Muss ein interessantes, allgemeines und ausgeprägtes Problem an sich sein, im Thread hier diskutieren 3 Benutzer (+2 mit Sachfragen) über größtenteils Vermutungen da die Art und Weise wie der Source Code funktioniert nicht bekannt ist als auch diverse Beweggründe der Entwickler ebenfalls unbekannt sind. Für mich hat das hat etwas von "hätte hätte Fahrradkette" an sich.
GnuPG ist nicht gerade bekannt dafür eine tolle API zu besitzen noch sinnvolle und eine begrenzende Anzahl von Konfigurationsschaltern zu haben. Es ist aber faktisch die einzige verbliebene asymmetrische Verschlüsselungstechnik in der FOSS Welt die auch als sicher angesehen wird.
Enigmail ist mit dem endgültigen Abschalten von Legacy AddOns and Legacy Webextensions in der Version 78.x in einer Sackgasse angekommen, die Features die Enigmail eben benötigt um auf gpg und den extern liegenden Schlüsselring zugreifen zu können sind aus Sicherheitsgründen nun mit WebExtension nicht mehr möglich. Also geht man im Prinzip den einzig richtigen Weg und integriert GPG eben direkt im Programm. Dumm nur das es von GPG eben keine Bibliothek gibt, also muss man alle Funktionen nun doch nochmal neu schreiben und lässt natürlich dabei alle Altlasten weg die gpg so noch mit sich herum trägt. Und, oh welche Zufall, genau das Team was Enigmail geschrieben und gepflegt hatte hat exakt diese Funktion nun im Thunderbird integriert. Aber das ist nun auch wieder nicht richtig?
Schonmal daran gedacht des dies eben ein Kompromiss des Machbaren ist?
Welches Angriffsszenario betrachtet ihr da?
In welchem Aufwandsverhältnis steht ein Angriff auf den Thunderbird und dessen IPC mit volatilen Speicheradressen wenn ich so oder so Zugriff auf das lokale Dateisystem des Benutzer habe?
Also, grau ist alle Theorie.