Posts by Susi to visit

    Du kannst deine anhaltende Halb- bis Desinformation nicht lassen, oder? Dass du dich nicht schämst! Spätestens nachdem du aktiv dabei geholfen hast, hier einen Anwender ins Verderben laufen zu lassen. Ich frage mich wirklich, was du davon hast.

    Das BSI empfiehlt: "Folgende Blockchiffren werden zur Verwendung in neuen kryptographischen Systemen empfohlen: AES-128, AES-192, AES-256"

    Ja, das ist deren Empfehlung für neuere Systeme bzw. Produkte. Leider hast du - ganz bestimmt nur aus Versehen - vergessen zu erwähnen, dass das BSI im selben Dokument schreibt, dass Tripple DES zwar nicht mehr dem aktuellen Stand der Technik entspricht aber nach wie vor als sicher gilt. Nichts anderes habe ich geschrieben.

    Diese Schwachstelle gab es mit Enigmail bzw. GnuPG nicht, und dein Vorschlag als Ausgleich die Datenträger zu verschlüsseln geht an der Realität vorbei.

    Vielleicht an deiner. Festplatten zu verschlüsseln ist insbesondere für mobile Geräte in Firmen seit Jahren üblich und übrigens auch ebenso lange vom BSI empfohlen. Das musst du wohl all die Jahre überlesen haben.
    Dein Ubuntu hat dir die Verschlüsselung schon bei der Installation angeboten. Selbst Android und iOS verschlüsseln ihren Speicher. Das ist die Realität.


    Die Dinge sind, wie sie sind. Weder du noch ich können den Thunderbird ändern. Ich habe beschrieben, wie man Thunderbird 78 sicher nutzen kann. Man kann es machen oder es lassen. Das muss ein jeder selbst entscheiden. Man sollte aber niemanden ein falsche Sicherheit vorgaukeln.


    Dass du hier so ein hohes Sicherheitsbedürfnis vorspielst, dich dann aber gegen die einfache und vor allem vollständig wirksame Maßnahme der Festplattenverschlüsselung wehrst, macht dich absolut unglaubwürdig.

    Ich hoffe, dass andere Leser zumindest diesen Punkt mitnehmen und sich nicht von dir in Irre führen lassen.

    Wenn man kein Master Password verwendet, dann sind sämtliche gespeicherten Passwörter und Zertifikate weitgehend ungeschützt. Das war schon immer so, auch im Netscape, der Mozilla Suite und dem Firefox.

    Wenn man ein Master Password benutzt, werden die gespeicherte Passwörter damit Tripple DES verschlüsselt, was nach heutigen Stand sicher ist.

    Das Problem besteht darin, dass das Master Password selbst mit SHA1 gehasht wird und somit angreifbar ist. Ist aber das Master Password zugänglich sind es auch die gespeicherten Passwörter und Zertifikate.

    Ein Master Password bietet also mehr Schutz als wenn man keines verwenden würde, aber es schützt nicht gegen einen geplanten Angriff.


    Deshalb gern noch einmal: Wenn man umfangreichen Schutz haben möchte, sollte man seine Datenspeicher verschlüsseln und zusätzlich sicherstellen, dass niemand Zugriff auf den laufenden Rechner bekommt.

    Als Ergänzung dazu etwas aus kompetenter Feder, nämlich von den Mozilla-Entwicklern selbst. In Bug 973759 schreibt Brian Smith, einer der mit Crypto befassten Entwickler bei Mozilla:



    Er hat damals schon die Festplatte verschlüsselt und das auch allen anderen geraten. Er und auch Urgestein Asa Dotzler gehen sogar soweit, dass sie sagen, man solle den durch den SHA-1-Hash im Vergleich schwachen Schutz komplett aus dem Firefox (und damit dem Thunderbird) entfernen und besser gleich auf die Möglichkeiten des Betriebssystems setzen.

    Das Privacy Handbuch schreibt konkret:


    Quote

    Masterpasswort aktivieren:Thunderbird sichert die privaten Keys mit einer zufälligenPassphrase, die in der Passwortdatenbank gespeichert wird. Es ist daher wichtig, die Passwortdatenbank mit einem Masterpasswort zu sichern.


