Nach Update auf TB 78 Password/Passphrase-Abfrage für private Schlüssel wieder einrichten - Schritt für Schritt

Wenn Sie plötzlich keine E-Mails mehr empfangen können

Bitte lesen Sie die Hinweise zu den beiden derzeit häufigsten Problemursachen!

Hier bitte klicken!

Diese rote Box verschwindet, wenn Sie in der rechten oberen Ecke auf das X klicken.

  • Wer, wie ich, die Abfrage der Passphrase beim Einsatz der privaten Schlüssel unter TB vermißt, kann die Kontrolle darüber an GnuPG zurückgeben. Unter 'https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards' ist zwar gut beschrieben, wie man das macht, aber es fehlt ein wichtiger Schritt: Man muß die privaten Schlüssel aus der Schlüsselverwaltung von TB entfernen!


    ("Enabling this preference will cause Thunderbird to attempt to decrypt a message using GnuPG, whenever RNP fails to decrypt a message with the secret keys that are available inside Thunderbird's key storage.")


    Damit nicht jeder das Rad neu erfinden muß, habe ich mein Vorgehen mal protokolliert. Die folgenden Schritte beziehen sich jedoch alle auf Linux, da ich kein anderes Betriebsystem nutze!


    Gegeben: Debian GNU/Linux 10 (buster), Update von Thunderbird 68.12.0 auf Thunderbird 78.5.1 (32-Bit), erfolgreiche Migration der OpenPGP-Schlüssel von Enigmail nach TB, Update auf Thunderbird 78.6.0 (32-Bit)


    Ziel: Sicherheit der privaten Schlüssel beim Signieren/Entschlüsseln wie bei Enigmail wieder herstellen.


    1. Die externe Verwaltung der privaten Schlüssel erlauben:


    Bearbeiten → Einstellungen → Allgemein → Konfiguration bearbeiten:


    Den folgenden Schlüsseleintrag suchen und mit Doppelklick auf 'true' setzen:


    mail.openpgp.allow_external_gnupg = true


    2. *** W i c h t i g ! *** Ein Backup der Dateien 'pubring.gpg' und 'secring.gpg' anlegen:


    'ls -lA ~/.thunderbird/<profile>.default/*ring*'

    'cp ~/.thunderbird/<profile>.default/pubring.gpg ~/.thunderbird/<profile>.default/pubring.gpg_backup'

    'cp ~/.thunderbird/<profile>.default/secring.gpg ~/.thunderbird/<profile>.default/secring.gpg_backup'


    ('<profile>.default' entspricht dabei dem Profilverzeichnis aus 'cat ~/.thunderbird/profiles.ini')


    Wer ganz vorsichtig ist, schützt die Backup-Dateien auch noch vor Veränderungen:

    (Der Schutz kann später wieder mit 'sudo chattr -i <dateiname>' aufgehoben werden.)


    'sudo chattr +i ~/.thunderbird/<profile>.default/pubring.gpg_backup'

    'sudo chattr +i ~/.thunderbird/<profile>.default/secring.gpg_backup'


    ('lsattr ~/.thunderbird/<profile>.default/*ring*' zeigt den Erfolg.)


    3. Die eigenen Schlüssel (fett formatiert) jeweils in eine eigene Datei exportieren:


    Extras → OpenPGP-Schlüssel verwalten:


    Rechtsklick auf eigenen Schlüssel → Schlüssel in Datei exportieren


    *** Achtung: Es wird nur der öffentliche Schlüssel exportiert! *** (Daher Backup, s. o.)


    anschließend Rechtsklick auf eigenen Schlüssel → Schlüssel löschen


    4. Die öffentlichen Schlüssel wieder aus den erstellten Dateien importieren:


    Datei → Öffentliche(n) Schlüssel aus Datei importieren:


    Dabei auswählen: (*) Akzeptiert (nicht verifiziert)


    anschließend: Details anzeigen und Schlüsselakzeptanz verwalten:

    (oder: Rechtsklick auf den gerade importierten Schlüssel → Schlüsseleigenschaften)


    Akzeptanz auf die höchste Stufe setzen (unterster Eintrag)


    Nach erfolgreicher Operation ist die Datei 'pubring.gpg' kleiner geworden und 'secring.gpg' hat die Größe 0:


    'ls -lA ~/.thunderbird/<profile>.default/*ring*'


    5. Damit Thunderbird wieder Zugriff auf den privaten Schlüssel bekommt:


    Privaten Schlüssel in GnuPG anzeigen lassen:


    'gpg --list-secret-keys'


    Die letzten 16 Zeichen des Fingerabdrucks des gewünschten Schlüssels kopieren


    In Thunderbird die ID des privaten Schlüssels eintragen:


    Bearbeiten → Konto-Einstellungen → Ende-zu-Ende-Verschlüsselung → Schlüssel hinzufügen:


