Autocrypt Schlüssel

Wenn Sie plötzlich keine E-Mails mehr empfangen können

Bitte lesen Sie die Hinweise zu den beiden derzeit häufigsten Problemursachen!

Hier bitte klicken!

Diese rote Box verschwindet, wenn Sie in der rechten oberen Ecke auf das X klicken.

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version (konkrete Versionsnummer): 78.4.3
    • Betriebssystem + Version: Windows 10 Home
    • Kontenart (POP / IMAP): beide
    • Postfachanbieter (z.B. GMX): Posteo, Occumail, Google
    • Eingesetzte Antivirensoftware: Windows Defender
    • Firewall (Betriebssystem-intern/Externe Software):


    Hallo zusammen,


    gibt es eine Möglichkeit, meiner Schlüsselverwaltung einen Autocryp Schlüssel hinzu zu fügen?


    Besten Dank

    Gerhard

  • Das ist eine sehr interessante Frage. Autocrypt hatte ich bisher noch gar nicht auf der Liste der Neuerungen mit 78. Das selbst zu testen, ist etwas mühsam. Dazu bräuchte es eine E-Mail mit einem Schlüssel im Header, den ich nicht bereits habe.

    Wald.schrat , hast du das ausprobieren können? Ich würde mich gern mit ein paar Fragen anschließen.


    Dieser Artikel: https://support.mozilla.org/en…thunderbird-howto-and-faq nennt leider keine Details

    Quote

    Does Thunderbird support Autocrypt?

    Thunderbird does not support the Autocrypt philosophy that encryption should be fully automatic. However, Thunderbird provides limited compatibility with email clients that support Autocrypt.

    • When sending an email and using the option to attach your OpenPGP public key, and your key is sufficiently simply to be compatible with Autocrypt, then Thunderbird will add the appropriate header in the outgoing email, which can allow your correspondent to learn about your public key.
    • When receiving email that contains a correspondent's public key in an Autocrypt header, Thunderbird allows you to import the key.
    • At this time, Thunderbird doesn't support the "Gossip" feature.


    Meine Fragen dazu:

    • Erfolgt der Import automatisch?
    • Wird man zumindest gefragt, ob man einen solchen Schlüssel importieren möchte?
    • Was passiert, wenn zu der ID bereits ein anderer Schlüssel existiert? Wird der überschrieben? Gibt es zuvor eine Nachfrage?
    • Und die wichtigste Frage, weil mir das dem Autocrypt nicht wirklich gefallen mag: Kann man das Deaktivieren?
  • Und die wichtigste Frage, weil mir das dem Autocrypt nicht wirklich gefallen mag: Kann man das Deaktivieren?

    Wenn ich das hier( https://www.privacy-handbuch.de/handbuch_32w1.htm ], lese, will ich das auch abschalten.


    Gruß
    EDV-Oldi

  • Hallo Susi,


    ich wolltet erstmal sichergehen, dass der Fragesteller OpenPGP meint.

    Autocrypt gab es ja schon vor 78, ich denke mal mit 68.*, und ich habe da Schlüssel von K9 nach TB transportiert.

    Daher hoffe ich ganz naiv, dass das immer noch geht, und falls nicht, kann man den Schlüssel ja immer noch auf herkömmliche Weise übertragen.


    Gruss w.s

  • Autocrypt gab es ja schon vor 78,

    Ja, das ist richtig. Nur musste man es in Enigmail bewusst per Klick auslösen. Hab' ich nie benutzt. Deshalb weiß ich auch nicht, ob Enigmail beim Import zumindest nachgefragt hat.

    Falls hier jemand Erfahrung damit in der 78 hat, lasst uns doch bitte wissen, wie der Thunderbird sich beim Import verhält.

  • edvoldi: Mir scheint, das ist tatsächlich ein unsicheres Verfahrent...Schade, war eigentlich ganz praktikabel.

    Vermutlich muss Krypto kompliziert sein:(

    Irgendwo muss man halt leider Abstriche machen. Zum Glück hat man zumindest ein Stück weit die Auswahl wo:

