Probleme mit Icedove/Enigmail

Wenn mal was nicht funktioniert...
YouDo
Posts: 31
Joined: Thu Jul 09, 2015 12:54

Probleme mit Icedove/Enigmail

Post by YouDo » Sun Sep 06, 2015 7:55

Auf: https://www.anonym-surfen.de/help/jondo-live-cd5.html steht:
"Einstellungen behalten
In einem Live-System gehen alle Einstellung bei einem Rebbot verloren. Um die Konfiguration und die herunter geladenen E-Mails zu behalten und nach einem Reboot wieder nutzen zu können, sollten Sie das Verzeichnis $HOME/.icedove auf einen (verschlüsselten) USB-Stick kopieren."

Wenn ich das so mache und Icedove dann so starte wie weiter auf der Seite beschrieben:
"Zukünftig können Sie in der Programmgruppe Internet das Programm "Icecdove (mit Backup Konfig)" staren und dann als Konfigurationsverzeichnis das Verzeichnis ".icedove" auf dem USB-Stick wählen, welches Ihre Einstellungen und alten E-Mails enthält."

kann ich leider mit Enigmail keine Schlüssel erzeugen:
Versuche ich das mit dem Einrichtungs-Assisten, bewegt sich der Balken einige Zeit, bleibt dann aber hängen, selbst wenn man mehrere Minuten warten.
Bricht man das ab und versucht einen Schlüssel mit "Schlüssel verwalten" zu erzeugen, bekomme ich die Meldung:
"Das Erzeugen des Schlüssels ist fehlgeschlagen. Weitere Details finden Sie in der Enigmail-Konsole (Menü Enigmail > Fehlersuche > Konsole anzeigen)."

Die Enigmail-Konsole meint dann u.a.:
gpg: WARNUNG: Unsichere Zugriffsrechte der Konfigurationsdatei `/run/media/public/XXXX/Icedove/.gnupg/gpg.conf' gpg: WARNUNG: Unsichere Zugriffsrechte des umgebenden Verzeichnisses der Konfigurationsdatei `/run/media/public/XXXX/Icedove/.gnupg/gpg.conf' gpg: lock not made: link() failed: Die Operation ist nicht erlaubt gpg: can't lock `/run/media/public/XXXX/Icedove/.gnupg/pubring.gpg'"

Funktioniert das nur bei mir nicht?
Was kann man machen, wenn man trotzdem Mails verschlüsseln will?

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: Probleme mit Icedove/Enigmail

Post by xg27 » Sun Sep 06, 2015 11:47

YouDo wrote: Was kann man machen, wenn man trotzdem Mails verschlüsseln will?
Schluessel erzeugen, ver- und entschluesseln wuerde ich ohnehin direkt mit gpg (in der shell) und strikt offline machen und die verschluesselten Dateien dann als Anhang versenden. Und nie meine private-keys online mit dabei haben; kann auch bei public-keys nicht schaden wenn man sie zur Kommunikation mit konkreten Leuten verwendet und vorher mit denen privat ausgetauscht hat.(also wenn die public-keys nicht wirklich 'oeffentlich' sind)

Code: Select all

user@host:~$ gpg --help
gpg (GnuPG) 1.4.12
Copyright (C) 2012 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: ~/.gnupg
Supported algorithms:
Pubkey: RSA, RSA-E, RSA-S, ELG-E, DSA
Cipher: 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH, CAMELLIA128, 
        CAMELLIA192, CAMELLIA256
Hash: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Compression: Uncompressed, ZIP, ZLIB, BZIP2

Syntax: gpg [options] [files]
sign, check, encrypt or decrypt
default operation depends on the input data

Commands:
 
