Privacy
- Wat niemand over je mag weten
Thunderbird PGP-probleem
08-09-2020, 12:56 door [Account Verwijderd], 10 reacties
Ik heb even een update geplaatst over de problemen met de nieuwe versie van Thunderbird (78.2.1) en het gebruik van geïmporteerde PGP-sleutels. Deze sleutels heb je nodig om berichten van e-mail te versleutelen en te ontsleutelen. Zo als het er nu uitziet, heeft de nieuwe Thunderbird problemen met het gebruik van geïmporteerde PGP-sleutels.
De link van de update staat hier:
https://www.security.nl/posting/670126#posting670254
De link van de update staat hier:
https://www.security.nl/posting/670126#posting670254
Reacties (10)
Je eindigt jouw update met de tekst
Is het misschien niet beter om dat bericht bij Mozilla neer te leggen (in het Engels)?
Een vriendelijk verzoek aan Mozilla om hier op korte termijn naar te kijken, want de klant wordt immers niet gewaarschuwd om niet zijn bestaande PGP-keys te importeren die hij al een paar jaar (en buiten de applicatie om) in gebruik heeft.
Is het misschien niet beter om dat bericht bij Mozilla neer te leggen (in het Engels)?
Door Anoniem: Je eindigt jouw update met de tekst
Is het misschien niet beter om dat bericht bij Mozilla neer te leggen (in het Engels)?
Daar heb ik aan zitten denken ja. Misschien toch even dit bericht doorzetten.Een vriendelijk verzoek aan Mozilla om hier op korte termijn naar te kijken, want de klant wordt immers niet gewaarschuwd om niet zijn bestaande PGP-keys te importeren die hij al een paar jaar (en buiten de applicatie om) in gebruik heeft.
Is het misschien niet beter om dat bericht bij Mozilla neer te leggen (in het Engels)?
Bedankt voor de reactie!
Ze weten bij Mozilla echt wel dat ze regelmatig mensen in de problemen brengen met hun voortvarende acties hoor!
Alleen dat interesseert ze geen bal.
Alleen dat interesseert ze geen bal.
Door Anoniem: Ze weten bij Mozilla echt wel dat ze regelmatig mensen in de problemen brengen met hun voortvarende acties hoor!
Alleen dat interesseert ze geen bal.
Je kan het nooit iedereen naar de zin maken! Maar die schreeuwen hier om het hardst!Alleen dat interesseert ze geen bal.
Door Advanced Encryption Standard:
Ik zou eerst de passphrase van je secret key halen. Want daar kan de OpenPGP implementatie van Thunderbird (RNP) niet mee omgaan.
Daarna kan je de secret key exporteren met dit commando:
--export-secret-keys
--export-secret-subkeys
Same as --export, but exports the secret keys instead. The exported keys are written to STDOUT or to the file given with option --output. This command is often used along with the option --armor to allow for easy printing of the key for paper backup; however the external tool paperkey does a better job of creating backups on paper. Note that exporting a secret key can be a security risk if the exported keys are sent over an insecure channel.
The second form of the command has the special property to render the secret part of the primary key useless; this is a GNU extension to OpenPGP and other implementations can not be expected to successfully import such a key. Its intended use is in generating a full key with an additional signing subkey on a dedicated machine. This command then exports the key without the primary key to the main machine.
GnuPG may ask you to enter the passphrase for the key. This is required, because the internal protection method of the secret key is different from the one specified by the OpenPGP protocol.
--export-secret-subkeys
Same as --export, but exports the secret keys instead. The exported keys are written to STDOUT or to the file given with option --output. This command is often used along with the option --armor to allow for easy printing of the key for paper backup; however the external tool paperkey does a better job of creating backups on paper. Note that exporting a secret key can be a security risk if the exported keys are sent over an insecure channel.
The second form of the command has the special property to render the secret part of the primary key useless; this is a GNU extension to OpenPGP and other implementations can not be expected to successfully import such a key. Its intended use is in generating a full key with an additional signing subkey on a dedicated machine. This command then exports the key without the primary key to the main machine.
GnuPG may ask you to enter the passphrase for the key. This is required, because the internal protection method of the secret key is different from the one specified by the OpenPGP protocol.
Bij Thunderbird is het nog mogelijk om een Smartcard te gebruiken door RNP uit te schakelen via een setting in Thunderbird. Dan denk ik dat je meer kans maakt.
Ik snap niet waarom ze niet gewoon GnuPG 2.2 hebben gebruikt. Daar is tenminste goed naar gekeken door experts. RNP is duidelijk nog niet af.
Ik heb bericht teruggekregen van Mozilla.
Volgens bronnen zou het te maken hebben met een bug of een beperking in de RNP-software waardoor versleutelde brichten niet zijn te decrypten, alhoewel men toch in het bezit is van de private PGP-key.
Er is al eerder een klacht binnengekomen van een niet-nader gespecificeerd product van Symantec, waarbij ook hier geen berichten konden worden ontsleuteld.
