Posts by Markusm12

    • Thunderbird-Version: 52.8
    • Betriebssystem + Version: Win10
    • PGP-Software / PGP-Version: Enigmail 2.07, gpg 2.28

    Hallo,


    ich habe bemerkt, dass TB meine (eigene) Signatur nicht mehr als 'vertraut' kennzeichnet.

    Die Mail wird entschlüsselt und die Korrektheit der Signatur bestätigt, allerdings nicht als bekannt/ vertraut markiert.




    Kann das mit dem geänderten Umgang mit den Modification Detection Codes (MDC) zusammen hängen?

    Im Enigmail Forum habe ich einen Beitrag entdeckt, der (vielleicht) das gleiche meint Hier


    Screenshots der Anzeige:



    Sicherheitsinfo zum Schlüssel:



    Eigenschaften / Vertrauen des Schlüssels:



    Bug, Einstellungsfehler oder Verständnisproblem ?


    Markus

    Hallo,


    anbei noch eine Handwerkliche Rückmeldung von mir.


    Ich hatte zunächst einen Schlüssel mit dem ECC Algorithmus erstellt. Sogar mit dieser Anleitung https://blog.cscholz.io/pgp-subkey-usage/ mit extra Unterschlüssel (eigentlich sehr empfehlenswert).

    Leider hat Posteo (angeboten wird eine Eingangsverschlüsselung aller mails mit dem eigenen Schlüssel, sowie einer eigenen Schlüsselverwaltung öffentlicher keys) keinen ECC Schlüssel akzeptiert. Mir persönlich war dies jedoch wichtig.

    Letztlich bin ich doch wieder bei RSA gelandet.


    Nach reichlich Lektüre ist mein Fazit:

    • RSA ist immer noch Standard und bleibt es wohl noch einige Jahre.
    • 4096bit ist die meist empfohlene Größe, mehr bringt vmtl kein wirkliches Plus an Sicherheit.
    • Bei ECC fehlt noch ein etablierter Standard Algorithmus, den dann auch alle Plattformen akzeptieren. Leider wohl ein sehr langsamer Prozess.
    • Wie lange RSA noch sicher ist, darüber gibt es breit gefächerte Meinungen, die von wenigen Jahren bis 40 Jahren reichen.


    Markus

    (aber so schwer ist das CLI auch wieder nicht: gpg --full-gen-key, dann Enter)

    Also gpg 2.1 bei Win und Ubuntu machen bei mir die gleiche Aussage, dass bei 4096 Schluss ist.

    Zu OpenKeyChain habe ich gelesen, dass die damit erstellten Schlüssel automatisch eine Länge von 3k haben.

    Ja, in den Standardeinstellungen sind RSA 3072 voreingestellt. Neben 4096 bit werden auch ECC P256, 521 und EdDSA angeboten




    In der Summe gibt es also keine "einfache" Option größere Schlüssel zu erzeugen.

    (oder ich habe Eure Aussagen falsch verstanden)


    Kann man darauf Ableiten, dass die Entwickler hierfür gar keine Notwendigkeit sehen bzw. für die Zukunft stark Richtung ECC tendieren?

    Hallo,


    ich hätte gar nicht erwartet, bei dem Thema auf soviel Resonanz zu stoßen.


    Die Frage des Bedrohungsszenario ist sicherlich gerechtfertigt, als normaler Privatanwender ist man vmtl nicht durch gezieltes Ausforschen betroffen. Andererseits entwickelt sich auch die Möglichkeiten zum Entschlüsseln stetig weiter, sodass es (mittelfristig ?!?) durchaus als möglich erscheint, verschlüsselte Daten massentauglich zu entschlüsseln.


    Ich möchte den Schlüssel auch für mein posteo Konto nutzen, da es Eingangsverschlüsselung, Schlüsselaustausch und autocrypt ermöglicht. Leider ersehe ich nicht, ob der Schlüssel dazu einem bestimmten Typ entsprechen muss.


    Grundsätzlich denke ich auch, dass man einem etablierten Code mehr Vertrauen schenken sollte als einen völlig neuen System (ok, neu ist hier relativ). Die Frage ist hier vermutlich, ab welchen Zeitpunkt man ECC gleiche Zuverlässigkeit/ Vertrauen bescheinigt, mit der man aktuell RSA begegnet.

    Bliebe zu hoffen, dass die Etablierung von ECC schneller geschieht, als die potentielle "Knackbarkeit" von RSA voranschreitet.


    Ich kann mit Kleopatra bzw Thunderbird als GUI "nur" maximal 4096 bit RSA Schlüssel erzeugen. Macht mehr keinen zusätzlichen Gewinn oder wird es zu unpraktikabel?