 -s, --sign [file]             make a signature
     --clearsign [file]        make a clear text signature
 -b, --detach-sign             make a detached signature
 -e, --encrypt                 encrypt data
 -c, --symmetric               encryption only with symmetric cipher
 -d, --decrypt                 decrypt data (default)
     --verify                  verify a signature
     --list-keys               list keys
     --list-sigs               list keys and signatures
     --check-sigs              list and check key signatures
     --fingerprint             list keys and fingerprints
 -K, --list-secret-keys        list secret keys
     --gen-key                 generate a new key pair
     --delete-keys             remove keys from the public keyring
     --delete-secret-keys      remove keys from the secret keyring
     --sign-key                sign a key
     --lsign-key               sign a key locally
     --edit-key                sign or edit a key
     --gen-revoke              generate a revocation certificate
     --export                  export keys
     --send-keys               export keys to a key server
     --recv-keys               import keys from a key server
     --search-keys             search for keys on a key server
     --refresh-keys            update all keys from a keyserver
     --import                  import/merge keys
     --card-status             print the card status
     --card-edit               change data on a card
     --change-pin              change a card's PIN
     --update-trustdb          update the trust database
     --print-md algo [files]   print message digests

Options:
 
 -a, --armor                   create ascii armored output
 -r, --recipient NAME          encrypt for NAME
 -u, --local-user              use this user-id to sign or decrypt
 -z N                          set compress level N (0 disables)
     --textmode                use canonical text mode
 -o, --output                  use as output file
 -v, --verbose                 verbose
 -n, --dry-run                 do not make any changes
 -i, --interactive             prompt before overwriting
     --openpgp                 use strict OpenPGP behavior
     --pgp2                    generate PGP 2.x compatible messages

(See the man page for a complete listing of all commands and options)

Examples:

 -se -r Bob [file]          sign and encrypt for user Bob
 --clearsign [file]         make a clear text signature
 --detach-sign [file]       make a detached signature
 --list-keys [names]        show keys
 --fingerprint [names]      show fingerprints

Please report bugs to <gnupg-bugs@gnu.org>.
user@host:~$ 

cane

Re: Probleme mit Icedove/Enigmail

Post by cane » Sun Sep 06, 2015 16:47

Was kann man machen, wenn man trotzdem Mails verschlüsseln will?
Sie können die Config von Enigmail anpassen:

- In Thunderbird den Menüpunkt "Enigmail -> Einstellungen" aufrufen.

- Auf dem Reiter "Erweitert" in der Option "Zusätzliche Parameter für GnuPG" folgenden Parameter ergänzen:

Code: Select all

 --homedir=/home/user/.gnupg
(Siehe Screenshot)

Dann funktioniert die Verschlüsselung auch mit der Backup Konfiguration. Damit man die erzeugten OpenPGP-Schlüssel behält, sollte man ein Backup der User-Konfig speichern und nach einem Neustart wieder einspielen. Siehe Online-Hilfe zur Live-DVD: https://www.anonym-surfen.de/help/jondo-live-cd19.html

Danke für den ausführlichen Fehlerreport. Ich werde es in die nächste Version der Live-DVD einbauen.
Attachments
enigmail-einst.png

YouDo
Posts: 31
Joined: Thu Jul 09, 2015 12:54

Re: Probleme mit Icedove/Enigmail

Post by YouDo » Mon Sep 07, 2015 6:35

xg27 wrote:Schluessel erzeugen, ver- und entschluesseln wuerde ich ohnehin direkt mit gpg (in der shell) und strikt offline machen und die verschluesselten Dateien dann als Anhang versenden. Und nie meine private-keys online mit dabei haben; kann auch bei public-keys nicht schaden wenn man sie zur Kommunikation mit konkreten Leuten verwendet und vorher mit denen privat ausgetauscht hat.(also wenn die public-keys nicht wirklich 'oeffentlich' sind)
Ob diese Vorsichtsmassnahmen bei einer Live-DVD wirklich notwendig sind?

YouDo
Posts: 31
Joined: Thu Jul 09, 2015 12:54

Re: Probleme mit Icedove/Enigmail

Post by YouDo » Mon Sep 07, 2015 6:54

cane wrote:
Was kann man machen, wenn man trotzdem Mails verschlüsseln will?
Sie können die Config von Enigmail anpassen:

- In Thunderbird den Menüpunkt "Enigmail -> Einstellungen" aufrufen.

