel

  • Ich habe mich zugegebenermaßen zwischendurch etwas mit den Begrifflichkeiten verheddert:


    Ich glaube, zu meinen, dass GnuPT (und nicht GnuPG, gpg4win/...) möglicherweise nicht vertrauenswürdig ist. Wie ich es auch im Threadname erwähnt habe. :)


    LG