Missing passphrase Meldung

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version: 60.0 64 Bit
    • Betriebssystem + Version: 16.04.1-Lubuntu
    • Kontenart (POP / IMAP): IMAP
    • Postfachanbieter (z.B. GMX): GMX
    • PGP-Software / PGP-Version: 2.0.8 Enigmail
    • Eingesetzte Antivirensoftware: none
    • Firewall (Betriebssystem-intern/Externe Software): none


    Hallo,


    aus welchen Grud auch immer waren meine Berechtigungen des Ordners *.gnupg falsch gesetzt - das hab ich mithilfe der angezeigten Fehlermeldung und Hinweise auf div. Foren im Inet behoben. Allerdings zeigt mir Thunderbird nun bei jeder verschlüsselten E-Mail die ich entschlüsseln möchte an, dass die passphrase fehlt. Normalerweise sollte eigentlich das Fenster aufpoppen indem ich diese eingeben kann, wie sonst auch, aber sie kommt nicht. Leider hab ich hierzu bisher keine Lösung online gefunden.


    Konsolenmeldungen

    Einmal editiert, zuletzt von mclaren ()

  • Log 1/3

  • Log 2/3

  • Log 3/3

  • Aus den Logs:

    2018-09-29 10:38:10 gpg[89] public key decryption failed: Operation cancelled
    2018-09-29 10:38:10 gpg[89] decryption failed: No secret key

    Demnach kann GnuPG deinen geheimen Schlüssel nicht finden. Somit kann auch die Passphrase nicht abgefragt werden. Der Grund, aus dem der Schlüssel nicht gefunden werden kann, geht daraus nicht hervor. Ich würde einen Zusammenhang damit

    aus welchen Grud auch immer waren meine Berechtigungen des Ordners *.gnupg falsch gesetzt -

    sowie deinen nicht näher beschriebenen Maßnahmen zur Korrektur vermuten.


    Der Ordner ".gnugp" befindet sich üblicherweise im Homeverzeichnis. Der Benutzer hat darauf vollen Zugriff. Es muss in deinem Fall also einen Eingriff deinerseits gegeben haben, durch den die Rechte verändert wurden.


    Wenn du dich nicht erinnern kannst, welche Änderungen du vorgenommen hast, würde ich im ersten Schritt versuchen, sämtliche Schlüssel neu zu importieren.

    Gelingt das nicht, kannst du den Ordner ".gnupg" umbenennen und das System danach neu starten. Spätestens beim ersten Aufruf von gpg2 sollte der Ordner neu angelegt werden. Vermutlich wird er das bereits nach dem Neustart durch den Agenten. Danach sollten sich die Schlüssel importieren lassen.

  • Hallo,


    danke für deine Rückmeldung1

    Ich habe über die graphische im thunderbird über Enigmail alle public Keys exportiert


    - beim Versuch auch die privat zu exportieren kam die Meldung es gäbe keine. Ich hab dann über die Konsole mit

    Code
    1. gpg2 --list-secret-keys

    alle meine privaten Keys angezeigt bekommen und dann über die Konsole einzeln exportiert mit


    Code
    1. gpg2 -a --output gpg-secret-key.asc --export-secret-keys <optional Schlüssel-ID oder Name>


    Dann hab ich den Ordner *.gnupg umbenannt und Thunderbird neu gestartet. Der Ordner wurde wieder angelegt und ich hab dann über das Enigmail Addon im Thunderbird mittels Key Manager die public und private Keys importiert ... Jedesmal wurde mir angezeigt, dass erfolgreich importiert wurde.

    nun schreibt mir Thunderbird beim Versuch die bereits verschlüsselten Nachrichten zu entschlüsseln, dass der passende Key nicht vorhanden ist.


    Code
    1. Enigmail Security Info
    2. Error - no matching secret key found to decrypt message
    3. Note: The message is encrypted for the following User ID's / Keys:
    4. 0x71B658A920DEXXXX (name <abc@cde.at>)


    Sollte im Ordner "private-keys-v1.d" unter .gnupg etwas drin sein? Gibt es noch weitere Tipps?


  • Ich habe über die graphische im thunderbird über Enigmail alle public Keys exportiert

    Die öffentlichen Schlüssel waren nicht das Problem.


    beim Versuch auch die privat zu exportieren kam die Meldung es gäbe keine.

    Wie oben erwähnt, passt das zu der Fehlermeldung in den Logs. Der benötigte private Schlüssel wird nicht gefunden.


    Der Ordner wurde wieder angelegt und ich hab dann über das Enigmail Addon im Thunderbird mittels Key Manager die public und private Keys importiert ... Jedesmal wurde mir angezeigt, dass erfolgreich importiert wurde.

