Frage zum PGP-Import von öffentlichen Schlüsseln

Wantos

Guten Tag,

ich nutze Version 91.8.0 unter Windows 10 und die interne OpenPGP-Funktion. Ich versende über mailbox.org und arcor.de mit PGP.

Antivirus und Firewall: Windows Defender
bei folgenden Schlüsseln erhalte ich immer eine Fehlermeldung: "Datei mit öffentlichem Schlüssel konnte nicht gelesen werden"

Datenschutz Hessen: https://datenschutz.hessen.de/service/versch…on-mit-dem-HBDI -> Schlüssel aus dem Zwischenspeicher und auch die .asc Datei
Datenschutz Bremen: https://www.datenschutz.bremen.de/wir-ueber-uns/…munikation-7303

Funktioniert ohne Probleme: https://www.ldi.nrw.de/impressum

Wo genau liegen die Unterschiede?
Liegt es an Thunderbird oder an den hier verlinkten Schlüsseln?

Danke und Grüße

Susi to visit

Ich habe nicht die Zeit, mir das genauer anzuschauen. Ein kurzer Test zeigt aber, dass sich beide Schlüssel auch nicht in den Schlüsselbund des Linux importieren lassen. Per Kommandozeile habe ich es nicht probiert.

Wantos

Hallo, komische Sache.

Ich habe jetzt mit Gpg4win und Kleopatra den Schlüssel (Bremen) importiert und von dort nochmals exportiert. Diesen Schlüssel hat Thunderbird 91.8.0 (Neuinstallation) dann zwar akzeptiert, wird mir dort allerdings als "Abgelaufen" angezeigt.

Eine verschlüsselte Mail kann ich jetzt leider weiterhin nicht mit Thunderbird versenden.
Dachte es liegt evtl an alten Profilen von mir, deshalb eine komplett neue Installation ohne alte Profile.

//Edit: Trick klappt für Datenschutz Hessen leider nicht. Exportierte Schlüssel aus Kleopatra möchte Thunderbird trotzdem nicht.

//Edit: Keys kann ich ebenfalls bei OpenKeyChain importieren. Liegt also irgendwo an Thunderbird.

Grüße

Susi to visit

Schau mal nach, ob das SHA-1 gehashte Schlüssel sind. Siehe auch: https://bugzilla.mozilla.org/show_bug.cgi?id=1763641

Wantos

Danke, habe mich auch mal bei Bugzilla gemeldet.
Brauche ich zur Überprüfung ein extra Tool/Kommandozeile?

Zumindest erkenne ich nichts auf den ersten Blick bei Thunderbrid/Kleopatra

Susi to visit

Zitat von suYin

Brauche ich zur Überprüfung ein extra Tool/Kommandozeile?

Ja, du brauchst dazu gpg. Das hast du wahrscheinlich eh auf drauf, sofern du früher Enigmail verwendet hast. Siehe dazu auch dieses Thema: Private Schlüssel werden als abgelaufen moniert.

Sollte SHA-1 das Problem sein, schließe ich mich dem Hinweis von Heise an und empfehle, die Schlüssel neu zu erstellen.

Wantos

Danke Susi to visit , wieder was gelernt über die Kommandozeile.

