In meinem Fall war mir jedoch die Struktur des verloren gegangenen Passwortes relativ klar. Statt jetzt händisch alle möglichen Variationen aus Groß- und Kleinschreibung durchzuprobieren, fand ich das Programm rephrase.

Installation aus den Paketquellen

Ab 14.04 befindet sich dies in den Paketquellen von Ubuntu und kann mit einem einfachen Aufruf von

sudo apt-get install rephrase

installiert werden.

manuelle Installation mittels Quellpaket

Für ältere Ubuntuversionen muss auf das sehr übersichtliche Quellpaket zurück gegriffen werden, dass sich auf der Webseite des Entwicklers finden und herunterladen lässt.

Die Installation ist in diesem Fall etwas komplexer. Um den Zugriff auf die Schlüsselverwaltung sicher zu stellen, gilt es zunächst zu klären, wo auf dem System GPG installiert ist.

which gpg

In meinem Fall fand sich GPG unter /usr/bin/gpg. Dieser Ort muss ins Makefile, was sich mit folgendem Aufruf erledigen lässt:

make GPG=/usr/bin/gpg

Im Makefile lassen sich auch weitere Details festlegen, die für mich nicht weiter relevant waren. In der mitgelieferten ReadMe-Datei werden diese jedoch erklärt.

Nun muss das Programm nur noch installiert werden:

sudo make install

Nutzung

Auch die Nutzung ist sehr sinnvoll gestaltet. Zunächst braucht es die Schlüssel-ID von dem Schlüssel zu dem das Passwort fehlt. Diese lässt sich zum Beispiel in der Schlüsselverwaltung von GPG oder eurem Mailprogramm finden uns ist achtstellig.

Zum Start wird rephrase genau diese Nummer als Argument übergeben:

sudo rephrase ABCD1234

Im nächsten Schritt seid ihr aufgefordert ein Muster einzugeben, dass durchprobiert werden soll. Für jede Stelle des Passwort lässt sich innerhalb einer Klammer angeben, welche Zeichen ausprobiert werden sollen.

Für ein Passwort mit sechs Zeichen sieht das zum Beispiel so aus: (U|u)(b|6)untu

In diesem Fall probiert das Programm folgende Varianten durch:

• Ubuntu
• ubuntu
• U6untu
• u6untu

Pro Klammer lassen sich auch mehr als zwei Varianten probieren. Zum Beispiel führt (B|b|8|6) dazu, dass das Programm an dieser stelle alle vier Zeichen durchprobiert.

Auch ein fehlenden eines Zeichen kann an einer Stelle mittels (B|b|) ausgedrückt werden.

In der Praxis kann ich nur empfehlen, dass Passwortmuster, dass ihr eingebt nicht direkt in das Programm einzugeben sondern entweder auf einem Zettel oder in einer Textdatei zwischen zu speichern. Aus Sicherheitsgründen zeigt das Programm selbst das Muster bei der Eingabe nicht an, was es insbesondere bei längeren Passwörtern nicht leicht macht, das Muster im Programm selbst zu entwickeln.

Darüber hinaus wird das gefundene Passwort (ebenfalls aus Sicherheitsgründen) nicht im Klartext angezeigt sondern als Zeichenfolge in der Form 1 2 1 1 1 1. Wobei jede Ziffer die Position der zur Verfügung gestellten Zeichen an der Stelle angibt. In unserem Beispiel also fast immer das erste zur Verfügung gestellte Zeichen, außer an zweiter Stelle, wo das zweite Zeichen benötigt wird.

So ergibt sich nach Abgleich mit unserem Muster:

Ein wesentlich komplexeres Beispiel mit weiteren Erläuterungen und Hinweisen zu Sonderzeichen findet sich ebenfalls in der ReadMe-Datei.

Je nach Länge des vergessenen Passwortes braucht das Programm sehr lang zum Durchprobieren. Ein Blick auf meine CPU-Auslastung legt die Vermutung nah, dass es nicht besonders effektiv dabei ist in kurzer Zeit viele Kombinationen durch zu probieren.

Zunächst versuchte ich dem Problem klassisch per Neuinstallation des Addons beizukommen. Leider half dies wenig. Erneut verweigerte Thunderbird mit der Nachricht

Fehler in OpenPGP; Verschlüsselung bzw. Unterschreiben fehlgeschlagen; Nachricht unverschlüsselt senden?

die Mitarbeit. Eine kurze Suche führte mich auf das wie immer gut betreute Forum auf ubuntuusers.de, in dem die Ursache des Problems (neue Version des Addons Enigmail, fehlende Kompatibilität von Enigmail 1.6 mit Thunderbird 31 durch manuelle Installation des Addons) genannt und eine Lösung angeboten wird.

Weg 1: über die Paketverwaltung

Die installierte aber arbeitsunfähige Version 1.6 aus Thunderbird entfernen und mit einem beherzten

sudo apt-get install enigmail

auf die Version vertrauen, die in den Paketquellen von Ubuntu gepflegt wird.

