Migrationshinweise zu Funktionen/Einschränkungen bei OpenPGP in TB 78.2.2.

    • Thunderbird-Version (konkrete Versionsnummer:( Migration auf 78.2.2.
    • Betriebssystem + Version: getestet unter verschiedenen W10
    • Kontenart (POP / IMAP): n/a
    • Postfachanbieter (z.B. GMX): n/a
    • PGP-Software / PGP-Version: interne OpenPGP-Unterstützung
    • Eingesetzte Antivirensoftware: verschiedene
    • Firewall (Betriebssystem-intern/Externe Software): verschiedene



    Servus mitanand,


    ich dachte mir, ich schau kurz mal wieder bei euch vorbei, um meine Erfahrungen mit der Umstellung auf die 78.2.2 in Bezug auf die PGP-Verschlüsselung zu teilen.Dem einen oder anderen mag es vielleicht bei der Entscheidung hilfreich sein, ob der Umstieg bereits jetzt, später oder auch gar nicht infrage kommt.


    Ok, so ganz uneigennützig ist das jetzt nicht. ;) Ich habe in der Vergangenheit Bekannte aber auch einige kleine Unternehmen dabei unterstützt, ihre E-Mails, wenn schon nicht zu verschlüsseln, dann doch zumindest kryptografisch zu signieren. Die hatten bemerkt, dass einige Banken und andere vorbildliche Unternehmen das inzwischen machen.

    Das hat guten Anklang gefunden, denn allein dieser kleine Schritt trägt doch schon sehr dem Schutz vor Physhing und Social Engineering bei.


    Bei denjenigen, die dazu Thunderbird mit GnuPG benutzen, herrscht gerade große Unsicherheit, ob das alles mit TB 78 weiterhin funktioniert. Ein paar sind mit dem automatischen Update auf die 78.2.2. auch prompt auf die Nase gefallen. Das war wahrlich keine gute Werbung für den Thunderbird.


    Die Quellen im Internet sind breit gestreut und zum großen Teil nur in Englisch verfügbar. Das macht die Sache nicht leichter. Also habe ich selbst getestet und recherchiert.

    Die Ergebnisse möchte ich hier an zentraler Stelle teilen, verbunden mit dem Wunsch an die Foristen, den jetzigen Status bei hoffentlich rasch folgenden Änderungen fortzuführen. Ich verbringe nicht mehr viel Zeit mit und um den Thunderbird und möchte das nicht durchgehend beobachten und wieder aufwendig recherchieren müssen.


    Nun zur Sache. Ich habe einiges getestet und war insgesamt eher positiv überrascht, wie glatt alles ging. Für den Einsatz in Firmen oder gehobene Anforderungen eines einzelnen Anwenders gibt es aber ein paar schwerwiegende Knackpunkte zu bedenken.


    Was bereits geht:


    1. Einfache Schlüsselpaare, also solche ohne Substruktur, wurden direkt nach dem ersten Start automatisch importiert. Dazu wurde Enigmail automatisch auf die aktuelle Version, die nur für den Import benötigt wird, angepasst.
    2. Verschlüsseln und Signieren war somit quasi sofort wieder möglich.
    3. Der Betreff wird standardmäßig verschlüsselt.
    4. Die Schlüsselverwaltung ist einfach und intuitiv.


    Dickes Plus: Der einfachen Benutzung von PGP steht eigentlich nichts im Weg. Man muss lediglich seine Passwörter eingeben und schon funktioniert alles wie gewohnt.

    Da keine zusätzliche Software und nicht einmal eine Erweiterung nötig ist, können auch Neueinsteiger sehr einfach eine digitale Signatur einrichten. Dazu möchte ich ausdrücklich auch motivieren, selbst wenn man nicht verschlüsseln möchte!

    Sehr nett fand ich auch, dass es ein paar Abschiedsworte des Teams Enigmail gab.


    Für den Einsatz in Unternehmen sieht es allerdings noch nicht so gut aus.


