1. Startseite
  2. Nachrichten
  3. Herunterladen
    1. Thunderbird Release-Version
    2. Thunderbird 140 ESR
    3. Thunderbird 128 ESR
    4. Thunderbird 115 ESR
    5. Thunderbird Beta-Version
    6. Sprachpaket (Benutzeroberfläche)
    7. Wörterbücher (Rechtschreibprüfung)
  4. Hilfe & Lexikon
    1. Anleitungen zu Thunderbird
    2. Fragen & Antworten (FAQ) zu Thunderbird
    3. Hilfe zu dieser Webseite
  5. Forum
    1. Unerledigte Themen
    2. Letzte Beiträge
    3. Themen der letzten 24 Stunden
  • Anmelden
  • Registrieren
  • 
  • Suche
Dieses Thema
  • Alles
  • Dieses Thema
  • Dieses Forum
  • Forum
  • Lexikon
  • Artikel
  • Seiten
  • Erweiterte Suche
  1. Thunderbird Mail DE
  2. Forum
  3. Hilfe zu E-Mail und allgemeines Arbeiten
  4. Allgemeines Arbeiten / Konten einrichten / Installation & Update

TB 38.5.1

  • muzel
  • 8. Januar 2016 um 13:42
  • Geschlossen
  • Unerledigt
  • muzel
    Gast
    • 8. Januar 2016 um 13:42
    • #1

    Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 38.5.1
    * Betriebssystem + Version: Linux, Windows
    (Rest irrelevant)

    Hallo zusammen,

    da ich hier nichts kommentieren darf:

    Angeblich ist TB 38.5.1 nur eine neu signierte Ausgabe von 38.5:

    Hier ist von "Windows-Builds" die Rede, was ist mit Linux & Co - da gibt es ja auch Version 38.5.1?
    Und wieso sehe ich hier immer noch "sha1"?

    Grüße, muzel

  • graba
    Globaler Moderator
    Reaktionen
    580
    Beiträge
    21.541
    Mitglied seit
    17. Mai. 2006
    Hilfreiche Antworten
    9
    • 8. Januar 2016 um 14:24
    • #2

    Hallo muzel,

    Zitat von muzel

    Und wieso sehe ich hier immer noch "sha1"?

    vielleicht ist dies analog zu diesen Informationen zu sehen: Mozilla veröffentlicht Firefox 43.0.4

    Gruß
    graba :ziehtdenhut:

    Keine Forenhilfe per Konversation!
    Für Thunderbird-Entwicklung spenden

  • muzel
    Gast
    • 8. Januar 2016 um 15:19
    • #3

    Hallo graba,

    Zitat von graba

    vielleicht ist dies analog zu diesen Informationen zu sehen: Mozilla veröffentlicht Firefox 43.0.4

    scheint mir ne ganz andere Baustelle zu sein. Es geht nicht darum ob FF (oder TB) SHA1-Zertifikate, z.B. von https-Webseiten akzeptieren, was ja schon etwas anachronistisch ist, sondern darum, daß das Programm selbst (TB oder FF) digital signiert, also vertrauenswürdig ist. Da wurde nun vernünftigerweise endlich auf SHA256 gewechselt - oder eben doch nicht? Oder versteh ich was falsch?

    Grüße, muzel

  • Peter_Lehmann
    Senior-Mitglied
    Reaktionen
    1
    Beiträge
    13.506
    Mitglied seit
    5. Jun. 2005
    • 8. Januar 2016 um 17:27
    • #4

    Hi muzel,

    Quellcode einer von mir selbst an mich gesendeten Mail:

    Code
    User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:38.0) Gecko/20100101 Thunderbird/38.5.1MIME-Version: 1.0Content-Type: multipart/signed; protocol="application/pkcs7-signature"; micalg=sha-512; boundary="------------ms080403090409090508050206"


    Dass ich grundsätzlich meine Mails mit S/MIME verschlüssele (also kein GnuPG) ist ja bekannt.
    Es scheint also so zu sein, dass der TB jetzt auch sha-256 verwendet.

    Nur mal ganz ehrlich:
    JA, sha-1 gilt als gebrochen. Gebrochen heißt in der Kryptologie, dass es mit riesigem Aufwand möglich ist, Kollissionen (also eine zweite Datei mit gleichem Hashwert) zu erzeugen. Nur diese Datei besteht aus sinnlosem binären Müll. Sinn macht eine Kollission aber erst dann, wenn ein Angreifer einen zumindest lesbaren Text mit ein ganz wenig "Sinn" erzeugen kann, welchem der Angreifer dem Empfänger dann unterschiebt - und den der Empfänger auch als "richtig" anerkennt.
    Und genau davon sind alle, Wissenschaftler wie Angreifer, noch Jahre entfernt.

