Arch Linux

Clawsmail und GnuPG

Photor

Hallo Forum,

ich habe mein Mailprogram vor einiger Zeit von Thunderbird auf Clawsmail umgestellt. Seit kurzem (wann? ca. 1 Woche?) kann ich leider meine Mails nicht mehr mit GnuPG verschlüsseln oder wenigstens signieren. Ich erhalte immer folgende Fehlermeldung: "FEHLER: Nachricht konnte nicht zum Senden vorgespeichert werden: Fehler bei digitaler Signatur. Privater Schlüssel nicht gefunden (Dateiende)" Diese Meldung ist nicht sehr aussagekräftig und Googlen brachte nichts erhellendes.

GnuPG ist natürlich installiert und private Schlüssel gibt es natürlich auch. Ich nutze Gnome und der gnome-keyring-daemon läuft (Verdacht: Fehler seit Update von diesem Daemon).

Nutzt hier noch jemand Clawsmail und sieht eventuell den gleichen Fehler? Oder besser: weiß jemand Abhilfe?

Dankbar für jeden Tipp,

Photor

Pjotr

Versuch mal bei der Account Config für jeden Account den Schlüssel manuell per Key ID zu wählen.

Photor

Hallo Pjotr,

wenn ich den voreingestellten GnuPG-Key wähle (1. Option in PGP-Plugin Config) funktioniert es! ABER ich würde gerne einen aktuelleren Schlüssel wählen und gebe in der 3. Option einen Schlüssel vor. Verdacht: vielleicht in der falschen Form?

pub   2048R/8D210F3E 2010-04-16
uid       [ uneing.] XXX YYYYYYYYY (Photor) <photor@photor.de>
sub   2048R/8D4AC367 2010-04-16
sub   1024R/FA6CB2AB 2010-04-16

Ich gebe die Schlüssel-ID an (also hier die "8D210F3E"; auch schon "0x8D210F3E" probiert). Das Ergebnis ist das beschriebene.

Photor

Pjotr

Hm. Komisch. Bei mir geht es mit 0xID.

Hast du es mit Schlüssel nach Mail Adresse wählen versucht?

Ansonsten gibt es auch die --debug Option für Claws..

Photor

Hallo Pjotr,

wie bereits geschrieben, wenn ich den Schlüssel automatisch wählen lasse, funktioniert es - aber mit einem älteren (wenn auch noch gültigen) Schlüssel. Ich würde gerne den aktuelleren nehmen.

Ich habe aber ein wenig weiter geforscht - und muss wohl bei Clawsmail Abbitte leisten. Es kann nämlich sein, dass der Fehler mal wieder vor dem Monitor sitzt.

Wenn ich mir den privaten Schlüssel ansehe:

[photor@Picard ~]$ gpg -K  photor
sec>  2048R/8D210F3E 2010-04-16
      Kartenseriennr. = 0005 0XXXXXX
uid                  XXXXXX YYYYYYYY (Photor) <photor@photor.de>
ssb>  2048R/8D4AC367 2010-04-16
ssb>  1024R/FA6CB2AB 2010-04-16

zeigt der, dass der mal (ursprünglich) auf einer Smartcard lag. Als diese nicht so richtig unter Linux wollte (Probleme mit dem zugehörigen Daemon) ist der (eigentlich) in den Schlüsselring gewandert - oder vielleicht auch nicht und deshalb jetzt das Verhalten von Clawsmail.

Eigentlich würde ich ja die Smartcard ja auch unter Archlinux nutzen. Der pcscd ist auch gestartet und läuft auch. Aber:

[photor@Picard ~]$ gpg --card-status
gpg: WARNING: The GNOME keyring manager hijacked the GnuPG agent.
gpg: WARNING: GnuPG will not work properly - please configure that tool to not interfere with the GnuPG system!
gpg: selecting openpgp failed: Nicht unterstütztes Zertifikat
gpg: OpenPGP Karte ist nicht vorhanden: Nicht unterstütztes Zertifikat

da muss ich mich nochmal mit dem Gnome-Keyring-Manager beschäftigen.

Ciao,

Photor

Photor

Hallo Forum,

wieder ich 🙁 Ich zweifle langsam daran, dass Claws Mail eine gute Wahl als Mailer war.

Im Moment kann ich meine Mails nicht signieren (und ich denke, auch nicht verschlüsseln). Ich bringe das mit dem folgenden in Verbindung:

[2014-11-25 18:06] [PACMAN] Running 'pacman -Syu'
[2014-11-25 18:06] [PACMAN] synchronizing package lists
[2014-11-25 18:06] [PACMAN] starting full system upgrade
[2014-11-25 18:08] [PACMAN] removed dirmngr (1.1.1-3)
[2014-11-25 18:08] [PACMAN] installed npth (1.1-1)
[2014-11-25 18:08] [PACMAN] upgraded gnupg (2.0.26-1 -> 2.1.0-4)
[2014-11-25 18:08] [PACMAN] upgraded glibc (2.20-3 -> 2.20-4)
[2014-11-25 18:08] [PACMAN] upgraded libcdr (0.1.0-2 -> 0.1.1-1)
[2014-11-25 18:08] [PACMAN] upgraded libodfgen (0.1.1-1 -> 0.1.2-1)
[2014-11-25 18:08] [PACMAN] upgraded pacman (4.1.2-6 -> 4.1.2-7)

Ich habe (leichtsinngerweise?) zugestimmt, dass dirmgr durch gnupg ersetzt wird.

