Ich könnte jetzt auch den Beitrag #13 kopieren und nochmal posten. Mach ich aber nicht. 
Ein Problem zu verstecken, heißt nicht, es zu lösen. Es wird dich wieder einholen.
Beiträge von Susi to visit
-
-
Vermutlich hat bereits der Provider diese E-Mail als Spam markiert, nicht der Thunderbird.
-
Vermutlich sind/waren eure Schlüssel mit SHA-1 gehasht. RNP unterstützt das nicht mehr für neue oder verlängerte Schlüssel. Deshalb kann Thunderbird sie nicht importieren. Siehe die anderen Beiträge dazu hier im Forum.
-
Mein X509v3 Zertifikat liegt auf einer Smartcard und leider arbeitet Thunderbird bei mir weder mit Yubikey PIV oder OpenSC zusammen.
Dann ergibt das schon Sinn. Allerdings sollte das eigentlich funktionieren mit dem Yubikey und OpenSC. Zumindest finden sich im Netz Anleitungen dazu. Ich habe das aber selbst nicht ausprobiert.
-
/*
[...] vielleicht auch, weil sensiblere PDFs eigentlich eh signiert sein sollten.
Das gefällt mir
Das geht übrigens auch mit normalen E-Mails, also ohne PDF und schiebt ganz nebenbei Spammern und Phishern einen Riegel vor. Leider macht das kaum jemand.
*/
-
ich nehme an, noch ein list-packets benötigst du sicher nicht.
Welche Möglichkeiten hast du nun?
- Bremen und Hessen informieren, dass RNP kein SHA-1 mehr unterstützt und Benutzer des aktuellen Thunderbirds deren Schlüssel deshalb nicht mehr importieren können. Das wird kurzfristig vermutlich keine Lösung bringen. Sie werden sicher nicht bis morgen neue Schlüssel herausgeben. Aber die Info sollten sie trotzdem bekommen.
Wie NRW so funktioniert übrigens auch Bayern. Letztere verwenden Algo 8, also SHA256. Vielleicht ist das Bremen und Hessen ja ein Anreiz. - Einen anderen Mailclient nehmen. Ich habe keinen anderen ausprobiert.
- Eine ältere Version des Thunderbird verwenden, also eine ab 78 aber noch mit dem älteren RNP.
- Temporär auf GnuPG umstellen, sofern du die Schlüssel dort sauber importiert bekommst. Siehe Migrationshinweise zu Funktionen/Einschränkungen bei OpenPGP in TB 78.2.2. dort Punkt 3 zu Smartcards.
Wie geschrieben, ich bekomme sie auch nicht in den Schlüsselbund (Zorin/Ubuntu 20.04, GnuPG 2.2.19). Ich habe das aber nicht weiter verfolgt, weil es mich nicht betrifft.
Alles nicht wirklich prickelnd, aber mehr fällt mir dazu nicht ein.
- Bremen und Hessen informieren, dass RNP kein SHA-1 mehr unterstützt und Benutzer des aktuellen Thunderbirds deren Schlüssel deshalb nicht mehr importieren können. Das wird kurzfristig vermutlich keine Lösung bringen. Sie werden sicher nicht bis morgen neue Schlüssel herausgeben. Aber die Info sollten sie trotzdem bekommen.
-
Der Bug hat den den Status wontfix, das heißt, er wird/kann nicht gefixt werden. Siehe auch ab hier: RE: Private Schlüssel werden als abgelaufen moniert.
-
Da Du Dir in dem Punkt aber wohl sicher bist, sei es so
In dem von mir in #16 erwähnten Beitrag ist die Rede davon, dass die in Quarantäne verschobene Datei im Schutzverlauf (dort sollte man suchen, nicht im Versionsverlauf) nicht angezeigt wird. Warum auch immer. Das könnte ja auch hier der Fall sein. Die dort genannte Methode über CMD soll sie finden und wiederherstellen können. Deshalb hatte ich darauf verwiesen.
-
In einem anderen Thema hat dErzOnk diesen Link genannt: https://www.tenforums.com/antivirus-fire…tml#post2393552
Dort ist beschrieben, wie man Dateien aus der Quarantäne des Defenders holen kann, auch wenn sie im Schutzverlauf nicht angezeigt werden. Ich habe das nicht getestet.
-
Brauche ich zur Überprüfung ein extra Tool/Kommandozeile?
Ja, du brauchst dazu gpg. Das hast du wahrscheinlich eh auf drauf, sofern du früher Enigmail verwendet hast. Siehe dazu auch dieses Thema: Private Schlüssel werden als abgelaufen moniert.
Sollte SHA-1 das Problem sein, schließe ich mich dem Hinweis von Heise an und empfehle, die Schlüssel neu zu erstellen.
-
Problem gelöst:
Nein, du hast das Problem nicht gelöst. Du hast es eher versteckt. Besser wäre gewesen, du hättest gleich den Rat befolgt, die Schlüssel neu zu erstellen. Dieser Trick ist nicht nur recht aufwendig, was man schon daran sieht, dass die Anleitung 3 Seiten hat. Er ist auch suboptimal. Nicht umsonst schreibt Heise gleich zu Beginn:
ZitatDas einfachste ist, sich neue Schlüssel mit dem aktuellen GPGv2 zu erstellen, das aus Sicherheitssicht sinnvolle Voreinstellungen hat.