Bei Bremen gehe ich daher von algo 2 aus, bei Hessen sehe ich algo 2 und algo 8

Code

gpg --list-packets Bremen.asc
# off=0 ctb=99 tag=6 hlen=3 plen=269
:public key packet:
version 4, algo 1, created 1493716562, expires 0
pkey[0]: [2048 bits]
pkey[1]: [17 bits]
keyid: 6B528D075B7D02B2
# off=272 ctb=b4 tag=13 hlen=2 plen=137
:user ID packet: "LfDI Bremen (Die Landesbeauftragte fuer Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen) <office@datenschutz.bremen.de>"
# off=411 ctb=89 tag=2 hlen=3 plen=322
:signature packet: algo 1, keyid 6B528D075B7D02B2
version 4, created 1646121502, md5len 0, sigclass 0x13
digest algo 2, begin of digest 9f 63
hashed subpkt 2 len 4 (sig created 2022-03-01)
hashed subpkt 9 len 4 (key expires after 5y305d0h0m)
hashed subpkt 11 len 6 (pref-sym-algos: 9 8 7 3 2 1)
hashed subpkt 23 len 1 (keyserver preferences: 80)
hashed subpkt 27 len 1 (key flags: 0F)
hashed subpkt 22 len 3 (pref-zip-algos: 2 3 1)
hashed subpkt 30 len 4 (features: 01 00 00 00)
hashed subpkt 21 len 5 (pref-hash-algos: 8 2 9 10 11)
subpkt 16 len 8 (issuer key ID 6B528D075B7D02B2)
data: [2043 bits]
# off=736 ctb=89 tag=2 hlen=3 plen=319
:signature packet: algo 1, keyid 6B528D075B7D02B2
version 4, created 1493716562, md5len 0, sigclass 0x13
digest algo 2, begin of digest 1e e3
hashed subpkt 2 len 4 (sig created 2017-05-02)
hashed subpkt 27 len 1 (key flags: 0F)
hashed subpkt 9 len 4 (key expires after 2y0d0h43m)
hashed subpkt 11 len 6 (pref-sym-algos: 9 8 7 3 2 1)
hashed subpkt 21 len 5 (pref-hash-algos: 8 2 9 10 11)
hashed subpkt 22 len 3 (pref-zip-algos: 2 3 1)
hashed subpkt 30 len 1 (features: 01)
hashed subpkt 23 len 1 (keyserver preferences: 80)
subpkt 16 len 8 (issuer key ID 6B528D075B7D02B2)
data: [2048 bits]

Alles anzeigen

Hessen:

Code

gpg --list-packets Hessen.asc
# off=0 ctb=99 tag=6 hlen=3 plen=525
:public key packet:
version 4, algo 1, created 1595835583, expires 0
pkey[0]: [4096 bits]
pkey[1]: [17 bits]
keyid: 634FA712DA3A9839
# off=528 ctb=b4 tag=13 hlen=2 plen=109
:user ID packet: "Der Hessische Beauftragte f\xc3\xbcr Datenschutz und Informationsfreiheit (HBDI) <poststelle@datenschutz.hessen.de>"
# off=639 ctb=89 tag=2 hlen=3 plen=596
:signature packet: algo 1, keyid 634FA712DA3A9839
version 4, created 1595835583, md5len 0, sigclass 0x13
digest algo 2, begin of digest 83 49
hashed subpkt 33 len 21 (issuer fpr v4 DAC0B9DA6EE96E28BC99F6E0634FA712DA3A9839)
hashed subpkt 2 len 4 (sig created 2020-07-27)
hashed subpkt 27 len 1 (key flags: 23)
hashed subpkt 9 len 4 (key expires after 5y36d2h20m)
hashed subpkt 11 len 4 (pref-sym-algos: 9 8 7 2)
hashed subpkt 21 len 5 (pref-hash-algos: 10 9 8 11 2)
hashed subpkt 22 len 3 (pref-zip-algos: 2 3 1)
hashed subpkt 30 len 1 (features: 01)
hashed subpkt 23 len 1 (keyserver preferences: 80)
subpkt 16 len 8 (issuer key ID 634FA712DA3A9839)
data: [4095 bits]
# off=1238 ctb=89 tag=2 hlen=3 plen=586
:signature packet: algo 1, keyid F9D3AACB6CFD9D14
version 4, created 1597049242, md5len 0, sigclass 0x10
digest algo 8, begin of digest b3 5c
hashed subpkt 33 len 21 (issuer fpr v4 FDD168BBAF10C0261948FD23F9D3AACB6CFD9D14)
hashed subpkt 2 len 4 (sig created 2020-08-10)
hashed subpkt 20 len 21 (notation: rem@gnupg.org=)
subpkt 16 len 8 (issuer key ID F9D3AACB6CFD9D14)
data: [4096 bits]
# off=1827 ctb=b9 tag=14 hlen=3 plen=525
:public sub key packet:
version 4, algo 1, created 1595835583, expires 0
pkey[0]: [4096 bits]
pkey[1]: [17 bits]
keyid: 407097875A78F1F1
# off=2355 ctb=89 tag=2 hlen=3 plen=572
:signature packet: algo 1, keyid 634FA712DA3A9839
version 4, created 1595835583, md5len 0, sigclass 0x18
digest algo 2, begin of digest a0 5e
hashed subpkt 33 len 21 (issuer fpr v4 DAC0B9DA6EE96E28BC99F6E0634FA712DA3A9839)
hashed subpkt 2 len 4 (sig created 2020-07-27)
hashed subpkt 27 len 1 (key flags: 0C)
hashed subpkt 9 len 4 (key expires after 5y36d2h20m)
subpkt 16 len 8 (issuer key ID 634FA712DA3A9839)
data: [4095 bits]