    Du solltest die privaten Schlüssel aus einer intakten Datensicherung importieren nicht aus einem Import. Wenn du aus einer nicht intakten Umgebung exportierst, kann es sein, dass du einen vorhandenen Fehler ebenfalls mit exportierst.

    Befand sich unter diesen Schlüsseln auch der mit der ID 0x71B658A920DEXXXX?

    Was passiert, wenn du den Import nicht über Enigmail durchführst sondern direkt über die Konsole und zwar aus einer Sicherung, nicht aus dem Export?


    Sollte im Ordner "private-keys-v1.d" unter .gnupg etwas drin sein?

    Ja, dort sollten Schlüsseldateien liegen, zu erkennen an der Endung .key. Wenn in deinem Fall dort nichts ist, dann kann es nicht funktionieren.

    Gibt es noch weitere Tipps?

    Mir ist dazu noch etwas aufgefallen. Du hast oben 16.04.1-Lubuntu angegeben. Gemäß der Zählweise von Ubuntu ist die Version .1 veraltet. Es scheint, als hättest seit fast zwei Jahren kein Update gefahren.

    Es kann sein, dass diese Version noch mit GnuPG 1.4.x kam. Hier bin ich mir nicht sicher. Bei der 14.04. LTS war es noch so.

    Falls das bei dir der Fall sein sollte, dann existieren bei dir zwei Versionen, gpg und gpg2. Oben hast du gpg2 benutzt. Das deutet darauf hin, dass du beide Versionen hast. Das Speicherformat der Schlüssel hat sich mit Version 2.x geändert. Das könnte Teil des Problems sein.


    Dreh- und Angelpunkt bleibt der Umstand, dass du an deinem System uns (und möglicherweise auch dir) nicht (mehr) bekannte Veränderungen vorgenommen hast. Bereits das Rechteproblem, welches du oben erwähnt hast, hätte es ohne ein Einwirkungen deinerseits nicht gegen dürfen.

    Ohne Einblick auf das System ist es sehr schwer zu sagen, was dort alles nicht passt.

  • Ich hab ursprünglich die info mit uname -a entnommen und nun festgestellt dass das wohl nicht die ideale ist um die aktuelle Version zu erfahren. Ic h habe


    cat /etc/lsb-release

    DISTRIB_ID=Ubuntu

    DISTRIB_RELEASE=16.04

    DISTRIB_CODENAME=xenial

    DISTRIB_DESCRIPTION="Ubuntu 16.04.5 LTS"


    Wobei es eigentlich ein Lubuntu ist, das geht hier auch nicht hervor ...


    Scheinbar hab ich tatsächlich zwei pgp Versionen?!


    user@rechner:~$ which gpg2

    /usr/bin/gpg2

    user@rechner:~$ which gpg

    /usr/bin/gpg


    Ich hab den Rechner vor etwa 4 Wochen aufgesetzt und damals den Ordner *.gnupg vom Backup übernommen. Da gab es auch keine Probleme. Ich hatte davor ein aktuelles 16.04.* System und jetzt auch. Warum es plötzlich zu dem Fehler/ Änderungen der Berechtigungen bei dem Ordner kam, ist mir bisher absolut nicht verständlich.

    Einen neuen Test bzgl. den Schlüssel mach ich heute am Abend, danke für deine Inputs!

  • Ich hab den Rechner vor etwa 4 Wochen aufgesetzt und damals den Ordner *.gnupg vom Backup übernommen.

    Wenn du den Ordner inklusive der Rechte kopiert hast, könnte das erklären, weshalb du keine Schreibrechte mehr hattest. Du warst nicht mehr der Eigentümer.

    Scheinbar hab ich tatsächlich zwei pgp Versionen?!

    Ja, der Verdacht hat sich bestätigt. Ich weiß die Details nicht mehr aus dem Kopf. Die Struktur, in der Schlüssel gespeichert werden, hat sich jedoch meines Wissens mit einer der 2.x-Versionen geändert.

    Du könntest dich entweder dazu einlesen, hier auf weitere Hinweise von anderen warten oder gleich tabula rasa machen und GnuPG inklusive Enigmail neu einrichten.

  • Wenn du den Ordner inklusive der Rechte kopiert hast, könnte das erklären, weshalb du keine Schreibrechte mehr hattest. Du warst nicht mehr der Eigentümer.

