TB 78.14.0 (64 bit) erkennt OpenPGP-verschlüsselte nachricht nicht bzw. kann diese nicht entschlüsseln

  • TB 78.14.0 (64 bit)

    Windows 10 Pro / 20H2

    POP

    1&1 IONOS

    TB PGP-intern

    Norton 360

    Firewall Norton


    Die u.s. Mail (die wesentlichsten Auszüge davon) wird nicht als PGP-Mail erkannt bzw. nicht entschlüsselt.

    Im Vorschaufenster wird "OpenPGP" nicht angezeigt.

    In der Vorschau oder auch beim Doppelklick auf die Nachricht wird nur ein leeres Fenster gezeigt.

    Die Nachricht hat zwei Anhänge:

    1. Verschlüsselter Teil der Nachricht.eml (174 Bytes, wobei das "ü" als Sonderzeichen "schwarze Raute mit Fragezeichen" dargestellt wird)

    2. sendername.asc (1,2 KB)


    Ich habe keine Ahnung von den TB Internas. Ich bin nur Anwender.


    Hat jemand eine Idee?


  • graba

    Approved the thread.
    1. Hat es schon jemals mit diesem Absender funktioniert?
    2. Funktioniert es in umgekehrter Richtung?
    3. Funktioniert es, wenn du dir selbst eine verschlüsselte Nachricht schickst?
    4. Funktioniert es mit anderen Empfängern?

    Die Nachricht hat zwei Anhänge:

    1. Verschlüsselter Teil der Nachricht.eml (174 Bytes, wobei das "ü" als Sonderzeichen "schwarze Raute mit Fragezeichen" dargestellt wird)

    2. sendername.asc (1,2 KB)

    Der erste Teil erscheint mir sehr klein und außerdem sollten dort keine Nicht-ASCII Zeichen vorkommen. Er sollte nicht als Anhang, sondern innerhalb des Blocks:

    Code
    -----BEGIN PGP MESSAGE-----
    Version: OpenPGP totemomail
    .
    -----END PGP MESSAGE-----

    stehen.


    Der zweite Teil enthält einen öffentlichen Schlüssel mit der Kennung: B2A4DD1CD491E2F5

    Diesen solltest du unter: Extras → OpenPGP-Schlüssel verwalten finden.


    Es stellt sich natürlich noch die Frage: Welche Rolle spielt Norton bei dem Problem …?

  • Danke, dass Sie sich die Zeit nehmen mein Problem zu analysieren.


    1. Vor der Integration von Open PGP gab es mit dem Absender keine Probleme.

    2. In umgekehrter Richtung ist es kein Problem.

    3.Mir selbst eine verschlüsselte Nachricht zu schicken ist kein Problem.

    4. Andere Sender/Empfänger, die auch TB verwenden, haben kein Problem mit PGP-verschlüsselzen Mails.


    Der Absender dieser Mail verwendet Outlook.


    Auf meinem Handy mit K-9 Mail ist das Empfangen von PGP-verschlüsselten Mails von diesem Absender auch kein Problem.

  • Der Schlüssel aus dem Anhang ist übrigens in der Schlüsselverwaltung sichtbar und als gültiger öffentlicher Schlüssel des Absenders anerkannt.

  • Zwischen "Begin und End PGP Message" steht übrigens auch jede Menge verschlüsselter Text. Ich nehme mal an, der aus der angehängten .eml Datei. Allerdings erscheint diese mir in der Tat sehr kurz. Den habe ich nur der Übersichtlichkeit wegen weggelassen und durch die

    .

    .

    .

    dargestellt.


    Eine an die Mail angehängte .pptx Datei fehlt allerdings gänzlich.

  • Es sieht also nach einem speziellen Problem mit dieser Firma aus, die die Verschlüsselung über «totemomail»[1] erledigen läßt.


    Was mir noch aufgefallen ist: Dieser Anbieter kennzeichnet den PGP-Block mit:

    Code
    Content-Type: application/octet-stream; name=encrypted.asc
    Content-Transfer-Encoding: 7bit
    Content-Disposition: inline; filename="encrypted.asc"

    während Thunderbird ihn so deklariert:

    Code
    Content-Type: application/octet-stream; name="encrypted.asc"
    Content-Description: OpenPGP encrypted message
    Content-Disposition: inline; filename="encrypted.asc"

    Vielleicht liegt hier das Problem …?