Alles anzeigen

Veteran

Zitat von suYin

Bei Bremen gehe ich daher von algo 2 aus, bei Hessen sehe ich algo 2 und algo 8

gpg --list-packets Bremen.asc|grep -A2 ':signature packet:.*6B528D075B7D02B2' liefet:[box]

:signature packet: algo 1, keyid 6B528D075B7D02B2

version 4, created 1646121502, md5len 0, sigclass 0x13

digest algo 2, begin of digest 9f 63[/box]

gpg --list-packets Hessen.asc|grep -A2 ':signature packet:.*634FA712DA3A9839' liefert:[box]

:signature packet: algo 1, keyid 634FA712DA3A9839

version 4, created 1595835583, md5len 0, sigclass 0x13

digest algo 2, begin of digest 83 49

--

:signature packet: algo 1, keyid 634FA712DA3A9839

version 4, created 1595835583, md5len 0, sigclass 0x18

digest algo 2, begin of digest a0 5e[/box]

'algo 8' gehört zu einem anderen Schlüssel:[box]

:signature packet: algo 1, keyid F9D3AACB6CFD9D14

version 4, created 1597049242, md5len 0, sigclass 0x10

digest algo 8, begin of digest b3 5c[/box]

FrankHamburg

Man ich habe das selbe Problem mit einer anderen Behördenmail kann es auch nur in Kleopatra importieren und das wars, man was ist das schon wieder

Susi to visit

Wantos

ich nehme an, noch ein list-packets benötigst du sicher nicht.

Welche Möglichkeiten hast du nun?

Bremen und Hessen informieren, dass RNP kein SHA-1 mehr unterstützt und Benutzer des aktuellen Thunderbirds deren Schlüssel deshalb nicht mehr importieren können. Das wird kurzfristig vermutlich keine Lösung bringen. Sie werden sicher nicht bis morgen neue Schlüssel herausgeben. Aber die Info sollten sie trotzdem bekommen.
Wie NRW so funktioniert übrigens auch Bayern. Letztere verwenden Algo 8, also SHA256. Vielleicht ist das Bremen und Hessen ja ein Anreiz.
Einen anderen Mailclient nehmen. Ich habe keinen anderen ausprobiert.
Eine ältere Version des Thunderbird verwenden, also eine ab 78 aber noch mit dem älteren RNP.
Temporär auf GnuPG umstellen, sofern du die Schlüssel dort sauber importiert bekommst. Siehe Migrationshinweise zu Funktionen/Einschränkungen bei OpenPGP in TB 78.2.2. dort Punkt 3 zu Smartcards.
Wie geschrieben, ich bekomme sie auch nicht in den Schlüsselbund (Zorin/Ubuntu 20.04, GnuPG 2.2.19). Ich habe das aber nicht weiter verfolgt, weil es mich nicht betrifft.

Alles nicht wirklich prickelnd, aber mehr fällt mir dazu nicht ein.

Wantos

Danke für die Rückmeldung.

Hinweis ging bereits raus. Ggf. versuche ich es dann vorerst über OpenKeyChain mit FairMail (Android) bzw. teste mal GnuPG aus.

Grüße

Frage zum PGP-Import von öffentlichen Schlüsseln

Wantos 19. April 2022 um 14:39

Community-Bot 3. September 2024 um 20:50

Thunderbird 139.0 veröffentlicht

Thunderbird 128.11.0 ESR veröffentlicht

Ähnliche Themen

TB + GnuPG - Aliases als Absender nutzen

Entschlüsselung nicht möglich - trotz vertrautem Zertifikat (Google Workspace / GSuite Absender)

Lost in openPGP

Schlüsselpaar exportieren

Thunderbird entschlüsselt Nachrichten nicht trotz vorhandenen public und private Keys

Wie geht man bewusst sicher mit E-Mails um?