    Es rät also ausdrücklich dazu, ein Masterpassword zu verwenden. Ebenso, wie ich es dir gegenüber bereits oft erwähnt habe.

    Die Formulierung ist dennoch etwas ungenau. Bei Verwendung eines Masterpasswords werden die gespeicherten Passwörter Triple DES verschlüsselt. Nicht mit einer zufälligen Passphrase sondern eben mit diesem Masterpassword. Das ist nach heutigen Stand sicher. Siehe dazu https://support.mozilla.org/de/questions/1249831?&mobile=0 sowie die weiterführenden Bugs.


    In der Tat wird das Masterpassword selbst wiederum nur mit SHA1 verschlüsselt und stellt somit das schwächere Glied da. Genau das hatte ich erwähnt, und du hast es sogar zitiert. Ich weiß daher nicht, was du mit deinem Posting zum Ausdruck bringen wolltest.


    Eine Kette ist nur so stark wie ihr schwächstes Glied (hier das Masterpasswort). Ist das Masterpasswort dank SHA-1 geknackt, sind «alle» privaten Schlüssel kompromittiert!

    Du vergisst wieder einmal zu erwähnen, dass dieser Schwachpunkt nicht nur die Passphrasen der Schlüssel betrifft sondern sämtliche gespeicherten Passwörter. Das macht die Sache deutlich schlimmer, weil sie somit auch Benutzer betrifft, die Verschlüsslung überhaupt nicht benutzen und weil damit theoretisch ein Identitätsdiebstahl möglich ist.


    Wie man sich vor dieser Schwachstellen schützen kann, hatte ich ebenfalls erwähnt: Man verschlüssele seine Festplatte. Damit hat man eine zweite Kette mit den stärksten derzeit verfügbaren Gliedern. Ein SHA1-Glied gibt es in dieser Kette nicht.


    Das schwächste Glied der Kette ist nicht das Masterpassword sondern der Anwender, vor allem auch der unbelehrbare, der von einer Schwachstelle weiß, aber die geeigneten Maßnahme trotzdem nicht ergreift.

    Du bist bist gleich Opfer mehrerer Missverständnisse.

    (was ja, so wie ich's verstanden hab, ohne Profilkopie von vor dem Update, nicht reversibel ist. Grrr.).

    Neu ist mit dem Wegfall von GnuPG, dass die Schlüssel nun vom Thunderbird selbst verwaltet werden. Sie wurde deshalb in den Schlüsselspeicher des Thunderbird importiert. Sie sind im Keyring des GnuPG bzw. des Ubuntu weiterhin vorhanden, werden aber vom Thunderbird nicht mehr benutzt.

    Irreversibel trifft insofern zu, dass ein Profil der Version 78 nicht kompatibel zu dem der Version 68 ist.

    Nun, in der integrierten Ende-zu-Ende-Verschlüsselungder sind sie standardmäßig entschlüsselt, sowie ich TB öffne

    Die E-Mails sind nach wie vor verschlüsselt. Der Unterschied zu früher ist der, dass der Thunderbird die Passphrase genau wie die Passwörter der E-Mail-Konten speichert und nicht mehr abfragt. Das Resultat ist, dass eine E-Mail entschlüsselt wird, sobald du sie anklickst. Das ist dasselbe Verhalten, wie es bei der von Unternehmen wesentlich häufiger benutzen S/MIME-Verschlüsselung schon immer war.


    Auch hier freue ich mich sehr über Tipps...vielleicht sehe ich auch den Wald vor läuter Bäumen nicht

    Solange die Entwickler das Verhalten nicht ändern, gibt es nur drei Möglichkeiten:


