[gelöst] PGP-Schlüssel in Enigmail importieren versagt

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version:38.6
    * Betriebssystem + Version: Win 10
    * Kontenart (POP / IMAP): IMAP
    * Postfach-Anbieter (z.B. GMX):-
    * Eingesetzte Antiviren-Software:-
    * Firewall (Betriebssystem-intern/Externe Software):-
    * Router-Modellbezeichnung (bei Sende-Problemen):-



    Hallo,


    also wie der Betreff schon sagt gibt es da Probleme:


    Wenn ich nur den öffentlichen Schlüssel ex/importiere in enigmail, dann wird gemeckert, dass der geheime Schlüssel fehlt.


    Wenn ich dann aus PGP beide Schlüssel exportiere und über die Schlüsselverwaltung in Enigmail importieren will, passiert gar nichts!


    Also, was will das Add-on Enigmail in Thunderbird ...


    Ich will auf jeden Fall keine neuen Schlüssel generieren müssen!


    Für Lösungen bin ich immer offen.


    Gruß,
    Skywriter

  • Hallo,

    Also, was will das Add-on Enigmail in Thunderbird ...

    Ich habe keine Ahnung, was es will. Ich kann Dir aber sagen, was es benötigt: Für Deine E-Mailadresse ein Schlüsselpaar! Das sind zwei zusammengehörenden Schlüssel, typischerweise in einer Datei der Art E-Mailadresse(ID)pub-sec.asc.
    Von den Mailpartnern jeweils nur den öffentlichen Schlüssel.


    Gruß


    Susanne

  • Guten Tag, Susanne,


    ... auch mit dem TB-typischen Dateinamen funktioniert es nicht ...


    Wie gesagt, den pub-Schlüssel kann ich ohne Probleme - wenn der sec-Schlüssel nicht in der Datei vorhanden ist - importieren!


    Aber ich kann den Text umständlich in die Zwischenablage kopieren und von PGP-Freeware entschlüsseln lassen ...


    In diesem Sinne,
    Skywriter

  • Moin,


    es mag schon 10 Jahre her sein, daß ich mich mit PGP befaßt habe, und schon damals war der Umstieg auf GnuPG zwar möglich, aber nicht ganz unkompliziert. Ein Trick dabei war, vor dem Export die Passphrase zu entfernen, weil GnuPG diese anders als PGP speichert. Natürlich ist dabei Vorsicht geboten. Ein geheimer Schlüssel sollte auch mit Passphrase sicher aufbewahrt werden, ohne diese sollte er (die exportierte Datei) so schnell wie möglich wieder sicher gelöscht werden, sobald er importiert und wieder mit Passphrase versehen wurde.
    Ich fürchte aber, das war noch nicht alles, und es war noch irgendeine Formatumwandlung nötig. Meine bevorzugte Suchmaschine findet auf die Schnelle nichts dazu... Daß die Schlüssel im ASCII-Format (nicht binär) ex- und importiert werden, versteht sich ja?


    Zitat

    PGP-Freeware...

    ...gibt es doch nicht mehr - wie alt ist die?



    Gruß, muzel

  • Mei muzel,


    da bringst Du einen wichtigen Punkt ans Licht. Dass es sich tatsächlich um PGP-Schlüssel handelt, also dass PGP hier nicht als Synonym für OpenPGP/GnuPG benutzt wurde, hatte ich gar nicht bedacht.


    Meines Wissens sind beide kompatibel, zumindest ab dem Zeitpunkt, als OpenPGP standardisiert wurde. Wenn die Schlüssel allerdings sehr alt sind, wer weiß ... .


    @Skywriter,

    auch mit dem TB-typischen Dateinamen funktioniert es nicht

    Nun, dass ein einfaches Umbenennen nicht hilft, wenn die Datei nicht beide Schlüssel enthält, sollte klar sein.


    Sind die Schlüssel in PGP stets in zwei verschiedenen Dateien gespeichert? Falls ja, könntest versuchen, parallel zu GPG PGP GnuPG zu installieren. Dort hinein importierst Du (zur Not über die Kommandozeile) beide Schlüssel und exportierst sie dann in eine Datei. Diese sollte Einigmail dann "schlucken" können.


    Gruß


    Susanne

    Einmal editiert, zuletzt von SusiTux ()

  • Hallo Susanne,


    jetzt verwirrst du mich aber.
    Bis jetzt dachte ich, GPG und GnuPG wäre das gleiche, also konkret die gpg.exe (unter Windows), die von Enigmail benutzt wird ;) 
    Du meintest PGP? G(nu)PG sollte ja schon installiert sein, wenn Enigmail läuft. Die Kommandozeile könnte allerdings tatsächlich hilfreich sein, wo Enigmail stumm den Dienst versagt.
    Wie gesagt, ich glaube mich zu erinnern, daß mindestens einer der Knackpunkte beim Ex-/Import die unterschiedliche Speicherung der Passphrase des privaten Schlüssels in PGP/GnuPG war, und das war schon vor 10 (oder 15?) Jahren, mit gpg Version 0.9* und PGP 5.6 (oder so..).
    [EDIT]Ich editiere mal hier, weil es den TE vermutlich nicht interessiert, aber ich habe $DAMALS wirklich Mühe gehabt, den Umstieg von PGP auf GnuPG hinzukriegen. Da gab es IDEA, den "unfreien Standard" - inzwischen Patent wohl abgelaufen, und andere Hindernisse.
    Offenbar gibt es ja noch Leute, die >10 Jahre alte nicht mehr supportete Software für sicherheitsrelevante Dinge benutzen. Hmm. Das "Konvertierungsproblem" werde ich mir trotzdem mal ansehen, vielleicht in einer XP-VM und dieser prähistorischen Software..[/EDIT]


