Wenn ich in Kmail eine gpg-verschlüsselte Mail aufrufe und auf "Nachricht entschlüsseln" klicke passiert nichts, sprich die Abfrage zum Entsperren des pgp-Schlüssels poppt nicht auf.

Beim Start in der Konsole kommen folgende Fehlermeldungen:

gpg.qgpgme: found no group for entry verbose of component "tpm2daemon"
gpg.qgpgme: found no group for entry quiet of component "tpm2daemon"
gpg.qgpgme: found no group for entry debug-level of component "tpm2daemon"
gpg.qgpgme: found no group for entry log-file of component "tpm2daemon"

Vor der Installation von kwalletmanager kam die Passwortabfrage wenigstens beim Start in der Konsole in selbiger, nicht in der Gui.

Ich habe versucht, Plasma und KDE möglichst minimal zu installieren, und ev etwas vergessen. Wäre schön wenn mir jemand einen Tipp geben kann was ev fehlt.

    Beim Suchen bin ich auf den Artikel im englischen Wiki gestoßen, die Ausgabe des Checks bringt sagt mir aber relativ wenig.

    $ sudo journalctl -k --grep=tpm
    
    Feb 28 15:50:44 Elitebook kernel: efi: ACPI=0xb7ffe000 ACPI 2.0=0xb7ffe014 TPMFinalLog=0xb7f70000 SMBIOS=0xb7765000 SMBIOS 3.0=0xb7763000 ESRT=0xb7777c98 MEMATTR=0xb2d5e018 RNG=0xb7f8ef18 INITRD=0xa56a4f18 TPMEventLog=0xa569f018 
    Feb 28 15:50:44 Elitebook kernel: ACPI: SSDT 0x00000000B7FE2000 0003C8 (v02 HPQOEM Tpm2Tabl 00001000 INTL 20160527)
    Feb 28 15:50:44 Elitebook kernel: ACPI: TPM2 0x00000000B7FE1000 000034 (v03 HPQOEM EDK2     00000002      01000013)
    Feb 28 15:50:44 Elitebook kernel: ACPI: Reserving TPM2 table memory at [mem 0xb7fe1000-0xb7fe1033]
    Feb 28 15:50:44 Elitebook kernel: tpm_tis IFX0763:00: 2.0 TPM (device-id 0x1B, rev-id 16)
    Feb 28 15:50:44 Elitebook systemd[1]: systemd 255.3-1-arch running in system mode (+PAM +AUDIT -SELINUX -APPARMOR -IMA +SMACK +SECCOMP +GCRYPT +GNUTLS +OPENSSL +ACL +BLKID +CURL +ELFUTILS +FIDO2 +IDN2 -IDN +IPTC +KMOD +LIBCRYPTSETUP +LIBFDISK +PCRE2 +PWQUALITY +P11KIT +QRENCODE +TPM2 +BZIP2 +LZ4 +XZ +ZLIB +ZSTD +BPF_FRAMEWORK +XKBCOMMON +UTMP -SYSVINIT default-hierarchy=unified)
    Feb 28 15:50:44 Elitebook systemd[1]: TPM2 PCR Extension (Varlink) was skipped because of an unmet condition check (ConditionSecurity=measured-uki).
    Feb 28 15:50:44 Elitebook systemd[1]: TPM2 PCR Machine ID Measurement was skipped because of an unmet condition check (ConditionSecurity=measured-uki).
    Feb 28 15:50:44 Elitebook systemd[1]: TPM2 SRK Setup (Early) was skipped because of an unmet condition check (ConditionSecurity=measured-uki).
    Feb 28 16:08:24 Elitebook systemd[1]: systemd 255.4-1-arch running in system mode (+PAM +AUDIT -SELINUX -APPARMOR -IMA +SMACK +SECCOMP +GCRYPT +GNUTLS +OPENSSL +ACL +BLKID +CURL +ELFUTILS +FIDO2 +IDN2 -IDN +IPTC +KMOD +LIBCRYPTSETUP +LIBFDISK +PCRE2 +PWQUALITY +P11KIT +QRENCODE +TPM2 +BZIP2 +LZ4 +XZ +ZLIB +ZSTD +BPF_FRAMEWORK +XKBCOMMON +UTMP -SYSVINIT default-hierarchy=unified)

    Ob der weiterführende Link Using a TPM with GnuPG 2.3 weiterhelfen würde ist mir auch nicht klar.

    17 Tage später

    Ich habe die Anweisung aus dem obigen Link versucht umzusetzen, allerdings kommt dann nach Abfrage des Schlüsselpassworts ein Fehler:

    gpg> keytotpm
    Den Hauptschlüssel wirklich verschieben? (j/N) j
    gpg: Fehler vom TPM: Kartenfehler

    Vermutung ist, dass es mit der Einstellung von TPM im BIOS meines Elitebooks zu tun hat. Allerdings habe ich da schon alle Möglichkeiten durchprobiert, ohne Erfolg

    Josephus Miller Vor der Installation von kwalletmanager kam die Passwortabfrage wenigstens beim Start in der Konsole in selbiger, nicht in der Gui.

