Privacy
- Wat niemand over je mag weten
Thunderbird PGP-probleem
08-09-2020, 12:56 door [Account Verwijderd], 10 reacties
Ik heb even een update geplaatst over de problemen met de nieuwe versie van Thunderbird (78.2.1) en het gebruik van geïmporteerde PGP-sleutels. Deze sleutels heb je nodig om berichten van e-mail te versleutelen en te ontsleutelen. Zo als het er nu uitziet, heeft de nieuwe Thunderbird problemen met het gebruik van geïmporteerde PGP-sleutels.
De link van de update staat hier:
https://www.security.nl/posting/670126#posting670254
De link van de update staat hier:
https://www.security.nl/posting/670126#posting670254
Reacties (10)
Je eindigt jouw update met de tekst
Is het misschien niet beter om dat bericht bij Mozilla neer te leggen (in het Engels)?
Een vriendelijk verzoek aan Mozilla om hier op korte termijn naar te kijken, want de klant wordt immers niet gewaarschuwd om niet zijn bestaande PGP-keys te importeren die hij al een paar jaar (en buiten de applicatie om) in gebruik heeft.
Is het misschien niet beter om dat bericht bij Mozilla neer te leggen (in het Engels)?
Door Anoniem: Je eindigt jouw update met de tekst
Is het misschien niet beter om dat bericht bij Mozilla neer te leggen (in het Engels)?
Daar heb ik aan zitten denken ja. Misschien toch even dit bericht doorzetten.Een vriendelijk verzoek aan Mozilla om hier op korte termijn naar te kijken, want de klant wordt immers niet gewaarschuwd om niet zijn bestaande PGP-keys te importeren die hij al een paar jaar (en buiten de applicatie om) in gebruik heeft.
Is het misschien niet beter om dat bericht bij Mozilla neer te leggen (in het Engels)?
Bedankt voor de reactie!
Ze weten bij Mozilla echt wel dat ze regelmatig mensen in de problemen brengen met hun voortvarende acties hoor!
Alleen dat interesseert ze geen bal.
Alleen dat interesseert ze geen bal.
Door Anoniem: Ze weten bij Mozilla echt wel dat ze regelmatig mensen in de problemen brengen met hun voortvarende acties hoor!
Alleen dat interesseert ze geen bal.
Je kan het nooit iedereen naar de zin maken! Maar die schreeuwen hier om het hardst!Alleen dat interesseert ze geen bal.
Door Advanced Encryption Standard:
Ik zou eerst de passphrase van je secret key halen. Want daar kan de OpenPGP implementatie van Thunderbird (RNP) niet mee omgaan.
Daarna kan je de secret key exporteren met dit commando:
--export-secret-keys
--export-secret-subkeys
Same as --export, but exports the secret keys instead. The exported keys are written to STDOUT or to the file given with option --output. This command is often used along with the option --armor to allow for easy printing of the key for paper backup; however the external tool paperkey does a better job of creating backups on paper. Note that exporting a secret key can be a security risk if the exported keys are sent over an insecure channel.
The second form of the command has the special property to render the secret part of the primary key useless; this is a GNU extension to OpenPGP and other implementations can not be expected to successfully import such a key. Its intended use is in generating a full key with an additional signing subkey on a dedicated machine. This command then exports the key without the primary key to the main machine.
GnuPG may ask you to enter the passphrase for the key. This is required, because the internal protection method of the secret key is different from the one specified by the OpenPGP protocol.
--export-secret-subkeys
Same as --export, but exports the secret keys instead. The exported keys are written to STDOUT or to the file given with option --output. This command is often used along with the option --armor to allow for easy printing of the key for paper backup; however the external tool paperkey does a better job of creating backups on paper. Note that exporting a secret key can be a security risk if the exported keys are sent over an insecure channel.
The second form of the command has the special property to render the secret part of the primary key useless; this is a GNU extension to OpenPGP and other implementations can not be expected to successfully import such a key. Its intended use is in generating a full key with an additional signing subkey on a dedicated machine. This command then exports the key without the primary key to the main machine.
GnuPG may ask you to enter the passphrase for the key. This is required, because the internal protection method of the secret key is different from the one specified by the OpenPGP protocol.
Bij Thunderbird is het nog mogelijk om een Smartcard te gebruiken door RNP uit te schakelen via een setting in Thunderbird. Dan denk ik dat je meer kans maakt.
Ik snap niet waarom ze niet gewoon GnuPG 2.2 hebben gebruikt. Daar is tenminste goed naar gekeken door experts. RNP is duidelijk nog niet af.
Ik heb bericht teruggekregen van Mozilla.
Volgens bronnen zou het te maken hebben met een bug of een beperking in de RNP-software waardoor versleutelde brichten niet zijn te decrypten, alhoewel men toch in het bezit is van de private PGP-key.
Er is al eerder een klacht binnengekomen van een niet-nader gespecificeerd product van Symantec, waarbij ook hier geen berichten konden worden ontsleuteld.