- Auf dem Reiter "Erweitert" in der Option "Zusätzliche Parameter für GnuPG" folgenden Parameter ergänzen:

Code: Select all

 --homedir=/home/user/.gnupg
(Siehe Screenshot)

Dann funktioniert die Verschlüsselung auch mit der Backup Konfiguration.
Danke, so müsste es dann funktionieren.
Ich überlege noch, ob ich wirklich das Backup-Tool einsetzen soll, das alle möglichen Dateien rettet, auch solche, die ich vielleicht (noch) gar nicht benötige. Irgendwie widerspricht das dem Sinn und Zweck einer Live-DVD (ich weiss, man kann es nicht jedem Recht machen).

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: Probleme mit Icedove/Enigmail

Post by xg27 » Mon Sep 07, 2015 14:18

YouDo wrote:
xg27 wrote:Schluessel erzeugen, ver- und entschluesseln wuerde ich ohnehin direkt mit gpg (in der shell) und strikt offline machen und die verschluesselten Dateien dann als Anhang versenden. Und nie meine private-keys online mit dabei haben; kann auch bei public-keys nicht schaden wenn man sie zur Kommunikation mit konkreten Leuten verwendet und vorher mit denen privat ausgetauscht hat.(also wenn die public-keys nicht wirklich 'oeffentlich' sind)
Ob diese Vorsichtsmassnahmen bei einer Live-DVD wirklich notwendig sind?
Der Sicherheitsvorteil eines live-Systems ist, dass bei jedem Herunterfahren des Rechners saemtliche malware & sonstige Eier, die man waehrend der Sitzung vielleicht gelegt bekommt, automatisch ins digitale Nirvana verdampfen und beim naechsten Start nicht mehr dabei sind. Aber die Sitzung selbst ist mit einem live-System nicht grundsaetzlich sicherer als mit einem Festinstallierten [System].


Eingeschlossen alles, was man in der Sitzung mit dabei hat an Dateien.

YouDo
Posts: 31
Joined: Thu Jul 09, 2015 12:54

Re: Probleme mit Icedove/Enigmail

Post by YouDo » Wed Sep 09, 2015 6:41

cane wrote:
Was kann man machen, wenn man trotzdem Mails verschlüsseln will?
Sie können die Config von Enigmail anpassen:

- In Thunderbird den Menüpunkt "Enigmail -> Einstellungen" aufrufen.

- Auf dem Reiter "Erweitert" in der Option "Zusätzliche Parameter für GnuPG" folgenden Parameter ergänzen:

Code: Select all

 --homedir=/home/user/.gnupg
(Siehe Screenshot)

Dann funktioniert die Verschlüsselung auch mit der Backup Konfiguration.
Das funktioniert leider doch nicht so einwandfrei:
Ich habe Icedove mit der Backup Konfiguration (Menüpunkt:Internet, Icedove Backup verwenden) aufgerufen. Anschliessend die vorgeschlagene Erweiterung "--homedir=/home/user/.gnupg" eingetragen. Das importieren der Schlüssel hat diesmal funktioniert. Die Erweiterung funktioniert also erst mal.

- Wenn ich dann aber Icedove schliesse und dann sofort wie vorher wieder öffne, ist die Erweiterung aber weg, Icedove kennt somit auch keine Schlüssel mehr.

- Icedove verlangt bei jeder Aktion die erneute Eingabe der Passphrase, obwohl er sich die Passphrase für mehrere Stunden merken sollte (hatte ich vorher so eingestellt)

- Beim Schreiben einer verschlüsselten Mail kommt immer eine Warnung von Icedove, ich glaube das für diesen Partner keine Schlüssel vorliegt oder so ähnlich (Schlüssel lag aber definitiv vor). Das Senden der Mail hat dann aber trotzdem funktioniert.

