[Gelöst] Kmail entschlüsselt nicht mit GPG

Hallo zusammen,

Kmail liefert mir folgende Fehlermeldung im Email-Inhaltsfenster:

Verschlüsselte Nachricht (keine Entschlüsselung möglich)
Grund: Das Kryptografie-Modul „OpenPGP“ kann die Daten nicht entschlüsseln.
Fehler: Entschlüsselung fehlgeschlagen
Die Daten können nicht entschlüsselt werden.
Ende der verschlüsselten Nachricht

Zum Vergrößern anklicken....

Im Prinzip müßte ich ja beim Klick auf die betreffende Email nach meiner Passphrase gefragt werden. Tuts aber nicht.

Sehr wohl ist aber eingestellt, daß versendete Email auch zusätzlich an mich (den Absender) verschlüsselt werden soll.
GPG ist auch installiert und mit KGPG sehe ich auch meine eigenen und die Empfänger-Schlüssel.

Die Keyrings sind von alten Rechner übernommen (Suselinux 7.3 mit KDE2 und dem dazugehörigen Kmail, aber schon mit aktuellem selbst kompilierten GPG). Dort funktioniert es selbstredend (jahrelang, reibungslos). Auch ThunderbirdPortable2.xx mit enigmail unter WinXP laufen mit diesen Schlüsselbünden.

Welchem rästelhaften Fehler bin ich denn hier wieder aufgesessen?

Ingo

--
Versionen:
Opensuse 11.2
Kmail 1.12.4 unter KDE 4.3.4 (also schon mal upgedatet)

ich würde mal bei den ganz einfachen Dingen zu suchen anfangen. Wenn die Schluessel schon so alt sind aus Zeiten von SuSE 7.3 und KDE2 könnte vielleicht im KGPG der Schlüssel nicht als vertrauenswürdig eingestellt sein?

Doch, doch,
der betreffende Schlüssel ist als unbedingt vertrauenswürdig eingestuft (trustdb.gpg einfach mit rüber kopiert). Das GPG auf dem alten System ist auch nicht mehr das ursprünglich ausgelieferte, sondern die aus den Quellen selbstkompilierte Version 1.4.7.

Und wie gesagt, das Entschlüsseln der mit dem eigenen öffentlichen Schlüssel verschlüsselten Emails funktioniert auch mit Thunderbird2 + enigmail auf einem USBstick unter WinXP. Mit genau diesen Schlüsselbünden.

Ingo

Hat denn niemand eine Idee, wie man das Problem irgendwie einkreisen kann? Eine log-datei mit halbwegs aussagekräftigen Fehlermeldungen scheint es nicht zu geben; jedenfalls hab ich keine finden können (*).

In dem ganzen Zusammenhang ist mir allerdings aufgefallen, daß hinter der an sich simplen Email-Verschlüsselung ein hochkomplexes Gespinst aus Programmen und Protokollen steckt:


Gelle, komplizierter aufgebaut als ein Farbfernseher.

Wie man sowas einem Durchschnittsnutzer schmackhaft machen soll, so daß er auch Tante Tillie (die mit der bekannten Verzweiflung an CUPS http://www.kubieziel.de/computer/cups-horror.html) eine verschlüsselte Email schreibt: ich weiß es nicht! Tante Tillie soll natürlich auch mit einem Mausklick korrekt verschlüsselt antworten können....

(*) Natürlich habe ich in der Grafik das Programm "watchgnupg" bemerkt, beim Start meckert es mich an:

usage: watchgnupg socketname

Zum Vergrößern anklicken....

Was der richtige "socketname" sein könnte, verrät die teilweise stark veraltete Doku zu gnupg nicht (z.B. Deutsches Haupt-Handbuch von 2000, deutsches HowTo von 1999, englisches von 2004). Und eine Log/Debug-Console kann ich als KDE-Programm nicht finden, Ksystemlog isses jedenfalls nicht.

Darum hier nun die geradezu biblische Frage nach dem Auszug aus Ägypten2: Kann man den ganzen Krempel nicht einfach über Bord werfen und das monolithische GNUPG 1.4.10 mit Kmail 1.12 ff. verheiraten?

Ingo

Hi Ingo,

gleich vornweg:
Ich kann dir bei deinem Problem auch keine schnelle Hilfe bieten, weil ich mich schon Jahrelang nicht mehr mit GnuPG befasst habe und mich eigentlich auch nicht mehr damit befassen wollte. (Ich habe PGP von Version 2.0.6 bis 5.? genutzt, kenne mich mit kryptografischen Anwendungen "ein ganz klein wenig" aus und benutze seit Jahren "nur noch" S/MIME - und das aus gutem Grund.)