Was hat mit diesem Tausch denn auf sich? Ich habe den Eindruck, ich sollte besser wieder zurück zum dirmgr.

Ciao,

Photor

Photor

Hallo T-Bone,

hier ist auch alles aktuell (Gnome3 als DE).

Claws-Mail sagt mir leider nicht genau, was schief läuft. Kann ich irgendwo ein Log finden, das mir sagt, was er macht und warum es nicht funktioniert (Filter- und Netzwerk-Log gibt es ja).

Wild Guess: spuckt mir der Seahorse (oder ein Gnome-Prozess dazwischen)?

Ciao,

Photor

shibumi

Also ich nutze Mutt mit GnuPG und habe genau das gleiche Problem. Immer wenn ich eine Mail verschluesseln will oder entschluesseln will heisst es: secret key not found.
Meine .crypto file die ich in mutt include sieht so aus:

set pgp_decode_command="gpg %?p?--passphrase-fd 0? --no-verbose --batch --output - %f"
set pgp_verify_command="gpg --no-verbose --batch --output - --verify %s %f"
set pgp_decrypt_command="gpg --passphrase-fd 0 --no-verbose --batch --output - %f"
set pgp_sign_command="gpg --no-verbose --batch --output - --passphrase-fd 0 --armor --detach-sign --textmode %?a?-u %a? %f"
set pgp_clearsign_command="gpg --no-verbose --batch --output - --passphrase-fd 0 --armor --textmode --clearsign %?a?-u %a? %f"
set pgp_encrypt_only_command="pgpewrap gpg --batch --quiet --no-verbose --output - --encrypt --textmode --armor --always-trust -- -r %r -- %f"
set pgp_encrypt_sign_command="pgpewrap gpg --passphrase-fd 0 --batch --quiet --no-verbose --textmode --output - --encrypt --sign %?a?-u %a? --armor --always-trust  -- -r %r -- %f"
set pgp_import_command="gpg --no-verbose --import -v %f"
set pgp_export_command="gpg --no-verbose --export --armor %r"
set pgp_verify_key_command="gpg --no-verbose --batch --fingerprint --check-sigs %r"
set pgp_list_pubring_command="gpg --no-verbose --batch --with-colons --list-keys %r" 
set pgp_list_secring_command="gpg --no-verbose --batch --with-colons --list-secret-keys %r" 

# specify the uid to use when encrypting/signing
set pgp_sign_as=0x3A2A7C49

# this set the number of seconds to keep in memory the passphrase used to encrypt/sign
# the more the less secure it will be
set pgp_timeout=60

# it's a regexp used against the GPG output: if it matches some line of the output
# then mutt considers the message a good signed one (ignoring the GPG exit code)
set pgp_good_sign="^gpg: Good signature from"

# mutt uses by default PGP/GPG to sign/encrypt messages
# if you want to use S-mime instead set the smime_is_default variable to yes

# automatically sign all outgoing messages
set crypt_autosign
# sign only replies to signed messages
set crypt_replysign

# automatically encrypt outgoing messages
set crypt_autoencrypt=yes
# encrypt only replies to signed messages
set crypt_replyencrypt=yes
# encrypt and sign replies to encrypted messages
set crypt_replysignencrypted=yes

# automatically verify the sign of a message when opened
set crypt_verify_sig=yes

Kleine Anmerkung: Vor dem letzten gnupg update ging noch alles wunderbar.

EDIT: Ich habe den verdacht das beim syntax von gnupg sich vielleicht was geaendert hat. Vielleicht weiss da jemand genaueres..

stefanhusmann

Scheint ein neues Feature von gpg zu sein. Siehe https://bugs.g10code.com/gnupg/msg5580

mönch

Photor schriebIch habe den Eindruck, ich sollte besser wieder zurück zum dirmgr.

Vorher aber mit pacman -Qi die Abhängigkeiten von beiden anschauen, dann fällt die Entscheidung leichter

shibumi

@mönch
Bei mir hat das starten vom gpg-agent im daemon-mode geholfen. Nun wird der secret key wieder erkannt und alles drum und dran. Hoffe du liest das noch.
Danke an l0gic ausm chat für die Idee dafür.

mönch

@shibumi
danke für die Mitteilung

Photor

Hallo shibumi,

shibumi schrieb@mönch
Bei mir hat das starten vom gpg-agent im daemon-mode geholfen. Nun wird der secret key wieder erkannt und alles drum und dran. Hoffe du liest das noch.
Danke an l0gic ausm chat für die Idee dafür.

Wo und wie genau startest Du den? Wenn ich das richtig sehe, wird hier schon einer gestartet.

