Hat jemand Claws-Mail mit GPG am Laufen?

[pit234a]

NSA-Skandal - reden wir nicht davon, aber es brachte die Aufmerksamkeit auf dieses Thema und ich wollte doch mal sehen, ob ich nicht auch Mails mit GPG ver- und entschlüsseln kann.

So richtig blicke ich mit Claws-Mail da noch nicht durch und vor allem an zwei Stellen hapert es und ich habe damit keinen Erfolg. Deshalb würde es mich interessieren, ob das generell bei euch funktioniert und nur ein Problem bei mir ist, oder ob doch eher jede Mühe vergeblich ist, weil es gar nicht geht oder nicht so, wie ich mir das vorstelle.

Der erste Punkt ist ähnlich hier auch schon mal von h2 mit einem anderem Mail-Client beschrieben worden.
Meine Passphrasen werden nicht gespeichert, es wird nicht auf den laufenden gpg-agent zurückgegriffen. Wenn ich Claws-Mail aus einer shell unter meiner laufenden Desktop-Session starte, dann funktioniert dieser Punkt, der gpg-agent wird erkannt und benutzt, die Passwörter gespeichert, so dass ich nicht bei jeder Mail erneut meinen Schlüssel eingeben muss.
Weil ich Probleme hatte, die GPG_AGENT_INFO zu setzen und exportieren, vermutete ich die Ursache hier und starte Claws-Mail nun mit einem extra Script, das ich aus meiner autostart.sh aufrufe und da prüfe ich erst, ob die Variable auch gesetzt und bekannt ist, bevor ich Claws-Mail starte. Es funktioniert damit dann trotzdem nicht.
Wie gesagt, starte ich Claws-Mail manuell aus der shell, dann funktioniert es, starte ich über sein Icon oder per Script beim Einloggen automatisch, dann geht es nicht.

Der zweite Punkt ist der Zugriff auf GPG, der nicht so funktioniert, wie ich mir das vorstelle. Beim Abschicken einer zu verschlüsselnden Mail erscheint ein Fenster, das die Auswahl des passenden Schlüssels auf Empfängerseite ermöglicht. Dabei wird aber nur auf meinen lokalen Schlüsselsatz zugegriffen. Das bedeutet, dass ich erst in der shell manuell mein gpg --search-keys durchführen muss und dann die Schlüssel importiere, die ich benutzen will. Dann kann ich sie in diesem Dialog-Fenster des Claws-Mail auswählen. Ich hatte mir vorgestellt, dass dieser Claws-Mail Dialog dies automatisch machen würde, also den gpg als eine GUI steuert.
Vielleicht erwarte ich aber einfach zu viel.

In einem Beitrag las ich, dass gpg1 für Claws-Mail zusätzlich installiert werden müsse und dann neben gpg2 laufen soll. Das habe ich nicht gemacht, ich weiß nicht, wie aktuell dieser Beitrag ist und ich möchte das im Grunde auch nicht machen. Es könnte aber vielleicht tatsächlich eine Erklärung für den zweiten Punkt sein. Claws-Mail nutzt zum Ansteuern (sofern ich das recht verstehe) der einzelnen Komponenten eigene Plugins, die zuerst aktiviert werden müssen. Wenn diese Plugins nun spezifisch zu gpg1 passen und nicht zu gpg2, könnte das vielleicht die Ursache für das Verhalten sein.
Da frage ich mich, ob ich denn besser nur gpg1 installieren soll?
Das zusätzliche Einbauen von gpg1 neben gpg2 muss in separate Verzeichnisse erfolgen und ich halte das nicht für toll.

 

[rudy]

Hallo pit,

also das problem an claws ist das er überfrachtet ist mit zusätzlichen plugins die du zudem einzeln installieren musst was dich noch mehr verwirrt.
Der Vorgänger sylpheed war da wesentlich besser zu handeln da gab es auch ein metaplugin package und gut wars

etwas hilfe verschafft dir zum beispiel unter gnome das programm seahorse mit dem du deine schlüssel neu erstellen verwalten aktualisieren importieren und exportieren kannst etwas ähnliches gibt es auch für kde heist dort glaube ich kpg oder so ähnlich ...

so um an die versteckten einstellungen von claws-mail zum kommen kannst du clawsker nutzen zu finden in den ports:

> http://svnweb.freebsd.org/ports/head/mail/clawsker/pkg-descr?revision=HEAD
> http://www.freebsd.org/cgi/ports.cgi?query=clawsker&stype=all

in der tat ist deine vermutung richtig was gpg1 angeht und claws greift auch über seine plugins darauf zu ...

natürlich könnte ich es mir einfach machen und sagen hau thunderbird druff und installier dir das addon enigmail start den dann neu und lass dir vom openpgp assistenten dann helfen den Du oben in der menuleiste dann findest.