    Was (noch) nicht geht:


    1. Komplexere Schlüsselstrukturen, z.B. offline Keys, werden derzeit nicht unterstützt und können nicht importiert werden.
      Das ist anscheinend in Arbeit, benötigt allerdings Support innerhalb RNP. Siehe dazu auch https://bugzilla.mozilla.org/show_bug.cgi?id=1654893
    2. Man kann einem Konto keinen Key mit einer abweichenden E-Mailadresse zuweisen, auch dann nicht, wenn die Domain übereinstimmt. Joseph@firma.de und Sophia@firma.de können kein gemeinsames Schlüsselpaar benutzen.
      Zusammen mit 1. ist das für den Einsatz in Unternehmen oftmals schon ein Ausschlusskriterium.

      Siehe auch Beitrag #2 von muzel mit einem workaround.

      Dazu habe ich einen Bug-Eintrag gefunden, den Thunder eröffnet hat. https://bugzilla.mozilla.org/show_bug.cgi?id=1663406
    3. Smartcards werden nicht unterstützt. Abhilfe schafft hier der Workaround, weiterhin GnuPG zu benutzen.
      Siehe https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards
    4. Die konfigurierbare Passwortabfrage nach x Minuten gibt es nicht mehr. Die Schlüssel liegen direkt im Profil des TB und werden (nur) durch das Masterpassword geschützt. Die einmalige Eingabe beim Start gibt die Schlüssel für die gesamten Dauer der Session frei.
    5. Die von Enigmail bekannte Funktion des dauerhaften Entschlüsselns gibt es nicht. Auch das ist für manche, die nicht nur signieren sondern auch verschlüsseln, ein Ausschlusskriterium, weil die Suche nach Inhalten nicht mehr funktioniert und vor allem, weil das Archivieren damit sehr erschwert wird.
      Ich habe dazu Kommentare von Kai Engert gefunden, die besagen, dass man das eventuell in der Zukunft implementieren wird.
    6. Verschlüsselte Dateien im Angang lassen sich gegenwärtig nicht über das Kontextmenü "Entschlüsseln und speichern unter ... " speichern. Der Menupunkt existiert, aber es passiert nichts.
    7. Kann man auch positiv sehen: Es gibt nur noch PGP/MIME. INLINE gibt es nicht mehr.
      Nachtrag: Die Release Notes zur 78.5 und zur 83 beta 3 sagen: Support for inline PGP messages improved
    8. Es gibt (noch) keine Möglichkeit, Empfängerregeln festzulegen. (Danke an stefan327 für den Hinweis.)
    9. Das Senden an Empfängerlisten geht noch nicht. Siehe hier von guenther.b .
    10. Verschlüsselte Anhänge können derzeit nicht entschlüsselt abgespeichert werden. Siehe auch hier. Fix ist auf dem Weg. Danke an pedrito für den Hinweis auf den Bug.


    Schönheitsfehler:


    1. Der PGP-Status einer E-Mail wird (ähnlich wie bei Outlook) nur durch kleine, etwas unscheinbare Symbole angezeigt. Eine ungültige Signatur erkennt man nicht mehr sofort auf den ersten Blick. Man muss genauer hinschauen.
    2. Bei der ersten Verwendung wurden mir beim Empfang meine eigenen Signaturen als fehlerhaft angezeigt. Die Ver- und Entschlüsselung klappte sofort. Ich musste für meine Schlüssel das bereits vorhandene Vertrauen nochmals bestätigen, seitdem passt das.
    3. Enigmail könnte nach dem Import automatisch deinstalliert werden.
    4. Siehe Beitrag #3 von KerstinUtz . Bedingt dadurch, dass die Schlüsselverwaltung im Thunderbird selbst durchgeführt wird, stehen neue, d.h. im Thunderbird angelegte, Schlüssel anderen Programmen nicht zur Verfügung. Sie müssen erst ex- und importiert werden.
    5. Wenn man seine E-Mails per Einstellung stets signiert, dann wird jeweils der öffentliche Schlüssel angehängt. Das ist derzeit nicht konfigurierbar. Siehe hier von AndyC .
      Laut Release Notes gibt es die Option ab 83 beta 3.
    6. Grafiken in HTML-Signaturen werden nicht mehr angezeigt, wenn die E-Mail unterschrieben wird. Siehe hier von Andy.C .