    1. Du kannst den Schlüsselspeicher mit einem Masterpassword schützen. Das ist ohnehin zu empfehlen, weil sonst alle gespeicherten Passwörter im Klartext vorliegen.
      Dann wirst du zumindest bei Start des Thunderbird nach diesem Passwort gefragt. Ohne dieses Passwort können die E-Mails nicht entschlüsselt werden.
      Wenn du fürchtest, jemand könnte während deiner Abwesenheit in deine E-Mails schauen, bedeutet das auch, dass du den Thunderbird schießen oder zumindest den Rechner per Windows + L sperren musst.
    2. Weil der Thunderbird derzeit noch keine Smartcards unterstützt, gibt es zumindest vorübergehend noch die Möglichkeit, den Thunderbird über eine versteckte pref dazu zu bewegen, weiterhin GnuPG zu benutzen. Damit hättest du deine Passphase wieder.
      Das ist nur zu empfehlen, wenn du dich gut in Ubuntu und Linux auskennst. Gerade erst vor ein paar Tagen hat sich hier ein Unbelehrbarer sein System ordentlich zerschossen, weil er alle Warnungen ignoriert hat.
    3. Du kannst zurück zur Version 68 gehen. Das ist mit einigem Aufwand verbunden, weil die Profile nicht kompatibel sind. Eine Dauerlösung kann das aber nicht sein, und ob man das Verhalten bzgl. des Speicherns der Passphrase irgendwann ändern wird, steht in den Sternen.


    Ergänzend:


    Das Masterpasswort verschlüsselt den Passwortspeicher des Thunderbird nach heutigen Maßstäben zuverlässig. Das Masterpasswort selbst wird aber nur SHA1-verschlüsselt gespeichert und ist angreifbar. Wenn du fürchtest Ziel eines echten Hacker-Angriffs zu werden, kannst du dich davor schützen indem du die Festplatte verschlüsselst. Für mobile Geräte, die verloren gehen können, ist das eh zu empfehlen. Und für jemanden, der solch einen Angriff befürchtet, erst recht.

    Mir scheint das eine uralte Schwäche in Thunderbird und zuvor bereits in der Suite und Netscape zu sein. Früher wurde das hier kaum bemerkt, weil IMAP hierzulande bis zum Aufkommen der Smartphones "Neuland" war und für manche immer noch ist, während es in den USA bereits vor mehr als 20 Jahren üblich wurde.

    Probleme dieser Art kenne ich von Outlook oder Evolution nicht. Es besteht auch eine gewisse Verwandtschaft zu dem Problem, dass der Thunderbird stolpert, wenn man "zu viele" E-Mails auf den/dem IMAP-Server kopiert oder verschiebt. Auch das kenne ich nur vom Thunderbird und seinen Ahnen.


    Tatsächlich fällt auf, dass dieser Fehler hier im Forum mit zunehmend besserer DSL-Anbindung im Feld nicht mehr so häufig berichtet wird. Das Problem scheint sozusagen nach der Pubertät zu verschwinden. ;)

    Ich kann es reproduzieren. Bei T-Online ist ist die Adresse etwas komplizierter, weil man dort auch mehrere Kalender haben kann und zusätzlich auch Kalender von anderen T-Online-Nutzern einbinden kann.

    Ich habe also den Hauptkalender über *ttps://spica.t-online.de/spica-calendar/caldav/principals/meine@t-online-Adresse/calendars/USER_CALENDAR-MAIN/ eingebunden.


    Damit tritt genau das von dir beschriebene Verhalten auf. Ein im Thunderbird eingetragener Termin wird dort erst angezeigt, wenn man erneut synchronisiert hat. In der Fehlerkonsole tauchen dazu keine Fehler auf.


    Es tritt nur mit diesem Kalender bei T-Online auf. Alle anderen, also die in meiner NC oder auch mein Testkalender bei GMX, zeigen dieses Phänomen nicht zeigen.

    Du kannst die Probe machen, indem du dir ebenfalls einen Kalender bei einem anderen Provider einrichtest. Die Gegenprobe wäre noch interessant, d.h. einen anderen Kalender-Client zu verwenden.


    Fast vergessen: Beim Löschen von Terminen tritt das Phänomen nicht auf. Die werden sofort auch in der Anzeige des Thunderbird gelöscht.

    Eine Einstellung dazu habe ich allerdings nicht gefunden.

    Eine solche Einstellung gibt es meines Wissens nicht. Termine, die du im Thunderbird einträgst, werden sofort synchronisiert, es sei denn, du bist offline unterwegs.

    Um auszuschließen, dass in deinem Profil irgendwo irgendwas verstellt ist, von dem wir nicht wissen, teste mal mit einem neuen Profil. Dort richte nur das T-Online-Konto ein, installiere keine Erweiterungen, belassen die Standardeinstellungen.