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: Probleme mit Icedove/Enigmail

Post by xg27 » Wed Sep 09, 2015 12:02

YouDo wrote: Das funktioniert leider doch nicht so einwandfrei:
.......
*kicher*
All das erspart man sich wenn man die vorab geschriebene Datei direkt mit gpg verschluesselt und als Anhang verschickt.

YouDo
Posts: 31
Joined: Thu Jul 09, 2015 12:54

Re: Probleme mit Icedove/Enigmail

Post by YouDo » Thu Oct 22, 2015 20:20

cane wrote:
Was kann man machen, wenn man trotzdem Mails verschlüsseln will?
Sie können die Config von Enigmail anpassen:

- In Thunderbird den Menüpunkt "Enigmail -> Einstellungen" aufrufen.

- Auf dem Reiter "Erweitert" in der Option "Zusätzliche Parameter für GnuPG" folgenden Parameter ergänzen:

Code: Select all

 --homedir=/home/user/.gnupg
(Siehe Screenshot)

Dann funktioniert die Verschlüsselung auch mit der Backup Konfiguration.
Ich nutze die aktuelle Live-DVD, "--homedir=/home/user/.gnupg" ist fest eingebaut, aber es gibt immer noch Probleme:

- Icedove merkt sich nicht die Einstellung von Enigmail, sich die Passphrasen länger als 10 Minuten zu merken (=Default-Einstellung); ändere ich diesen Wert z.B. auf 30 Minuten und schliesse und öffne dann sofort wieder die "Einstellungen", stehen in dem Feld wieder die 10 Minuten Default-Einstellung.

- Dementsprechend muss die Passphrase immer wieder neu eingegeben werden wenn man z.B. mehr als 10 Minuten braucht eine Mail zu beantworten oder z.B. nach 20 Minuten nochmal das Postfach abfragt.
Mit copy&paste lässt sich die Passphrase nicht eingeben, warum auch immer.
Das ist alles sehr nervig.

@cane: kennen Sie vielleicht eine Abhilfe für das Problem?

b5hgea3zqh
Posts: 9
Joined: Sat Oct 17, 2015 20:47

Re: Probleme mit Icedove/Enigmail

Post by b5hgea3zqh » Fri Oct 23, 2015 10:36

Icedove merkt sich nicht die Einstellung von Enigmail, sich die Passphrasen länger als 10 Minuten zu merken
Icedove verwendet den Deamon "gpgagent" zum Speichern der Passphrase. Was Sie in der Config von Icedove einstellen, ist egal.

Standardmäßig speichert "gpgagent" die Passpharse für 600 Sekunden. Kann min der Datei "$HOME/.gnupg/gpg-agent.conf" konfigurieren:

Code: Select all

default-cache-ttl 1800
Es ist aber aus Sicherheitsgründen nicht sinnvoll, einen sehr großen Wert für die Cache TTL zu nehmen. Als Kompromiss zwischen Nutzerfreundlichkeit und Sicherheit haben sich 10min etabliert. Einige Empfehlungen sagen auch, man sollte nur 5min dafür nutzen.

Es ist also kein Gewinn an Sicherheit, wenn man eine höchstkomplizierte Passpahrase verwendet und dann die Zeit für die Speicherung der Passpharse ins Unendliche verlängert, nur weil diese höchtskomplizierte Passphrase nicht oft eingeben möchte.

Wenn man Wert auf Sicherheit legt, dann sollte man eine GnuPG Smartcard für den privaten Schlüssel nutzen. Das ist einen sichere Lösung, die auch komfortabel nutzbar ist, da man nur eine 6-stellige PIN zur Freischaltung des privaten Schlüssel eingeben muss. https://www.privacy-handbuch.de/handbuch_32r.htm
Wenn ich dann aber Icedove schliesse und dann sofort wie vorher wieder öffne, ist die Erweiterung aber weg, Icedove kennt somit auch keine Schlüssel mehr.
Das Problem ist in der aktuellen Version der Live-DVD gefixt - oder?

Post Reply