>>> Bitte Blog-Post zu Lösung, Hintergrund, Schadensmass und Fehlervermeidung beachten. <<<

Das deutsche Magazin für Computertechnik (c't-Magazin) hat uns auf das offenkundig fehlerhafte Update 1.0.23 der p≡p-Distribution für Enigmail unter Windows aufmerksam gemacht. Dieses hat zur Folge, dass User der vor wenigen Tagen veröffentlichten p≡p-Distribution E-Mails nur im klassischen Enigmail-Modus zuverlässig ver- und entschlüsseln können. Eine Lösung für den Enigmail/p≡p-Modus folgt so rasch als möglich.

Nur Enigmail/p≡p unter Windows ist betroffen

Das seit dem 26. September verfügbare Update der p≡p-Distribution in Version 1.0.23 für Enigmail/p≡p führt nur unter Windows-Systemen zu derartigen Problemen. Auf Linux- und macOS-Systemen funktioniert der Enigmail/p≡p-Modus wie erwartet. Ebenfalls nicht betroffen von den Fehlern sind die Produkte der p≡p security: p≡p für Android, iOS und Outlook (vgl. auch pep.software).

Bekannte Symptome

Folgende Symptome des fehlerhaften Updates für Windows sind bekannt:
  • Angehängte Schlüssel anderer PGP- und p≡p-User werden nicht importiert.
  • Nachrichten an einen selber oder an bestehende Kontakte, wo ein Schlüssel eigentlich verfügbar ist, werden nicht immer verschlüsselt, insbesondere an sich selber nicht - trotz korrekter Farbkodierung / Status Privatsphäre (vgl. Bild 1 und Bild 2).
  • Bestehende verschlüsselte Nachrichten werden nicht entschlüsselt (vgl. Bild 3).

Workaround

Bis ein neues Update für Enigmail/p≡p unter Windows verfügbar ist, kann zum Ver- und Entschlüsseln von Nachrichten der klassische Enigmail-Modus genutzt werden. Dafür muss in den Thunderbird-Einstellungen unter "Datenschutz" in den Modus "S/MIME und Enigmail" gewechselt werden (vgl. Bild 4).

Lösung in Arbeit

Wir arbeiten mit Hochdruck an ein neues Release der p≡p-Distribution, das Enigmail/p≡p unter WIndows wieder einsatzfähig macht. Wir entschuldigen uns für die Probleme und sehen zu, dass sich das in Zukunft nicht wiederholt. Dem c't-Magazin danken wir für die zeitnahen Meldungen - und die Geduld!

Update 1: Okt 3, 21 Uhr MESZ

Seit rund 17 Uhr MESZ vom 3. Oktober wird neuen Usern die Version 1.0.8 der p≡p-Distribution ausgeliefert, wo diese Fehler nicht mehr auftreten: vgl. dazu auch das Update vom Artikel heise security.

Update 2: Okt 5

Das Problem wurde mittlerweile im Grundsatz isoliert. Die auf Windows ausgelieferte p≡p-Distribution 1.0.23 wurde mit einer DLL-Datei für libetpan ausgeliefert, die wiederum von der Bibliothek libiconv abhängt: diese war aber nicht reingelinkt. Das führt zu undefiniertem Verhalten von libetpan, was schliesslich zu OUT_OF_MEMORY-Fehlern im p≡p-JSON-Adapter führt, die in Enigmail-Logs klar sichtbar sind, wird versucht, Nachrichten zu ver- oder entschlüsseln. Mangels Fehlerbehandlung schickt Enigmail in Version 2.0.8 unter diesen Umständen E-Mails blindlings immer - auch unverschlüsselt obwohl Schlüssel vorhanden wären - raus.

Update 3: Okt 6

Seit dem Mittag vom 3. Oktober testen wir eine Version 1.0.25 der p≡p-Distribution, die libiconv in libetpan enthält. Allerdings haben wir festgestellt, dass unter Windows 10 - bei 32-Bit-Systemen - öffentliche Schlüssel nicht importiert werden, wenn sie von PGP-Usern stammen, welche diese an ihre E-Mails anhängen. Dem wird noch nachgegangen, bevor ein Update zur Verfügung gestellt werden kann. Wer beim Testen mithelfen möchte, kann das zur Verfügung gestellte XPI manuell mit einem frischen Thunderbird-Profil ohne vorheriges Enigmail-Addon installieren. Die p≡p-Distribution 1.0.25 wird damit automatisch von unseren Servern (statt Enigmail-Infrastruktur) heruntergeladen.

Vorsicht: Updates sind mit diesem XPI nicht möglich. Bitte nutzt das so zur Verfügung gestellte XPI rein zu Testzwecken.

Update 4: Okt 12, 22 Uhr MESZ

Seit rund 22 Uhr MESZ wird Version 1.0.24 der p≡p-Distribution ausgeliefet, welche das Problem für Windows-User behebt. Betroffen waren Ende September und anfangs Oktober maximal 6'000 (von geschätzt an die 145'000) Enigmail/p≡p-User unter Windows.

Wichtig: User sind aufgefordert, der Update-Aufforderung von Enigmail zu folgen und ein angebotenes p≡p-Update zu installieren. Zu beachten ist, dass p≡p unter Windows 7 erst ab Service-Pack 2 funktioniert. Andernfalls fällt Enigmail automatisch in den klassischen Enigmail-Modus zurück, da der p≡p-Dienst unter Service-Pack 1 von Windows 7 x32/x86 (32-Bit) oder älter nicht startet.
Kurzum: User sind angehalten, auch ihr Windows auf dem neuesten Stand zu halten.

Bilder zur Illustration

(Bild 1: Mail an sich selber - wird sicher und vertraut angezeigt.)

(Bild 2: Mail an sich selber - kommt unverschlüsselt an.)

(Bild 3: Verschlüsselte E-Mail für die privater Schlüssel vorliegt - es erfolgt keine Entschlüsselung.)

(Bild 4: Workaround - Umschaltung auf den klassischen Enigmail-Modus.)