    Ich hab nachdem neu aufsetzen den *.gnupg Ordner umbenannt und die vorherige Kopie des Ordner *gnupg von der externen auf den Laptop kopiert und ich konnte die Verschlüsselung auch ohne Probleme nutzen. Das Problem das es nicht mehr funktioniert kam plötzlich letzte Woche auf. (Problem mit Berechtigung)


    Zitat

    Ja, der Verdacht hat sich bestätigt. Ich weiß die Details nicht mehr aus dem Kopf. Die Struktur, in der Schlüssel gespeichert werden, hat sich jedoch meines Wissens mit einer der 2.x-Versionen geändert.

    Du könntest dich entweder dazu einlesen, hier auf weitere Hinweise von anderen warten oder gleich tabula rasa machen und GnuPG inklusive Enigmail neu einrichten.

    Auf Basis dieser Information bin ich nun auf etwas gestoßen.

    Unter https://wiki.ubuntuusers.de/Thunderbird/Enigmail/ wird erläutert, dass es zu dem Problemen kommen kann, wenn


    Enigmail mittels des Thunderbird Add-ons-Manager installiert wurde, denn dann fehlen die Abhängigkeiten und es kommt zu Fehlern wie: "Privater Schlüssel kann nicht gefunden werden."

    Zitat
    Zitat
    Ich hab daraufhin dass Addon im Thunderbird gelöscht und nun über sudo apt-get install enigmail gnupg-doc installiert.


    Allerdings steh ich nun an wie ich weiter vorgehen soll. Hast du noch einen Tipp diesbzgl?


    Hier wird erläutert, dass es ansich kein Problem ist wenn gpg und gpg2 glz. installiert ist, sondern wird sogar empfohlen. Aber auch hier hatte jemand das Problem, dass die privatkeys dann nicht in gpg2 übernommen wurden, wie bei mir nun scheinbar.

    Ich hab den Fehler gemacht und die Keys nie extra extrahiert, sondern immer nur den ganzen Ordner kopiert :/


    Hier steht https://superuser.com/question…ompatible-with-each-other

    GnuPG 2.1 stores private keys in another file. Your private keys are stored in GnuPG 1.4's secring.gpg, which is not queried by GnuPG 2.1. Copy them to GnuPG 2.1 through gpg --export-secret-keys [key-id] | gpg2 --import


    gpg --export-secret-keys zeigt mir zwei private Keys von einer E-Mail Adresse angezeigt - den neuen Schlüssel den ich nach dem neu aufsetzen generierte habe für eine neue email adresse seh ich hier nicht. Wenn ich den oben genannten import durchführe bekomm ich im Thunderbird schlussendlich wieder die Meldung, dass die Passphrase fehlt ...

  • dass es zu dem Problemen kommen kann, wenn Enigmail mittels des Thunderbird Add-ons-Manager installiert wurde,

    Das bezieht sich auf die Installation von gnupg2, die automatisch über den Paketmanager erfolgt, aber natürlich nicht wenn man einfach nur die Erweiterung Enigmail über den Add-On-Manager durchführt. Dieses Problem betrifft dich nicht, denn gpg2 war bei dir ja bereits installiert.


    Ich hab den Fehler gemacht und die Keys nie extra extrahiert, sondern immer nur den ganzen Ordner kopiert :/

    Das solltest du für das nächste Mal ändern. Ohne die privaten Schlüssel geht nichts mehr. Sie sollten deshalb sorgsam aufbewahrt werden.


    gpg --export-secret-keys zeigt mir zwei private Keys von einer E-Mail Adresse angezeigt - den neuen Schlüssel den ich nach dem neu aufsetzen generierte habe für eine neue email adresse seh ich hier nicht.

    Das ist der Punkt, auf den ich hinauswollte. Vielleicht ist es ganz einfach, und du hast nur etwas Chaos in deine Schlüsselverwaltung gebracht.

    Du hast beide Versionen, gpg und gpg2. Beide benutzen einen anderen Speicher für die Schlüssel. Hier hast du nur die Schlüssel exportiert, die gpg kennt. Die Schlüssel von gpg2 sind nicht dabei.

    Enigmail erfordert seit einiger Zeit zwingend gpg2.


    (Eigentlich sollte unter Ubuntu der Keyring im Zusammenspiel mit dem gpg-agent für die Schlüsselverwaltung zuständig sein. Das ist meines Wissens eine Ubuntu-Spezialität.

    Ich hätte gedacht, das damit Zugriff auf sämtliche Schlüssel besteht, egal ob durch gpg 1.x oder gpg 2.x erstellt bzw. gespeichert. Mit diesem Thema habe ich mich jedoch nie eingehender beschäftigt, weil es normalerweise ohne eigenes Zutun fehlerfrei funktioniert. Es ist daher nichts weiter als eine Annahme.

