Folgen (bei alten PGP-Keys) des zwingenden MDC Integritätsschutz seit Enigmal 2.0.5

  • Hallo zusammen,

    wie erstellt man den Schlüssel im MDC oder in einem anderen Format?

    Ich habe meine Schlüssel immer mit Enigmail erstellt und ich kann Mails entschlüsseln die 4 Jahre alt sind.


    Gruß
    EDV-Oldi

  • Ich habe meine Schlüssel immer mit Enigmail erstellt und ich kann Mails entschlüsseln die 4 Jahre alt sind.

    Das sollte auch der Normalfall sein. Siehe Beitrag #11.


    wie erstellt man den Schlüssel im MDC oder in einem anderen Format?

    Man kann das nicht direkt in Enigmail einstellen. Das passiert sozusagen ganz automatisch.


    Es handelt sich um eine hybride Verschlüsselung. Der symmetrische Schlüssel (session key) wird jeweils einmalig für die jeweilige E-Mail erstellt und dann mit Hilfe des RSA-Schlüsselpaars asymmetrisch verschlüsselt an den Empfänger gesendet.

    Welches Verfahren (cipher) verwendet wird, das wird anhand der in GnuPG eingestellten Präferenzen entschieden. Diese sehen seit vielen Jahren MDC-Verfahren (AES) vor.


    Wenn man selbst oder der Mailpartner nichts an diesen Präferenzen geändert hat, oder die Schlüssel nicht noch viel älter sind, dann sollte man überhaupt nicht von dem Problem betroffen sein. So ist zumindest mein Kenntnisstand dazu.

  • Enigmail 2.0.6 wurde auf AMO veröffentlicht. Im Changelog steht unter Anderem:

    Quote

    Furthermore, this version allows to re-encrypt messages without MDC protection.


    Zugehöriger Checkin im Code:

    https://sourceforge.net/p/enig…8057b4e50ccb4e061c3d2ebf/

    Hallo,

    Update im Add-on-Manager müsste bereits möglich sein, denke ich.

    habe es installiert, kann aber keine Veränderung gegenüber enigmail 2.0.5 bezüglich meiner alten e-Mails festellen.

    Wie entschlüssele ich diese nun mit enigmail 2.0.6?


    Gruß

    Ch. Hanisch

  • Wie entschlüssele ich diese nun mit enigmail 2.0.6?

    Ich habe eine Weile gesucht und die Antwort nun gefunden:

    Quote

    In addition, this version allows to re-encrypt messages without MDC protection using the message filter action "Encrypt to Key".

    Quote

    In addition, this version allows to re-encrypt messages without MDC protection using the message filter action "Encrypt to Key".

    Sorry, wo finde ich dieses "Encrypt to key"?

    Bzw. wo die "message filter action"?


    Gruß

    Ch. Hanisch

    Hallo,

    Du musst einen Filter in Thunderbird erstellen, denke ich. Allerdings finde ich zwar momentan die Bedingung "OpenPGP-verschlüsselt", aber eben nicht die notwendige Filter-Aktion.


    Muss ich mir später mal in Ruhe anschauen.

    Wo findest Du die "Bedingung "OpenPGP-verschlüsselt""


    Gruß

    Ch. Hanisch

  • So sieht das jetzt bei mir (Thunderbird 60 Beta 6) im Filter-Dialog des Thunderbird aus, wenn ich einen neuen Filter anlegen will:




    Dort könntest Du für die alten Mails als Aktion "Verschlüsseln (Enigmail)" wählen und an Dich selbst verschlüsseln, denke ich.

    So sieht das jetzt bei mir (Thunderbird 60 Beta 6) im Filter-Dialog des Thunderbird aus, wenn ich einen neuen Filter anlegen will:




    Dort könntest Du für die alten Mails als Aktion "Verschlüsseln (Enigmail)" wählen und an Dich selbst verschlüsseln, denke ich.

    Ich habe Thunderbird 52.8.0 und mit Deinem Filter tut sich nichts. Da kann ich nichts an mich selbst verschlüsseln.