    • Bei der Sicherheit (Autocrypt): Einfach zu nutzen, aber die Validierung fällt halt Standardmäßig weg. Andererseits verbietet der Autocrypt ja keine manuelle Validierung beim Erstkontakt und ich hoffe doch, dass Autocrypt nicht ohne zu fragen Schlüssel aus dem Keyring einfach ersetzt(?)
    • Beim Komfort: Jeden Kontakt zu fragen, ob er mit dir Schlüssel austauschen möchte, ist leider recht aufwendig. Key-Server helfen, sind aber teilweise auch zu einer Ressource für E-Mail Adressen für Versender von Spam-Mails geworden
    • Bei der Unabhängigkeit: TLS, S-Mime oder auch mit Abstrichen die Messenger-Verschlüsselung brauchen eine Zertifizierungsstelle der du vertraust. Das war für mich immer der Charme von PGP, dass es diese Zertifizierungsstelle nicht gab.
      Ich vermute, dass dies auch für den Erstschlüsselaustausch in Messengern wie Signal oder Whatsapp gilt, dass der 1. Schlüsselaustausch irgendwie über den Anbieter abgesichert ist. Ansonsten wäre das Prinzip ja nicht besser als Autocrypt. Und bei einem geschlossenen System, sollte eine Zertifizierungsstelle ja kein allzugroßes Ding sein.

    Lange Rede kurzer Sinn: So schlecht finde ich die Idee von Autocrypt gar nicht, so lange sichergestellt ist, dass die Sicherheit nicht verschlechtert wird indem validierte Schlüssel überschrieben werden. Dann ist eine Verschlüsselung ohne Validierung immer noch besser als gar keine Verschlüsselung.

  • Vermutlich muss Krypto kompliziert sein

    Ich würde sagen, kompliziert ist relativ. Krypto zu verstehen, ist schon etwas schwierig. Einen Schlüssel (sprich eine Datei) zu importieren würde ich hingegen nicht als kompliziert bezeichnen. Auch das Erstellen eines einfachen Schlüsselpaars kann ein jeder. Das scheitert meiner Meinung nach eher an der Bequemlichkeit.


    Deshalb hat der Ansatz von Autocrypt durchaus seinen Charme. Die Messenger machen es vor. Sie verschlüsseln, ohne dass der Anwender dazu etwas tun muss.

    Damit einher geht ein gewisser Verlust an Sicherheit. Man kann darüber diskutieren, ob das für den normalen Gebrauch nicht vielleicht akzeptabel ist. Für Wistlebower, Regimegegner in Diktaturen usw. ist er es gewiss nicht. Aber für uns "Normalos"?

  • Mein Anliegen ist folgendes: Ich nutze Delta Chat. Da dieser Messenger keine Mobilfunknummern benötigt, sondern eine Email-Adresse, wird jede in der App geschriebene Nachricht auch noch einmal in einen gesonderten Ordner des Email-Programms geschickt.


    Wenn der Versender die Verschlüsselung nutzt, muss in der Email der entsprechende Schlüssel hinzugefügt werden, damit man die Email öffnen kann. Aktuell habe ich einen Versender, der einen Autocrypt Schlüssel verwendet, den ich in Thunderbird nicht hinzu fügen kann. Seine App kann ich in der Smartphone-App zwar lesen, aber nicht in Thunderbird.


    Darum meine Frage: Was kann ich tun, um seinen Schlüssel Thunderbird hinzu zu fügen?


    Oder wäre hier das Add-on Enigmail sinnvoll, das allerdings meines Wissens auch in Kürze abgeschaltet werden soll

  • Aktuell habe ich einen Versender, der einen Autocrypt Schlüssel verwendet, den ich in Thunderbird nicht hinzu fügen kann

    Kannst du einmal beschreiben, wann ein Problem beim Importieren auftritt?

    Bekommst du den Schlüssel nicht aus Delta Chat raus? Zumindest bei mir gibt es unter Advanced einen Punkt Manage Keys -> Export Keys


    Oder bekommst du den Schlüssel nicht in Thunderbird rein?


    Dann könntest du vielleicht mal ausprobieren, ob es über den Smartcard-Modus funktioniert. Du kannst mit TB 78 weiterhin GnuPG, dass auch vorher von Enigmail genutzt wurde, für Private Key Operationen nutzen. Also dort den Private Key importieren und dieser Anleitung folgen.

    https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards


    Hintergrund: Thunderbird 78 unterstützt bestimmte Kombinationen aus Schlüsseln die aus Unterschlüsseln zusammengesetzt sind nicht.

  • Bekommst du den Schlüssel nicht aus Delta Chat raus? Zumindest bei mir gibt es unter Advanced einen Punkt Manage Keys -> Export Keys

    Unter Erweitert >>> Schlüssel verwalten >>> gibt es keinen Punkt "exportiere Schlüssel".


    Oder bekommst du den Schlüssel nicht in Thunderbird rein?

    Den Schlüssel habe ich über eine unverschlüsselte Email vom Absender bekommen, kann ihn aber nicht in meine Schlüsselverwaltung importieren.