    Soweit ich weiß ist Lightning seit ner Weile fest integriert und seit 2020 auch nicht mehr als Erweiterung verfügbar

    Das ist richtig. Der Test im Safe-Mode sollte dazu dienen, querliegende anderer Erweiterungen (es gab ja auch welche für Lightning) und/oder deren Reste auuzuschließen.

    Ich habe die Add-Ons installiert

    CalDAV funktioniert im Thunderbird ohne jede Erweiterung, schon seit Jahren, auch mit Posteo, siehe die Anleitung von Posteo und auch #3 von tabascosw. Du siehst es es auch daran, dass deine Nextcloud Kalender funktionieren.

    Ich habe bisher noch kein Zertifikat von Posteo.

    Schwer vorstellbar, denn dann könntest du auch keine Mails über TLS abrufen. Normalerweise installiert der Thunderbird diese Zertifikate automatisch beim "ersten Kontakt", sofern er den Herausgeber kennt. Andernfalls sollte eine Meldung erscheinen. Du kannst also vermutlich davon ausgehen, dass die Zertifikate vorhanden sind, kannst das aber über die Zertifikatsverwaltung nachschauen.


    Habe mal in den Einstellung gestöbert und unter "Netwerkeinstellungen" die Option: "Geschützten Datenverkehr in Mozilla-Anwendungen untersuchen -- Wenn die Untersuchung von geschütztem Datenverkehr aktiviert ist, kann es sein, dass der Zugriff auf Webseites über das HTTPS-Protokoll blockiert wird." gefunden.

    Ja, das ist die Art Einstellung, auf die ich hinaus wollte. Ich kenne den Kaspersky nicht, aber es kann durchaus sein, dass ein Neustart des Windows nötig ist, damit eine Änderung dieser Einstellung wirksam wird. Ist aber reine Spekulation.

    aber beim ersten/ default Kalender bringt es (genau gleich wie bisher auch) Thunderbird zum Stillstand

    Sind das alles Kalender bei Posteo? Dann erübrigt sich die Frage nach dem Zertifikat. Was genau meinst du mit default-Kalender? Unterscheidet sich dieser Kalender hinsichtlich der Einstellungen von den anderen?

    Was du in jedem Fall noch tun solltest, das wäre ein Test mit einem neuen Profil. Dort richte zunächst nur das Posteo Mailkonto ein (IMAP) und schaust, ob es funktioniert. Dann richte den Kalender ein.

    Sollen die Kalender über https eingebunden werden? Falls ja, verfügst du bereits über das zugehörige Zertifikat von Posteo? Hast du den Kaspersky richtig konfiguriert? Falls er verschlüsselte Verbindungen untersucht, deaktiviere diese Funktion für einen Test.

    Gibt es einen Crash-Report? Verlinke den mal.


    Noch eine Ergänzung:

    Da die Anleitung von Posteo noch Lightning erwähnt, ist mir das Thema Erweiterungen in den Sinn gekommen. Deshalb teste mal in Safe-Mode. Das ist schnell gemacht.

    Ok, damit wir uns nicht missverstehen, formuliere bitte genauer: Was meinst du mit "direkt dort eingetragene Termine" und "im lokalen Kalender"?

    Wenn du einen Termin im Thunderbird in den CalDAV-Kalender einträgst, sollte dieser sofort synchronisiert werden. Wenn das nicht klappt, stimmt etwas nicht.

    Wenn du den Termin direkt bei T-Online einträgst oder über ein anderes Gerät, erfährt der Thunderbird erst dann davon, wenn der Kalender synchronisiert/aktualisiert wird.

    warum den Thunderbird offenbar die Einstekkungen nicht direkt vom Server abrufen kann, ist schwer ermittelbar.

    Hier liegt vermutlich ein Missverständnis vor. Es ist nicht so, dass der Thunderbird den Mailserver direkt befragen könnte. Den kann er allein anhand er Domain nicht erkennen und somit auch nicht befragen.