Alternativ überlege ich, das .gnupg-Directory beiseite zu schieben und einfach einen neuen Keyring anzulegen. Das ist aber nur sinnvoll wenn ich wenigstens die alten Keys zu importieren (wenigstens meine Secret- und Public-Keys).

Ciao,

Photor

shibumi

Ich habe die Erfahrung mit mutt gemacht das ich den Daemon immer neustarten muss wenn ich ein neues Terminal oeffne. Das liegt vermutlich an meinem ncurses pinentry eintrag. Das ncurses fenster oeffnet sich naemlich nur in dem Fenster in dem ich den gpg-agent gestartet habe nicht in dem mutt laeuft. Deshalb muss man den gpg-agent im daemon mode starten.. dann mutt starten wenn man nun eine Email entschluesseln will wird nach dem Passwort fuer den secret key gefragt .. dabei oeffnet sich automatisch das ncurses eingabe formular. Hoffe dafuer finde ich noch einen workaround ansonsten bastel ich mir einen alias der immer erst den gpg-agent killt und neustartet wenn ich mutt in einem terminal starte. Ist zwar echt dirty aber geht scheinbar nicht anders. Gibt es vielleicht einen Weg dieses neue Feature komplett abzuschalten weiss da jemand was?

@Photor:

Ich starte ihn mit `gpg-agent --daemon` siehe `gpg --help`.

Dirk

shibumi schriebIch starte ihn mit `gpg-agent --daemon` siehe `gpg --help`.

Na ja …

$ gpg-agent --daemon
gpg-agent: Ein gpg-agent läuft bereits - ein weiterer wird nicht gestartet

… trotzdem kann ich weder in Claws noch in Gajim meine Schlüssel nutzen. In Gajim nicht, weil da irgendeine Passphrase eingegeben werden soll, die es nicht gibt, und Gajim dann lapidar sagt, dass die Verbindung ohne die Schlüssel hergestellt wird. Und in Claws meldet sich mit demselben Fenster, und teilt dann mit: „Fehler bei digitaler Signatur: Datensignierung schlug fehl, Allgemeiner Fehler“.

jlp2

Gnupg wurde auf Version 2.1 aktualisiert.

Seitdem die Probleme. Versuche mal folgendes:

touch ~/.gnupg/gpg-agent.conf && echo "allow-loopback-pinentry" >> ~/.gnupg/gpg-agent.conf
echo "pinentry-mode loopback" >> ~/.gnupg/gpg.conf

...oder schaue mal ins englische WIKI:
https://wiki.archlinux.org/index.php/Gnupg#Unattended_passphrase

Gruß
Gero

Photor

Hallo Dirk,

exakt, so wie Du das beschreibst geht's mir auch. 🙂 Irgendwie beruhigend, dass ich nicht ganz alleine bin.

Der Daemon schreit hier auch, dass er schon läuft, so dass ich denke, das kann es nicht sein.

Hallo jlp2,

Die Optionen habe ich auch gestern Abend noch auf der GnuPG-Seite bzw. FAQ entdeckt - aber noch nicht probiert. Das wird folgen.

Ich melde mich, wenn ich mehr weiß.

Ich habe aber ja noch das Problem mit den nicht mehr vorhandenen/gefundenen geheimen Schlüsseln. Wie ich gelesen habe, wird von GnuPG 2.1 an der Secret-Key-Ring nicht mehtr benutzt. Daher wurden die Secret Keys bei der Installation irgendwann automatisch konvertiert und in .gnupg/private-keys-v1.d/ abgelegt. Dort liegt tatsächlich eine Datei. Also wurde ein Schlüssel konvertiert - die anderen dummerweise nicht. Ich weiß nicht warum und kann auch nicht nachvollziehen, wann, das passiert ist.

Ich frage mich, wie ich die anderen Schlüssel aus .gnupg/secring.gpg konvertiert bekomme? Sind die Dateien von unterschiedlichen Rechnern gleich? (ich habe noch einen alten Rechner, den ich noch nicht ge-update-t habe; vielleicht wird der Secring dort ja noch konvertiert). Weiß jemand mehr?

Ciao,

Photor

Photor

So, jetzt habe ich die richtige Stelle gefunden, um nachzulesen (https://github.com/mtigas/gnupg):

mit den Einstellungen/Optionen, die jlp2 angegeben hat und nachdem der gpg-agent dann tatsächlich als Daemon lief, ging auch

gpg2 --batch --import ~/.gnupg/secring.gpg

Jetzt sind wenigstens schonmal die privaten Schlüssel wieder da. 🙂

Und zumindest eine an mich selbst geschickte Mail konnte ich in Claws-Mail entschlüsseln; Pine-Entry (GTK) fragt brav nach der Passphrase. 🙂 Erstmal zufrieden. Wenn das ganze jetzt noch einen Reboot übersteht ...

Danke für die Hilfe und ciao,

Photor

Edit: URL vergessen
Edit2: der USB-GnuPG-Card-Stick tut auch 🙂

[gelöscht]

Obs einblicke geben wird?