[inkompatibel] Thunderbird 78.2 und GnuPG

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
Benutzeravatar
ingo2
Beiträge: 1046
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

[inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von ingo2 » 31.08.2020 17:27:54

Im kommenden Monat wird ja Debianthunderbird auf 78.2 upgegradet (ist schon in experimental).
Damit wird Debianenigmail ersetzt durch eine TB-eigene GnuPG-Funktionalität - leider.

Ich habe dazu mal die Vorgänge und Änderungen bei der Migration https://wiki.mozilla.org/Thunderbird:Op ... m-Enigmail studiert - das ist meiner Meinung nach eine Sicherheitskatastrophe, denn:
Thunderbird will uses its own copy of the keys, sharing your keys between Thunderbird 78 and GnuPG currently isn't supported.
...
Thunderbird doesn't use on-demand unlocking (key passwords) of your secret keys. Rather, the only way to password protect the use of your OpenPGP secret keys is to set up the global Master Password feature of Thunderbird, which you can find in Thunderbird's security preferences.
Mit anderen Worten, selbst meine "secret gpg-keys" sind (ungeschützt) in TB zugänglich, solange TB geöffnet ist. Das heißt in meinem Falle dauernd, solange ich eingeloggt bin! Selbst ein Master-Passwort hilft da wenig.

Aktuell achte ich sehr darauf, meinen gpg-key nur kurz bei Bedarf zu entsperren, auf dem Laptop nutze ich den Key von einem Yubikey - da liegen nur Stubs auf dem Rechner. Ich benutze den Key natürlich auch für SSH-Logins, z.B. von Remote und zum Verschlüsseln einzelner Dateien mit vertraulichem Inhalt. Die einzige Kopie meines Keys liegt sicher in einem Schließfach.
Das wird jetzt alles untergraben, nur weil Mozilla meint, sie brauchen eine eigene Kopie des Keys :hail: :hail:

Und ganz verzichten auf diese Art des Key-Managements kann ich wohl nicht, habe in meinen Mails natürlich auch verschlüsselte, die ich bei Bedarf auch lesen will - da komme ich sonst ja nicht mehr ran.

Ist das nicht ein Grund für einen Security-Bug-Report?
Zuletzt geändert von ingo2 am 31.08.2020 20:27:41, insgesamt 1-mal geändert.

mcb
Beiträge: 663
Registriert: 25.06.2020 17:28:49

Re: Thunderbird 78.2 und GnuPG

Beitrag von mcb » 31.08.2020 19:59:05

Weiß nicht, gefällt mir auch nicht (ich hasse das, wenn an Thunderbird umgebaut wird) ...

Bei 68.12 bleiben wg Enigmal ???

Zumindest funktioniert GPG mit TB 78.x ...

Mit 78.3 sollen dann auch die meisten Enigmail Einstellungen (automatisch) migriert werden. :facepalm: Perfekt funktionierendes System wird umgebaut, na ja.

Ist Evolution https://wiki.gnome.org/Apps/Evolution tauglich ?

Gruß

Benutzeravatar
ingo2
Beiträge: 1046
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: Thunderbird 78.2 und GnuPG

Beitrag von ingo2 » 31.08.2020 20:26:45

mcb hat geschrieben: ↑ zum Beitrag ↑
31.08.2020 19:59:05
Mit 78.3 sollen dann auch die meisten Enigmail Einstellungen (automatisch) migriert werden. :facepalm: Perfekt funktionierendes System wird umgebaut, na ja.
Also in experimental ist 78.2 zur Erprobung. Da Mozilla das API geändert hat, ist das nicht mehr mit Debianenigmail kompatibel. Es soll dann eine höhere Version von enigmail geben, die nur die "Migration" macht - auch das ist nicht Debian-Style. Das sowas überhaupt in Debian-stable passiert, ist mehr als traurig.

Deinen Vorschlag, bei 68 zu bleiben, ist wohl die einzige Lösung. Werde das apt-pinnen.
Falls da wirklich mal eine Sicherheitslücke auftauchen sollte - so gravierend wie den privat-key ungesichert vorzuhalten, kann die gar nicht sein.

Mozilla glaubt wohl, sie sind der alleinige Herr über GPG :twisted:

Ich markiere den Thread jedenfalls schon jetzt als "inkompatibel".

