Import von GnuPG-Keys in Thunderbird 78 schlägt fehl

Was du tun kannst, wenn der Import von GnuPG-Keys in Thunderbird 78 fehlschlägt

Thunderbird 78 wartet mit einer direkten GPG-Integration auf, externe Tools wie GnuPG sind dann nicht mehr vonnöten. Eigentlich sollte die Migration bestehender Keys automatisch von der Hand gehen. Klappt das nicht, gibt es einige Tipps, die doch noch zum Erfolg führen können.

Beim automatischen Update auf Thunderbird 78.2.2 war die Ernüchterung groß – mein GnuPG-Schlüssel wollte sich partout nicht importieren lassen, eine hilfreiche Fehlermeldung gab es keine. Zwar ist u.a. für die Anbindung von Smartcards und anderer spezieller Keys auf der offiziellen Wiki-Seite ein Verfahren dokumentiert, wie Thunderbird weiterhin GPG nutzen kann, doch zumindest unter macOS funktionierte dies ebenfalls nicht, auch hier gab es keine hilfreiche Fehlermeldung.

Schnell hatte ich meinen vielleicht etwas speziellen Schlüssel in Verdacht, den ich vor vielen Jahren nach der Anleitung von Alex Cabal erstellt hatte. Wie sich herausstellte, gab es letzten Endes zwei Probleme: Zum einen unterstützt Thunderbird keine Schlüssel, deren Subkeys ein zum Hauptkey unterschiedliches Passwort haben. Zum anderen kommt der Import vermutlich mit dem zusätzlichen Subkey nicht klar.

ACHTUNG! Bitte unbedingt eine Sicherungskopie erstellen, um nicht versehentlich die Schlüssel zu löschen! Die Anwendung des untenstehenden Workarounds erfolgt auf eigene Gefahr!

Ein schneller (und damit nicht unbedingt der beste!) Workaround bestand für mich darin:

  • Eine Kopie des Original-Keys inkl. Hauptschlüssel vom separaten USB-Stick auf den Computer erstellen
  • Die derzeitigen Keyrings in meinem ~/.gnupg-Verzeichnis in einen Sicherungsordner verschieben
    • mkdir ~/gpg-backup
    • mv ~/.gnupg/pubring* ~/gpg-backup
    • mv ~/.gnupg/secring* ~/gpg-backup
    • mv ~/.gnupg/trustdb* ~/gpg-backup
  • Da der ursprüngliche Key noch im GPGPv1-Format ist, sowohl den öffentlichen als auch den privaten Keyring in dieser Reihenfolge importieren, um ihn in das GPGv2-Format zu konvertieren:
    • gpg –import /mnt/usb/pubring.gpg
    • gpg –import /mnt/usb/secring.gpg
    • An dieser Stelle musste ich zwei verschiedene Passwörter eingeben, da der Hauptkey ein anderes Passwort als der Subkey hatte
  • In meinem Fall lieferte dann ein gpg –list-secret-keys die Ausgabe “sec” statt “sec#” für den Subkey zurück
  • Jetzt im GPG-Schlüsselbund (unter macOS: GPG Keychain) ein neues Passwort für den Key setzen. Darauf achten, für Hauptkey und Subkey dieselben Passwörter zu verwenden, sonst klappt der Import in Thunderbird nicht.
  • Im GPG-Schlüsselbund muss zudem das Vertrauen für den Schlüssel auf die höchste Stufe (“absolut”) gesetzt werden
  • Den neuen privaten Schlüssel mittels gpg –export-secret-keys ~/secretkey.gpg exportieren

Dieser Schlüssel kann nun problemlos in Thunderbird importiert und für das entsprechende Mailkonto hinterlegt werden. Was leider nicht importiert wird, sind die bisherigen vertrauten Keys, sodass diese vorm Versand einer verschlüsselten Mail einmalig in Thunderbird gesetzt werden müssen.

Florian Effenberger

Autor: Florian Effenberger

Florian engagiert sich seit über 16 Jahren für freie Software und ist einer der Gründer der The Document Foundation, der Stiftung hinter LibreOffice

2 Gedanken zu „Import von GnuPG-Keys in Thunderbird 78 schlägt fehl“

  1. Hallo Florian,

    danke für die Schilderung – ich gehe aktuell davon aus, dass ich das selbe Problem unter Windows habe.
    Hast du den Bug schon an Thunderbird gemeldet? Gibt es evtl. schon eine Aussicht auf Behebeung?

    Gruß
    Alexander

    1. Ich hatte noch keine Zeit, zu schauen, ob der Bug schon gemeldet wurde – dass ein Key mit unterschiedlichen Passwörtern aber nicht unterstützt wird, ist bekannt, das steht auf der entsprechenden Wikiseite. Ob und wann das behoben wird, weiß ich leider nicht…

Schreibe einen Kommentar

Ich stimme der Datenschutzerklärung zu