Op dit moment - is mij verzekerd - wordt er gewerkt aan een fix door de RNP-ontwikkelaars om het bovenstaande probleem op te lossen. Of het probleem wat ik gemerkt heb een echt nieuw probleem is, zou vastgesteld moeten worden via het uitpluizen van het Thunderbird-logbestand.
Volgens bronnen zou het te maken hebben met een bug of een beperking in de RNP-software waardoor versleutelde brichten niet zijn te decrypten, alhoewel men toch in het bezit is van de private PGP-key.
Er is al eerder een klacht binnengekomen van een niet-nader gespecificeerd product van Symantec, waarbij ook hier geen berichten konden worden ontsleuteld.
Op dit moment - is mij verzekerd - wordt er gewerkt aan een fix door de RNP-ontwikkelaars om het bovenstaande probleem op te lossen. Of het probleem wat ik gemerkt heb een echt nieuw probleem is, zou vastgesteld moeten worden via het uitpluizen van het Thunderbird-logbestand.
Enigmail+GnuPG heeft in diverse versies gaandeweg gewoon keihard ontsleuteling waarbij gebruik werd gemaakt van oudere keys en oudere methoden (zoals MD5) uitgezet. Zodoende waren oude berichten niet meer te lezen. Dat vind ik nog steeds onbegrijpelijk en een klassiek geval van de eigen ruiten ingooien door gebruikers van je te vervreemden. Er wordt iets te snel overheen gestapt dat je dan maar eerst al die oude berichten moet ontsleutelen en opnieuw versleutelen. Dat dit geen doen is bij duizenden berichten spreekt vanzelf.
Door Anoniem: Enigmail+GnuPG heeft in diverse versies gaandeweg gewoon keihard ontsleuteling waarbij gebruik werd gemaakt van oudere keys en oudere methoden (zoals MD5) uitgezet. Zodoende waren oude berichten niet meer te lezen. Dat vind ik nog steeds onbegrijpelijk en een klassiek geval van de eigen ruiten ingooien door gebruikers van je te vervreemden. Er wordt iets te snel overheen gestapt dat je dan maar eerst al die oude berichten moet ontsleutelen en opnieuw versleutelen. Dat dit geen doen is bij duizenden berichten spreekt vanzelf.
Versie 3 PGP sleutels (RFC 1991) zitten niet meer in GnuPG 2.x. Daar was Enigmail op een gegeven moment op overgestapt.
GnuPG 1.4.23 is de laatste versie van GnuPG waarmee versie 3 sleutels gebruikt kunnen worden. En dan nog met allerlei commandline opties om dit mogelijk te maken (zoals -pgp2).
Door Anoniem:
Versie 3 PGP sleutels (RFC 1991) zitten niet meer in GnuPG 2.x. Daar was Enigmail op een gegeven moment op overgestapt.
GnuPG 1.4.23 is de laatste versie van GnuPG waarmee versie 3 sleutels gebruikt kunnen worden. En dan nog met allerlei commandline opties om dit mogelijk te maken (zoals -pgp2).
Door Anoniem: Enigmail+GnuPG heeft in diverse versies gaandeweg gewoon keihard ontsleuteling waarbij gebruik werd gemaakt van oudere keys en oudere methoden (zoals MD5) uitgezet. Zodoende waren oude berichten niet meer te lezen. Dat vind ik nog steeds onbegrijpelijk en een klassiek geval van de eigen ruiten ingooien door gebruikers van je te vervreemden. Er wordt iets te snel overheen gestapt dat je dan maar eerst al die oude berichten moet ontsleutelen en opnieuw versleutelen. Dat dit geen doen is bij duizenden berichten spreekt vanzelf.
Versie 3 PGP sleutels (RFC 1991) zitten niet meer in GnuPG 2.x. Daar was Enigmail op een gegeven moment op overgestapt.
GnuPG 1.4.23 is de laatste versie van GnuPG waarmee versie 3 sleutels gebruikt kunnen worden. En dan nog met allerlei commandline opties om dit mogelijk te maken (zoals -pgp2).
Is weer het bekende verhaal. Deprecated. Gebruiker, zoek het maar lekker uit!
Is natuurlijk idioterie om decryptie volgens een oude standaard uit je software te halen. Maar de free software wereld
doet dat soort dingen gerust. Ze zijn toch geen verantwoording naar de gebruiker verschuldigd...
Dames en heren, er is op 10 september 2020 een FIX voor bepaalde PGP issues uitgegeven in een nieuwe update voor Thunderbird.
De Release Notes vindt u via deze URL:
https://www.thunderbird.net/en-US/thunderbird/78.2.2/releasenotes/?uri=/thunderbird/releasenotes/&locale=nl&version=78.2.2&channel=release&os=Darwin&buildid=20200908210243
De Release Notes vindt u via deze URL:
https://www.thunderbird.net/en-US/thunderbird/78.2.2/releasenotes/?uri=/thunderbird/releasenotes/&locale=nl&version=78.2.2&channel=release&os=Darwin&buildid=20200908210243
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.