    Nachtrag:

    Es liegt nicht an der Kennzeichnung «Content-Transfer-Encoding: 7bit, sondern weiter oben im Quelltext:

    Code
    MIME-Version: 1.0
    Content-Type: multipart/mixed;

    Das sieht in TB normalerweise so aus:

    Code
    MIME-Version: 1.0
    Subject: ...
    Content-Type: multipart/encrypted;
     protocol="application/pgp-encrypted";

    Eine empfangene Testmail mit nachträglich manipuliertem Header nach deinem Beispiel liefert genau das gleiche Ergebnis: Eine leere Mail mit zwei Anhängen, wobei der erste sehr klein ist.


    Dieses Problem müßte man aber mit dem Anbieter «totemomail» klären.


    Damit bin ich aber auch schon raus. Hoffentlich kann ein anderer Forenteilnehmer mehr zu Erfahrungen mit diesem Anbieter sagen.


    [1] https://www.totemo.com/de/produkte/email-verschluesselung

    Edited once, last by B. Mueller: Nachtrag eingefügt. ().

  • Die u.s. Mail (die wesentlichsten Auszüge davon) wird nicht als PGP-Mail erkannt bzw. nicht entschlüsselt.

    Ist das ein einmaliges Problem mit dieser Mail? Oder dauerhaft seit 78? Betrifft es nur diesen Absender, diese Firma?

    Auf meinem Handy mit K-9 Mail ist das Empfangen von PGP-verschlüsselten Mails von diesem Absender auch kein Problem.

    Kann K-9 oder ein anderes Programm auch diese besagte Mail entschlüsseln? Falls ja, handelt es sich sehr wahrscheinlich um ein Thema im Thunderbird. Das wäre keine große Überraschung, denn OpenPGP im Thunderbird ist noch immer frisch. Wenn nur die eine Mail sich weigert, während andere vom selben Absender entschlüsselt werden, war es möglicherweise nur ein Hickser im Totemo.

    Was mir noch konkret auffällt, sind die fehlenden Anführungszeichen im Content-Type bei name=encrypted.asc. Ob das ein Problem ist, weiß ich nicht. Dazu kenne ich mich mit Mail zu wenig aus.

    Zu Totemo und ähnlichen Anbietern: Die Schweizer waren beim Thema Vertraulichkeit schon immer eine Nase voran. Nicht nur bei den Nummernkonten. Das Verfahren ist eine super Sache. So etwas sollte jede größere Firma zu ihrem eigenen Schutz haben, wenn man mich fragen würde. Da wird verschlüsselt, ohne dass die Anwender Ahnung haben müsste, wie das geht. Das ist eigentlich absolut DAU-sicher. So schafft man es, die komplette Belegschaft zum Verschlüsseln zu bringen und sich besser vor Industriespionage usw. zu schützen.

    Es gibt durchgängige E2E-Verschlüsselung und eine hybride Version. Augenscheinlich, weil PGP, verwendet deine Absenderfirma die hybride Variante. Dabei wird auf einem Gateway in der DMZ ver- und entschlüsselt, damit die Firma die Mails auf Malware und Co checken kann. So ähnlich wie bei einigen AV für den Privatgebrauch.

    Damit das funktioniert gibt es für jeden Mailpartner ein Profil bei der Firma. Das wird automatisch angelegt. Darin ist u.a. der öffentliche Schlüssel hinterlegt, auch die bevorzugte Methode. Dort lässt sich auch hinterlegen, dass eine Mail von bestimmten Absendern oder für bestimmte Empfänger gar nicht erst das Haus verlässt, solange sie nicht verschlüsselt ist. Umgekehrt können unverschlüsselte Mails automatisch abgewiesen werden.

    Knifflig kann es werden, wenn das Profil nicht mehr aktuell ist. Thunderbird sollte jedoch zumindest erkennen, es geht um eine PGP-Mail. Selbst, wenn der Schlüssel nicht mehr passt.

