Open PGP Problem

Zitat von akoerber

Wenn ich nun eine Mail schicken will, fragt Thunderbird nach dem privaten Schlüssel, akzeptiert ihn aber nicht. Es ist 100% der richtige.

Wie zeigt sich diese Situation? Bitte ein anonymisiertes Bild zum besseren Verständnis.

Zitat von akoerber

1. Meldung nach Senden-Versuch ..."
[...]
2. Schlüsselverwaltung:

Der unter "1. Meldung nach Senden-Versuch ..." gezeigte Frage-Dialog erscheint eigentlich nur, wenn es sich um eine externe Schlüsselverwaltung handelt.
Ist dieses bei dir der Fall?
Wenn dem so ist, dann haben deine privaten (geheimen) Schlüssel in der Schlüsselverwaltung nichts zu suchen, sondern nur deine öffentlichen Schlüssel.

Werden deine Schlüssel direkt von Thunderbird verwaltet, so dürfen sich in der Schlüsselverwaltung nur deine privaten (geheimen) Schlüssel befinden, denn in diesen sind deine öffentlichen Schlüssel schon enthalten!

Unter "2. Schlüsselverwaltung:" ist nämlich zu sehen, dass deine privaten (geheimen) als auch deine öffentlichen Schlüssel sich in der Schlüsselverwaltung befinden. Ist dem so?

Zitat von akoerber

Hmm, das verstehe ich noch nicht ganz.

Nun, der im Bild1 gezeigte Frage-Dialog erscheint bei einer internen Schlüsselverwaltung nur dann und nur einmal, wenn ein Schlüssel importiert wird. Später wird nach der Passphrase nie wieder gefragt, da die Passphrase von TB eliminiert bzw. zerstört wird! Lässt du dir einen Schlüssel von TB erstellen, so wird nie eine Passphrase erstellt. Eine Passphrase wird im letzten Fall nur bei dem Export des Schlüssels aus TB erfragt.

Bei dem Signieren und/oder Verschlüsseln einer Nachricht (siehe deine Beispiel-Mail) wird also nie nach der Passphrase gefragt, da TB diese bei importierten Schlüsseln eliminiert und bei intern erzeugten Schlüsseln halt erst gar nicht anlegt!

Schlussendlich zeigen deine Bilder eine nicht logische Verwaltung deiner Schlüssel!

Zitat von akoerber

Wie kann ich denn die interne Schlüsselverwaltung abstellen? Hintergrund ist, dass ich mehrere Profile habe, die ab und zu auf dieselben Schlüssel zugreifen müssen. Deshalb auch Cleopatra.

Du kannst durchaus bei der internen Schlüsselverwaltung (default) bleiben. Bitte beantworte mir folgende Fragen:

• Hast du überhaupt schon einmal signierte/verschlüsselte Mails mit anderen Personen ausgetauscht?
• Wie viele Mailkonten hast du und hast du die dazugehörigen privaten Schlüssel unter Einstellungen => Konten Einstellungen => <dein Konto> => Ende zu Ende Verschlüsselung => OpenPGP korrekt hinterlegt (bitte ein Bild!)?
• Hast du die öffentlichen Schlüssel deiner Mail-Partner in der Schlüsselverwaltung hinterlegt? Ich sehe dort (Bild2 in #3) momentan nur deine Schlüssel.
• Hast du dir selbst schon einmal eine signierte/verschlüsselte Mail gesendet? Wurde diese korrekt entschlüsselt und verifiziert?
• Bei welchen Vorgängen benötigst du konkrete Hilfe?

Zitat von akoerber

Ich nutze PGP /GPG seit ca 20 Jahren.

Ok. Allerdings sind deine momentanen Probleme (siehe Bild1 in #3) absolut nicht nachvollziehbar.

Zitat von akoerber

... und dabei auch einen neuen (den 0FD7) angelegt habe.

Nochmal:
Wurde dieser Schlüssel in TB korrekt hinterlegt (Bild)?
Hast du dir mit diesem Schlüssel schon eine Test-Mail an dich selbst gesendet und wurde diese Mail korrekt entschlüsselt und verifiziert?

Zitat von akoerber

In meinem anderen Profil funktioniert es nun - und ich weiß nicht, warum. Dort ist es ein anderer Schlüssel. Dort wird die Passphrase in der Tat bei Benutzung nicht abgefragt.

In deinem Screenshot sieht man, dass auch für S/MIME Schlüssel vorgesehen sind. Für einen Test bezüglich GnuPG sollte man zunächst die S/MIME-Schlüssel nicht aufnehmen und diese erst hinzufügen, wenn die Signierung/Verschlüsselung mit GnuPG reibungslos funktioniert.

Allerdings sollte es auch mit der Kombination aus GnuPG und S/MIME keinerlei Probleme geben. Da GnuPG nun in einer anderen Installation bei dir funktioniert, ist ein Hinweis darauf, dass bei dem Import der Schlüssel etwas schiefgelaufen sein muss.

Hinweis:
Wie du nun selbst erleben darfst, hat die interne Schlüsselverwaltung den erheblichen Nachteil, dass verschlüsselte Nachrichten grundsätzlich in Klarschrift dargestellt werden, was u.U. nicht gewollt ist (jemand steht hinter dir oder hat gar Zugriff auf deine TB-Installation).

Zitat von akoerber

Ich habe nun auch im Problem-Profil einen neuen Schlüssel erzeugt. Dann geht es.

Prima!

Zitat von akoerber

Die Frage ist ja nun, wie man die interne Schlüsselverwaltung zugunsten einer externen (Kleopatra) aufgibt ...

Dieses ist mit einigen Schritten schnell erledigt:

• entferne zunächst alle Schlüssel (privat & öffentlich) aus deiner Schlüsselverwaltung
• danach Einstellungen => Allgemein => Konfiguration bearbeiten
• suche dort die Präferenz "mail.openpgp.allow_external_gnupg" und stelle diese auf "true"
• exportiere aus Kleopatra deine(n) geheimen und öffentlichen Schlüssel (*.asc)
• exportiere aus Kleopatra alle öffentlichen Schlüssel deiner Mail-Partner (*.asc)
• importiere nun unter Einstellungen => Konten-Einstellungen => Ende zu Ende Verschlüsselung => OpenPGP => Schlüssel hinzufügen => externen Schlüssel mittels GnuPG benutzen deine(n) geheimen Schlüssel (*.asc); siehe Bilder!
• füge zum Schluss alle (und nur die) öffentlichen Schlüssel (auch deine) zur Schlüsselverwaltung hinzu. In der Verwaltung dürfen sich nun keine geheimen Schlüssel mehr befinden!

Import externer geheimer Schlüssel:
==>

Nach dem korrekten Import wird bei verschlüsselten Mails wieder nach der Passphrase gefragt!

Zitat von akoerber

Weiteres Thema: Weder die interne Schlüsselverwaltung noch Kleopatra ermöglichen das Erzeugen eines Widerrufszertifikats ohne dieses sofort hochzuladen.

Nun ja, ansonsten ergibt ein Widerrufszertifikat ja auch keinen logischen Sinn.

Viel Erfolg!