Enigmail kann gesendete, verschlüsselte E-Mails nicht mehr entschlüsseln?

    • Thunderbird-Version: 60.4.0 (64 Bit)
    • Ubuntu Linux 16.04 (Xenial), 64
    • Kontenart: IMAP
    • Postfach-Anbieter: selbst gehostet (Dovecot IMAP + Postfix)
    • Eingesetzte Antiviren-Software: Amavis (Server-Seitig)


    Hallo,

    ich habe mich endlich mal an das Thema verschlüsselte E-Mails mit PGP bzw. Enigmail heran getraut. Grundsätzlich funktioniert der Versand zu einem Kollegen. Ausgehende E-Mails sind beim Kollegen lesbar (werden entschlüsselt) und E-Mails des Kollegen die verschlüsselt sind werden auch korrekt bei mir dargestellt (und entschlüsselt).


    Ich habe nun ein merkwürdiges Problem. Ich kann meine eigene an den Kollegen gesendete E-Mail (Mailbox "Gesendet") nicht mehr lesen/entschlüsseln. Dort erscheint rot unterlegt folgender Hinweis:

    Fehler - kein passender privater/geheimer Schlüssel zur Entschlüsselung gefunden


    Unter dem Button "Details" steht die selbe Fehlermeldung sowie, dass die E-Mail mit dem Schlüssel des Empfänger verschlüsselt wurde (Schlüssel ID + E-Mail/Kontakt wird dort aufgeführt korrekt). Selbige sind auch korrekt bei Enigmail unter "Schlüssel verwalten" vorzufinden nebst meinen eigenen Schlüsseln (Hinweis ich habe dort zwei für mein geschäftliches/privates Konto).


    Wie kommt es das Enigmail dies nicht korrekt erkennt und zuordnen kann, um die von mir selbst gesendete E-Mail wieder im Klartext darzustellen?

  • Thunder

    Hat das Thema freigeschaltet
  • Hi,

    es sollte einleuchten, daß man alle Mails, die man versendet, auch mit dem eigenen Schlüssel verschlüsseln muß,

    Allerdings ist diese Option "unsichtbar" und im Normalfall immer eingeschaltet.

    Schau mal unter "Bearbeiten / Einstellungen / Erweitert / Allgemein / Konfiguration bearbeiten" und gib in das Suchfenster "encrypttoself" ein.

    Wenn es auf "false" steht, Doppelklick...

    Gruß, muzel

  • Hi muzel ,


    danke für deine Antwort. Das habe ich bereits gefunden und überprüft:
    extensions.enigmail.encryptToSelf = true


    Ebenfalls sollte logisch sein, dass das nur klappt wenn man seinen eigenen Schlüssel verwendet. Mir ist nur schleierhaft wieso das ganze Setup (für mich als PGP Neuling aber keinen IT Dau) so kompliziert ist. Es wundert mich ehrlich gesagt nicht, dass PGP deshalb leider so wenig verbreitet ist :-/


    Die E-Mail unter gesendete zeigt wie gesagt in der rot unterlegten Warnung an (bei Klick auf Details), dass die Nachricht mit der Benutzer ID des Empfänger verschlüsselt wurde. Wie müsste das idealerweise aussehen, wenn es richtig funktioniert? Wird die Nachricht dann nur mit meinem Schlüssel verschlüsselt oder jeweils einmal mit meinem und dem des Empfänger?


    Soweit ich es verstehe dient der PGP Public-Key ja dazu, dass ich als "Dritter" dem Empfänger eine Nachricht verschlüsselt zusenden kann (mittels dessen Public-Key). Der Private-Key des Empfänger ist wiederum (nach meinem Verständnis) in der Lage diese wieder zu entschlüsseln. Demzufolge wäre es nüchtern betrachtet ja korrekt, dass ich meine gesendete für den Empfänger versendete E-mail nicht entschlüsseln kann/darf. In der Praxis ist dies aber äußerst unpraktisch.


    Deshalb mal ganz blöd gefragt...wie würde eine gesendete E-Mail mit PGP denn "richtig" verschlüsselt werden, sodass ich diese auch noch sehen kann/darf bei mir unter "Gesentete" Mailbox?

  • Siehe dir zu der Mail in gesendet die Enigmail-Sicherheitsinfo an. Dort werden alle asymmetrischen Schlüssel angezeigt, die verwendet wurden.

  • @typoworx: Ich dachte, das wäre klar, daß man für (im Prinzip) beliebig viele Empfänger, also mit deren öffentlichen Schlüsseln und dem eigenen die Mails verschlüsselt, so daß jeder Empfänger und du die Mail entschlüsseln kann.

    Wenn das "encrypttoself" richtig gesetzt ist, ist vielleicht dem Konto nicht der richtige Schlüssel zugeordnet (Konto / OpenPGP-Sicherheit / ...)

    - m.

  • Hallo,

    danke für das Feedback.


    muzel : wie schon gesagt, was PGP angeht bin ich absoluter newbie. Ich musste mich da erst mal einlesen, wie es funktioniert. Eigentlich sollte man ja erwarten, dass die Software einem das meiste abnimmt und man als User nicht den kompletten, technischen Workflow kennen muss. Da ich aber auch Software-Entwickler (PHP) bin war es zumindest ein interessanter Exkurs ;-)


    Ich hatte "encrypttoself" wie gesagt schon aktiviert. Unter den Konto-Einstellungen hatte ich für die E-Mail Adresse selbst das (eigentlich korrekte) Zertifikat gewählt. Nachdem ich es nun auf "automatisch" (per E-Mail) Gesetz habe, hat es plötzlich mit einer Test E-Mail an meine (separate) private E-Mail Adresse funktioniert. In letzterem Fall sowohl mit meinem geschäftlichen als auch privaten Key signiert - so wie es offenkundig sein soll.