    Diese Firma hat ganz sicher jemanden, der das klären kann. Es gibt dort garantiert einen verantwortlichen Admin und Support von Totemo. Vorher checke noch, ob es nur diese eine Mail war, von diesem einen Absender und ob andere Programm mit der Mail klarkommen.

    Unser Verein. Unsere DNA.

  • Das Problem besteht seit 78. und es betrifft alle verschlüsselten Mails von diesem Absender.


    K-9 kann alle verschlüsselten Mails von diesem Absender entschlüsseln.

  • Sieht so aus, als würde der Thunderbird etwas an der Mail nicht mögen. Ob das ein Fehler ist, keine Ahnung. Das muss dir jemand sagen, der mehr Plan zu PGP in Mails, Content-Type und so weiter hat. Da kommen nach meiner Erfahrung nicht viele infrage. Du kannst noch selbst herausfinden, ob es vielleicht an den fehlenden Anführungszeichen liegt. Speichere die Mail als eml und füge die " hinzu. Dann versuche, die eml zu öffnen.

    Noch ne Frage. Verwendest du überall dasselbe Schlüsselpaar? Hat sich das in letzter Zeit geändert? Kann es sein, dass dein Profil im Totemo bei der Firma deshalb nicht zu den Schlüsseln im Thunderbird passt? Wie geschrieben, sollte Thunderbird einen falschen Schlüssel erkennen und melden. Man weiß aber nie. Letztlich bleibt dir noch der Weg, dich an die Firma zu wenden. Der einzelne Anwender wird dir eher nicht weiterhelfen können. Die haben aber garantiert jemanden, der Plan hat.

    Unser Verein. Unsere DNA.

  • Zu Totemo und ähnlichen Anbietern: Die Schweizer waren beim Thema Vertraulichkeit schon immer eine Nase voran. Nicht nur bei den Nummernkonten. Das Verfahren ist eine super Sache.

    Diese Lobhudelei ist unangemessen - Stichwort: Crypto AG.

    Crypto AG: Ein Spionagethriller holt Deutschland ein
    Schwarze Kassen, manipulierte Geräte: Über eine Schweizer Firma spionierten CIA und BND jahrzentelang auch verbündete Staaten aus.
    www.sueddeutsche.de

  • Es liegt definitiv an TB!


    Wenn ich mir den Quelltext von "----- Beginn PGP Message -----" bis "----- End PGP Message -----" der verschlüsselten Mail in eine Datei kopiere und diese als .txt speichere und dann den Inhalt dieser Datei z. B. mit Kleopatra oder einem anderen Entschlüsselungsprogramm entschlüssele, diese entschlüsselte Datei in .eml umbenenne und mit TB öffne, dann kann ich den Text der Mail lesen und auch der entschlüsselte Anhang wird angezeigt.

  • Da auch K-9 den Text der verschlüsselte Mail entschlüsseln und darstellen kann und deren Anhang ebenso korrekt entschlüsselt, halte ich dies fûr weniger wahrscheinlich.

  • Diese Lobhudelei ist unangemessen

    Unangemessen finde ich eher deinen Beitrag zur Crypto AG. Das ist ja eher ein Beleg für meine These, dass die Schweizer hier schon früh gut unterwegs waren. Die hatten schon 1970 Verschlüsselungstechnologie, die so führend war, dass sich BND und CIA da eingeschlichen haben. Bei irgendeiner Hobbyklitsche hätte sie das nicht gemacht. Zur dieser Zeit kannte ich Computer nur aus Raumschiff Enterprise.

    Nein - «totemomail» deklariert den Inhalt der verschlüsselten Mail falsch:

    Ist das eine Vermutung, oder kannst du belegen, dass diese Deklaration falsch ist? Dann bitte ich um eine Erklärung. Die Mail enthält mehrere solcher Deklarationen. Darunter auch Content-Type: multipart/encrypted; protocol="application/pgp-encrypted". Inline PGP enthält als Content-Type text/plain.

    Wie kommt es, dass Enigmail/GnuPG solche Mails tadellos schluckt und andere Programme auch? Nur der neue Thunderbird nicht?

    Unser Verein. Unsere DNA.

  • MIME-Version: 1.0

    Subject: ...