    Nachdem ich meine fstab nachträglich erstellt habe funktioniert dieser Workaround wieder. Was eher dagenen spricht, dass das Problem im Bios liegt.

    Josephus Miller Ich habe versucht, Plasma und KDE möglichst minimal zu installieren, und ev etwas vergessen. Wäre schön wenn mir jemand einen Tipp geben kann was ev fehlt.

    Ich würde empfehlen hier kde-pim-meta zu installieren, dann ist alles da was hier gebraucht wird.
    Oder man schaut sich die dazugehörige Paketliste einmal genauer an und installiert sukzessive wenn man es minimal möchte.

    P.S.: Über das kwallet hab ich mich schon öfters geärgert. Vor allem weil man zusätzlich noch einen zweiten Passwortmanager für das Internet braucht. Und ich umgehe hier die Schwierigkeiten indem ich ein "leeres Passort" für das kwallet einsetze, was vielleicht nicht ideal, aber zumindest praktisch ist.

      tuxnix Ich würde empfehlen hier kde-pim-meta zu installieren, dann ist alles da was hier gebraucht wird.

      Aber leider nichts was das Problem löst ;-) Der Fehler bleibt, im Mailfenster kommt dies:

      Encrypted message (decryption not possible)
      Reason: Das Kryptografie-Modul „OpenPGP“ kann die Daten nicht entschlüsseln.
      Fehler: Unpassender IOCTL (I/O-Control) für das Gerät
      No secret key found to decrypt the message. The message is encrypted for the following keys:
      Klaus   <mail@mai.org> (0xFEXXXXXXXXXXXXX)
      End of encrypted message

      tuxnix Und ich umgehe hier die Schwierigkeiten indem ich ein "leeres Passort" für das kwallet einsetze, was vielleicht nicht ideal, aber zumindest praktisch ist.

      Den Tipp von dir hatte ich bei der Installation im Hinterkopf, wurde aber leider nicht akzeptiert. Ich musste etwas eingeben.

      EDIT:
      Zu der Fehlermeldung

      Fehler: Unpassender IOCTL (I/O-Control) für das Gerät

      hatte ich schon diesen Tipp versucht. Danach funktionierte aber auch die Entschlüsselung nach dem Start über die Konsole nicht mehr.

      Ich bin da auch kein Spezialist und kann hier nur vermuten:

      Da kwallet den gpt Schlüssel verwaltet würde ich das zuerst angehen.
      Der kwalletmanager erlaubt es das Passwort neu zu setzen.
      Dort würde ich dann das neue Passwort leer eingeben.

      Wenn es danach mit den gpt Schlüssel immer noch nicht klappt, würde ich versuchen den alten gpt Schlüssel zu löschen und einen neuen generieren lassen von kmail neu integrieren zu lassen. Kmail macht das doch automatisch. Vielleicht wäre es das Einfachste hier den Assistenten neu einrichten zu lassen.

        tuxnix Wenn es danach mit den gpt Schlüssel immer noch nicht klappt, würde ich versuchen den alten gpt Schlüssel zu löschen und einen neuen generieren lassen.

        Dann kann ich aber meine Mails bei mailbox.org nicht mehr lesen, die alle mit dem aktuellen Schlüssel verschlüsselt sind. ;-)

        tuxnix Da kwallet den gpt Schlüssel verwaltet würde ich das zuerst angehen.
        Der kwalletmanager erlaubt es das Passwort neu zu setzen.
        Dort würde ich dann das neue Passwort leer eingeben.

        Das werde ich mal probieren, ist aber hier ja sekundär

        • tuxnix hat auf diesen Beitrag geantwortet.

          Josephus Miller Dann kann ich aber meine Mails bei mailbox.org nicht mehr lesen, die alle mit dem aktuellen Schlüssel verschlüsselt sind. ;-)

          Wenn ich mich recht erinnere dann erlaubt der Assistent auch den Import vorhandener Schlüssel.
          Bevor man aber kmail neu einrichtet wäre zunächst einmal eine Sicherung der Schlüssel angebracht, damit hier auch wirklich nichts mehr schief laufen kann.

          https://de.linux-console.net/?p=8389

            tuxnix Wenn ich mich recht erinnere dann erlaubt der Assistent auch den Import vorhandener Schlüssel.
            Bevor man aber kmail neu einrichtet wäre zunächst einmal eine Sicherung der Schlüssel angebracht, damit hier auch wirklich nichts mehr schief laufen kann.