  • Eigentlich sollte man ja erwarten, dass die Software einem das meiste abnimmt und man als User nicht den kompletten, technischen Workflow kennen muss.

    Das macht es weitgehend auch. Zum Beispiel ist


    Ich hatte "encrypttoself" wie gesagt schon aktiviert.

    automatisch aktiviert. Soweit ich weiß gibt es nicht einmal einen Menüpunkt, das zu deaktivieren. Das geht nur durch manuellen Eingriff in die Konfig.


    Nachdem ich es nun auf "automatisch" (per E-Mail) Gesetz habe, hat es plötzlich mit einer Test E-Mail an meine (separate) private E-Mail Adresse funktioniert.

    Auch diese Einstellung ist bei der Erstinstallation gesetzt. Hier hattest du offensichtlich zuvor selbst eingegriffen, was dazu führte, dass Enigmail einen falschen Schlüssel benutzt hat. Vielleicht hast du auch mehrere Schlüssel zu der Adresse.

    Welcher jeweils verwendet wurde, kannst du wie in #4 erwähnt kontrollieren.


  • Das kann ich leider nicht bestätigen. Ich habe an Enigmail nichts verändert bis zu dem Zeitpunkt als es nicht korrekt laufen wollte. Leider habe ich das Problem erneut. Ich habe auf einem Zweitrechner (ebenfalls Ubuntu 16 und identisches Setup Thunderbird + Enigmail) nun genau das selbe Problem erneut.


    Auch dort habe ich Enigmail frisch eingerichtet. Die Einrichtung analog meinem anderen Rechner/Account mit Enigmail hat hier leider nicht zum Erfolg geführt. Beim versenden versucht Enigmail E-Mails immer nur mit dem Key des Empfänger zu verschlüsseln. Es ist zum Haare raufen.

  • Ich fürchte, du musst jetzt ganz stark sein. ;-)


    Es ist, wie ich geschrieben habe. Enigmail versucht in den Standardeinstellungen immer, die Mail auch mit dem eigenen Schlüssel zu verschlüsseln.

    Der Fehler liegt ganz bestimmt auf deine Seite. Wenn du nicht selbst in der Konfig herumgespielt hast, dann hast du entweder keinen passenden Schlüssel installiert oder einen falschen ausgewählt.


    Auch ein genauerer Blick auf die Schlüssel und die verwendete Version von GPG und Enigmail könnte sich lohnen. Hier gab es aufgrund von efail im 2018 (oder war es sogar bereits 2017?) einige gravierende Änderungen.


    Ich hatte dir in Beitrag #4 und dann nochmals in #7 bereits geschrieben, wie du überprüfen kannst, welche Schlüssel verwendet wurden. Darauf bist du leider nicht weiter eingegangen. Da frage ich mich, was du eigentlich noch erwartest. Hellseher sind wir hier alle nicht.

  • @typoworx


    Auch wenn es nicht direkt was mit deinem Problem zu tun hat an dich als GPG newbie ein Hinweis = niemals alte Schlüssel löschen sondern widerrufen aber unbedingt behalten, denn wenn du zu seinem Zeitpunkt X in der Zukunft nochmal eine alte verschlüsselte Mail brauchst kannst du sie ohne deinen "alten" privaten Key nie wieder lesen.


    Der Hinweis ist nicht an den Haaren herbei gezogen sondern entspringt einem bedauerlichen Lernprozess meinerseits.

    Trust no one. Trust nothing. Assume everyone else is a malicious actor

  • Dieses Problem lässt sich im Falle von GPG leicht umgehen, indem man empfangene E-Mails entschlüsselt abspeichert. Das kann sogar automatisch erfolgen.

  • Ruhezone


    Stimmt natürlich und wir sind hier in einem Thunderbird Forum, sollten aber das Denken am Ende von Thunderbird nicht abschalten. Der Hinweis war ausdrücklich an den GPG newbie gerichtet. Schließlich verschlüsselt man mit GPG auch mal ein File etc und zumindest in diesen Fällen ist man auf den alten Key angewiesen.

    Trust no one. Trust nothing. Assume everyone else is a malicious actor

  • Der Hinweis war ausdrücklich an den GPG newbie gerichtet.

    Eben er schrieb, er sei Newbie, habe ich deinen Hinweis ergänzt. Jemand, der bereits Erfahrung mit GPG und Enigmail hat, weiß bereits, dass Enigmail entschlüsselt abspeichern kann.

    sollten aber das Denken am Ende von Thunderbird nicht abschalten

    Gut, dann machen wir das mal.

    Schließlich verschlüsselt man mit GPG auch mal ein File etc und zumindest in diesen Fällen ist man auf den alten Key angewiesen.

    Auch Files lassen sich nach dem Transport selbstverständlich entschlüsselt abspeichern.


    Wer das kleine Einmaleins beherrscht, der macht das auch und speichert in einer verschlüsselten Partition, vor allem für die langfristige Aufbewahrung.


    Dann muss man sich nicht mit zig Schlüsseln (darunter auch unsichere oder kompromittierte) und den dazugehörigen Passwörtern herumschlagen sondern nur noch mit einem für die gesamte Partition. Dieser lässt sich leicht wechseln, falls es, aus welchem Grund auch immer, nötig sein sollte.