    Was haben sich die enigmail-Entwickler da wieder ausgedacht?


    Gruß

    Ch. Hanisch

  • Was haben sich die enigmail-Entwickler da wieder ausgedacht?

    Statt so schnell zu meckern (sorry) solltest Du vielleicht erstmal länger ausprobieren und differenzierter Rückmeldung geben was denn nicht funktioniert. Mache Dir Gedanken, warum der Filter vielleicht versagt. Vielleicht habe ich auch schlichtweg noch gar nicht die korrekte Option gefunden und Dir gezeigt.


    Ist Dir bewusst, dass ich hier wesentlich mehr Zeit verbringe, um Infos für Dich zu finden als Du selbst dann mit dem ausprobieren verbringst? Es wäre schön, wenn man nicht ständig so schnell mosern würde.

    Hallo,

    Ist Dir bewusst, dass ich hier wesentlich mehr Zeit verbringe, um Infos für Dich zu finden als Du selbst dann mit dem ausprobieren verbringst? Es wäre schön, wenn man nicht ständig so schnell mosern würde.

    Sorry, ich bin Dir sehr dankbar für Deine Hilfe.

    Aber was soll ich denn noch ausprobieren?

    Meine alten e-Mails ohne MDC werden einfach nicht mehr entschlüsselt.

    Und was das für ein Fix in enigmail 2.0.6 sein soll, weiß ich auch nicht.

    Die Idee mit dem Filter stammt wohl von Dir? Ich kenne mich mit Filtern nicht so gut aus, zumal ich den Filter ja auf eine bereirs verschlüsselte e-Mail anwenden will.


    Ich meine, hier muß jemand ran, der das gleiche Problem wie ich mit alten ohne MDC verschlüsselten e-Mails hat.

    Vielleicht hat da jemand schon mit enigmail 2.0.6 Erfahrtungen diesbezüglich.


    Gruß

    Ch. Hanisch

    Edited once, last by Hanisch ().

  • Muss ich mir später mal in Ruhe anschauen.

    Das habe ich gerade gemacht. Es funktioniert.


    Mit Filter 1 die verschlüsselten E-Mails entschlüsselt speichern. Diese dann mit Filter 2 und einem geeigneten Schlüssel erneut verschlüsseln. Zur Auswahl des Schlüssels genügt die Eingabe der E-Mailadresse. Man muss nicht die ID nachschlagen.


    Einschränkung: Da ich keine Nicht-MDC-Mails habe, konnte ich es nur mit AES-verschlüsselten Mails testen. Den Aufwand, mir selbst CAST5-Mails zu erzeugen, möchte ich an dieser Stelle nicht betreiben. Hier vertraue ich darauf, dass das Team bei Enigmail den Test gemacht hat.


    Letztendlich ist das nichts anderes als die von uns bereits vor fast einer Woche in den Beträgen #15 und #17 vorgeschlagenen Lösung, die Mails zu ent- und dann erneut mit einem tauglichen Schlüssel zu verschlüsseln.

    Mit Filter 1 die verschlüsselten E-Mails entschlüsselt speichern. Diese dann mit Filter 2 und einem geeigneten Schlüssel erneut verschlüsseln. Zur Auswahl des Schlüssels genügt die Eingabe der E-Mailadresse. Man muss nicht die ID nachschlagen.


    Letztendlich ist das nichts anderes als die von uns bereits vor fast einer Woche in den Beträgen #15 und #17 vorgeschlagenen Lösung, die Mails zu ent- und dann erneut mit einem tauglichen Schlüssel zu verschlüsseln.

    Was sind denn das für Filter?

    Bitte teile mir Deine zwei Filter mit.

    Wie kann ich mit Filter 1 die verschlüsselten E-Mails entschlüsselt speichern? Die lassen sich doch gar nicht entschlüsseln.


    Mir ist da alles zu kompliziert, werde wohl wider auf enigmail 1.9.9 zrückgehen.


