[Gpg4win-users-de] Probleme mit Signierten Mail von Apple-Mail-Usern

Thomas Schweikle tschweikle at bfs.de
Mi Feb 1 15:24:03 CET 2023 


Am 01.02.2023 um 13:57 schrieb Bernhard Reiter:
> Hallo Thomas,
> 
> Am Mittwoch 01 Februar 2023 13:29:07 schrieb Thomas Schweikle via
> Gpg4win-users-de:
> 
>> Bei genauerer Analyse was hier passiert kam heraus: Apple-Mail versendet
>> die Mail als S/MIME. In die Signatur mit einbezogen waren das Subjekt,
>> Empfänger und Absender.
> 
> normalerweise sind Informationen zum Transport nicht Teil des eigentlichen
> Email-Inhalts und deshalb nicht signiert.

Dachte ich auch. Aber Apple-Mail implementiert hier auch, so wie 
Thunderbird, etwas Experimentelles. Nur anders als Thunderbird 
verschlüsseln/signieren sie das Subjekt nicht getrennt vom Rest, sondern 
packen das in einen minimalen Header:

-- Start Mail-Block
From: <absender>
To: <empfänger>
cc: <empfänger>
Subject: <subjekt>

<body>
-- End MailBlock

und signieren das dann komplett (ursprünglich hatten sie anscheinend 
auch BCC mit im Signaturblock -- bis sie gemerkt haben, dass das wenig 
Sinn macht, weil die BCC-Empfänger nicht übermittelt werden sollen).
Anschließend kodieren sie diesen Teil mit base64 und packen ihn dann in 
einen Anhang *.p7m

Die Mail besteht dann anfangs aus zwei Teilen:
- der unsignierten Mail mit Standartaufbau Transport als MIME
- der signierten Mail im MIME-Container inkl. der Signatur

dekodiert man jetzt den base64-Teil, kriegt man den signierten Teil 
wieder als base64 und die Signatur und kann beides gegeneinander prüfen. 
Danach kann dieser base64 kodierte Teil ausgepackt werden und es bleibt 
eine "übliche" Mail mit Header, Body, Anhängen usw. übrig. Jedesmal 
ordentlich in MIME verpackt.

Im Grunde muss ein Mailclient so eine Mail dreimal anfassen und jedesmal 
einen teil Auspacken, bis es nichts mehr zum Auspacken gibt. Die beiden 
Verfahren (von Thunderbird und Apple-Mail) funktionieren sehr 
unterschiedlich, liefern aber beide das gleiche: die Signatur umfasst 
Absender, Empfänger, Körper und Anhänge. Bei Apple-Mail in einem Rutsch, 
bei Thunderbird jeder Teil für sich.

Beide Verfahren sind als experimentell gekennzeichnet und für beide gibt 
es ein RFC, das beschreibt wie es gemacht werden soll. Implementiert ist 
bisher vollständig keines. Vor allem nicht in den Mailclients.

> Um herauszufinden, wie die Email wirklich strukturiert ist: Hast Du Zugriff
> auf eine solche Email im Rohformat?

Ich kann mal nachfragen, ob ich eine Mail bekommen kann, die keine 
Inhalte enthält, die nicht an die Öffentlichkeit dürfen.

>> Ohne Gpg4Win oder GnuPG-VS-Desktop passiert es nicht, das Outlook der
>> Mail einen "Anhang" andichtet.
> 
> Welche Version(en) on Gpg4win und ist im GpgOL S/MIME aus oder eingeschaltet?
> (Eigentlich sollte sich das Verhalten nicht ändern, wenn es ausgeschaltet
> ist.)
> Wie wird die Email ins Outlook transportiert, IMAP oder Exchange?

GPG4Win: 4.1.0
GnuPG-VS-Desktop: 3.1.26
Outlook: 2019
Thunderbird: 102.7.0
Thunderbird: 110
Claws: 4.1.1

GpgOL: S/MIME ist eingeschaltet. Ausschalten ändert am Verhalten nichts.

Exchange pur.


>> Dieselbe Mail konnte in Thunderbird nicht geprüft werden, weil
>> Thunderbird offenbar mit diesem Mailformat nichts anfangen kann. Claws
>> reagierte genauso: die Mail wurde in beiden Fällen nicht als "Signiert"
>> erkannt und entsprechend auch nicht geprüft.
> 
>> Ist das jetzt ein Fehler in Outlook, GPG4Win (bzw. GnuPG-VS-Desktop),
>> oder einer der Apple-Mail anzulasten ist, weil die etwas machen was
>> unüblich ist (und gegen die RFCs läuft)?
> 
> Von Thunderbird ist bekannt, dass sie bezüglich des Betreffs
> etwas "experimentelles" implementieren, wir raten deshalb
> Thunderbird Leuten das abzuschalten:
> https://wiki.gnupg.org/EMailClients/Thunderbird

Das funktioniert, zu meiner Überraschung, sogar mit Outlook recht gut. 
Ungewöhnlich für viele: das der Betreff beim Entschlüsseln ersetzt wird.

Es funktioniert ab mit diversen anderen Mailern nur schlecht, vor allem 
mit den diversen Web-Varianten (inkl. Outlook-Web-Access).

> GpgOL (das Outlook Add-In von Gpg4win) hat die technische Schwierigkeite,
> dass Outlook nur manche Sachen mit den Mails erlaubt und es manchmal
> der Änderung oder Markierung von Emails bedarf, um OpenPGP Email erkennen zu
> können.

Das könnte die Ursache des Verhaltens sein: Outlook sieht dann beim 
Abholen der Mail vom Exchange-Server nur die unsignierte Version, 
erkennt aber, dass es sich um eine signierte Mail handelt, weil eine 
S/MIME-Kennung enthalten ist. Erst beim Öffnen der Mail wird dann 
erkannt, dass der Anhang die signierte Mail ist, diese wird ausgepackt 
und passend dargestellt. Offenbar kriegt hier das Plugin ein Problem: es 
erhält im ersten Durchgang, beim Abholen der Liste nicht ausreichend 
Informationen und das wiederum führt zur Fehldarstellung.

> Gruß
> Bernhard
> 
> 
> _______________________________________________
> Gpg4win-users-de mailing list
> Gpg4win-users-de at wald.intevation.org
> https://lists.wald.intevation.org/cgi-bin/mailman/listinfo/gpg4win-users-de

-- 
Mit freundlichen Grüßen
i. A. Thomas Schweikle
Endgeräte und Servicedesk | Devices and Servicedesk
—

Bundesamt für Strahlenschutz | Federal Office for Radiation Protection
Informationstechnik | Information Technology | DO 3
Ingolstädter Landstraße 1
85764 Oberschleißheim

Tel.: +49 30 18333-2594
E-Mail: tschweikle at bfs.de
—

🌐 Besuchen Sie unsere Website und abonnieren Sie unseren 📢 Newsletter.
🔒 Informationen zum Datenschutz gemäß Artikel 13 DSGVO
💚 E-Mail drucken? Lieber die Umwelt schonen!

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : OpenPGP_0x27AE2304B4974851.asc
Dateityp    : application/pgp-keys
Dateigröße  : 2480 bytes
Beschreibung: OpenPGP public key
URL         : <http://lists.wald.intevation.org/pipermail/gpg4win-users-de/attachments/20230201/e5fba132/attachment-0001.key>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : OpenPGP_signature
Dateityp    : application/pgp-signature
Dateigröße  : 321 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.wald.intevation.org/pipermail/gpg4win-users-de/attachments/20230201/e5fba132/attachment-0001.sig>

Mehr Informationen über die Mailingliste Gpg4win-users-de