    Markus

    • Betriebssystem + Version: Linux / Win
    • PGP-Software / PGP-Version: 2.1

    Hallo,


    ich möchte mir einen neuen gpg Schlüssel erstellen und diesen neben TB auf Win/ Ubuntu auch unter K9+Openkeychain nutzen.


    In den letzten Jahren gab es einige Fortschritte mit neuem Algorithmen, insbe. die Verwendung elliptische Kurven.


    Hat jemand von Euch Erfahrungen mit dem produktiven Einsatz vom ECDSA Algorithmus? Ich bin mir unsicher, ob der (vermeintliche) Gewinn an Sicherheit damit erkauft wird, dass die neuen Schlüssel ggf noch Kinderkrankheiten/unentdeckte Schwachstellen bzw. mangelnde Kompatibilität aufweisen.



    Markus

    Hallo Peter und danke für die ausführliche Erklärung,


    in der wagen Hoffnung, noch etwas Klarheit für mich zu erreichen, ein paar Entgegnungen (im positivem Sinne ;) ) zu deinem Post:
    Ich habe das Zertifikat mal exportiert und an gehangen , Bilder zum Aussteller/Inhaber sind beigefügt. Als Algorithmus wird sha1 angegeben, System-Uhrzeit (Lokalzeit) stimmt.
    Heute konnte ich TB einige male ohne entsprechende Fehlermeldung starten und alles lief einwandfrei. Nach einem Neustart von TB nur Sekunden später wieder eine Meldung über falsche Zertifikate.
    Sofern der Internet-Provider eine Rolle spielt: Ich bin derzeit im Ausland und nutze einen lokalen UMTS Provider.


    Am Rande gesprochen:
    Einzelne Sachen wickle ich mit Gnupg ab, aber aufgrund dessen winzigen Teilnehmerkreises längst nicht alles. Ich empfinde daher die Verschlüsselung zwischen Empfänger und Server schon als kleinen Baustein der E-mail Absicherung (offen gesprochen fällt mir auch keine weiterer mehr ein). Dass ein kostenloser Anbieter per se schlechter ist, sehe ich aber nicht so - allein schon, weil ich zu hause nie Probleme mit den web.de Zertifikaten hatte.
    Aus deinem Post deute ich aber, dass du einen anderen Weg gehst. Wie sicherst du denn deinen mail-Verkehr ab?


    Gruß Markus

    Thunderbird-Version: 17.0.2
    Betriebssystem + Version: Linux - Ubuntu 12.04
    Kontenart (POP / IMAP): IMAP
    Postfachanbieter (z.B. GMX): web.de


    Hallo,


    ich habe seit einigen Tagen ein Problem beim Abrufen sowie Senden von mails und hoffe auf ein paar Ideen oder Tipps, um eine Lösung zu finden.


    Beim Anmelden am web.de Server spuckt TB einen Zertifikat-Fehler aus und möchte, dass ich eine Ausnahmeregelung treffe. Ohne dies zu tun, verbindet sich TB nicht mit dem Server von web.de. Die web-Oberfläche von web.de funktioniert einwandfrei. Der Fehler kommt seit 4 Tagen nahezu immer beim Starten von TB.


    Ein mail Abruf ohne eine Bestätigung der Ausnahmeregel ist in den allermeisten Fällen (aber nicht immer) nicht möglich. Das Problem besteht auch beim abgesicherten Starten von TB ohne Addons. Änderungen in der Konfiguration von TB habe ich seit Bestehen des Problems nicht durchgeführt.
    Das Ganze sieht dann wie hier zusehen aus.


    Danke für Eure Hilfe und Ideen. Markus

    Quote from "Archaeopteryx"

    Den Kommentaren in Bug 786684 zu Folge muss beim Hostnamen "username@jabber.ccc.de" angegeben werden.


    Hallo und Danke,


    ich habe jetzt als Benutzername den vollen Jabber- Namen eingesetzt, als Name@jabber.ccc.de


    jetzt wird angezeigt
    "Verbindung wird aufgebaut..."
    danach
    "Verschlüsselung wird aufgebaut.."
    dann aber
    "Fehler: Nicht autorisiert (Wurde ein falsches Passwort eingegeben?)"
    Das Passwort ist definitiv richtig.


    Könnte an den Zertifikaten liegen, aber ich habe eigentlich alle eingebunden:
    bei Server:
    jabber.ccc.de
    cacert.org
    und bei Zertifizierungsstellen:
    CaCert Class 3 Root
    CA Cert siging authority



    Wenn ich Benutzername und Server mit Name@jabber.ccc.de angebe erhalte ich
    "Fehler: Server hat die Verbindung getrennt
    Wiederverbinden in XXX Sekunden"


    Ich werd ehrlich nicht schlau draus.
    Die Fehlerkonsole spuckt gar nichts aus.