    Gruß

    Ch. Hanisch

  • Wie kann ich mit Filter 1 die verschlüsselten E-Mails entschlüsselt speichern? Die lassen sich doch gar nicht entschlüsseln.

    Das ist eine berechtigte Frage, die genau Du ausprobieren müsstest, da hier nur Du die relevanten Nicht-MDC-E-Mails hast. Vielleicht hat man da halt eine entsprechende Lösung mit den Code-Änderungen eingebaut.


    1. Filter:

    Bedingung: OpenPGP-verschlüsselt > ist

    Aktion: Entschlüsselte Kopie anlegen > ...in einem neuen Ordner Deiner Wahl...


    In dem Ordner sollten dann nur die gerade entschlüsselten Mails liegen, wenn der 1. Filter durchgelaufen ist.


    2. Filter:

    Bedingung: Keine Bedingung

    Aktion: Verschlüsseln (Enigmail) > ...E-Mail-Adresse mit neuem MDC-fähigem Key von Dir...


    Lass die Filter einzeln manuell nacheinander laufen, denke ich.

    Hallo,

    Also es funktioniert mit dem 1. Filter. Aber nicht "...in einem neuen Ordner Deiner Wahl...", sondern es wird die betreffende e-Mail direkt unter der Zeile mit der MDC-Mail z.B. im "Posteingang" angezeigt - und zwar entschlüsselt.


    Das geschieht beim manuellen Aufruf des Filters mit allen verschlüsselten e-Mails, z.B im Posteingang oder einem anderen Ordner, wohin die e-Mail(s) kopiert/verschoben wurde(n).

    Auch mit denen, die nicht von MDC betroffen sind. Das ist natürlich völlig unnötig und lästig.

    Man kann dann alle ersten verschlüsselten e-Mails mit gleichem Betreff aus dem Ordner (Posteingang) löschen. Und hat dann nur noch Kopien als entschlüsselte e-Mails dort (evtl. sogar mehrfach).


    Der 2. Filter hat keinerlei Wirkung bezüglich Verschlüsseln. Es wird nach keinem PGP-Schlüssel gefragt.

    Im Filterprotokoll wird aber ausgewiesen, daß alle sich im betreffenden Ordner befindlichen e-Mails (verschlüsselte und unverschlüsselte) verschlüsselt worden sind. Es kommt aber gottlob nichts an.


    Wenn ich nun verschlüsselte e-Mails aus dem "Posteingang" nach z.B. "Entwürfe" kopiere und dort dann den Filter 1 anwende, funktioniert es nun dort auch sowohl bei IMAP als auch bei POP3 und Lokale.


    Allerdings werden pauschal von allen dort befindlichen verschlüsselten e-Mails (mit und ohne MDC) entschlüsselte Kopien erzeugt.

    Es wäre aber besser, wenn nur von einer markierten verschlüsselten e-Mail eine entschlüsselte Kopie erzeugt werden würde.


    Wenn man den Filter 1 mehrmals aufruft, werden immer wieder die entschlüsselten Kopien der e-Mails angelegt. Das sollte aber eigentlich nicht sein, denn damit läuft der Ordner mit "Müll" voll.


    Gruß

    Ch. Hanisch

  • Der 2. Filter hat keinerlei Wirkung und ist wohl überflüssig.

    Mit dem ersten Filter hast halt alles entschlüsselt. Damit liegen die Mails dann dauerhaft entschlüsselt auf Deinem PC und dann ja (im Fall von IMAP-Konten) auch auf dem IMAP-Server, den Du nicht unter Kontrolle hast. Wenn Du das dort so dauerhaft "liegen" lässt, ohne es neu zu verschlüsseln, dann ist dies zwar bequem, aber die Vertraulichkeit der Daten ist damit total im Eimer. Im Grunde bräuchte man auch gar nicht mehr verschlüsselt an Dich zu senden bzw. könnte sich mit der "normalen" SSL-verschlüsselten Übertragung begnügen.


    Ich würde somit das Wort "überflüssig" so nicht stehen lassen wollen - auch wenn irgendwas bei den Versuchen im Moment noch nicht funktioniert.