From net at janeden.net Wed May 22 22:32:39 2013 From: net at janeden.net (Jan Eden) Date: Wed, 22 May 2013 22:32:39 +0200 Subject: GPGME, gpgsm und mutt Message-ID: <20130522203239.GA1252@uni-koeln.de> Guten Abend, seit einigen Tagen verwende ich GnuPG 2.0.19 (OpenPGP) und OpenSSL 0.9.8r (S/MIME) mit mutt 1.5.21, was problemlos funktioniert. Der Umstieg auf GPGME gestaltet sich allerdings sehr schwierig. mutt ist entsprechend kompiliert (--enable-gpgme), gepatcht (http://dev.mutt.org/trac/attachment/ticket/3300/mutt-1.5.21-gpgme-init.patch) und konfiguriert (set crypt_use_gpgme = yes). Mit OpenPGP und GPGME läuft es einigermaßen. Wenn ich allerdings eine verschlüsselte Nachricht zwischen meinen beiden Mail-Accounts versende, akzeptiert gpg nur die Passphrase des *Absenders* zum Entschlüsseln der Nachricht (encrypt_to in gpg.conf ist auf die ID des Absenderschlüssels gesetzt). Deaktiviere ich gpgme, entschlüsselt gpg (via smime_keys) dieselbe Nachricht mit beiden Passphrasen. Rätselhaft und reproduzierbar. Mein zweites Problem betrifft gpgsm. Es handelt sich um die bekannte pinentry-Fehlermeldung, wenn ich versuche, mein X.509-Zertifikat samt privatem Schlüssel mit gpgsm zu importieren: pinentry-curses: no LC_CTYPE known - assuming UTF-8 Die offenbar häufigste Ursache für diese Fehlermeldung habe ich bereits beseitigt (export GPG_TTY=`tty` in .bash_profile), trotzdem scheitert der Import (mit der o.g. Fehlermeldung). Interessanterweise startet pinentry-curses anstandslos, wenn ich ein OpenPGP-Schlüsselpaar generiere oder in mutt meine Passphrase beim Signieren eingeben muss (Frage am Rande: In .muttrc kann ich ein Timeout für Passphrasen angeben ? ist das auch mit GPGME möglich?). Das zweite Problem ist die Verifikation bestehender Signaturen. Ich habe den öffentlichen Teil meines Zertifikates sowie die CA-Kette erfolgreich mit gpgsm importiert. Die Fingerprints der CAs habe ich in qualified.txt abgelegt, die Fingerprints der CAs und den meines eigenen Zertifikates in trustlist.txt (jeweils mit 'S' am Zeilenende). Dennoch können meine Signaturen in Nachrichten, die (mit OpenSSL) signiert wurden, nicht verifizert werden, solange GPGME genutzt wird. OpenSSL verifiziert die Signaturen. Ich bin einigermaßen ratlos. Bin ich auf Bugs gestoßen? Ist das erste Problem (Entschlüsselung von Nachrichten) stattdessen ein Feature, das ich nicht richtig verstehe? Vielen Dank im Voraus für alle Hinweise. Freundliche Grüße Jan Eden -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 3870 bytes Beschreibung: nicht verfügbar URL :