PGP-Verschlüsselung geht seit heute nicht mehr für ausgehende Mails (TB 102.4.2 (64-Bit auf Xubuntu 20.04)

  • Ich benutze Thunderbird unter Xubuntu 20.04 für mehrere Mailkonten und mit OpenPGP-Verschlüsselung.


    Zu den Mailkonten gibt es verschiedene Schlüsselpaare privat/öffentlich. Für zwei Postfächer benutze ich auch ein gemeinsames Schlüsselpaar.


    Meine letzte veschlüsselte&signierte Mail habe ich am 2022-12-29 erfolgreich versandt. Meine letzte signierte, aber nicht verschlüsselte Mail habe ich gestern erfolgreich versandt.


    Heute habe ich von jemand anderem eine verschlüsselte und signierte Mail empfangen und konnte sie auch lesen (Schloß und Siegel mit grünem Haken). Dabei kamen die gleichen Schlüssel vor, wie sie in meiner Schlüsselverwaltung stehen und die ich schon in diversen Thunderbird-Versionen (auch von Version 68 und davor) funktionierten.


    Als ich auf eine heute empfangene verschlüsselte Email antworten wollte, kam diese Fehlermeldung:


    "Die Nachricht konnte nicht gesendet werden, da es ein Problem mit Ihrem persönlichen Schlüssel gibt. Sie haben nicht den geheimen Schlüssel für xxx@xxxx.xx <xxxx@xxxx.xx> (Schlüssel-ID 0xXXXXXXXXXXXXXXXX) in Ihrem Schlüsselbund und können den Schlüssel daher nicht für eine digitale Unterschrift einsetzen."


    Ich konnte die beabsichtigte Email noch nicht einmal unverschlüsselt senden. Dann habe ich geprüft, ob ich verschlüsselte&signierte oder unverschlüsselte&signierte Mails zwischen den anderen Mailkonten austauschen konnte: Das ging auch nicht mit im Prinzip gleicher Fehlermeldung, wobei jedesmal natürlich statt der xxxx die entsprechenden IDs und Mailadressen der fraglichen Konten in den Fehlermeldungen auftauchten.


    Ich konnte allerdings unverschlüsselte&unsignierte Mails austauschen.


    Von zwei anderen Rechnern, die Zugriff auf die gleichen Postfächer haben (aber mit älteren Versionen, eine 68.10.0 (64-Bit), der andere 91.11.0 (64-Bit), konnte ich mir verschlüsselte&signierte Mails zusenden und die auch auf diesem Rechner lesen, dessen Thunderbird-Verschlüsselung nicht mehr funktioniert. Sie wurden auf diesem Rechner auch mit Schloß und Siegel mit grüner Markierung dargestellt.


    Meine OpenPGP-Schlüssel stammen von Oktober 2016, März 2019 und August 2020 und sie laufen nie ab. Ich habe kontrolliert, daß die Schlüssel-IDs der beteiligten Konten alle in der Schlüsselverwaltung von Thunderbird vorkommen und sie auch nicht abgelaufen sind und daß ich ihre Fingerabdrücke geprüft und für gut befunden habe.


    Wie allgemein empfohlen, muß ich zum Öffnen von Thunderbird ein Paßwort eingeben, Das habe ich heute natürlich auch gemacht.


    Merkwürdig:

    1. Zum Signieren verwendet TB den privaten Schlüssel. Bei jedem der Konten beschwert es sich, daß es den nicht hätte.

    2. Zum Decodieren einer eingegangenen Mail braucht es den privaten Schlüssel. Daß es die Mails decodieren kann, zeigt doch, daß der private Schlüssel da ist!

  • Merkwürdig:

    1. Zum Signieren verwendet TB den privaten Schlüssel. Bei jedem der Konten beschwert es sich, daß es den nicht hätte.

    2. Zum Decodieren einer eingegangenen Mail braucht es den privaten Schlüssel. Daß es die Mails decodieren kann, zeigt doch, daß der private Schlüssel da ist!

    Der Grund ist, daß nach dem Übergang von Enigmail auf OpenPGP ab TB Version 78.* nur noch ein privater Schlüssel für ausgehende Mails konfiguriert werden kann und die Identität übereinstimmen muß, s.: 'Konten-Einstellungen → Ende-zu-Ende Verschlüsselung'.


    'Signieren' erfolgt mit dem privaten Schlüssel, damit der Empfänger die Signatur mit dem öffentlichen Schlüssel überprüfen kann. Das kann also nur mit diesem einen Schlüssel und der vorgegebenen Identität funktionieren. Bei Enigmail konnte man über die Empfängerregeln einstellen, welcher Schlüssel für welche Adresse benutzt werden sollte.


    Bei eingehenden Mails wird anhand der Identität der passende private Schlüssel zum Enschlüsseln benutzt – das funktioniert daher ohne Probleme.

  • Quote

    Der Grund ist, daß nach dem Übergang von Enigmail auf OpenPGP ab TB Version 78.* nur noch ein privater Schlüssel für ausgehende Mails konfiguriert werden kann und die Identität übereinstimmen muß, s.: 'Konten-Einstellungen → Ende-zu-Ende Verschlüsselung'.

    Den Wechsel TB'68 -> TB'78 habe ich lange erfolgreich hinter mir. Danach hat auch alles bis auf einen öffentlichen Schlüssel von jemand anderem funktioniert. Auch mein Schlüsselpaar für drei Email-Identitäten hat weiter funktioniert. Bis um den Jahreswechsel. Am 1. Januar habe ich sogar noch eine signierte, aber unverschlüsselte Mail versenden können. Die Decodierung eingegangener Mails funktioniert erstaunlicherweise weiter - trotz der Fehlermeldung!


    Weil der private Schlüssel bei der Erstellung der Signatur eine Rolle spielt, wundert es mich, daß der beim Senden angeblich nicht da ist, andererseits die Decodierung einer eingegangenen Mail funktioniert.


    Erstaunlich ist auch, daß Verschlüsselung bei allen Konten in Thunderbird auf diesem Rechner nicht mehr funktioniert, auch bei den Identitäten, bei denen kein Schlüssel für mehrere eine Rolle spielen kann.

  • Weil der private Schlüssel bei der Erstellung der Signatur eine Rolle spielt, wundert es mich, daß der beim Senden angeblich nicht da ist, andererseits die Decodierung einer eingegangenen Mail funktioniert.

    Man kann mehrere Schlüsselpaare in OpenPGP von TB verwalten, aber pro Konto nur einen privaten Schlüssel für eine Identität zum Signieren festlegen. Wie gesagt – schau unter 'Konten-Einstellungen → Ende-zu-Ende Verschlüsselung' nach, ob der passende Schlüssel für die Identität ausgewählt ist.