Gruß,
Ingo

mcb
Beiträge: 663
Registriert: 25.06.2020 17:28:49

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von mcb » 31.08.2020 21:44:42

Code: Alles auswählen

root@mb:/home/marc# apt-mark hold thunderbird
thunderbird set on hold.
root@mb:/home/marc# apt-mark showhold
thunderbird
root@mb:/home/marc# 

^^ das ist erstmal alles ? Ich muß mir das in Ruhe durchdenken wenn es soweit ist.

Benutzeravatar
ingo2
Beiträge: 1046
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von ingo2 » 31.08.2020 21:49:43

mcb hat geschrieben: ↑ zum Beitrag ↑
31.08.2020 21:44:42
^^ das ist erstmal alles ? Ich muß mir das in Ruhe durchdenken wenn es soweit ist.
Ich würde sicherheitshalber auch enigmail noch pinnen - wie gesagt, die zählen einfach die Version hoch, soll aber nur nur das konvertieren machen.

Ich habe es so gemacht, vielleicht werden die Debian-Maintainer ja noch wach:
/etc/apt/preferences

Code: Alles auswählen

Package: thunderbird*
Pin: version 1:68*
Pin-Priority: 1001

Package: enigmail
Pin: version 2:2.1*
Pin-Priority: 1001
Eigentlich müßte der Titel ja so lauten:

Achtung, Thunderbird 78.2 kompromittiert private gpg-keys!

EDIT: habe die Priority auf die sichere Seite (1001) gesetzt - wer weiss ob die die 120 respektieren und deshalb die 68.* nicht ersetzen.
Zuletzt geändert von ingo2 am 31.08.2020 22:54:05, insgesamt 2-mal geändert.

mcb
Beiträge: 663
Registriert: 25.06.2020 17:28:49

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von mcb » 31.08.2020 22:36:54

- Enigmail habe ich als xpi direkt vom Anbieter
- Pin habe ich noch nicht verstanden :facepalm:
- habe mir jetzt noch thunderbird 68.12 direkt von mozilla gesichert

und warte erstmal ab was da kommt ...

cronoik
Beiträge: 2030
Registriert: 18.03.2012 21:13:42
Lizenz eigener Beiträge: GNU Free Documentation License

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von cronoik » 31.08.2020 22:56:03

ingo2 hat geschrieben: ↑ zum Beitrag ↑
31.08.2020 20:26:45
Deinen Vorschlag, bei 68 zu bleiben, ist wohl die einzige Lösung. Werde das apt-pinnen.
Falls da wirklich mal eine Sicherheitslücke auftauchen sollte - so gravierend wie den privat-key ungesichert vorzuhalten, kann die gar nicht sein.
Ich rate davon definitiv ab. Wer weis was es da fuer Luecken gibt die dann vielleicht noch mehr als den private-key rausruecken.
ingo2 hat geschrieben: ↑ zum Beitrag ↑
31.08.2020 21:49:43
Ich habe es so gemacht, vielleicht werden die Debian-Maintainer ja noch wach:
/etc/apt/preferences

Package: thunderbird*
Pin: version 1:68*
Pin-Priority: 1001

Package: enigmail
Pin: version 2:2.1*
Pin-Priority: 1001
Was ist denn die Ausgabe von:

Code: Alles auswählen

apt policy thunderbird
?
Hilf mit unser Wiki zu verbessern!

Benutzeravatar
ingo2
Beiträge: 1046
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von ingo2 » 01.09.2020 11:41:29

cronoik hat geschrieben: ↑ zum Beitrag ↑
31.08.2020 22:56:03
Was ist denn die Ausgabe von:

Code: Alles auswählen

apt policy thunderbird
?
Sieht so aus:

Code: Alles auswählen

apt policy thunderbird enigmail
thunderbird:
  Installiert:           1:68.12.0-1~deb10u1
  Installationskandidat: 1:68.12.0-1~deb10u1
  Versionstabelle:
 *** 1:68.12.0-1~deb10u1 1001
        500 http://security.debian.org/debian-security buster/updates/main amd64 Packages
        100 /var/lib/dpkg/status
     1:68.10.0-1~deb10u1 1001
        500 http://ftp.de.debian.org/debian buster/main amd64 Packages
enigmail:
  Installiert:           2:2.1.3+ds1-4~deb10u2
  Installationskandidat: 2:2.1.3+ds1-4~deb10u2
  Versionstabelle:
 *** 2:2.1.3+ds1-4~deb10u2 1001
        500 http://ftp.de.debian.org/debian buster/main amd64 Packages
        500 http://security.debian.org/debian-security buster/updates/main amd64 Packages
        100 /var/lib/dpkg/status
Ich hab' jetzt mal eine Nacht darüber geschlafen und mir ist folgender Weg gekommen:

a) Solch eine Software, die Funktionen und API einfach umbaut, hat eigentlich in Debian-stable nichts verloren.
Das ist ja noch Alpha-Status, wenn man in der Mozilla-Anleitung zur Migration solche Phrasen liest:
will likely added in the future
Feature expected ..
functionality currently isn't offered, but might be added in the future
not support that feature at this time
, ...

b) Thunderbird wird nie meine GPG-Schlüssel, noch das Passwort dazu je bekommen - falls ich es noch weiter nutze, dann nur ohne Verschlüsselung.

Dazu schaue ich mir mal Claws-mail an und werde mindestens alle verschlüsselten Mails aus TB dorthin exportieren (kann sie ja ohne meine Keys zu kompromittieren in TB nicht mehr lesen) und in Zukunft in Claws handhaben.

Wenn's mir zusagt, migriere ich komplett nach Debianclaws-mail

Mozilla wird es schon schaffen, nach Firefox auch Thunderbird runter zu wirtschaften :(

Ingo

mcb
Beiträge: 663
Registriert: 25.06.2020 17:28:49

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von mcb » 17.09.2020 20:33:04

Wie kommst du denn mit Claws zurecht? Ich habe heute Evolution und Claws probiert und na ja:

- Claws läuft sehr hackelig und die GUI gefällt mir nicht wirklich
- Evolution habe ich nicht richtig zum laufen bekommen (mit mailbox.org)
- Thunderbird 68 kann man / ich wohl noch ein paar Wochen benutzen

Den Key muß man bei Thunderbird wirklich im Programm speichern :cry: mit der Sicherheit beim momentanen Alpha Status bereitet mir das Bauchschmerzen ...

Benutzeravatar
ingo2
Beiträge: 1046
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von ingo2 » 17.09.2020 22:12:44

Ich habe eigentlkich nur Debianclaws-mail als Alternative gesehen. Evolution wird vom Gnome-Team betreut und das allein disqualifiziert das für mich. Ist wohl auch ein schwergewichtiger Brocken und die gtk3-Optik mit immer weiter kastierten Einstellungen (verkauft als user experience) mag ich schon garnicht. Außerdem: den Debiangnome-kexyring habe ich mühsam tot gelegt, der ist so einnehmend und kommt dem Debiangpg-agent in die Quere.

Debianclaws-mail dagegen fügt sich perfekt in den XFCE-Desktop ein und an Einstellungen wird mehr geboten als man normalerweise braucht. Ok, die Ersteinrichtung ist ein bischen hakelig, bis man mal so alle Feinheiten raus hat - ich habe 3x meine Konfiguration ~/.claws-mail/ komplett gelöscht und neu angefangen bis es mir gefallen hat.

Das Tolle dabei: Konfiguration und Mails werden sauber in verschiedenen Verzeichnissen getrennt. Das "Mail-Handler" Format zum speichern der Mails ist wirklich nützlich und auch flott und dank 1 Mail = 1 File auch mit einem Editor lesbar, die Verzeichnisnamen in Debianclaws-mail entsprechen auch denen auf der Platte - selbst nach umbenennen, ...

Benachrichtigung im Panel, ein Archiv-Plugin und natürlich die 3 Plugins für GPG-Unterstützung - toll und leichtgewichtig.

HTML-Mails will/brauche ich nicht, zu dem Plugin kann ich nichts sagen.

Ich lasse das mal bis Ende des Jahres parallel laufen, solange wird TB 68 noch mit Sicherheitspatches versorgt, dann werde ich wohl komplett auf Claws umschalten.