    (*) Externen Schlüssel mittels GnuPG benutzen

    ID des geheimen Schlüssels eingeben (die 16 Zeichen von oben, ohne Leerzeichen)


    Externen GnuPG-Schlüssel aktivieren


    6. Verhalten von GnuPG konfigurieren:


    'nano ~/.gnupg/gpg-agent.conf'


    Bei mir steht da als letztes (vermutlich ein Überbleibsel von Enigmail):

    ###+++--- GPGConf ---+++### Fr, 2018-05-25 19:02:37 CEST

    # GPGConf edited this configuration file.

    # It will disable options before this marked block, but it will

    # never change anything below these lines.


    Daher stehen die relevanten Einträge ganz unten:


    default-cache-ttl 60

    max-cache-ttl 600

    ignore-cache-for-signing


    Das bedeutet: die minimale Timeoutzeit beträgt 1 min., spätestens nach 10 min. wird erneut die Passphrase abgefragt. Beim Signieren ist der Cache außer Kraft - es wird immer nach der Passphrase gefragt.


    7. Rechner neu starten und das Verhalten von TB beim Signieren/Verschlüsseln/Entschlüsseln überprüfen.


    Positiver Nebeneffekt: Wenn alles richtig funktioniert, bekommt in der Ansicht der 'Nachrichten-Sicherheit OpenPGP' das Unterschriftensiegel auch das grüne Häkchen.


    Der obige Text erhebt keinen Anspruch auf Vollständigkeit und für Risiken und Nebenwirkungen übernehme ich keine Verantwortung.


    Viel Erfolg!


    --

    "Wer nichts zu verbergen hat, hat auch ein Gmail-Konto und verzichtet auf Verschlüsselung."


    "Die Grenzenlosigkeit der Informationsverarbeitung wird es gestatten, das Individuum auf seinem gesamten Lebensweg zu begleiten, von ihm laufend Momentaufnahmen, Ganzbilder und Profile seiner Persönlichkeit zu liefern, Lebensformen und Lebensäußerungen zu registrieren, zu beobachten, zu überwachen und die so gewonnenen Daten ohne die Gnade des Vergessens ständig präsent zu halten. Die Gefahren des 'großen Bruders' sind nicht mehr bloß Literatur. Sie sind real."

    BKA-Chef Horst Herold, 1980

    Edited once, last by B. Mueller: Nachtrag: Punkt 5. eingefügt ().

  • Wer sich zu diesem Schritt entscheidet, der sollte vorab ein paar Folgen bedenken. Denn mit GnuPG reitet man im Thunderbird gewissermaßen ein totes Pferd.


    • Die Funktion, auf GnuPG zurückzugreifen, ist vorrangig für Benutzer von Smartcards gedacht. Irgendwann in der Zukunft wird Thunderbird selbst Smartcards unterstützen. Es kann also sein, dass man diese Funktion dann wieder entfernt.
    • Unter Windows wird dazu weiterhin zusätzliche Software benötigt. Allen voran das GnuPG und ein Programm wie Kleopatra zur Schlüsselverwaltung.
    • Thunderbird unterstützt derzeit noch nicht alle Cyphers usw. , die mit GnuPG möglich sind. Auch komplexere Schlüsselstrukturen sind noch nicht möglich.
      Insbesondere diejenigen, die mit der Verschlüsselung beginnen, also neue Schlüsselpaare erstellen, sollten vielleicht besser nicht auf GnuPG setzen sondern das mit dem OpenPGP im Thunderbird erledigen. Es kann sonst passieren, dass sich die Schlüssel später als inkompatibel erweisen.
    • Für den automatischen Import bestehender Schlüssel wird derzeit eine spezielle Version von Enigmail verwendet. Die wird vermutlich mit einer der nächsten Versionen des Thunderbird nicht mehr funktionieren.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Wer sich zu diesem Schritt entscheidet, der sollte vorab ein paar Folgen bedenken. Denn mit GnuPG reitet man im Thunderbird gewissermaßen ein totes Pferd.


    • Die Funktion, auf GnuPG zurückzugreifen, ist vorrangig für Benutzer von Smartcards gedacht. Irgendwann in der Zukunft wird Thunderbird selbst Smartcards unterstützen. Es kann also sein, dass man diese Funktion dann wieder entfernt.
    • Unter Windows wird dazu weiterhin zusätzliche Software benötigt. Allen voran das GnuPG und ein Programm wie Kleopatra zur Schlüsselverwaltung.
    • Thunderbird unterstützt derzeit noch nicht alle Cyphers usw. , die mit GnuPG möglich sind. Auch komplexere Schlüsselstrukturen sind noch nicht möglich.
      Insbesondere diejenigen, die mit der Verschlüsselung beginnen, also neue Schlüsselpaare erstellen, sollten vielleicht besser nicht auf GnuPG setzen sondern das mit dem OpenPGP im Thunderbird erledigen. Es kann sonst passieren, dass sich die Schlüssel später als inkompatibel erweisen.
    • Für den automatischen Import bestehender Schlüssel wird derzeit eine spezielle Version von Enigmail verwendet. Die wird vermutlich mit einer der nächsten Versionen des Thunderbird nicht mehr funktionieren.

