Verwenden des NitroKey Start und Nitrokey Pro 2 mit Thunderbird 78.x (unter Windows)

Hallo allerseits,

Seit über einer Woche versuche ich, den NitroKey Pro 2 in den aktuellen Thunderbird 78.x unter Windows 10 einzubinden, aber weder die Anleitungen auf Ihrer Webseite, noch die Anleitungen vom Kuketz-Blog, noch die vom privacy-handbuch sind da hilfreich.

Die Anleitung von decatec setzt voraus, dass man einen Thunderbird 68 hat (und dann von Thunderbird 68 auf Thunderbird 78 upgradet).

Was mache ich aber, wenn ich NiroKey (unter Windows) bei einem frisch installierten Thunderbird 78.x verwenden will?

Muss ich etwa zunächst Thunderbird 68 installieren, und dann gemäß der Anleitung https://decatec.de/it/thunderbird-78-pgp-verschluesselung-mit-dem-nitrokey-storage vorgehen?

Wo gibt es eine Anleitung, so dass ich den Nitrokey (Pro bzw. Start) mit Thunderbird 78 (unter Windows) verwenden kann?

Danke!

Hallo @NitrO,
das Problem welches besteht, ist dass Thunderbird 78.x eine integrierte openPGP-Funktion (RNP library) hat, die von sich aus mit Smartcards bzw. Token nicht umgehen kann.

Der Smartcard-Support für Thunderbird wurde bisher über das AddOn “Enigmail” und “GnuPG” hergestellt, welches aber ab Thunderbird 78.x nicht mehr unterstützt wird.

Es besteht aber die Möglichkeit Thunderbird 78.x zur Zusammenarbeit mit Smartcards zu “überreden”, Informationen dazu finden sich unter https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards
Das Problem liegt also auf der Seite von Mozilla Thunderbird, und hat mit dem Nitrokey selbst nichts zu tun. Dieses Problem besteht auch für alle anderen Smartcards und Token.

Anmerkung: Dieser “Workaround” funktioniert NICHT mit den von GnuPG bekannten und oft verwendeten ‘Sub-Keys’; man muss unbedingt den ‘Masterkey’ verwenden

Ich hoffe ich konnte ein wenig weiterhelfen.

LG

Edit:
vielleicht ist auch dieser Link hilfreich: https://bugzilla.mozilla.org/show_bug.cgi?id=1662913

Leider war das nicht hilfreich. Den Link von Thundebrird-Wiki kannte ich schon, hatte auch versucht, das umzusetzen. zusätzlich hatte ich via about:config den pfad zur GPG.exe eingetragen. Kann es sein, dass es einfach gar nicht z.Zt. mit dem aktuellen thunderbird geht?

Den Bugzillaeintrag habe ich mir noch nicht angesehen. Schaue ihn mir morgen mal an…

Der Bugzilla Eintrag scheint mir nicht ganz zu passen.

Bei mir kommt einfach nur beim Versand signierter Mails die Meldung: “Senden der Nachricht fehlgeschlagen”.
Unsigniert geht die Nachricht problmlos raus.
Beim Empfang verschlüsselter Nachricht heißt es: “Der zum Entschlüsseln benötigte geheime Schlüssel ist nicht vorhanden”.

Allerdings kooperiert Thunderbird sehr wohl mit GPG4Win, wenn der Schlüssel von GPG4Win verwaltet wird.

Also kann es eigentlich nicht “nur” an thunderbird liegen.

Was ich bis her gemacht habe:
1.) GPG4Win (mit Default-Werten: ohne GPA, aber mit Kleopatra,GpgOL und GpgEX) installiert.

2.) Thunderbird 78.x installiert.

3.) Schlüssel über cmd in Nitrokey erstellt. (Einmal mit der Variante gpg2 --card-edit (https://www.nitrokey.com/de/documentation/openpgp-create-on-device) und einmal mit der Variante gpg --full-generate-key --expert (https://www.nitrokey.com/de/documentation/openpgp-create-backup).

(Ohne angeschlossenen NitroKey fragt GPG nach dem Stick, wenn ich mit Outlook Signieren oder entschlüsseln will, und nach Anschluss des NitroKeys nach der PIN. Mit angeschlossenenen NitroKey funktioniert der Einsatz des Nitrokeys mit Outlook problemlos (- zumindest unter dem Konto, bei dem ich den Stick kreiert habe).

4.) In Thunderbird über Extras -> “OpenPGP-Schlüssel verwalten” den eigenen öffentlichen Schlüssel eingebunden.

5.) Über Einstellungen - > “Konfiguration bearbeiten…” -> about:config den Eintrag “mail.openpgp.allow_external_gnupg” auf true umgeschaltet.

6.) Beim Thunderbird-about:config-Eintrag “mail.openpgp.alternative_gpg_path” den String “C:\Programm Files (x86)\GnuPG\bin\gpg.exe” eingetragen.

7.) Die ID des Hauptschlüssels über Konten-Einstellungen -> Ende-zu-Ende-Verschlüsselung -> “Schlüssel hinzufügen…” -> “Externen Schlüssel mittels GnuPG benutzen (z.B. von einer Smartcard)” eingebunden.

Habe ich irgendetwas entscheidendes übersehen? Oder kann es sein, dass die aktuellste Thunderbird-Version sich nicht überreden lässt?

Hallo @NitrO !
Entschuldige bitte die späte Antwort, ich war einige Zeit nicht online.

Ich habe es selbst im aktuellen TB noch nicht ausprobiert, da ich selber für PGP “Subschlüssel” verwende, die GnuPG spezifisch sind und von keiner anderen OpenPGP Variante unterstützt werden. Ich verwende daher in diesem Zusammenhang immer noch TB 68.x mit Enigmail, bzw alternativ Interlink mit Enigmail.
Normalerweise signiere und verschlüssele ich mit S/MIME, PGP ist für mich eine Fallback-Lösung.

Ich werde es mir aber in den nächsten Tagen mal unter Windows ansehen.

LG

Hier gibt es eine entsprechende Anleitung.

Danke @jan,

die Anleitung ist Spitze!
Ich werde mal versuchen das alles auch in Windows umzusetzen.

LG