    Ich weiß aber, dass es aufgrund der Integration des Keyrings unter Ubuntu schnell zu Problemen kommen kann, wenn man GnuPG nicht aus den Paketquellen bezieht sondern selbst aus den Quellen des Projektes kompiliert.)


    Allein in gpg hast du zwei private Schlüssel zu einer E-Mail-Adresse. Enigmail verwendet aber nur einen davon. Vielleicht hast du dort den falschen eingestellt. Vielleicht gibt es sogar noch weitere?


    Du solltest also zunächst einmal herausfinden


    • welche der beiden GnuPG-Versionen in Enigmail konfiguriert ist. Es sollte gpg2 sein.
    • ob der oben als fehlend gemeldete Schlüssel bei dir unter gpg2 überhaupt vorhanden ist. Das ist er vermutlich nicht, denn das zugehörige Verzeichnis ist laut deinen Angaben leer.
    • sämtliche Schlüssel exportieren, also sowohl die unter gpg als auch die unter gpg2.

    Anschließend solltest du etwas Ordnung hineinbringen. Ich vermute, du hast einige Schlüssel unter gpg, andere unter gpg2 und evtl. auch einige in beiden. Du benötigst alle erforderlichen Schlüssel unter gpg2.


    Das Problem das es nicht mehr funktioniert kam plötzlich letzte Woche auf. (Problem mit Berechtigung)


    Das Thema mit den angeblich fehlenden Berechtigungen ist und bleibt suspekt. Wenn es sich dabei wirklich um ein Rechteproblem gehandelt hat, das plötzlich aufgetreten ist, dann kann es nur durch ein Eingreifen von dir entstanden sein. Ich wüsste keine andere Erklärung. Die Berechtigungen ändern sich nicht einfach so.


    Aus der Ferne sieht es so aus, als hättest du dir etwas gehörig durcheinander gebracht, nicht nur die Schlüssel. Ich kann nicht auf deinen Rechner schauen und weiß auch nicht, was bei den Reparaturversuchen vielleicht noch alles verändert worden sein könnte.


    Wenn es durch Sortieren und Importieren der korrekten Schlüssel in gpg2 nicht gelingt, das Problem zu lösen, dann ich dir nur noch den Rat geben, von vorn zu beginnen: Enigmail und gpg2 deinstallieren, die zugehörigen Schlüssel im Keyring löschen, die zugehörigen Ordner im home löschen, ggf. im Thunderbird ein neues Profil erstellen, gpg2 neu installieren, die Schlüssel importieren, Enigmail installieren.


    Warte vielleicht noch ein wenig, ob jemand anderes noch einen weiteren oder besseren Vorschlag hat.

  • Du hast beide Versionen, gpg und gpg2. Beide benutzen einen anderen Speicher für die Schlüssel.

    Ich will nur eine Kleinigkeit ergänzen/klarstellen: gpg und gpg nutzen denselben Speicherort für öffentliche Schlüssel, aber völlig unterschiedliche Formate für private Schlüssel. Das Format von gpg kann normal importiert werden – beim neuen Format ist auch mit der neuen Version ein Import nicht direkt vorgesehen. Du musst bei gpg2 also immer von Hand exportieren, um nutzbares (privates) Schlüsselmaterial zu bekommen.


    Gpg und gpg2 lassen sich meiner Erfahrung nach nur unter großen Aufwand auf derselben Maschine nutzen (da die versehentliche Nutzung der anderen Version zu inkonsistenten Daten führen kann). Wenn der PC nur interaktiv genutzt wird, solltest Du also auf gpg2 wechseln und die alte Version zur Sicherheit deinstallieren. Außerdem unbedingt das Verzeichnis ~/.gnupg im aktuellen Zustand sichern. Dann könntest Du testhalber probieren, ob der Befehl

    Code
    1. gpg2 --import ~/.gnupg/secring.gpg

    dein Problem löst. Damit werden alle privaten Schlüssel der alten Version importiert. Vorher ggf. nochmal die Rechte des ~/.gnupg-Ordners prüfen.


    Wenn nicht, wüsste ich auch nichts besseres als alles exportieren, ~/.gnupg löschen und alles erneut importieren.

  • Ich will nur eine Kleinigkeit ergänzen/klarstellen: gpg und gpg nutzen denselben Speicherort für öffentliche Schlüssel, aber völlig unterschiedliche Formate für private Schlüssel.

    Das schrieb ich doch bereits oben:

    Das Speicherformat der Schlüssel hat sich mit Version 2.x geändert.


    Wenn der PC nur interaktiv genutzt wird, solltest Du also auf gpg2 wechseln und die alte Version zur Sicherheit deinstallieren.