    Weitere Links:

    Bei generellen Fragen vor einer Migration lohnt sich ein Blick auf https://support.mozilla.org/en…thunderbird-howto-and-faq


    Bei Problemen könnt ihr, neben diesem Forum, auch hier Hilfe bekommen:

    https://thunderbird.topicbox.com/groups/e2ee

    Dort seid ihr näher an den Entwicklern.


    [scallout='#cc0000','Wichtig']Es wäre schön, wenn andere hier Feedback geben, Fehler korrigieren und ergänzen, was (verifiziert) geht und was nicht geht.

    Bitte benutzt diesen Thread nicht, um individuelle Probleme zu melden. Dazu eröffnet bitte ein eigenes Thema.[/scallout]


    Pfiats eich, bleibt gesund!


    Susanne

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Edited 11 times, last by Susi to visit: Ergänzung: Entschlüssen und speichern unter ... ().

  • graba

    Approved the thread.
  • graba

    Approved the thread.
  • Moin Susi,


    zu 2.

    Quote

    Man kann einem Konto keinen Key mit einer abweichenden E-Mailadresse zuweisen

    Man kann einem key mehrere Identitäten zuweisen - ich habe es bisher mit einer weiteren Adresse (gieiche Domain) erfolgreich getestet.

    Siehe auch:
    RE: Konto einen Key mit abweichender -EMail-Adresse zuweisen geht nicht

    Gnupg (bzw. dessen keyring) weiter verwenden wäre auch eine gute Idee, dann hat man alle Schlüssel an einem Ort und muß nicht immer hin und her migrieren). Es gibt da die Parameter#

    Code
    mail.openpgp.allow_external_gnupg
    mail.openpgp.alternative_gpg_path

    allerdings hatten die bei meinem letzten Test keinen Effekt.

    Besser gesagt, ich konnte keine Veränderungen feststellen.


    Grüße, muzel

  • Hallo Susanne, auch ich habe vor dieser "Zwangsabschaltung" meines GPG4Win durch das scheinbar unabwendbare Thunderbird 78 gebibbert und gehofft, es gibt noch mehr als 100 GPG-Nutzer in Deutschland, damit das alles nicht so schlimm wird und hoffentlich noch nutzbar.


    Ich habe schon seit dem Sommer in verschiedenen Virtual Box Clonen die Szenarien durchgespielt, mit TB 60, 68, den beta-Versionen TB 78, 79, 80 (danach habe ich aufgehört, da mir das alles zu aufwendig ist und ich lieber hoffe auf ein Wunder und auf einsichtige Entwickler).


    Also das normale Ver- und Entschüsseln habe ich hinbekommen, auch meine alten Keys werden erkannt bzw die Mails dazu. Daß das neue TB immer gleich neu generieren will usw finde ich nicht gut, weil man dann erstmal stutzt, eigentlich hat man eigene alte Keys aus dem GPG4Win, teils 5 Jahre oder mehr erprobt und verbreitet, was soll dann also das eher für Anfänger gedachte Feature der automatischen Keys á la PEP damals und so. Aber egal. Ich habe sie importiert bekommen. Nicht direkt aus dem GPG4Win aber immerhin aus dem alten Enigmail.

    Nun muß ich leider sagen, ich habe über 40 Keys und mußte alle einzeln importieren - dicker Minuspunkt. Es führt einfach kein Weg rein, einfach den kompletten Keyring von GPG4Win zu importieren, was mir sehr geholfen hätte.

    Wobei es da zuletzt einen Assistenten von Enigmail gab, der irgendwie aber nur in speziellen meiner VirtualBox-Klone zum Vorschein kam und zwar glaube ich, wenn man das Addon Enigmail bis zuletzt upgedatet hat und dann noch mal :) Dann kam eine Meldung und so ein Assistent, der alle Keys mehr oder weniger importiert hat. Ich habe das aber wieder verworfen, da ich es nicht produktiv nehmen wollte sondern noch beim Probieren bin und nur vorbereitet sein möchte, falls der TB 68 überhaupt gar nicht mehr geht.