    Um bei dem Bild zu bleiben:

    Die Schlüsselverwaltung in TB ist wohl eher das neugeborene Fohlen, das noch relativ unsicher auf den eigenen Beinen steht und noch viel von GnuPG lernen muß …


    "Irgendwann in der Zukunft …" nützt dem sicherheitsbewußten Anwender nichts, der auf die Vertraulichkeit privater Schlüssel Wert legt. Anwender verzichten schon heute auf ein Update und bleiben bei Version 68 - genau aus diesem Grund!


    Daß sie sich damit bei ungefixten Sicherheitslücken in TB selbst ganz andere Probleme einhandeln, ist ein anderes Thema.


    Die in TB integrierte Verschlüsselung wird sich auch in Zukunft an dem Quasi-Standard GnuPG messen lassen müssen. Sicherheit gegen Bequemlichkeit einzutauschen ist ein ganz schlechter Tausch. Daß es auch anders geht, hat uns Enigmail gezeigt.

  • Ziemlich unbedarft mit all den Abkürzungen, vorerst/solange es geht/ ein update von V. 68 auf 78 verschiebend,

    -derzeit TB 68.12.1,64-bit, w10 home,IMAP, posteo.de, S/MIME, Avira,firewall intern-. und zwar wegen der für mich "verschlechterten" optischen Veränderungen, wünschte ich mir Naive, dass man einfach aussuchen könnte, nur die security fixes zu updaten, -ohne sich mit der Vollversion, neuen "Schlüsselproblemen" oder zusätzlicher software beschäftigen zu müssen...:)

  • Ich habe etwas Mühe, deinen Text zu verstehen. Auch in Zeiten von Messenger und Co. sollte es doch möglich sein, vollständige und verständliche Sätze zu schreiben. So muss ich etwas raten.

    Anscheinend möchtest du aus Gründen der optischen Veränderungen auf der 68 bleiben. Für den Moment mag das noch gehen - auf Dauer eher nicht.

    Die Optik lässt sich übrigens sehr weitreichend anpassen, wobei es natürlich keine Garantie gibt, dass diese Anpassungen das nächste Update überleben. Dazu findest du hier im Forum zahlreiche Tipps.


    Ich habe übrigens den Eindruck, dass die überwiegende Mehrheit flexibel ist und kein Problem mit dem veränderten Design hat. Ich habe auch schon sehr positive Kritiken gelesen, vor allem von Benutzern aus den USA.

    Vermutlich wird der "alte" Thunderbird schon in wenigen Monaten auf die meisten total hausbacken wirken. Wie das halt so ist bei Veränderungen.


    S/MIME,

    Dir ist schon klar, dass sich dieser Thread weder auf die Optik noch auf S/MIME bezieht? Es geht hier um OpenPGP. In Bezug auf S/MIME hat sich mit der 78 nichts verändert.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • //Wegen einer angepassten Optik empfehle ich vielleicht das entsprechende Unterforum. Dort wird darüber diskutiert und auch Ansätze zum Verändern gegeben und auch auf Erweiterungen verwiesen.

    Manuelle Anpassungen per CSS oder Script

    Speziell zu den ungeliebten Buttons

    Thunderbird 78 - Hässliche Icons

  • Danke SV, -Du hast meinen Text, -der zugegeben verschachtelt /aber durchaus "deutsch" war- korrekt "erraten"/verstanden :). Ich bin sehr flexibel, kenne die Forum Tips zu opt. Anpassungen, und es ist mir auch klar, dass es "hier um OpenPGP geht... Die Frage aber, "warum" man nicht updates anbieten kann, mit der Option "nur Sicherheits-updates" zu installieren, -wenn/weil man den Rest nicht braucht/nicht haben will-, stellt sich meines Erachtens unabhängig davon. Aber danke!

  • Die Frage aber, "warum" man nicht updates anbieten kann, mit der Option "nur Sicherheits-updates" zu installieren, -wenn/weil man den Rest nicht braucht/nicht haben will-, stellt sich meines Erachtens unabhängig davon.

    Mag sein. Dafür solltest du dann aber ein eigenes Thema eröffnen, denn mit der hier gegebenen Anleitung "Nach Update auf TB 78 Password/Passphrase-Abfrage für private Schlüssel wieder einrichten - Schritt für Schritt" hat das ja nun wirklich nichts zu tun.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)