    Die Daten stammen entweder

    • aus einer Datenbank
    • aus einem XML-File unter autoconfig.domain, die Provider auf einem Webserver bereitstellen können
    • aus einem lokalen File, das der Admin erstellen kann

    Darüber hinaus versucht der Thunderbird, den Servernamen zu erraten, z.B. indem er imap.domain im DNS erfragt.


    Web de ist aber ganz gewiss in der Datenbank enthalten. Insofern hast du schon recht.

    Hallo Kerstin,

    Da wird man wohl keine einheitliche Meinung finden

    muss man nicht. Ich habe kein Problem damit, wenn jemand auf der 68 bleibt, auch wenn es auf Dauer für denjenigen selbst keine gute Idee ist. Ich habe auch Verständnis, wenn jemand die einstellbare Ablaufzeit der Passphrase vermisst. Alles gut.


    Nur, wenn jemand die technischen Fakten verdreht und unwahre Behauptungen in den Raum stellt, schlägt bei mir das Temperament durch. In diesem Punkt geht es dann es auch nicht mehr um Meinung sondern um Sachverhalte. Die sind entweder wahr oder nicht.


    Da vertraue ich immer der Software-Aktualisierung von Linux-Mint,

    Das wiederum ist eine sehr gute Idee. Die Updates kommen zwar in der Regel später, aber dafür bereiten sie keine der Probleme, die bei einer manuellen Installation berücksichtigt werden müssen.

    Ich konnte bisher immer noch meine Windows-Profile in Linux verwenden.

    Das kann bei unterschiedlichen Versionsständen zu Schwierigkeiten führen. Falls du ein Dual-Boot betreibst, rate ich dir zu IMAP und WebDAV. Dann kann man bequem zwei getrennte Profile haben, hat aber E-Mails, Kalender und Adressbücher in beiden synchron. Die Lokalen Ordner lassen sich in diesem Fall teilen.


    Die waren/sind? zu starr an die E-Mail Adresse gekoppelt.

    Dazu gibt es etwas neues, siehe die Release Notes der 78.9.1. Ansonsten ist es auch möglich, einem Schlüssel mehrere Identitäten zuzuweisen.

    Vielleicht gehe ich auch ganz weg von PGP und benutze nur noch S/MIME

    Wenn die Zertifikate einmal importiert wurden, wird bei S/MIME die Passphrase nicht mehr abgefragt. Das war schon immer so. Komischerweise wurde das nie zum großen Sicherheitsproblem. ;)

    Du hättest also genau dasselbe Problem wie neuerdings mit PGP ab der 78. Wenn du das auch für ein großes Sicherheitsrisiko hältst, wäre die Lösung ebenfalls dieselbe: Platte verschlüsseln, Masterpasswort verwenden, Rechner vor dem Verlassen sperren, notfalls ganz runterfahren.

    Falls es für dich wichtig ist: Für S/MIME bietet der Thunderbird keine Möglichkeit des dauerhaften Entschlüsselns. Hingegen können PGP-verschlüsselte Mails per Enigmail in Thunderbird 68 dauerhaft entschlüsselt werden. Das ist z.B. für mich ein Grund, noch eine 68 in der Hinterhand zu haben.


    und meine eigene CA

    Sehr "cool"! Freut mich, dass es mit dir hier eine weitere Frau gibt, die das kann.

    Würde ich behaupten, oder ich mache etwas anders.

    Nein, ich denke nicht. Ich muss es bei Gelegenheit nochmal genauer testen, aber ich glaube, ich habe den Fehler gefunden. Er liegt nicht bei GMX sondern in diesem Fall bei der Anwenderin. :mrgreen:

    Die Test-VM in unserer kleinen, privaten Proxy- und VM-Umgebung wird auch von ca. 20 anderen benutzt. Dort war zur Zeit meines Tests der Kalender von GMX im Thunderbird eingebunden. Ich vermute, dadurch kam es zustande.

    sondern suchen nach eine Lösung die meine Sicherheit auch gewährleistet und dabei hat mich B. Müller nur in meiner Meinung bestätigt,

    Wer die Sicherheit so ernst nimmt, der verschlüsselt seine Datenspeicher. Er beschränkt sich nicht auf die wenigen verschlüsselten E-Mails und lässt alles andere offen rumliegen.