Op dit moment - is mij verzekerd - wordt er gewerkt aan een fix door de RNP-ontwikkelaars om het bovenstaande probleem op te lossen. Of het probleem wat ik gemerkt heb een echt nieuw probleem is, zou vastgesteld moeten worden via het uitpluizen van het Thunderbird-logbestand.
Volgens bronnen zou het te maken hebben met een bug of een beperking in de RNP-software waardoor versleutelde brichten niet zijn te decrypten, alhoewel men toch in het bezit is van de private PGP-key.
Er is al eerder een klacht binnengekomen van een niet-nader gespecificeerd product van Symantec, waarbij ook hier geen berichten konden worden ontsleuteld.
Op dit moment - is mij verzekerd - wordt er gewerkt aan een fix door de RNP-ontwikkelaars om het bovenstaande probleem op te lossen. Of het probleem wat ik gemerkt heb een echt nieuw probleem is, zou vastgesteld moeten worden via het uitpluizen van het Thunderbird-logbestand.
Enigmail+GnuPG heeft in diverse versies gaandeweg gewoon keihard ontsleuteling waarbij gebruik werd gemaakt van oudere keys en oudere methoden (zoals MD5) uitgezet. Zodoende waren oude berichten niet meer te lezen. Dat vind ik nog steeds onbegrijpelijk en een klassiek geval van de eigen ruiten ingooien door gebruikers van je te vervreemden. Er wordt iets te snel overheen gestapt dat je dan maar eerst al die oude berichten moet ontsleutelen en opnieuw versleutelen. Dat dit geen doen is bij duizenden berichten spreekt vanzelf.
Door Anoniem: Enigmail+GnuPG heeft in diverse versies gaandeweg gewoon keihard ontsleuteling waarbij gebruik werd gemaakt van oudere keys en oudere methoden (zoals MD5) uitgezet. Zodoende waren oude berichten niet meer te lezen. Dat vind ik nog steeds onbegrijpelijk en een klassiek geval van de eigen ruiten ingooien door gebruikers van je te vervreemden. Er wordt iets te snel overheen gestapt dat je dan maar eerst al die oude berichten moet ontsleutelen en opnieuw versleutelen. Dat dit geen doen is bij duizenden berichten spreekt vanzelf.
Versie 3 PGP sleutels (RFC 1991) zitten niet meer in GnuPG 2.x. Daar was Enigmail op een gegeven moment op overgestapt.
GnuPG 1.4.23 is de laatste versie van GnuPG waarmee versie 3 sleutels gebruikt kunnen worden. En dan nog met allerlei commandline opties om dit mogelijk te maken (zoals -pgp2).
Door Anoniem:
Versie 3 PGP sleutels (RFC 1991) zitten niet meer in GnuPG 2.x. Daar was Enigmail op een gegeven moment op overgestapt.
GnuPG 1.4.23 is de laatste versie van GnuPG waarmee versie 3 sleutels gebruikt kunnen worden. En dan nog met allerlei commandline opties om dit mogelijk te maken (zoals -pgp2).
Door Anoniem: Enigmail+GnuPG heeft in diverse versies gaandeweg gewoon keihard ontsleuteling waarbij gebruik werd gemaakt van oudere keys en oudere methoden (zoals MD5) uitgezet. Zodoende waren oude berichten niet meer te lezen. Dat vind ik nog steeds onbegrijpelijk en een klassiek geval van de eigen ruiten ingooien door gebruikers van je te vervreemden. Er wordt iets te snel overheen gestapt dat je dan maar eerst al die oude berichten moet ontsleutelen en opnieuw versleutelen. Dat dit geen doen is bij duizenden berichten spreekt vanzelf.
Versie 3 PGP sleutels (RFC 1991) zitten niet meer in GnuPG 2.x. Daar was Enigmail op een gegeven moment op overgestapt.
GnuPG 1.4.23 is de laatste versie van GnuPG waarmee versie 3 sleutels gebruikt kunnen worden. En dan nog met allerlei commandline opties om dit mogelijk te maken (zoals -pgp2).
Is weer het bekende verhaal. Deprecated. Gebruiker, zoek het maar lekker uit!
Is natuurlijk idioterie om decryptie volgens een oude standaard uit je software te halen. Maar de free software wereld
doet dat soort dingen gerust. Ze zijn toch geen verantwoording naar de gebruiker verschuldigd...
Dames en heren, er is op 10 september 2020 een FIX voor bepaalde PGP issues uitgegeven in een nieuwe update voor Thunderbird.
De Release Notes vindt u via deze URL:
https://www.thunderbird.net/en-US/thunderbird/78.2.2/releasenotes/?uri=/thunderbird/releasenotes/&locale=nl&version=78.2.2&channel=release&os=Darwin&buildid=20200908210243
De Release Notes vindt u via deze URL:
https://www.thunderbird.net/en-US/thunderbird/78.2.2/releasenotes/?uri=/thunderbird/releasenotes/&locale=nl&version=78.2.2&channel=release&os=Darwin&buildid=20200908210243
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
