Verwenden des NitroKey Start und Nitrokey Pro 2 mit Thunderbird 78.x (unter Windows)

Nitrokeys Misc
1

Hallo allerseits,

Seit über einer Woche versuche ich, den NitroKey Pro 2 in den aktuellen Thunderbird 78.x unter Windows 10 einzubinden, aber weder die Anleitungen auf Ihrer Webseite, noch die Anleitungen vom Kuketz-Blog, noch die vom privacy-handbuch sind da hilfreich.

Die Anleitung von decatec setzt voraus, dass man einen Thunderbird 68 hat (und dann von Thunderbird 68 auf Thunderbird 78 upgradet).

Was mache ich aber, wenn ich NiroKey (unter Windows) bei einem frisch installierten Thunderbird 78.x verwenden will?

Muss ich etwa zunächst Thunderbird 68 installieren, und dann gemäß der Anleitung Thunderbird 78: PGP-Verschlüsselung mit dem Nitrokey Storage » DecaTec vorgehen?

Wo gibt es eine Anleitung, so dass ich den Nitrokey (Pro bzw. Start) mit Thunderbird 78 (unter Windows) verwenden kann?

Danke!

2

Hallo @NitrO,
das Problem welches besteht, ist dass Thunderbird 78.x eine integrierte openPGP-Funktion (RNP library) hat, die von sich aus mit Smartcards bzw. Token nicht umgehen kann.

Der Smartcard-Support für Thunderbird wurde bisher über das AddOn “Enigmail” und “GnuPG” hergestellt, welches aber ab Thunderbird 78.x nicht mehr unterstützt wird.

Es besteht aber die Möglichkeit Thunderbird 78.x zur Zusammenarbeit mit Smartcards zu “überreden”, Informationen dazu finden sich unter https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards
Das Problem liegt also auf der Seite von Mozilla Thunderbird, und hat mit dem Nitrokey selbst nichts zu tun. Dieses Problem besteht auch für alle anderen Smartcards und Token.

Anmerkung: Dieser “Workaround” funktioniert NICHT mit den von GnuPG bekannten und oft verwendeten ‘Sub-Keys’; man muss unbedingt den ‘Masterkey’ verwenden

Ich hoffe ich konnte ein wenig weiterhelfen.

LG

Edit:
vielleicht ist auch dieser Link hilfreich: https://bugzilla.mozilla.org/show_bug.cgi?id=1662913

3

Leider war das nicht hilfreich. Den Link von Thundebrird-Wiki kannte ich schon, hatte auch versucht, das umzusetzen. zusätzlich hatte ich via about:config den pfad zur GPG.exe eingetragen. Kann es sein, dass es einfach gar nicht z.Zt. mit dem aktuellen thunderbird geht?

Den Bugzillaeintrag habe ich mir noch nicht angesehen. Schaue ihn mir morgen mal an…

4

Der Bugzilla Eintrag scheint mir nicht ganz zu passen.

Bei mir kommt einfach nur beim Versand signierter Mails die Meldung: “Senden der Nachricht fehlgeschlagen”.
Unsigniert geht die Nachricht problmlos raus.
Beim Empfang verschlüsselter Nachricht heißt es: “Der zum Entschlüsseln benötigte geheime Schlüssel ist nicht vorhanden”.

Allerdings kooperiert Thunderbird sehr wohl mit GPG4Win, wenn der Schlüssel von GPG4Win verwaltet wird.

Also kann es eigentlich nicht “nur” an thunderbird liegen.

Was ich bis her gemacht habe:
1.) GPG4Win (mit Default-Werten: ohne GPA, aber mit Kleopatra,GpgOL und GpgEX) installiert.

2.) Thunderbird 78.x installiert.

3.) Schlüssel über cmd in Nitrokey erstellt. (Einmal mit der Variante gpg2 --card-edit (https://www.nitrokey.com/de/documentation/openpgp-create-on-device) und einmal mit der Variante gpg --full-generate-key --expert (https://www.nitrokey.com/de/documentation/openpgp-create-backup).

(Ohne angeschlossenen NitroKey fragt GPG nach dem Stick, wenn ich mit Outlook Signieren oder entschlüsseln will, und nach Anschluss des NitroKeys nach der PIN. Mit angeschlossenenen NitroKey funktioniert der Einsatz des Nitrokeys mit Outlook problemlos (- zumindest unter dem Konto, bei dem ich den Stick kreiert habe).

4.) In Thunderbird über Extras -> “OpenPGP-Schlüssel verwalten” den eigenen öffentlichen Schlüssel eingebunden.

5.) Über Einstellungen - > “Konfiguration bearbeiten…” -> about:config den Eintrag “mail.openpgp.allow_external_gnupg” auf true umgeschaltet.

6.) Beim Thunderbird-about:config-Eintrag “mail.openpgp.alternative_gpg_path” den String “C:\Programm Files (x86)\GnuPG\bin\gpg.exe” eingetragen.

7.) Die ID des Hauptschlüssels über Konten-Einstellungen -> Ende-zu-Ende-Verschlüsselung -> “Schlüssel hinzufügen…” -> “Externen Schlüssel mittels GnuPG benutzen (z.B. von einer Smartcard)” eingebunden.

Habe ich irgendetwas entscheidendes übersehen? Oder kann es sein, dass die aktuellste Thunderbird-Version sich nicht überreden lässt?

5

Hallo @NitrO !
Entschuldige bitte die späte Antwort, ich war einige Zeit nicht online.

Ich habe es selbst im aktuellen TB noch nicht ausprobiert, da ich selber für PGP “Subschlüssel” verwende, die GnuPG spezifisch sind und von keiner anderen OpenPGP Variante unterstützt werden. Ich verwende daher in diesem Zusammenhang immer noch TB 68.x mit Enigmail, bzw alternativ Interlink mit Enigmail.
Normalerweise signiere und verschlüssele ich mit S/MIME, PGP ist für mich eine Fallback-Lösung.

Ich werde es mir aber in den nächsten Tagen mal unter Windows ansehen.

LG

6

Hier gibt es eine entsprechende Anleitung.

7

Danke @jan,

die Anleitung ist Spitze!
Ich werde mal versuchen das alles auch in Windows umzusetzen.

LG

8

Hi,

erstmal danke für den Input! Ich struggle schon seit einiger Zeit mit dem Umstieg - Thunderbird hat PGP für mich wirklich kaputt gemacht…

Bedeutet das, das keine unterschiedlichen Keys fürs Unterschreiben, Verschlüssen und Authen mehr verwendet werden können? Ich habe die Keys damals extra getrennt und der Master Key zum Beglaubigen (“CA”) liegt auf einem anderen Yubikey.

Danke!

9

Das bedeutet, dass man die aus GnuPG bekannten getrennten Schlüssel nicht mehr verwenden kann - richtig!
Auch ich habe diesen Weg gewählt gehabt und musste gezwungenermassen die Masterkeys auspacken.
Da für mich - wie schon erwähnt - aber PGP eher eine “Fallback-Lösung” ist, war es für mich nicht so schlimm, da ich die PGP-Keys sonst eigentlich nicht einsetze.

Ein mögliche Alternative zu Thunderbird wäre “Interlink” [1], dies wird nach wie vor von Enigmail unterstützt. Einziger minimaler Nachteil: Es ist nur in der englischen Sprachvariante verfügbar.

beste Grüsse
Jürgen

[1] https://binaryoutcast.com/projects/interlink/