Aber des ist Deine Sache auch wenn das fast nicht mehr einfacher zu machen ist als mit dem genialen Addon was die Verwaltung von GPG angeht....

Aber genug davon so in der Tat ist es ratsam gpg1 und gpg2 zu installieren denn viele Clients nutzen immer noch die 1er Variante was an vielen Gründen liegt (Plugins). Selbst wenn Du beide unter einer Linux Distro installiert hast zeitgleich entweder per apt-get oder yum oder sonstigen manager der da kreucht und fleucht greifen die Clients immer auf 1.4 zu....
Das siehste dann wunderbar wenn Du Deine Mails unterschreibst und dann da steht:

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)

obwohl Du die 2er Variante installiert hast die ist aber vom Aufbau modular was die 1er nicht ist.

Entscheidend ist aber die Stärke der Verschlüsselung und nicht die Version die man nutzt und bis dato wird die 1er noch gepfegt und gehegt und hier würde ich Dir zu 4096 raten

So also was machen an Deiner Stelle ich würde mir clawsker aus den ports ziehen und dann claws-mail konfigurrieren entsprechend Deiner Bedürfnisse...
Oder alternativ den Vorgänger sylpheed den ich persönlich für besser zu handeln halte allerdings bin ich mir net sicher ob der den plugin satz mitbringt unter freebsd solltest Du mal schauen denn hab ihn nie verwendet unter den *BSD sondern immer auf der Gnu-Linux Plattform und da ist der Satz dabei natürlich muss man den dann installieren zusätzlich ....

Denke Du willst nen schlanken Client sonst hätte ich Dir noch zu Evolution geraten aber ziemlich fett das ganze...

So und wenn Du das ganz easy willst dann Thunderbird druff und das Addon Enigmail

Schönen Sonntach der rudy

 

[pit234a]

OPTIONS_FILE_SET+=STD_SOCKET

So als einen der zahlreichen Versuche habe ich gnupg (security/gnupg = gpg2) neu gebaut und dabei die Option oben geändert.
Wenn der agent startet, legt er die Information darüber ohne diese Option in eine Datei nach /tmp. Das sieh etwa so aus:

/tmp/gpg-e8Dkna/S.gpg-agent:2274:1

und das ist dann auch der Inhalt der Variablen GPG_AGENT_INFO.
Mit der Option, den Standard-Socket zu benutzen, wird diese Information ins Home-verzeichnis des Users geschrieben und GPG_AGENT_INFO entsprechend gesetzt. Das sieht dann zum Beispiel so aus:

/home/deruser/.gnupg/S.gpg-agent:1593:1

Offenbar erwartet Claws-Mail diese Information hier, denn damit funktioniert nun das Speichern der Passwörter, ich brauche nur einmal meinen Schlüssel beim Öffnen einer Mail einzutragen und bei weiteren Mails wird der automatisch benutzt.
Damit ist Quasi Frage 1 von oben beantwortet.
Ich zeige aber mal noch einen screenshot, der zeigt, dass es nicht möglich ist, den gpg-agenten zur Verwaltung der Passwörter auszuwählen. Diese Auswahl ist möglich, wird benutzt und funktioniert dann, wenn ich Claws-Mail wie im ersten Beitrag beschrieben aus der Shell starte.

 

[pit234a]

Hi rudy
und Danke für die Info.
Ich war schon versucht, gpg1 zu installieren, aber zumindest in meinen (leicht veralteten) Ports steht der als

===>  gnupg-1.4.13 has known vulnerabilities:
Affected package: gnupg-1.4.13
Type of problem: gnupg -- side channel attack on RSA secret keys.