    JA, es ist trotzdem richtig, konsequent veraltete Algorithmen auszumerzen. Ohne Frage.

    Aber ich hätte es als viel wichtiger empfunden, wenn der oder die noch verbliebenen (und genau dazu auch fähigen!) Entwickler in der S/MIME-Komponente endlich den total veralteten (aber immer noch niemals kryptologisch gebrochenen!) symmetrischen 3DES-Algorithmus gegen den zeitgemäßen AES ausgetauscht hätten.
    Der TB kann schon lange mit AES verschlüsselte Mails lesen. Aber er ist von allen "nennenswerten" MUA der mittlerweile einzige, der nicht initial mit AES verschlüsselt. Er nimmt, warum auch immer, immer noch 3DES.
    Selbst die Mail-App auf meinem Schlauf-Fernsprechapparat (CyberMail) verschlüsselt initial mit AES, kann aber wenigstens immer noch mit 3DES verschlüsselte Mails (eben die vom hinterherhinkenden Thunderbird) entschlüsseln.

    Zufall? Absicht? Desinteresse?
    Wer weiß ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • muzel
    Gast
    • 8. Januar 2016 um 18:50
    • #5

    Hallo Peter,

    leider reden auch wir aneinander vorbei. Ich rede von code signing (obwohl genau genommen die Binaries signiert werden), um mal grob die Richtung zu klären. Ich dachte, die Bildchen im 1. Beitrag wären aussagekräftig genug ;-).
    Und ich habe auch schon eine Vermutung, was hier gerade passiert ist. Am (derzeitigen) Ende des Bugs https://bugzilla.mozilla.org/show_bug.cgi?id=1079858 (TL;DR) steht:

    Zitat von Masatoshi Kimura [:emk] 2015-12-23 15:47:41 PST

    (In reply to Ben Hearsum (:bhearsum) from comment #196)
    > Versions of Windows that don't support multiple signatures only see the
    > first one, so had we signed with a SHA-1 cert, then SHA-2, these older
    > versions of Vista and 7 may have been unable to find a valid signature.
    Those versions will not be affected by the SHA-1 deprecation because they are (by definition) unpatched.

    Die haben da also was mit zwei Signaturen gefrickelt, um vorwärts- und rückwärtskompatibel zu sein, und Win <= Win7 sieht nur eine davon, sha1. XP ist ganz "außen vor", was ich gar nicht schlecht finde.
    Grüße, muzel

  • Peter_Lehmann
    Senior-Mitglied
    Reaktionen
    1
    Beiträge
    13.506
    Mitglied seit
    5. Jun. 2005
    • 8. Januar 2016 um 19:07
    • #6

    Stimmt, aneinander vorbeigeredet. Sorry.

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Community-Bot 3. September 2024 um 20:20

    Hat das Thema geschlossen.

Aktuelle Programmversion

  • Thunderbird 140.0 veröffentlicht

    Thunder 3. Juli 2025 um 01:02

Aktuelle 128 ESR-Version

  • Thunderbird 128.12.0 ESR veröffentlicht

    Thunder 1. Juli 2025 um 22:16

Keine Werbung

Hier wird auf Werbeanzeigen verzichtet. Vielleicht geben Sie dem Website-Betreiber (Alexander Ihrig - aka "Thunder") stattdessen etwas aus, um diese Seiten auf Dauer finanzieren zu können. Vielen Dank!

Vielen Dank für die Unterstützung!

Kaffee ausgeben für:

Per Paypal unterstützen*

*Weiterleitung zu PayPal.Me

Thunderbird Mail DE
  1. Impressum & Kontakt
  2. Datenschutzerklärung
    1. Einsatz von Cookies
  3. Nutzungsbedingungen
  4. Spendenaufruf für Thunderbird
Hilfe zu dieser Webseite
  • Übersicht der Hilfe zur Webseite
  • Die Suchfunktion benutzen
  • Foren-Benutzerkonto - Erstellen (Neu registrieren)
  • Foren-Thema erstellen und bearbeiten
  • Passwort vergessen - neues Passwort festlegen
Copyright © 2003-2025 Thunderbird Mail DE

Sie befinden sich NICHT auf einer offiziellen Seite der Mozilla Foundation. Mozilla®, mozilla.org®, Firefox®, Thunderbird™, Bugzilla™, Sunbird®, XUL™ und das Thunderbird-Logo sind (neben anderen) eingetragene Markenzeichen der Mozilla Foundation.

Community-Software: WoltLab Suite™