Zunächst versuchte ich dem Problem klassisch per Neuinstallation des Addons beizukommen. Leider half dies wenig. Erneut verweigerte Thunderbird mit der Nachricht

Fehler in OpenPGP; Verschlüsselung bzw. Unterschreiben fehlgeschlagen; Nachricht unverschlüsselt senden?

die Mitarbeit. Eine kurze Suche führte mich auf das wie immer gut betreute Forum auf ubuntuusers.de, in dem die Ursache des Problems (neue Version des Addons Enigmail, fehlende Kompatibilität von Enigmail 1.6 mit Thunderbird 31 durch manuelle Installation des Addons) genannt und eine Lösung angeboten wird.

Weg 1: über die Paketverwaltung

Die installierte aber arbeitsunfähige Version 1.6 aus Thunderbird entfernen und mit einem beherzten

sudo apt-get install enigmail

auf die Version vertrauen, die in den Paketquellen von Ubuntu gepflegt wird.

Weg 2: über ein manuelles Update

Die installierte aber arbeitsunfähige Version 1.6 aus Thunderbird entfernen und das aktuelles Addon (Version 1.7) von der Seite des Projektes ziehen und installieren.

offene Fragen

Warum in Mozillas App-Datenbank die aktuelle Version noch nicht eingeflossen ist, bleibt allerdings genauso ungeklärt wie die Frage, warum Enigmail 1.6 in der Aufzählung der installierten Addons nicht als veraltet/inkompatibel gebrantmarkt wird.

Updates

Via PN informierte mich charakterziffer, „dass Enigmail 1.6 vielleicht deshalb nicht als inkompatibel zu Thunderbird 31 gebrandmarkt wird, weil es eigentlich recht gut funktioniert. Zumindest habe ich mit dieser Kombination keinerlei Probleme. Die tatsächliche Ursache könnte also woanders liegen.“

Das Problem etabliert sich mit dem Update von Enigmail auf Version 1.5 wohl dadurch, dass in Thunderbird verfasste Nachrichten im Auslieferungszustand in „westlich (ISO-8859-1)“ kodiert werden. Enigmail arbeitet nun seinerseits scheinbar mit UTF-8. Das hat leider die Folge, dass nach dem Verschlüsseln/Unterschreiben die entsprechenden Darstellungsfehler auftauchen.

Das wirklich schlimme an diesem Problem ist aber tatsächlich nicht die fehlerhafte Darstellung, sondern dass durch die unterschiedlichen Kodierungsverfahren das Unterschreiben von Nachrichten nutzlos wird. In einem Bugreport wird davon berichtet, dass unter bestimmten Umständen das Hashen während des Unterschreibens durch das Umkodieren falsch vollzogen wird, was defakto in einer falsch unterschriebenen Mail resultiert. Der Empfänger kann so nicht mehr davon ausgehen, dass die empfangene Nachricht unverändert bei ihm ankommt.

Sollte sich diese Beobachtung bestätigen, wäre das ein fatales Sicherheitsproblem, denn das Vertrauen in unterschriebene Nachrichten basiert einzig und allein darauf, dass unterschriebene Nachrichten bei denen ein Fehler im Hash angezeigt wird, kompromittiert sind.

Da das Problem laut Enigmail-Upstream-Team in Version 1.5.1 behoben wurde, würde ich allen dringend empfehlen zu überprüfen ob Enigmail bei euch bereits auf die aktuelle Version 1.5.1 geupdatet wurde und, wenn dies nicht der Fall ist, die Installation manuell vorzunehmen.

sudo add-apt-repository ppa:mozillateam/thunderbird-stable && sudo apt-get update

Nun kann Thunderbird installiert werden. In den PPA wird gleich auch die aktuelle Version von Enigmail mitgeliefert. Wem das zu unsicher ist, sei die Download-Seite des Enigmail-Teams empfohlen auf der Enigmail in allen vorhandenen Versionen zu finden ist.

sudo apt-get install thunderbird enigmail

In Thunderbird sollte zunächst ein bestehender E-Mail-Account hinzu gefügt werden. Dazu wird am besten der in Thunderbird integrierte Assistent verwendet. Dieser findet sich unter „Bearbeiten -> Konten -> Konto hinzufügen“.

Nun lässt sich via „OpenPGP -> OpenPGP-Assistent“ ein neues Schlüsselpaar erzeugen. Spätestens hier sei die Lektüre des Privacy-Handbuch angeraten. Auch ein bisschen Lektüre über sichere Passwörter und asymmetrische Verschlüsselung ist anzuraten.

Der Assistent bietet eine einfache Möglichkeit Schlüsselpaare zu erzeugen. Mehr einstellen lässt sich beim Erzeugen von Schlüsseln auf Consolen-Ebene. Dies lässt sich mit dem Befehl

gpg --gen-key

initieren. Bei Fragen hilft der gute Artikel zu GnuPG auf ubuntuusers.

Ist das Schlüsselpaar erzeugt sollte der öffentliche Schlüssel aus praktischen Erwägungen auf einen der Schlüsselserver geladen werden, damit er später von allen ohne direkten Schlüsseltausch verwendet werden kann. Auch hierfür bietet Enigmail die passende Funktion. Zunächst ist die Schlüsselverwaltung unter „OpenPGP -> Schlüssel verwalten…“ zu öffnen. Mit einem Rechtsklick auf den eigenen Schlüssel öffnet sich ein DropDown-Menü das die Funktion „Auf Schlüssel-Server hoch laden“ zur Verfügung stellt. Welcher Server im folgenden Dialog gewählt wird ist relativ egal, da die Server mit einander synchronisiert werden.

Als letztes muss der erzeugte Schlüssel nun noch für das vorhin erzeugte Konto aktiviert werden. Dazu ist unter „„Bearbeiten -> Konten“ unter der Punkt „OpenPGP-Sicherheit“ der erzeugte Schlüssel aus zu wählen und zu aktivieren.

Dem Verschlüsselten Mailing steht nun nichts mehr im Weg.