Thunderbird - Enigmail - pinentry als anderer Benutzer: keine Passphrase-Eingabe möglich

[LinuxFanKR13]

Hallo Community,

unter Debian GNU/Linux buster läuft bei mir als grafische Oberfläche Xfce und entsprechend der Links [1], [2] starte ich Thunderbird unter einem zweiten Benutzer "user-email". Das funktioniert auch alles tadellos.

Nun habe ich für Signierung und Verschlüsselung die GPG-Schlüssel erzeugt ([3], [4]) und stelle diese im Verzeichnis /home/user-email/.gnupg bereit. Auch alles bestens.

Wenn ich nun aber - zunächst mal nur - eine E-Mail mit dem GPG-Schlüssel über Enigmail signieren möchte, erhalte ich die folgende Fehlermeldung:

Code: Alles auswählen

GnuPG kann Ihre Passphrase nicht mit Hilfe des Programms pinentry abfragen.

Dies ist ein Problem mit der Systeminstallation oder ein Konfigurationsfehler
und führt dazu, dass Enigmail nicht funktioniert. Das Problem kann nicht 
automatisch behoben werden.

Bitte sehen Sie auf der Support-Webseite https://enigmail.net/faq (auf Englisch)
nach, welche Möglichkeiten Sie haben.

Offensichtlich scheitert das Ganze daran, dass kein Fenster aufpoppt, um die Passphrase eingeben zu können.
Die Datei /home/user-email/.gnupg/gpg-agent.conf enthält die Einstellungen:

Code: Alles auswählen

default-cache-ttl 300
max-cache-ttl 999999
ignore-cache-for-signing
pinentry-program pinentry-gnome3

Ab es funktioniert irgendwie nicht. Ich gehe davon aus, dass Thunderbird/Enigmail pinentry unter dem Benutzer "user-email" aufruft, dieses Programm aber keinen Zugriff auf die grafische Oberfläche bekommt. Sicher bin ich mir aber nicht.

Weiß jemand Rat oder welche Informationen fehlen, um mir einen Hinweis geben zu können?
Die Lösung steht bestimmt wieder irgendwo, aber ich finde sie leider nicht .

Vielen Dank im Voraus für die Unterstützung und viele Grüße

[1] https://wiki.debianforum.de/X-Anwendung ... %C3%BChren
[2] viewtopic.php?f=29&t=164960&hilit=start+anderer+user
[3] https://nightsi.de/das-perfekte-gpg-sch ... generieren
[4] https://www.gniibe.org/memo/software/gp ... 25519.html

[irgendwas]

Ich hatte mal ein ähnliches Problem vor ein paar Wochen/Monaten. Seitdem nutze ich pinentry-qt (ggf. nachinstallieren)

~/.gnupg/gpg-agent.conf:

Code: Alles auswählen

pinentry-program pinentry-qt

(dann entwender reboot oder den gpg-agent killen und manuell starten)

[LinuxFanKR13]

Hallo irgendwas, Hallo Community,

vielen Dank für den Hinweis, aber das hat das Problem nicht gelöst.
Noch folgenden HInweise.

Mein "normaler" Benutzer "user" hat in seinem Verzeichnis ~/.gnupg keine Datei gpg-agent.conf. Wenn ich im Terminal per gpg -e Datei eine Datei verschlüssele, erscheint ein grafisches Eingabefenster für die Passphrase und die Verschlüsselung der Datei geht problemlos, ebenso wieder das Entschlüsseln.

Die Recherche im Dateisystem zeigt

Code: Alles auswählen

/usr/bin/pinentry -> /etc/alternatives/pinentry
/usr/bin/pinentry-curses
/usr/bin/pinentry-gnome3
/usr/bin/pinentry-x11 -> /etc/alternatives/pinentry-x11

und

Code: Alles auswählen

/etc/alternatives/pinentry -> /usr/bin/pinentry-gnome3
/etc/alternatives/pinentry-x11 -> /usr/bin/pinentry-gnome3

Damit zeigt also schließlich alles auf /usr/bin/pinentry-gnome3, was ja mit dem "user" auch funktioniert.