  • Den Schlüssel habe ich über eine unverschlüsselte Email vom Absender bekommen, kann ihn aber nicht in meine Schlüsselverwaltung importieren.

    Da geht glaube ich gerade etwas durcheinander oder wir reden aneinander vorbei. Ich denke mal, dein Kontakt hat dir seinen öffentlichen Schlüssel geschickt, sodass du ihm verschlüsselte Nachrichten schreiben kannst. Damit kannst du aber nichts lesen. Ich gehe jetzt mal nicht davon aus, dass dein Kontakt dir seinen privaten Schlüssel per unverschlüsselter Mail geschickt hat, das würde nämlich das Prinzip der Verschlüsselung ad absurdum führen.


    Unter Erweitert >>> Schlüssel verwalten >>> gibt es keinen Punkt "exportiere Schlüssel".

    So scheint das zu heißen, wenn man sein Handy auf deutsch eingestellt hat ;-). Dort findest du deinen privaten Schlüssel. Du benötigst (d)einen privaten Schlüssel, um die Nachrichten, die dein Kontakt dir geschrieben hat zu entschlüsseln. Diesen musst du zum lesen in Thunderbird importieren.


    Zum verschlüsselten Schreiben benötigst du dann den Schlüssel den dir dein Kontakt gesendet hat.


    Wenn beim Import etwas fehlschlägt, weiß ich nicht ob ich viel helfen kann. Aber:

    Bis jetzt bleibst du sehr wage, was genau schiefläuft. Ich habe überhaupt keine Vorstellung was du tust und was das Ergebnis ist.

    Beschreibe doch einmal, was du genau tust. In welcher Form liegt der schlüssel vor?

    Wie äußert es sich, dass Thunderbird den Schlüssel nicht importiert bekommt? Gibt es eine Fehlermeldung oder ähnliches?

  • Bis jetzt bleibst du sehr wage, was genau schiefläuft. Ich habe überhaupt keine Vorstellung was du tust und was das Ergebnis ist.

    Ich nahm an, ich hätte mich klar ausgedrückt. Leider scheint das häufig nicht zu klappen und auch nach mehrmaligem Nachhaken und Erklären drücke ich mich wohl immer noch "sehr wage" aus. Mich technisch verständlich auszudrücken ist leider nicht so mein Ding. Das tut mir Leid.


    Deshalb werde ich an dieser Stelle erst einmal nicht weiter machen, aber dem Thema weiterhin folgen.

  • Deshalb werde ich an dieser Stelle erst einmal nicht weiter machen, aber dem Thema weiterhin folgen.

    Ich hoffe, dass liegt jetzt nicht an mir. Ich hatte nämlich überhaupt nicht die Absicht das irgendwie "scharf" zu formulieren, falls das so rübergekommen ist.


    Leider scheint das häufig nicht zu klappen und auch nach mehrmaligem Nachhaken und Erklären drücke ich mich wohl immer noch "sehr wage" aus. Mich technisch verständlich auszudrücken ist leider nicht so mein Ding. Das tut mir Leid.

    Das mit dem technischen Ausdrucksweise ist sicher nicht jedermanns Sache, deswegen habe ich versucht nachzufragen bis wir mit unserer Ausdrucksweise zusammenfinden :-). Oft helfen dabei Screenshots (bei denen man allerdings aufpassen sollte, dass man keine privaten Daten veröffentlicht), oder einfach das stumpfe kopieren von Knöpfen auf die man gedrückt hat oder von Meldungen die erscheinen.

  • Ich habe den Schlüssel jetzt noch einmal versucht, auf anderem Weg zu importieren und er wird in der Schlüsselverwaltung auch angezeigt. Aber die Emails, die ich mit diesem Schlüssel erhalte, kann ich nach wie vor nicht lesen - das Nachrichtenfeld bleibt leer. Daher vermute ich, dass ein Autocrypt Schlüssel nicht ordnungsgemäß in die PGP-Schlüsselverwaltung importiert werden kann.


    Es sei denn, das funktioniert nur mit den neuen Emails dieses Kontakts und wird für die bereits eingegangenen Emails nicht umgesetzt. Aber das kann ich im Augenblick nicht prüfen,

  • Hallo Naturfreund,

    du weisst aber schon, dass jeder Schlüssel 2 Teile hat, einen öffentlichen und einen privaten. Letzteren be!ötigst du zum Entschlüsseln der Nachrichten, die mit ersterem verschlüsselt wurden. Die Schlüsselverwaltung im Thunderbird (sicher auch im Delta Chat) sollte erkennen lassen, ob du beide hast.

    Gruss w.s