    Wer die Sicherheit so ernst nimmt, der verwendet auch ein Masterpasswort und lässt seine Passwörter nicht im Klartext auf der Platte liegen.

    Wer vertrauliche oder gar geheime Dokumente auf dem Rechner hat, verlässt seinen laufenden, ungesperrten Rechner auch nicht bei geöffnetem Thunderbird.


    Du veranstaltest hier ein großes Theater, zerschießt dir sogar das System, nur um - bildlich gesprochen - das Taschenmesser vor dem Kind zu verstecken, während du das geladene und entsicherte Jagdgewehr auf dem Küchentisch liegen lässt. Völlig absurd.


    Nebenbei, bei dem wesentlich verbreiteteren S/MIME wurden die Zertifikate schon immer im Zertifikatsspeicher des Thunderbird gespeichert, sofern man keine Smard Card benutzt. Auch die Zertifikate, die eine verschlüsselte Kommunikation mit den Servern ermöglichen, liegen dort. Ohne Masterpasswort völlig ungeschützt. Bei Outlook ist es ähnlich. Ohne dass es deswegen je einen "Aufschrei" gegeben hätte.


    Also erspare uns das Gerede von Sicherheit, nur weil die Ablaufzeit der Passphrase derzeit nicht konfigurierbar ist. Das ist total unglaubwürdig, nichts weiter als ein Vorwand.



    pedrito

    Danke für den Tipp. Dieses Projekt kannte ich noch nicht. Aus den verlinkten Seiten geht hervor, dass es einen Kontakt zu den Entwicklern des Thunderbird gab, der leider nicht erfolgreich war. Unter anderem wohl auch hier aus Lizenzgründen. Damit kenne ich mich überhaupt nicht aus.


    Man sieht hier gut eines der Probleme der freien Software, hier halt des PGP. Es gibt immer wieder gute Ansätze aus den unterschiedlichsten Projekten. Am Ende stehen sie sich häufig selbst im Weg.


    Hast du dir den Octopus mal angeschaut? Er sieht durchaus interessant aus. Allerdings bin ich ehrlich gesagt froh darüber, GnuPG, den gpg-agent usw. für den Thunderbird nun los zu sein. Auch der Umstand, dass man eine Library des Thunderbird ersetzen muss, also wirklich in die Software eingreift, und das ggf. nach Updates erneut, macht es nicht anwenderfreundlicher. Bin mal gespannt, was daraus wird.

    Sollte die Pandemie schlimmer werden und das Wetter schlechter, probiere ich das aber mal aus.

    Du kannst ja trotzdem mal schauen, ob die das nicht anbieten, vielleicht in einem Business-Tarif oder so. Ansonsten bleibt dir nur, peinlichst darauf zu achten, dass die POP-Clients nichts löschen.

    Oder du hältst den Posteingang zur Sicherheit doppelt vor, z.B. per auto forward. So ganz im Sinne des Erfinders ist das aber auch nicht.

    Herzlichen Glückwunsch! Eine große Überraschung ist das jetzt nicht. Eines ist mal gewiss. Einfach so von allein ist das nicht passiert.


    So kann es kommen, wenn man mehr oder weniger planlos rumbastelt, wenn man alle Vorschläge, Erklärungsversuche und Warnungen in den Wind schlägt - rein aus sturem Festhalten an einer fixen Idee. Vergiss nicht, dich bei auch deinen "Verführern" zu bedanken.

    Ich würde die ganze Thunderbird sccheiße am liebsten deinstallieren und wegwerfen. Leider komme ich da nicht mehr an meine verschlüsselten mails ran aber das komme ich ja jetzt auch nicht mehr.


    Es tut schon gut, wenn man die Schuld an der Misere stets anderen oder etwas anderem zuweisen kann, nicht wahr? Das erspart einem das eine andere Selbsteingeständnis.

    Enigmail kann übrigens E-Mails dauerhaft entschlüsseln. Es gibt also eine einfache Möglichkeit, die verschlüsselten E-Mails verfügbar zu machen. Aber nach all dem Theater und so einem Kommentar habe ich derzeit aber keine Motivation, dir das näher zu erläutern.