Lost in openPGP

Zitat von mungo

Was ich mir gewünscht hätte, wäre eine Abfrage wie vor einem System-upgrade, wo auf die grundsätzlichen Änderungen hingewiesen wird und unsereins auf der Basis von release notes und FAQ eine Entscheidung treffen kann. Vorher.

Das Problem ist, das man Normalnutzern damit vorgaukeln würde, es gäbe eine Alternative zum Upgrade.

Eine alte Version von Thunderbird einzusetzen ist ein massives Risiko, da es dort bekannte Sicherheitslücken gibt. Dagegen ist fast jede Einschränkung in der Funktionalität weitgehend irrelevant: wenn ein Angreifer deine verschlüsselten Mails im Klartext raustragen kann, ist es für die Sicherheit unerheblich wie oft du dein Passwort eingeben musstest...

Für nicht-Normalnutzer gibt es die Option, Updates nur manuell durchzuführen. Das bedeutet, dass man selbstständig mindestens einige Stunden pro Monat investieren muss. Wenn du dazu bereit bist und die Gesamtsituation verstehst, ist das eine Option die vielleicht besser zu dir passt: lies vor jedem Update die Release Notes und ggf. die zugehörigen CVEs und entscheide entsprechend deiner Situation selbst, ob du das Update installierst oder andere Maßnahmen gegen die Sicherheitslücken ergreifst. Du musst das dann aber wirklich regelmäßig tun, sonst erreichst du das Gegenteil von Sicherheit.

Zitat von mungo

während ich leise hoffen darf, daß möglicherweise das ein oder andere nachgebessert wird.

Definitiv!

Zitat von mungo

und es fehlt die Option, das zu verhindern

Und eben das stimmt einfach nicht. Auch wenn ich mich wiederhole: Du musst lediglich ein Master Password setzen und beim Verlassen den Bildschirm sperren. Damit erreichst du dasselbe Ziel. Du hast also sehr wohl eine Option! Wenn du sie nicht nutzen magst, ist es deine Entscheidung. Es ist aber nicht fair, den Entwicklern etwas Unwahres zu unterstellen.

Zitat von mungo

Einmal, weil features verlorengegangen sind, an die ich mich gewöhnt habe

Es fehlen in der Tat noch einige Funktionen. Ich würde sie in zwei Schweregrade einteilen: Bei manchen kann man sich selbst behelfen, wenn man will. So ist es bei der fehlenden Abfrage der Passphrase. Bedenkt man den frühen Entwicklungsstand, empfinde ich es das als durchaus zumutbar.

Bei anderen gibt es diese Möglichkeit nicht, wie zum Beispiel bei der Unterstützung komplexer Schlüsselstrukturen. Hier hätte ich Verständnis für "Beschweren".

Doch auch hier ist es nicht so, dass man dich zu etwas zwingen würde, wie du oben geschrieben hast. Du hast immer die Option, das Produkt zu wechslen. Evolution ist durchaus ein Kandidat. Das benutze ich auch. Du kannst sogar die lokalen Mails aus Thunderbird übernehmen.

Es hat halt den Haken, dass es nicht für alle Plattformen verfügbar ist. Auch andere gewohnte Dinge wirst du zunächst vermissen. Dann relativiert es sich vielleicht, dass du anstatt der Passphrase nun das Benutzerpasswort eingeben musst.

Zitat von mungo

Das war in 68.* nicht möglich

Sobald ein Angreifer Code ausführen kann ist das eben doch möglich. Ein Beispiel: der Angreifer öffnet zu einem passenden Moment ein Fake-Passwort-Popup um dein Passwort abzugreifen – der damit verschlüsselte private Schlüssel ist ja ohnehin immer lesbar, genau wie alle Mails.

Mir ist nicht bekannt, dass jemand genug Interesse hätte das in der Praxis auch zu tun (ein Vorteil davon, dass E-Mail-Verschlüsselung nicht weit verbreitet ist^^), aber prinzipiell schützen Passwortabfragen nicht mehr, sobald ein Client übernommen wurde. Die Bedeutsamkeit von Sicherheitslücken unterschätzt man leicht, gerade (aber nicht nur!) als normaler Anwender.

Zitat von mungo

Das ist jetzt Geschichte, denn der Aufruf einer Mail in TB 78.* entschlüsselt dank der Integration von openPGP seit dem Import aus EnigMail automatisch, und es fehlt die Option, das zu verhindern. Ich "muß" die passphrase überhaupt nicht mehr eingeben.

Wie Susi to visit schreibt: du musst vorher das Master-Passwort eingeben (außer du hast keines gesetzt, dann hättest du aber auch schon in 68 alle Zugangsdaten unverschlüsselt gespeichert?!). Die Daten bleiben also weiterhin immer verschlüsselt gespeichert. Wenn das nicht der Fall ist, dann wäre das ein tatsächlich ein kritischer Bug.

Und wenn dich wirklich nur das stört, kannst du die privaten Schlüssel auch in Thunderbird löschen und wieder in gnupg verwalten, Thunderbird 78 hat dafür die versteckte Option 'mail.openpgp.allow_external_gnupg'. Öffentliche Schlüssel müssen aber immer in Thunderbird vorhanden sein, auch deine eigenen (WOT gibt es dadurch also nicht). Der automatische Import nimmt halt an, dass du den neuen und bequemen Weg willst, und hat dich daher umgestellt.