Was mir dann noch fehlt: ein guter Terminkalender, der auch an solche wiederkehrende Termine wie z.B. "jeden 3. Freitag im Monat" erlaubt.

mcb
Beiträge: 663
Registriert: 25.06.2020 17:28:49

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von mcb » 18.09.2020 10:58:32

Dann ist mein Thinkpad für Claws wohl zu langsam ;-) Unter Gnome ist die GUI eine Katastrophe ... und wieso drei GPG-Plugins ?

Ich werde es nochmal probieren die Tage, anderer Desktop ???

Wo steht denn das mit den Sicherheitsupdates für Thunderbird 68 ?

Benutzeravatar
ingo2
Beiträge: 1046
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von ingo2 » 18.09.2020 12:01:44

mcb hat geschrieben: ↑ zum Beitrag ↑
18.09.2020 10:58:32
... und wieso drei GPG-Plugins ?
PGP/Core,
Dieses Plugin stellt PGP-Grundfunktionen zu Verfügung

PGP/inline
Dieses Plugin bietet die Möglichkeit, Mails mit dem veralteten Inline-Verfahren zu signieren oder zu verschlüsseln

PGP/MIME
Dieses Plugin verarbeitet PGP/MIME signierte und/oder verschlüsselte Mails.
[/quote]

Benutzeravatar
willy4711
Beiträge: 5031
Registriert: 08.09.2018 16:51:16

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von willy4711 » 18.09.2020 18:45:13

Mit anderen Worten, selbst meine "secret gpg-keys" sind (ungeschützt) in TB zugänglich, solange TB geöffnet ist. Das heißt in meinem Falle dauernd, solange ich eingeloggt bin! Selbst ein Master-Passwort hilft da wenig.
Nur mal um die Gemüter etwas zu beruhigen:

Der Passwortspeicher ist auch bei laufenden TB immer geschützt.

Um dir die Passwörter ansehen zu können musst du das Master-PW erneut eingeben.
Kannst dir ja mal die Datei logins.json in deinem Profilordner ansehen, ob da was im Klartext gespeichert ist.
Natürlich nur dann, wenn du ein Master-PW benutzt.

Benutzeravatar
ingo2
Beiträge: 1046
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von ingo2 » 18.09.2020 20:25:10

willy4711 hat geschrieben: ↑ zum Beitrag ↑
18.09.2020 18:45:13
Um dir die Passwörter ansehen zu können musst du das Master-PW erneut eingeben.
Schon das ist meines Erachtens keine "best practice" - das Passwort überhaupt in einer graphischen Anwendung anzeigen zu können. Genau zur PW-Abfrage treiben askpass-Applets teils erheblichen Aufwand um das sicher zu gestalten. Dazu kommt noch, dass ich selbst dafür sorgen muss, den secret key in TB und GPG synchron zu halten - und den überhaupt an 2 verschiedenen Stellen zu speichern (wo eine davon "work in progess" = Alpha-Stadiun ist).

Vergiß nicht, wir reden vom Master-Key, denn Subkeys auf Smartcards unterstützt TB nicht.
Die einzige Möglichkeit, GPG mit TB sicher zu nutzen, ist dann wohl nur ein "Wegwerf-Key" extra für TB.

mcb
Beiträge: 663
Registriert: 25.06.2020 17:28:49

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von mcb » 18.09.2020 20:31:14

willy4711 hat geschrieben: ↑ zum Beitrag ↑
18.09.2020 18:45:13
Mit anderen Worten, selbst meine "secret gpg-keys" sind (ungeschützt) in TB zugänglich, solange TB geöffnet ist. Das heißt in meinem Falle dauernd, solange ich eingeloggt bin! Selbst ein Master-Passwort hilft da wenig.
Nur mal um die Gemüter etwas zu beruhigen:

Der Passwortspeicher ist auch bei laufenden TB immer geschützt.

Um dir die Passwörter ansehen zu können musst du das Master-PW erneut eingeben.
Kannst dir ja mal die Datei logins.json in deinem Profilordner ansehen, ob da was im Klartext gespeichert ist.
Natürlich nur dann, wenn du ein Master-PW benutzt.
Enigmail war / ist da schon besser ...

Wenn das Hauptpasswort (Materpasswort) ähnlich sicher wie bei Firefox ist, kann man das gleich lassen. :(

Antworten