    Was ich nicht gut finde - ist aber ja in der Natur der Sache, daß TB die Keys selber verwaltet - ist daß der Rückweg fehlt. Also wenn ich einen Key in TB neu generiere, ist der nicht mehr in meiner GPG4Win Sammlung und ich muß ihn exportieren, importieren. Früher hatte ich eine zentrale Ablage, nun sind es 2 Insellösungen. Und ja, ich brauche GPG4Win häufig und dringend für Datei-Verschlüsselungen.


    Mit dem Thema Schlüsselserver usw, ob TB da jetzt irgendwas hochlädt oder nicht, habe ich mich noch gar nicht beschäftigt - bei Enigmail hatte ich das ja abgeklemmt bzw es hat zum Glück nie richtig funktioniert (ich möchte keine Keys in Verzeichnissen sehen, Punkt. Wenn ich was verteile dann nach persönlichem Kontakt oder telefonisch, jedenfalls 1:1).

    Auch das Thema unverschlüsselte E-Mail (ich habe auch schon mal so ad hoc ein neues Konto im TB-Profil, wo ich nur testen will, Senden+Empfangen oder das nur eine Zeitlang leben soll) ist mir noch nicht vollständig klar, wie die Einstellungen dann sein werden, ob man es unverschlüsselt lassen kann oder ob

    zwangsweise generiert wird dann - ob es dann eine Empfehlung zum Verschlüsseln gibt oder ob es gar nicht anders geht).


    Man sieht, es sind noch genügend Baustellen. Klar ist das alles Aufwand und viel Arbeit von den Programmierern, die ich auch schätze - nur eben sollte man dann als Nutzer auch die Wahl haben, mit dem Update auf das Neue noch zu warten. Dem steht aber die TB-Update Politik entgehen, oder ist es eine Philosophie oder ist es nur ein kleiner Schalter, wie die neueste Meldung zum 68.12.1. Hoffnung zu machen glaubt (daß man noch eine Weile bei TB 68 kann wenn man es will).

  • Hallo Kerstin,


    danke für die Ergänzungen. Freut, dass es mit dir aus der kleinen Minderheit der PGPler jemanden aus Minderheit der Minderheit, nämlich eine weitere Frau, gibt, die sich hier mit dem Thema beschäftigt.

    Ich werde oben den Punkt ergänzen, dass die Schlüssel anderen Programmen nicht zur Verfügung stehen. Wie du schon festgestellt hast, ist das eine Nebenwirkung. Sie schränkt die Verschlüsselungsfunktion im Thunderbird nicht ein, ist aber für den einen oder anderen vielleicht doch wichtig.


    Zu deinem Punkt mit dem Import. Bei mir hat sich jeweils Enigmail automatisch upgedatet und sämtliche Schlüssel in einem Rutsch importiert. Wenn das bei dir nicht funktioniert, stimmt vermutlich irgendetwas nicht. Das wäre dann ein Thema für einen eigenen Thread.

    Zu den Schlüsselservern kann ich nicht viel sagen. Die habe ich selbst noch nie benutzt. Bei Fragen dazu, eröffne bitte auch ein eigenes Thema. Sollte dabei herauskommen, dass da etwas (noch) nicht richtig funktioniert, dann bitte hier im Sammelthread ergänzen.


    Gruß


    Susanne


    graba

    Ich sehe gerade, dass mir oben in Beitrag #1 der Button zum Bearbeiten fehlt. Das ist nicht tragisch, solange der Thread übersichtlich bleibt und nicht über viele Seiten wächst. Hat das damit zu tun, dass er angepinnt ist?


    Nachtrag: Das Bearbeiten funktioniert wieder. Vielen Dank an graba und Thunder .

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Edited once, last by Susi to visit ().

  • Falls es weitere Änderungen und neue Features zur Implementierung geben sollte, würde ich mich freuen, wenn jemand diese hier an meiner Stelle sammeln könnte. Ich hoffe ja immer noch auf Offline-Keys und die dauerhafte Entschlüsselung.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)