Thunderbird "verliert" geheime Schlüssel

[berkman]

Hallo alle,

wir haben hier einen Ubuntu- und einen Debian-Laptop: Ubuntu 20.04. mit Thunderbird 102.13.0 und Debian 11 mit Thunderbird 102.14.0.

Beim Ubuntu-Gerät ist folgendes schon zweimal und beim Debian-Gerät einmal passiert (alles in den letzten zwei Monaten):

Beim Versuch verschlüsselte Emails zu lesen, meldete Thunderbird, dass der zum Entschlüsseln der Email benötigte geheime Schlüssel fehle. Und siehe da, das stimmte: In der Schlüsselverwaltung von Thunderbird waren jeweils alle geheimen Schlüssel aller Email-Adressen verschwunden. Die öffentlichen (auch die, die zu einem geheimen gehörenden) waren alle noch da.

Wir haben dazu keine Erklärung oder Idee. Ich kann dazu keine Meldungen weder auf deutsch noch auf englisch im Netz finden. Leider kann ich nicht nachvollziehen, ob direkt davor ein Thunderbird-Update (https://tracker.debian.org/pkg/thunderbird) eingespielt wurde, da es nicht meine Rechner sind.

Eine Person (natürlich die mit dem Debian-Gerät ;) ) hatte die Schlüssel vorher gesichert und konnte sie wieder importieren, die andere leider nicht. So mussten neue Schlüsselpaare erstellt und die neuen öffentlichen Keys wieder verteilt werden.

Früher, als die Verschlüsselung noch über Enigmail und Gnupg lief, lagen ja alle Schlüssel im .gnupg-Ordner. Das ist nicht mehr der Fall: Thunderbird hat seit der Version 78 die Verschlüsselung integriert. Wo sind denn jetzt die Schlüssel gespeichert?

Habt ihr ähnliches auch schon erlebt? Braucht ihr noch mehr Infos?

Grüße, berkman

[schorsch_76]

Hallo berkman,

das hat mich auch schon generft mit dem eigenen Schlüsselspeicher. Habe lange gesucht und keine für mich gängige Lösung gefunden. Deshalb hab ich auf evolution umgestellt. Hier wird das systemeigene gpg und damit der ~/.gnupg Ordner verwendet.

[berkman]

Hallo schorsch_76,

danke für deinen Tipp zu Evolution: Ich persönlich hab mir damals, als die Umstellung bei TB angekündigt wurde und die Kritik an der Verschlüsselungsimplementierung tlw. sehr groß war, Evolution parallel zu TB eingerichtet und getestet (ClawsMail hatte ich auch installiert). Lief alles topp, bin aber mit Evolution (und ClawsMail) nie richtig warm geworden. Sicher auch, weil ich seit fast 20 Jahren an TB gewöhnt und superzufrieden bin.

Ob ich die beiden Leidtragenden zu Evolution überreden kann oder will? Keine Ahnung. Außerdem hätte ich echt gerne eine Erklärung und Lösung für das Problem.

[schorsch_76]

Ich war auch sehr sehr lange Thunderbird User.... Das mit der eigenen Implementierung des Schlüsselsystems versteh ich auch nicht.

https://thunderbird.topicbox.com/groups ... pg-keyring
https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards
https://wiki.gnupg.org/EMailClients/Thunderbird

[berkman]

Danke für die Links. Leider helfen sie mir nicht bei meinem Problem. Ich werde meine Anfrage jetzt noch im Thunderbird-Forum stellen. Mal kucken, ob die TB-Experten weiterwissen.

[Freeman]

Hi,
Thunderbird speichert die Schlüssel im Profilverzeichnis.
https://support.mozilla.org/de/kb/openp ... -schlussel

Hab jetzt keinen Rechner mit TB und OpenPGP. Schau mal ob da noch was abgelegt ist - evtl. auch in den Backups schauen zum Vergleich.

[cosinus]

Beim Ubuntu-Gerät ist folgendes schon zweimal und beim Debian-Gerät einmal passiert (alles in den letzten zwei Monaten):

Ich hab zuvor Enigmail benutzt und nachdem in Thunderbird die Verschlüsselung integriert war, nutze ich auch nur noch diese. Ich nutze das also schon rel. lange. Aber was du da beschreibst konnte ich bisher nicht beobachten.
Manche User neigen mal gerne dazu, ihr Profil zerschießen, sowohl Thunderbird als auch Firefox. Das wirklich Schlimme ist nicht, dass TB den privaten Schlüssel vergessen hat (falls TB denn die Ursache war oder man selbst was versehentlich gelöscht hat) sondern, dass man in einem Fall den privaten Schlüssel nicht richtig sicherte. Wenn der verloren geht können ja auch alte Mail die noch verschlüsselt sind nicht mehr gelesen werden

[berkman]

Hallo Freeman,

danke für den Hinweis. Das dachte ich mir schon. Ich bin jetzt an meinem PC, um das Ganze mal zu verstehen. Es gibt im TB-Profil (.thunderbird) die Dateien "secring.gpg" und "pubring.gpg" (so heißen sie auch im .gpg-Ordner). Wie kann ich mir die anzeigen lassen? der Befehl

Code: Alles auswählen

gpg --list-secret-keys

zeigt mir scheinbar nur die Schlüssel in meinem .gpg-Ordner, da mindestens ein Schlüssel aus TB nicht aufgeführt ist.

[berkman]

Hey cosinus,

ich habe auch jahrelang Enigmail genutzt und seit der Einführung der neuen Verschlüsselungsimplementierung in TB 78 nutze ich diese. Und ich persönlich hatte keine nennenswerte Probleme (die Migration war zwar ein Graus...). Die beiden Personen bisher auch nie, erst seit ca. zwei Monaten.

Und wie neigen manche Leute dazu, ihre Profile zu zerschießen? So wie ich die beiden kenne, haben sie diese gar nicht angerührt, da sie gar nicht wissen, dass es diese gibt. :D

Beim fehlenden Backup der Schlüssel gebe ich dir vollkommen recht: Das ist das wirklich Schlimme. Und hat aber jetzt dazu geführt, dass die Person sich endlich zu einer sinnvollen Backup-Strategie überreden ließ. Ab heute ist alles gesichert.

Aber schlimm finde ich es trotzdem, dass das in TB passieren kann. Ist mir in fast 20 Jahren TB-Nutzung noch nie passiert. Und irgendwie will ich wissen, wo das Problem liegt/liegen könnte. Denn ein Zufall scheint das ja nicht zu sein: Es ist dreimal auf zwei verschiedenen Rechnern mit zwei verschiedenen TB-Versionen und zwei verschiedenen Betriebssystemen passiert.

[cosinus]

Mit der Migration hatte ich bisher nirgends Probleme. Soviele musste ich aber auch garnicht machen bzw. Bekannten/Verwandten helfen, weil kaum jemand Mailverschlüsselung nutzt.
Was das Zerschießen der Profile angeht: tja dasist so eine Sache, ich hab den Eindruck, manche haben da ein Talent für sich Mist zu installieren oder durch Unaufmerksamkeit selbst was zu löschen aber dann immer behaupten nix gemacht zu haben. Kennste sicher auch.

Aber schlimm finde ich es trotzdem, dass das in TB passieren kann.

Ja und? Das hätte auch mit einem alten TB und Enigmail passieren können. Was weg ist ist weg wenn man es nicht sichert.