[Gpg4win-users-de] gpg4win ist ein Eichhoernchen

Bernhard Reiter bernhard at intevation.de
So Aug 18 20:48:38 CEST 2013


Hi Holger,

Am Samstag, 17. August 2013, 15:24:05 schrieb Holger Schoenen:
> Mit den seltsamsten Erscheinungen in gpg4win konfrontiert stehe ich kurz
> vor der Verzweiflung und fühle mich dauern genarrt.

das tut mir leid. Vielleicht können wir ja das ein oder andere Phänomen
zusammen aufklären.
 
> Ich verwende mehrere Rechner (XP und W7). Kleopatra sagt mir, daß ich
> Gpg4win 2.2.0-b56 verwende. In der mail steht dann GbuPG c2.0.21-b27.
> OK. 

Gpg4win ist die Zusammenstellung verschiedener Komponenten, sie hat eine 
eigene Versionsnummer. GnuPG ist der kryptografische Motor drunter.
Wie in http://files.gpg4win.org/Beta/README-2.2.0-beta56.en.txt
ersichtlich kommt da GnuPG:          2.0.21-beta20 mit.
(Insofern wunder mich gerade Dein "2.0.21-b27", aber vielleicht ein 
Tippfehler.)

> Bei mir sind mehrere private keys im Einsatz, einer wird nicht mehr
> verwendet, einen benutze ich zur Verschlüsselung an mich selbst (für
> die Tests), einen zur Signierung. Habe dazu verschiedene passwords,
> sonst wäre es ja zu einfach.
> 
> Vorab: Ein Problem habe ich jetzt reproduzierbar. Wenn ich eine an mich
> selbst geschriebene mail entschlüsseln möchte und beim ersten Versuch
> ein falsches pw eingebe, liefert bei der nächsten pw-Abfrage auch das
> richtige pw eine Fehlermeldung. Danach kann dann auch ein beliebiges pw
> meine mail entschlüsseln! Wenn man dieses erst einmal weiß, kann man
> damit leben, falls nicht - man wird verrückt! Man glaubt nicht mehr an
> die eigene Erinnerung.

Bitte achte dabei doch mal genau auf die Texte, welche Dir der pinentry 
präsentiert. Sind die genau gleich? GnuPG fragt u.U. mehrere private 
Schlüssel durch, weil es nicht immer wissen kann, mit welchem es in der 
Lage ist die Verschlüsselung aufzuheben. Das mit dem beliebigen Kennwort 
glaube ich nicht (ohne weitere Beleg).
 
> Darüber hinaus glaube ich, daß es in pgp4win diverse derbe
> racing-Probleme gibt. Wenn ich auf eine verschlüsselte mail clicke,

Mit welchem Klienten jetzt genau? Die Racing Problem könnten auch im 
Email-Klienten liegen.

> läuft der Entschlüsselungsprozess schon an. Nun kann ich eine andere
> mail öffnen - und irgendwann meldet sich die erste, nicht geöffnete mail
> mit der Frage nach dem password! Auch kann es sein, daß ich eine mail
> öffne, das pw eingebe, die entschlüsselte mail sehe und dann plötzlich
> in einem anderen Fenster wieder nach einem pw gefragt werde. Bei sehr
> großen mails bzw Anhängen läuft dann wohl noch ein asynchroner
> download, der anschließend für Verwirrung sorgt. Dann gibt es da noch
> den pw-cache, der dafür sorgt, daß mails scheinbar nicht verschlüsselt
> sind, u.s.w..

Der Gpg-Agent speichert eigentlich nur die privaten Schlüssel zwischen,
nicht die Kennwörter selbst. Die Kennwörter sind zum entschlüsseln der 
privaten Schlüssel, denn diese besitzen einen einfachen Schutz.

Eigentlich ist es ja gut, wenn der Email Klient in der Lage ist mehrere 
Dinge zu machen, während eine Kryptooperation im Hintergrund läuft.
Aber da gebe ich Dir sehr recht: Das ganze sollte noch zuordnebar bleiben.

> Wenn man gelegentlich eine mail schreibt oder empfängt ist das sicher
> kein Problem, beim Testen kann man aber das Gefühl bekommen, hinter
> Eichhörnchen herzulaufen.
> 
> Outlook liefert noch eine besondere Variante: Beim Entschlüsseln oder
> auch bei der Prüfung einer Signatur erzeugt Outlook per IMAP eine neue
> meil. Ich höre dann ein Pling in meinem handy. Die neue mail enthält
> dann den Anhang winmail.dat. Die ursprüngliche mail scheint dabei
> (manchmal) gelöscht zu werden, sodaß nur noch die mail mit Anhang
> vorhanden ist, die in Thunderbird dann nicht mehr lesbar ist.

Das ist tatsächlich denkbar, das muss Andre noch mal ein wenig schauen.
Um die Email entschlüsseln und anzeigen zu können, muss der entschlüsselte 
Inhalt dem Outlook ja zurück gegeben werden. Insbesondere wegen das 
"Vorschaufensters". Es kann gut sein, dass Outlook diesen neuen "Status" 
serialisiert.

> Nach mehreren Entschlüsselungsversuchen mit falschem pw wurde dann aber
> auch in Thunderbird die mail gelöscht - nicht von mir! Ich schwöre es!
> Glaube ich jedenfalls. Im handy, das ist dann eine Kopie, die über den
> blackberry server gelaufen ist, finde ich die mail dann noch - es gab
> sie also.

Abgesehen von Claws und GPGOl hat Gpg4win mit dem Verhalten der Klienten 
bezüglich Emails nicht viel zu tun. Das wäre auch wieder ein 
Enigmail/Thunderbird Dingen.

> Auch bilde ich mir ein, auf dem handy Klartext-mails gefunden zu haben,
> die ich MIT SICHERHEIT verschlüsselt hatte! Irgend wer muß da gepetzt
> haben. Auf meinem blackberry gibt es kein pgp.

Wie gesagt: Ich halt es für denkbar, dass die neue Version von GPGOl 
den Inhalt an Outlook gibt und Outlook den neuen, unverschlüsselten Inhalt 
wieder serialisiert. Das ist in manchen Fällen sogar ein vernünftiges und 
erwünschtes Verhalten, das unverschlüsselte Speichern. Anhänge werden das 
Problem nicht haben. 

> Das zu meinem Frust als Tester.

Danke für die Rückmeldung! Testen ist tatsächlich eine sehr anspruchsvolle 
Aufgabe! Deshalb auch danke für Deine Geduld, ich denke hier sind Punkte, 
welche wir auch noch genauer ansehen müssen.

Gruß,
Bernhard

-- 
www.intevation.de/~bernhard (CEO)    www.fsfe.org (Founding GA Member)
Intevation GmbH, Osnabrück, DE; Amtsgericht Osnabrück, HRB 18998
Geschäftsführer Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 490 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.wald.intevation.org/pipermail/gpg4win-users-de/attachments/20130818/a82ec395/attachment.sig>


Mehr Informationen über die Mailingliste Gpg4win-users-de