    Gruß, muzel

    3 Mal editiert, zuletzt von muzel () aus folgendem Grund: Ergänzung.

  • Hallo muzel,

    jetzt verwirrst du mich aber.

    Und Du mich. Schließlich kam der wichtige Hinweis ja von Dir. :-)


    Zur Begriffsklärung, wie ich sie meinte:


    PGP: Das ursprüngliche, inzwischen zu Symantec gehörende, kommerzielle Pretty Goog Privacy von Phil Zimmermann.
    OpenPGP: Damit meinte ich den offenen Standard an sich.
    GnuPG oder GPG: Damit meine ich das freie Krypto-Systsem gemäß des OpenPGP-Standards.


    Ha, jetzt sehe ich es. Bei den vielen P und G habe an einer Stelle oben tatsächlich GPG statt PGP geschrieben:

    könntest versuchen, parallel zu GPG GnuPG zu installieren

    Das korrigiere ich gleich.


    Gruß


    Susanne

  • Susanne schrieb:

    Nun, dass ein einfaches Umbenennen nicht hilft, wenn die Datei nicht beide Schlüssel enthält, sollte klar sein.


    Puh! Was muss ich für ein dummer User sein?!


    Aber ich bin der Lösung auf der Spur! Jedoch noch nicht verifiziert ...


    Aber dass so Wenige E-Mail-Verschlüsselung anwenden, ist auch kein Wunder! Die NSA wird es freuen!


    In diesem Sinne,
    Skywriter

  • Nach dem guten Hinweis von muzel, ist die Ursache doch vermutlich klar? Das GPG4Win-Compendium sagt dazu:

    Zitat


    Es kann in einigen Fällen vorkommen, dass Sie ein mit PGP („PrettyGood Privacy“) exportiertes Zertifikat nicht importieren können: [...] Der Grund ist, dass bestimmte Versionen von PGP intern einen Algorithmus (IDEA) verwenden, den GnuPG aus rechtlichen Gründen nicht unterstützen kann.

    Quelle: https://www.gpg4win.org/doc/de/gpg4win-compendium_25.html

  • Nun ja, es ist, wie ich vermutet hatte, Enigmail weigert sich stumm, aber die Kommandozeile gibt Auskunft:



    Den hatte ich vorher unter Wine mit PGP 6.5.8 generiert, Schlüssellänge leider nur 2048, eben der Stand von vor 10..15 Jahren.
    Als Algorithmus RSA gewählt, Diffie-Hellman probier ich jetzt nicht noch aus.
    Aber nun ist es da, das Schlüsselpaar, auch in Enigmail, und der Rest sollte zu schaffen sein, den Schlüssel signieren etc...


    HTH, muzel

  • BTW aligator: Ich bin mit Symantec Encryption (vormals PGP) v10.3.1 unterwegs ... als eingeschränkte Version kostenlos. Das Feature 'Shredder' ist unter Sicherheitsaspekten nicht zu vernachlässigen!


    Natürlich ist die GPG-(vanilla)-Version für TB installiert.


    Da der Weg von Symantec Encryption zu Enigmail nicht die Erleuchtung brachte, habe ich es andersherum probiert, also einen neuen Schlüssel in Enigmail erstellt und diesen in Symantec Encryption (vormals PGP) importiert.



    Der Stolperstein war wohl der Schlüsseltyp.



    Jetzt funktioniert das Lesen verschlüsselter Mails sowohl in Symantec als auch im TB.


    Vielen Dank für deine Mühe.


    In diesem Sinne,
    Gruß,
    Skywriter

  • Schade, daß du nicht konkreter wirst. Mich hätte schon genauer interessiert, was das nun heißt


    Skywriter schrieb:

    Der Stolperstein war wohl der Schlüsseltyp.

    RSA? DH? Oder ging es um den IDEA-Algorithmus?
    Hast du mal versucht, den "alten" Schlüssel per Kommandozeile zu importieren?


    Skywriter schrieb:

    Ich bin mit Symantec Encryption (vormals PGP) v10.3.1 unterwegs

    Auch so eine nebensächliche Information, die ganz an den Anfang gehört hätte, genau wie die (immer noch unkonkrete) Aussage


    Skywriter schrieb:

    Natürlich ist die GPG-(vanilla)-Version für TB installiert.

    Eine gpg-Versionsnummer sieht z.B. so aus: 2.0.27.


    Grüß, muzel