    Content-Type: multipart/encrypted;

    protocol="application/pgp-encrypted";


    Hab das ausprobiert. Die Änderung führt nur dazu, dass die Mail nun als PGP- Verschlüsselt erkannt wird. Allerdings ist nach wie vor kein Mailtext zu sehen (nur leeres Fenster) und der Anhang, der mitgeschickt wurde ist auch nicht da.


    Neben dem Text "OpenPGP" ist nun ein rot durchgestrichenes Schloß zu sehen. Wenn man draufklickt kommt die Meldung: "Es gibt unbekannte Probleme mit dieser verschlüsselten Nachricht."

  • Da auch K-9 den Text der verschlüsselte Mail entschlüsseln und darstellen kann und deren Anhang ebenso korrekt entschlüsselt, halte ich dies fûr weniger wahrscheinlich.

    Du selbst hast geschrieben:


    «1. Vor der Integration von Open PGP gab es mit dem Absender keine Probleme.»


    d. h. die Vorgängerversion von TB 78.* mit Enigmail konnte damit ebenfalls umgehen. Das ist aber kein Beweis, daß es an TB liegt.


    Läßt sich leicht verifizieren, indem man die Header wie oben beschrieben modifiziert …

  • Die hatten schon 1970 Verschlüsselungstechnologie, die so führend war, dass sich BND und CIA da eingeschlichen haben. Bei irgendeiner Hobbyklitsche hätte sie das nicht gemacht. Zur dieser Zeit kannte ich Computer nur aus Raumschiff Enterprise.

    1970 gab es keine «Hobbyklitschen» im Bereich Verschlüsselung. Ich habe zu dieser Zeit u. a. mit der KL-7 gearbeitet, m. W. ebenfalls ein Schweizer Produkt.

    KL-7 – Wikipedia
    de.wikipedia.org

  • Der veränderte Content-Type hat immerhin dazu geführt, dass Thunderbird nun überhaupt mal merkt, hier liegt eine verschlüsselte Mail vor. Immerhin. Was die Frage aufwirft, ob der Thunderbird sich seit der 78 zu empfindlich oder falsch verhält, oder ob die Mail nicht konform ist. Das kann ich nicht beantwortet. Herr Müller augenscheinlich auch nicht. Meine Tendenz würde klar in Richtung Thunderbird gehen. Siehe unten.

    Allerdings ist nach wie vor kein Mailtext zu sehen (nur leeres Fenster) und der Anhang, der mitgeschickt wurde ist auch nicht da.

    Hast du auch mal die Anführungszeichen ergänzt, wie in #7 resp. #10 vorgeschlagen? Was ist mit

    Verwendest du überall dasselbe Schlüsselpaar? Hat sich das in letzter Zeit geändert? Kann es sein, dass dein Profil im Totemo bei der Firma deshalb nicht zu den Schlüsseln im Thunderbird passt?

    Wenn alles nichts hilft, wird es schwierig. Du könntest einen Bug eröffnen. Dazu brauchst du bestimmt die Unterstützung der Firma. Die Entwickler müssten ein Beispiel haben. Es bleibt auch noch, die Firma zu kontaktieren. Möglicherweise bist du nicht der einzige, und die haben von dem Problem schon gehört. Ist vielleicht nicht sehr wahrscheinlich, weil deren Leute und Kunden bestimmt vorrangig Outlook benutzen. Doch, besser als nichts in Hand. Versuch macht kluch.


    Das ist aber kein Beweis, daß es an TB liegt.

    Richtig. Kein Beweis. Aber ein sehr starkes Indiz. Es funktionierte vorher bis zur einschließlich Version 68, es funktioniert mit anderen Mailprogrammen. Nur mit der 78, seit der neuen PGP-Implementation, funktioniert es plötzlich nicht. Die Firma versendet vermutlich täglich hunderte solcher Mails. Wenn die dabei gegen eine Norm/RFC verstoßen würden, hätten die das längst bemerkt, meinst du nicht? Ich meine, wenn etwas quakt, wie eine Ente und watschelt wie Ente und auch wie eine Ente aussieht, dann wird es vermutlich eine sein. Auch, wenn das natürlich kein Beweis ist.

    Unser Verein. Unsere DNA.