Zitat von generalsync

Sobald ein Angreifer Code ausführen kann ist das eben doch möglich. [...] Die Bedeutsamkeit von Sicherheitslücken unterschätzt man leicht, gerade (aber nicht nur!) als normaler Anwender.

Dickes ++

Zumal ein Angreifer ggf. auch aus dem RAM lesen kann, wo die betrachteten Mails dann unverschlüsselt vorliegen.

Zitat von mungo

Mach mich schlau, bitte.

Siehe Migrationshinweise zu Funktionen/Einschränkungen bei OpenPGP in TB 78.2.2.

Zitat von mungo

Mein /home/ ist verschlüsselt und mein login macht die Schlüssel frei, weil ich die ja auch anderswo brauche.

Damit sind alle Dateien darin vollständig ohne weitere Einschränkungen für jeden Prozess unter deinem Nutzeraccount lesbar. Wenn dir das reicht, brauchst du nach der gleichen Argumentation doch auch kein Passwort für PGP? Alle PGP-Schlüssel werden im Home-Verzeichnis gespeichert, sofern du dein Profil nicht an einen anderen Ort auslagerst.

Wenn dir das nicht reicht, setze ein Master-Passwort oder mach es dir mit ausgelagerten Schlüsseln unbequem.

Zitat von mungo

Ich kenne kein Szenario außer dem efail, bei dem das bisher möglich gewesen ist.

Alle roten Einträge unter https://www.mozilla.org/en-US/security…es/thunderbird/

Ich zähle seit 78 zwar nur eine Lücke, die nicht als "cannot be exploited through email" markiert wurde und die Ausführung von beliebigem Code zulässt; aber eine reicht ja, und in vielen Situationen macht Thunderbird ja doch auch mal einen Browsing-Kontext auf (Add-ons, Feeds, E-Mail-Loginseiten for OAuth, ...), spätestens dann werden auch alle anderen roten Einträge relevant. Ich will hier aber nicht die große Diskussion aufmachen wie wahrscheinlich es ist, dass solche Lücken bei dir persönlich ausgenützt werden.

Wenn du persönlich für dich beschließt das das Risiko nicht relevant ist, kann ich auch gut damit leben – ist ja nicht mein Risiko.

Zitat von mungo

Wer dann Zugang zu meinem Rechner bekommt, muß jetzt nur klicken, weil alles ohne passphrase aufgeht.

Richtig. Wenn du kein Master Password verwendest und den Rechner nicht sperrst, hat er/sie Zugang zum gesamten home. Somit auf alle Mails, Fotos, Videos und alle Dokumente. Vor allem auch auf die Passwörter.

In deiner konstruierten Situation kann er/sie dir den Rechner auch einfach stehlen, dich von allen Konten aussperren, in aller Ruhe deine Identität übernehmen und gleich mal ein paar Bestellungen auf deine Rechnung machen. Die wenigen verschlüsselten E-Mails sind dann bestimmt das geringste Problem.

Solange du kein Master Password setzt, sind sämtliche im Thunderbird gespeicherten Passwörter lesbar. Das war übrigens schon immer so.

Das alles ließe sich leicht verhindern oder zumindest sehr erschweren. Ein Passwort und zwei Tasten genügen.

Zitat von mungo

Wenn ich die Rechte-Verwaltung unter Linux halbwegs verstehe, ist das ziemlich schwierig, ein script auszuführen, bei dem ich keinen sudo-prompt kriege.

Dann hast du die Rechteverwaltung nicht richtig verstanden. Für den Zugriff auf das home benötigt ein script nur Benutzerechte. Und auch unter Linux gab es schon Privilegieneskalationen. Die wird es auch künftig geben. Da sollte man sich auch als Linuxer nichst vormachen.

Zitat von mungo

Das stimmt so nicht, denn es muß irgendwelche Privilegien haben, um dort nicht nur zu nisten, sondern auch was auszubrüten.

Ich schrieb:

Zitat von Susi to visit

Für den Zugriff auf das home benötigt ein script nur Benutzerechte. Und auch unter Linux gab es schon Privilegieneskalationen. Die wird es auch künftig geben. Da sollte man sich auch als Linuxer nichst vormachen.

Und das stimmt auf's Wort, bis auf die zwei verdrehten Buchstaben. Das kannst du in jeden Basishandbuch zu Linux nachlesen. Wenn dir das wirklich nicht bewusst ist, dann bist du bisher einem schweren Irrtum erlegen.

Zitat von mungo

Zum Thema: Meine Freundin hat dasselbe Problem mit den fehlenden Empfänger- oder globalen Einstellungen

Du hast eine ganze Reihe Themen "aufgemacht" und dazu auch Hinweise bekommen, wo du dich über den aktuellen Stand der Entwicklung informieren kannst. Mehr können wir hier nicht für dich tun.

Ob es dir gefällt oder nicht, du wirst dich in Geduld üben müssen und auch die eine oder andere Änderung in der Herangehensweise akzeptieren müssen. Das wird auch in Zukunft so sein. Dinge ändern sich nun einmal.

Du hast immer die Option, zu einem anderen Client zu wechseln. Das erfordert dann allerdings eine noch größere Anpassungsbereitschaft deinerseits als die im Verhältnis dazu geringen Änderungen bzgl. OpenPGP.