    Hier bin ich mir nicht sicher, ob eine Deinstallation von gpg wirklich ratsam ist. Ich habe die 16.04 nicht selbst benutzt. Jedoch war gpg zumindest in der 14.04 ein fester Bestandteil von Ubuntu. Man konnte zwar gpg2 parallel benutzen, die Deinstallation von gpg konnte aber zu Problemen führen. Soweit ich mich erinnere, erfolgt beim Versuch der Deinstallation auch eine entsprechende Warnung.

    Wenn also gpg auch in der 16.04 noch Teil des Ubuntu ist, wäre ich vorsichtig.

  • Hallo,


    hab erst jetzt wieder Zeit gehabt mich damit zu befassen.

    also ich hab von einem Schlüssel eine *.asc Datei die ich von einem Backup habe und somit valide sein muss.


    Ich hab nun folgendes probiert enigmail Addon im Thunderbird entfernt .gnupg Ordner umbenannt .thunderbird umbenannt und dann gpg2 --list-secret-keys - es kommt die Meldung


    gpg: keybox '/home/firespark/.gnupg/pubring.kbx' created

    gpg: /home/firespark/.gnupg/trustdb.gpg: trustdb created



    Dann den vorhanden key importiert gpg2 --allow-secret-key-import --import gpg-secret-key-gmx.asc - es wird die passphrase abgefragt


    gpg: key F039DD7C: public key "mclaren <meinemail@gmx.at>" imported

    gpg: key F039DD7C: secret key imported

    gpg: Total number processed: 3

    gpg: imported: 1

    gpg: secret keys read: 3

    gpg: secret keys imported: 2


    Dann hab ich sudo apt-get install enigmail .... Der Key wird im Keymanager angezeigt ... aber erneut die fehlermeldung mit missing passphrase im thunderbird ....


    Warum? Was passt da noch immer nicht zusammen?

  • Ich weiß nicht, was bei dir an dieser Stelle alles schief läuft.


    Gehen wir zwei Wochen zurück:

    Befand sich unter diesen Schlüsseln auch der mit der ID 0x71B658A920DEXXXX?

    Hast du überprüft, ob sich der oder die benötigten Schlüssel überhaupt unter denen befinden, die du importiert hast? Benutzt du vielleicht Unterschlüssel (Subkeys)?

  • Heute ist mir endlich eingefallen woran es liegen könnte und es hat sich bestätigt. Ich hab damals firejail installiert, ein Sandbox System. Ich hab es nun für testzwecke entfernt und siehe da, ich kann endlich enigmail wieder nutzen mit Thunderbird. Problemursache somit endlich gefunden ...

  • Community-Bot

    Hat das Label Erledigt hinzugefügt
  • Hi,

    wundert mich etwas - genau das mache ich auch, TB unter Firejail/Linux Mint, und Enigmail funktioniert.

    cu, frog

  • Ich hab damals firejail installiert

    Das könnte die Erklärung für deine unbekannten Rechteprobleme sein. Es ist ja Sinn einer Sandbox, u.a. die Zugriffe auf das Dateisystem strikt einzuschränken.

    Hinzu kommt das Zusammenspiel mit AppAmor. Das ergibt ein ziemlich komplexes Gebilde, bei dem man viel falsch machen kann.


    Ich benutze Firejail selbst, out-of-the-box, allerdings nur für meine Browser, nicht für den Thunderbird. Das funktioniert sehr gut.

    Firejail bietet über die Profile sehr viele Möglichkeiten zur Konfiguration und Feinabstimmung. Damit habe ich mich noch nie im Detail beschäftigt. Das erscheint mir sehr zeitaufwendig. Manche Parameter sind selbsterklärend andere eher nicht.


    Für viele Programme, so auch für den Thunderbird existieren fertige Profile. Die sollten eigentlich funktionieren. Nicht auszuschließen ist, dass eine neue Version zusätzliche Rechte und damit Anpassungen im zugehörigen Firejail Profile erfordert. Das schließt auch Erweiterungen und andere Programme ein, die aus Thunderbird heraus aufgerufen werden, z.B. beim Öffnen von Anhängen oder eben GnuPG.


    Ich habe eben einen kurzen Test per "firejail thunderbird" durchgeführt. E-Mails ließen sich mit vorhandenen Schlüsseln entschlüsseln.

    Nicht verwunderlich wäre, wenn das Erstellen und Importieren von Schlüsseln scheitern würde, weil dazu Schreibzugriff außerhalb des Thunderbird Profiles bzw. des tmp nötig wäre. Das habe ich jedoch nicht getestet.