    Scheinbar scheint die Jabber Anbindung noch reichlich buggy zu sein.



    Markus

    Hallo, ich habe für meinen Jabber Account (jabber.ccc.de, Port 5222) das gleiche Problem.
    Thunderbird kann keine Verbindung herstellen. Die nötigen Zertifikate habe ich mir zusammengesucht, Server und Port stimmen.


    Die Fehlerkonsole spuckt folgendes aus:

    Code
    1. Zeitstempel: 03.09.2012 20:47:51
    2. Fehler: NS_ERROR_XPC_JS_THREW_JS_OBJECT: 'TypeError: match[1] is undefined' when calling method: [prplIAccount::connect]
    3. Quelldatei: resource:///components/imAccounts.js
    4. Zeile: 620


    sowie

    Code
    1. Zeitstempel: 03.09.2012 20:47:52
    2. Warnung: XUL-Box für _moz_generated_content_before-Element enthält ein Inline-#text-Kind-Element, was alle Nachkommen zwingt, von einem Block umgeben zu werden.
    3. Quelldatei: chrome://messenger/content/messenger.xul
    4. Zeile: 0


    kann das jemand nachvollziehen oder einen Tip geben?


    Gruß Markus

    @ Karla


    Danke für die Info. Damit hat sich das Meiste geklärt.
    Die Möglichkeit, die Ungültigkeit des Schlüssels bereits auf dem Server zu erkennen, hab ich aber leider noch nicht finden können, das werde ich mir bei Zeiten nochmal anschauen.


    Trotzdem noch mal danke für die Tipps !!!


    Gruß Markus

    Hallo und erstmal danke,



    ich habe die von dir beschriebene Anleitung gefunden, leider kann ich daraus nur wenig entnehmen.


    Jedoch habe ich mein Problem teilweise selbst eingrenzen können, und vielleicht können andere auch davon profitieren:


    Mit Hilfe des Widerrufzertifikat, welches man bei der Schlüsselverwaltung von Enigmail erstellen kann, kann man einen Schlüssel für ungültig erklären. Diesen ungültigen privat/öffentlichen Schlüssel muss nun erneut auf den Server geladen werden. Wenn der nun ungültige Schlüssel von einem Dritten vom Schlüsselserver runtergeladen wird, erhält er die Anzeige auf seiner Schlüsselverwaltung, dass der Schlüssel widerrufen wurde.
    Hier kann man dazu nachlesen: http://hp.kairaven.de/pgp/gpg/index.html , http://hp.kairaven.de/pgp/gpg/gpg8.html


    So weit, so gut.
    Leider weiß ich immer noch nicht, ob man einen Schlüssel vom Server komplett entfernen kann, und wie man bereits auf dem Schlüsselserver erkennen kann, dass ein Schlüssel ungültig ist.


    Vielleicht kennt hier jemand eine Lösung.



    Gruß Markus

    Hallo,
    bin neu hier im Forum und möchte mich kurz vorstellen:
    Ich heiße Markus, komme aus München und nutze Thunderbird seit ca 2 Jahren. thunderbird-mail nutze ich als Mitleser ebenso lange.



    Heute habe ich hier einige interessante Beiträge über Mail - Verschlüsselung gelesen und habe daraufhin selbst etwas experimentiert.


    Dazu habe ich eine Frage und hoffe, ich bin hier mit meinem Anliegen richtig.


    Zur Verschlüsselung nutze ich Gnu PT ( GPG + WinPT) sowie Enigmail.
    Ich habe versucht, mich mit dem Programmen ein bisschen zurecht zu finden. Dabei habe ich versehentlich zwei Schlüssel erstellt und die öffentlichen Versionen auf einen Schlüsselserver geladen. Nun stehen unter meiner Adresse zwei Einträge auf dem Server. Um dies rückgängig zu machen, habe ich unter Enigmail einen Schlüssel widerrufen, so dass jetzt Win PT bei diesem Key nun unter Gültigkeit "Widerrufen" steht (unter Enigmail ebenfalls unter Schlüsselverwaltung "widerrufen)
    Trotzdem kann ich unter Enigmail immer noch beide Schlüssel bei der Suche auf einem Schlüsselserver entdecken.


    Leider habe ich noch keine Anleitung zum Widerrufen von Schlüssel über WinPT bzw Enigmail gefunden, auch weiß ich nicht, wie ich mit Widerrufzertifikaten arbeiten kann.
    Könnt ihr mir sagen ob und wie ich meinen zusätzlichen Key von einem Schlüsselserver entfernen kann ?


    Vielen Dank


    Gruß Markus


    Vista SP2
    Win PT 1.4.1
    Thunderbird 2.0.0.22
    Enigmail 0.95.7
    GPG 1.4.9