Weg 2: über ein manuelles Update

Die installierte aber arbeitsunfähige Version 1.6 aus Thunderbird entfernen und das aktuelles Addon (Version 1.7) von der Seite des Projektes ziehen und installieren.

offene Fragen

Warum in Mozillas App-Datenbank die aktuelle Version noch nicht eingeflossen ist, bleibt allerdings genauso ungeklärt wie die Frage, warum Enigmail 1.6 in der Aufzählung der installierten Addons nicht als veraltet/inkompatibel gebrantmarkt wird.

Updates

Via PN informierte mich charakterziffer, „dass Enigmail 1.6 vielleicht deshalb nicht als inkompatibel zu Thunderbird 31 gebrandmarkt wird, weil es eigentlich recht gut funktioniert. Zumindest habe ich mit dieser Kombination keinerlei Probleme. Die tatsächliche Ursache könnte also woanders liegen.“

Das Problem etabliert sich mit dem Update von Enigmail auf Version 1.5 wohl dadurch, dass in Thunderbird verfasste Nachrichten im Auslieferungszustand in „westlich (ISO-8859-1)“ kodiert werden. Enigmail arbeitet nun seinerseits scheinbar mit UTF-8. Das hat leider die Folge, dass nach dem Verschlüsseln/Unterschreiben die entsprechenden Darstellungsfehler auftauchen.

Das wirklich schlimme an diesem Problem ist aber tatsächlich nicht die fehlerhafte Darstellung, sondern dass durch die unterschiedlichen Kodierungsverfahren das Unterschreiben von Nachrichten nutzlos wird. In einem Bugreport wird davon berichtet, dass unter bestimmten Umständen das Hashen während des Unterschreibens durch das Umkodieren falsch vollzogen wird, was defakto in einer falsch unterschriebenen Mail resultiert. Der Empfänger kann so nicht mehr davon ausgehen, dass die empfangene Nachricht unverändert bei ihm ankommt.

Sollte sich diese Beobachtung bestätigen, wäre das ein fatales Sicherheitsproblem, denn das Vertrauen in unterschriebene Nachrichten basiert einzig und allein darauf, dass unterschriebene Nachrichten bei denen ein Fehler im Hash angezeigt wird, kompromittiert sind.

Da das Problem laut Enigmail-Upstream-Team in Version 1.5.1 behoben wurde, würde ich allen dringend empfehlen zu überprüfen ob Enigmail bei euch bereits auf die aktuelle Version 1.5.1 geupdatet wurde und, wenn dies nicht der Fall ist, die Installation manuell vorzunehmen.

sudo add-apt-repository ppa:mozillateam/thunderbird-stable && sudo apt-get update

Nun kann Thunderbird installiert werden. In den PPA wird gleich auch die aktuelle Version von Enigmail mitgeliefert. Wem das zu unsicher ist, sei die Download-Seite des Enigmail-Teams empfohlen auf der Enigmail in allen vorhandenen Versionen zu finden ist.

sudo apt-get install thunderbird enigmail

In Thunderbird sollte zunächst ein bestehender E-Mail-Account hinzu gefügt werden. Dazu wird am besten der in Thunderbird integrierte Assistent verwendet. Dieser findet sich unter „Bearbeiten -> Konten -> Konto hinzufügen“.

Nun lässt sich via „OpenPGP -> OpenPGP-Assistent“ ein neues Schlüsselpaar erzeugen. Spätestens hier sei die Lektüre des Privacy-Handbuch angeraten. Auch ein bisschen Lektüre über sichere Passwörter und asymmetrische Verschlüsselung ist anzuraten.

Der Assistent bietet eine einfache Möglichkeit Schlüsselpaare zu erzeugen. Mehr einstellen lässt sich beim Erzeugen von Schlüsseln auf Consolen-Ebene. Dies lässt sich mit dem Befehl

gpg --gen-key

initieren. Bei Fragen hilft der gute Artikel zu GnuPG auf ubuntuusers.

Ist das Schlüsselpaar erzeugt sollte der öffentliche Schlüssel aus praktischen Erwägungen auf einen der Schlüsselserver geladen werden, damit er später von allen ohne direkten Schlüsseltausch verwendet werden kann. Auch hierfür bietet Enigmail die passende Funktion. Zunächst ist die Schlüsselverwaltung unter „OpenPGP -> Schlüssel verwalten…“ zu öffnen. Mit einem Rechtsklick auf den eigenen Schlüssel öffnet sich ein DropDown-Menü das die Funktion „Auf Schlüssel-Server hoch laden“ zur Verfügung stellt. Welcher Server im folgenden Dialog gewählt wird ist relativ egal, da die Server mit einander synchronisiert werden.

Als letztes muss der erzeugte Schlüssel nun noch für das vorhin erzeugte Konto aktiviert werden. Dazu ist unter „„Bearbeiten -> Konten“ unter der Punkt „OpenPGP-Sicherheit“ der erzeugte Schlüssel aus zu wählen und zu aktivieren.

Dem Verschlüsselten Mailing steht nun nichts mehr im Weg.