            Der Schlüssel ist natürlich gesichert, doppelt sogar. Und der richtige Schlüssel wird ja in kmail angezeigt.

            tuxnix Da kwallet den gpt Schlüssel verwaltet würde ich das zuerst angehen.

            Das ist so nicht richtig, zumindest sehe ich keine gpg-Schlüssel in kwallet, auch nicht in meinem anderen System, wo die Entschlüsselung durch kmail funktioniert.

            Ich habe gerade versucht mit kmail einen neuen Schlüssel zu erstellen, da kommt ebenfalls

            Fehler: Unpassender IOCTL (I/O-Control) für das Gerät

            Probehalber habe ich auch Thunderbird installiert, hier funktioniert die Einindung des Schlüssels und das Entschlüsseln anstandslos

            • tuxnix hat auf diesen Beitrag geantwortet.

              Josephus Miller Das ist so nicht richtig, zumindest sehe ich keine gpg-Schlüssel in kwallet, auch nicht in meinem anderen System, wo die Entschlüsselung durch kmail funktioniert.

              Bei mir beherbergt kwallet die Passfrase für die Benutzung des Schlüssels.
              Sorry ich habe mich da nicht korrekt ausgedrückt.
              Hatte es mit Hilfe des kwalletmanager geklappt ein leeres Passwort einzugeben?
              Damit müsse kwallet doch auch Zugriff haben ohne extra aufploppen zu müssen.

              Ansonsten würde ich kwallet und kmail neu installieren. Dass Thunderbird funzt ist ja schon mal ein gutes Zeichen.

                Ich habe keinen Schimmer warum, aber nun funktioniert es 🤔 😅

                Ich hatte probiert es mit pinentry-program /usr/bin/pinentry-qt in der gpg.conf und der Installation von gtk2 hinzubekommen. Hat nicht funktioniert, also habe ich den Eintrag wieder auskommentiert, ging danach auch nicht. Nach dem Aufwachen aus dem Standby gehts auf einmal.

                tuxnix Hatte es mit Hilfe des kwalletmanager geklappt ein leeres Passwort einzugeben?

                Ja, das hatte ich nun auch hinbekommen

                • tuxnix hat auf diesen Beitrag geantwortet.

                  ⚡Gratuliere. 😎

                  Josephus Miller Ich habe keinen Schimmer warum, aber nun funktioniert es

                  Ich denke, dass das Problem beim Versuch entstanden ist, die pim Komponenten minimal zu installieren, zusammen mit dem Zugriff auf kwallet. Wenn es jetzt funzt ist ja alles gut.

                    ein Monat später

                    tuxnix Ich denke, dass das Problem beim Versuch entstanden ist, die pim Komponenten minimal zu installieren, zusammen mit dem Zugriff auf kwallet.

                    Nachdem ich beim Einrichten des neuen (HP-) Desktoprechners wieder vor dem Problem stehe kann ich beides ausschließen. Zum einen wurde kde-pim-meta installiert, zum anderen habe ich kwallet das leere Passwort vorher beigebracht. Übrigens funktioniert die Eingabe eines leeren Passwort beim ersten Aufruf von kwallet nicht, erst nachträglich kann man ein bestehendes Passwort durch eine leere Eingabe erstezen.

                    Ei verbischt nochmal. 🥴
                    Ist bei mir schon etwas her mit Plasma.
                    Funktionieren deine E-mails wenigstens?

                      tuxnix Funktionieren deine E-mails wenigstens?

                      Ja, der alte Rechner läuft ja noch, und es betrifft auch nur das mailbox.org-Konto. Und die Entschlüsselung funktioniert ja, wenn ich kmail in der Konsole starte, dann kommt in dieser die Passwortabfrage. Weshalb ich ja beim Laptop den Versuch mit dem pinentry-Programm gemacht habe.
                      Da es ebenfalls ein HP-Uefi ist vermute ich dass die Ursache dort liegt

                      Ich hab die Lösung gefunden 💪

                      Das Auskommentieren von

                      test -e /usr/lib/libQt5Widgets.so.5 && exec /usr/bin/pinentry-qt "$@"

                      in der /etc/pinentry/preexec war die Lösung, die ich Manjaro-Forum 🙃 gefunden habe.

                      Jetzt muss ich die Datei mal im Laptop anschauen, dort habe ich das nämlich definitiv nicht manuell geändert

                      Nun stimmt auch der gelöst - Button

                      Dann stimmt jetzt auch endlich mein
                      ⚡Gratuliere. 😎
                      Und als Extrabonus gibt es obendrein noch ein

                      als Bonus für die Ausdauer 🎖️

                        tuxnix Danke 😂

                        Allerdings verstehe ich nicht, warum es am Laptop auch mit der auskommentierten Zeile funktioniert 🫤 Aber das muss ich auch nicht... 😁