Du schleppst hier das alte Projekt "Ägypten" an. Immerhin ist dir aufgefallen, dass "... hinter der an sich simplen Email-Verschlüsselung ein hochkomplexes Gespinst aus Programmen und Protokollen steckt ..."

Auch wenn ich mich "nur" mit Sphinx befasst habe, gebe ich dir darauf folgende Antwort:
1. E-Mail-Verschlüsselung ist keinesfalls eine simple Angelegenheit!
2. Es handelt sich zwar um kein "hochkompliziertes Gespinst aus Programmen und Protokollen", aber es laufen zugegebenermaßen mehrere Vorgänge ab (Zufallsschlüssel erzeugen, damit symm. verschlüsseln, Zufallsschlüssel asymmetrisch verschlüsseln usw.) Wenn dann noch Signaturen dazukommen, ist das für den Laien/Anwender, meinetwegen auch DAU genannt, kaum zu durchblicken. Die Projekte Phinx/Ägypten beinhalten aber viel mehr, als den Anwender auf Clientseite überhaupt berührt. Ich denke mal, das hast du in dem Bild auch gesehen
3. Die saubere (!!) Implementierung kryptografischer Routinen in irgend eine beliebige Anwendung ist Schwerstarbeit für einen Programmierer. Zumindest wenn dieser will, dass sich hinterher Fachleute mit seiner Arbeit befassen und keine Schwachstellen bei der Implementierung finden sollen.
4. Zum Glück merkt von all den genannten "Problemen" der Anwender nichts.


Ich sagte schon, lang ist's her ... .
Aber ich kann mich daran erinnern, dass in Kmail die GnuPG-Verschlüsselung sehr bedienerfreundlich eingebaut war. Und von solchen Problemen wie bei dir habe ich auch noch nichts gelesen. (Muss mich jetzt wohl doch wieder damit befassen ... .)
Mein Vorschlag: Rudere etwas zurück, schau dir diverse Anleitungen zu Kmail+GnuPG an, und beginne noch mal von vorne.

Und nebenbei:
Ich kenne deine Tante Tillie nicht. Aber meine Frau (Großmutter und "Anwenderin") verschlüsselt jede Mail an mich und viele andere Empfänger auch. Ohne dass sie darüber nachdenken muss. Und ich bin mir nicht einmal bewusst, ob sie dies überhaupt bemerkt.
So einfach kann (für den Anwender) E-Mail-Verschlüsselung sein!
(Sorry, ich schreibe jetzt von S/MIME ... .)

MfG Peter

Zumindest das Programm, mit dem man die Fehlermeldungen sehen kann, hab ich nun gefunden: KWatchGNUPG. Aufrufbar auch in KMail über: Extras -> GnuPG-Protokollanzeige.
Das was ich da sehen muß, bedeutet Eingriffe in den Quellcode von libgcrypt. Dann schauen wir mal.

Nachdem der betroffene Rechner (siehe Signatur) endlich wieder läuft, hab ich mich auch noch einmal um das alte Problem gekümmert.
Und eine Lösung gefunden. Das Zauberwort heißt passenderweise: IDEA. Dieser Crypto-Algorithmus fehlt nämlich in libgcrypt bis zum heutigen Tag (nicht nur bei OpenSuse). Doof für Leute mit Schlüsseln aus PGP-2.6-Zeiten, wo IDEA der einzige Algorithmus für den Datentransport (neben RSA für die Schlüsselverwaltung) war. Und von diesen Leuten gibts mehr als man so denkt. Und Key-Revocation wollen die manchmal auch nicht auf sich nehmen.

Also hab ich einen etwas älteren Patch für libgcrypt-1.4.0 auf libgcrypt-1.4.6 angepaßt und mit in das Source-RPM für OpenSuse 11.4 gepackt (SPEC-Datei natürlich entsprechend abgeändert). Das "normale" RPM erzeugt -> und voila: Jetzt gehts!
Und legal für Mitteleuropa ist es nun auch noch: Das IDEA-Patent ist am 16.5.2011 ausgelaufen.
Falls also jemand Bedarf hat... ich hätt' da was.

Hi tucktuck,

und Danke für den Hinweis.
Das mit dem unter Lizenz liegenden symm. Algorithmus IDEA wusste ich natürlich (mal ...), habe in diesem Zusammenhang allerdings nicht mehr daran gedacht. Es ist auch recht ungewöhnlich, dass jemand noch derartige alte Schätzchen aufbewahrt.

Ich freue mich, dass du das Problem hast lösen können und uns darüber informierst.

Danke!

MfG Peter