Auf den Keyservern wird der alte SHA-1 Hash durch das erneute Hochladen nicht gelöscht. Es wird nur der neue hinzugefügt. Auch das erwähnt der Artikel. Auch eventuelle Beglaubigungen anderer mit SHA-1 bleiben erhalten.
Außerdem unterstützt Thunderbird diese Keyserver eh nicht. Das heißt, deine Kommunikationspartner haben, sofern sie Thunderbird benutzen, nach wie vor den alten SHA-1 Key. Ganz peinlich wird es, wenn der alte Schlüssel auch noch einen schwachen Algorithmus für die Verschlüsselung verwendet.
Die gpg.conf greift nur bei gpg. Auch dazu nochmals der Hinweis, dass der Thunderbird kein gpg mehr benutzt, sondern RNP.
-
Dies ist leicht zu bewerkstelligen.
Sehr nett. Diese pref kannte ich trotz all der Jahre noch nicht.
-
Frage deinen Admin, ob die Firma das überhaupt erlaubt und ob der Server CalDav unterstützt. Falls ja, lass die dir die Adresse des Servers geben und richte den Kalender damit ein.
-
Also zunächst mal, ich habe die Information, dass SHA-1 seitens RNP als invalid angesehen wird, dem Bug entnommen. Mir war das zuvor auch nicht bekannt. Es betrifft mich auch nicht.
Ob das in deinem Fall die Ursache ist, weiß ich nicht. Es spricht aber einiges dafür. Deine Schlüssel haben ja offensichtlich digest algo 2. Jedoch würde ich abwarten, was die Entwickler dazu sagen.
Dann, mein alter Beitrag stammt aus dem Jahr 2017. Damals hat Thunderbird noch GnuPG verwendet. Das ist nun seit einiger Zeit nicht mehr der Fall. Das heißt, die gnupg.conf interessiert den Thunderbird nicht mehr.
(Man kann das Verwenden von gnupg gegenwärtig meines Wissens noch erzwingen. Das dient aber in erster Linie der noch nicht unterstützten Benutzung von Smartcards und wird vermutlich irgendwann entfallen.)
Wenn also RNP das alte SHA-1 für neue Schlüssel nicht mehr unterstützt und auch eine Verlängerung alter Schlüssel nicht mehr zulässt, wirst du nicht darum herumkommen, neue Schlüssel zu erstellen. Das wäre vielleicht eh mal angesagt. SHA-1 ist schon ziemlich lange "tot".
Auf der derzeitigen Eben halte ich das Problem jedenfalls für überhaupt nicht anwenderfreundlich?
Dann muss ich nochmal etwas kleinlich sein, unserer Sprache zuliebe. Eine Aussage mit einem Fragezeichen abzuschließen, ergibt keinen Sinn. Wenn es eine Frage sein sollte, dann solltest du sie auch als solche formulieren.
Falls du damit einen Unmut gegenüber Thunderbird zum Ausdruck bringen wolltest, bedenke, dass RNP nicht von Mozilla/Thunderbird entwickelt wird.
-
Kaum sind 5 Jahre rum, fällt mir doch beim erneuten Lesen ein kleiner, aber doch wichtiger Fehler auf. Ich hatte ein "nicht" vergessen:
Konkret ist es gelungen, zwei inhaltlich identische PDF-Dokumente zu erzeugen, die dennoch denselben SHA-1-Hash haben.
Das muss natürlich heißen "zwei inhaltlich nicht identische PDF-Dokumente ...". Sonst würde das alles ja gar keinen Sinn ergeben. Dass das niemandem aufgefallen ist!
Sagen wir mal, es haben schon richtig verstanden, wollten aber so nett sein und nicht jeden offensichtlichen Fehler anmeckern.
-
Sind das SHA-1 gehashte Schlüssel? Dann siehe https://bugzilla.mozilla.org/show_bug.cgi?id=1763641 und https://bugzilla.mozilla.org/show_bug.cgi?id=1764444
-
Schau mal nach, ob das SHA-1 gehashte Schlüssel sind. Siehe auch: https://bugzilla.mozilla.org/show_bug.cgi?id=1763641
-
Man kann Thunderbird per Konfig-Editor umstellen.
Im Firefox geht das über security.enterprise_roots.enabled. Wird hier sicher die selbe pref sein. (?). Funktioniert aber nur unter Windows, so weit ich weiß.
Gerade das möchte ich eigentlich nicht machen.
Warum nicht? Du nutzt diesen Speicher doch eh schon für die Passwörter.
-
Aus dem dort erwähnten Bug 1763641:
ZitatSince RNP v0.16.0 all SHA1 signatures, created after Jan, 15 2019 are marked as invalid, so new expiration is not picked up.
Ergänzend:
Siehe auch: Enigmail/GnuPG auf SHA-2 umstellen
-
warum ist diese mail im gesendet ordner.
Das Kopieren in den Sent ist unabhängig davon, ob die E-Mail tatsächlich gesendet wurde. Die Aktion findet auch statt, wenn der Sendevorgang abgebrochen wurde oder nicht sauber durchgelaufen ist. Das haben andere in der Vergangenheit in Zusammenhang mit einem uralten Bug auch bereits berichtet. Wenn du Gewissheit haben möchtest, wirst du letztendlich den Empfänger fragen müssen.
Im Übrigen wäre es hilfreich, die beim Erstellen eines neuen Themas gelisteten Fragen zu beantworten.
Das stört mich in der Regel auch. Hier allerdings nicht, denn ich wüsste nicht, welcher der Fragen hier relevant sein sollte. Welche wäre es denn, deiner Meinung nach?