Es stimmt, das konnte ich auch beobachten, fast alle benutzen noch einen gpg1, irgendeinen 1.4er.

Nachdem ich mich zunächst entschieden hatte, von KDE3 weg zu gehen und damit das mir sehr angenehme kmail zu verlassen, suchte ich lange nach einem Ersatz. Von allen getesteten Mail-Clients gefiel mir persönlich Claws-Mail am Besten. Vielleicht dadurch, dass ich ihn sehr ähnlich aussehen lassen kann und auch sein Verhalten sehr gewohnt ist, im Vergleich zu dem kmail aus KDE3. Nur, vielleicht sogar noch ein wenig besser.
Bei allen Mail-Clients, ich nenne sie mal Browser basiert, die also zusammen oder als Ergänzung zu einem Browser kommen, störten mich die ein oder anderen Dinge zu sehr. Sehr oft werden Browser ja aus Sicherheitsgründen extrem schnell upgedatet und siehe nur die Versionities bei Firefox. Das will ich nicht und ich hatte auch Angst, dass ich einen Mail-Clienten für längere Zeit verliere, wenn eine neue Version nicht funktioniert, wie wir es gerade beim FF ja schon mehrfach hatten.

Aber, wie du schon sagst, das ist ja Geschmacksache. Hihihi, fällt mir gerade ein: eine Frage, wo man sozialisiert wurde...

Ich denke, ich werde ohne gpg1 bleiben.
Bin ja noch am Testen.
Dieses kgpg oder so hat mir sehr gut gefallen, ich hatte es ja noch installiert. Das funktioniert einfach und klar.
Allerdings will das nun nicht mehr starten, seit ich den gnupg mit der Option des Standard Sockets gebaut habe. Mal sehen ob ich das neu baue...

Bye.

 

[pit234a]

Ah, ich habe mich geirrt: kgpg startet doch, es gibt nur eine Fehlermeldung, dass der gpg-agent nicht laufen würde. Es wird den dann wahrscheinlich nicht benutzen.
Wenn ich nun einen link von der Socket-Information aus meinen ~/ nach /tmp setze, dann funktioniert kgpg ohne Murren.
Es gibt also wohl Programme, die ihre Information an unterschiedlichen Orten suchen und nicht die Variable GPG_AGENT_INFO auswerten.

Also, werde ich nun versuchen noch einen link in meinem Starscript unter zu bringen.

 

[Sickboy]

@pit234a: Kannst du das Script bei Gelegenheit mal hochladen?

 

[pit234a]

@pit234a: Kannst du das Script bei Gelegenheit mal hochladen?

mein Autostart startet diverse Dinge.
ich bin kein Meister der Scripte.
Das habe ich aus der man-page zum gpg-agent übernommen und dann etwas geändert.
den sleep kann man vergessen.
Ich bin noch am probieren und spielen und hatte in der if...then auch mal ein else und Anweisungen mit echo zu einer Kontrolldatei. Das kann man sicher auch einfacher machen, es ist halt der momentane Stand.
Dann, weil das mit dem Link ja EINMAL mit kgpg funktioniert hatte, entschied ich mich wieder um und setzte die Option mit dem Standard-Socket wieder um. Es ist mir nicht so sympathisch, diese Information in meinem Home-Verzeichnis zu haben, ich habe ja auch noch andere Nutzer...
Deshalb lege ich nun den Link von dem Socket im /tmp in mein home/.gnupg
Beim Ausloggen lösche ich die ${HOME}/.gpg-agent-info automatisch, ich kann mich also darauf verlassen, dass sie die aktuelle Information enthält.

#den gpg-agenten
eval $(gpg-agent --daemon --write-env-file ${HOME}/.gpg-agent-info)
sleep 1

         if [ -f "${HOME}/.gpg-agent-info" ] 
         then
           . "${HOME}/.gpg-agent-info"
           GPG_AGENT_INFO=`cat $HOME/.gpg-agent-info | cut -c 16-`
		   ln -s `echo $GPG_AGENT_INFO | sed 's/[:].*$//'` ${HOME}/.gnupg/
         fi

Den Claws starte ich dann mit einem eigenen script. Ich bin sicher, das brauche ich nun nicht mehr und werde es wohl wieder rausnehmen, aber, wie gesagt, ich bin noch am Spielen und probieren.