Wichtig ist vielleicht noch zu wissen, dass der Sub-User "user-email" mit dem Eintrag

Code: Alles auswählen

user-email:x:950:950::/home/user-email:/bin/false

in /etc/passwd steht.

In der Datei /home/user-email/.gnupg/gpg-agent.conf kann ich in der Zeile pinentry-program folgende Eintragungen machen, ohne dass nach einem Reboot das Problem beseitigt ist.

• pinentry-program pinentry

• pinentry-program pinentry-gnome3

• pinentry-program pinentry-qt

Natürlch habe ich dafür das Paket pinentry-qt installiert, aber nachdem dadurch das Probem nicht gelöst wurde, auch wieder deinstalliert.
Fazit:
Ein funktionierendes pinentry ist auf dem Rechner vorhanden, aber der user-email findet es entweder gar nicht oder darf es auf der grafischen Oberfläche nicht zur Anzeige bringen. Ich habe auch die verschiedenen log-Dateien auf Hinweise durchsucht, mir ist dabei nichts Verwertbares aufgefallen.

Es bleibt für mich undurchsichtig, wie das Problem gelöst werden kann.

Viele Grüße

[LinuxFanKR13]

Hallo Community,

mit folgenden Einträgen in /home/user-email/.gnupg/gpg-agent.conf bekomme ich die Fehlermeldung, dass pinentry nicht gefunden wird, nicht mehr:

Code: Alles auswählen

default-cache-ttl 300
max-cache-ttl 999999
use-standard-socket
pinentry-programm /usr/bin/pinentry-gnome3

Dabei sind die beiden letzten Zeilen die wichtigen.

Allerdings:
Enigmail kann wohl nicht mit Subkeys umgehen, weshalb ich eine Fehlermeldung bekomme, dass der Schlüssel nicht gefunden wird. Dies wirft jetzt zahlreiche neue Fragen auf, die ich aber später dann besser in einem anderen Beitrag nochmal aufwerfen werde:

• Welche E-Mail-Clients in den verschiedenen Betriebssystemen können mit Subkeys, wie sie nach [3], [4] (siehe ersten Beitrag) erzeugt wurden, umgehen?

• Wenn das ganz viele E-Mail-Clients nicht können, ist dann die vorgenommene Schlüsselerzeugung überhaupt sinnvoll? Schließlich sollen ja meine E-Mail-Empfänger mit von mir signierten E-Mails die Change bekommen, die Echtzeit der Mail zu prüfen. Wenn ein E-Mail-Client das dann nicht kann, ist das keine positive Werbebotschaft für Signieren und Verschlüsseln.

• Was ist ggf. die bessere Vorgehensweise?

Vor dem Hintergrund, dass sich bei Thunderbird mit Version 78 ohnehin Enigmail wohl erledigt, muss ich jetzt erst nochmal weiterlesen.

Viele Grüße

[KP97]

Vor dem Hintergrund, dass sich bei Thunderbird mit Version 78 ohnehin Enigmail wohl erledigt....

Nein, ab Version 78.2.2 ist Enigmail wieder nutzbar. Der Entwickler hatte viel anzupassen, das wurde aber auch bekannt gemacht.
https://www.thunderbird-mail.de/forum/t ... en-78er-u/

[mcb]

Vor dem Hintergrund, dass sich bei Thunderbird mit Version 78 ohnehin Enigmail wohl erledigt....

Nein, ab Version 78.2.2 ist Enigmail wieder nutzbar. Der Entwickler hatte viel anzupassen, das wurde aber auch bekannt gemacht.
https://www.thunderbird-mail.de/forum/t ... en-78er-u/

Leider nicht