GPGME, gpgsm und mutt

Jan Eden net at janeden.net
Mi Mai 22 22:32:39 CEST 2013 

Guten Abend,

seit einigen Tagen verwende ich GnuPG 2.0.19 (OpenPGP) und OpenSSL
0.9.8r (S/MIME) mit mutt 1.5.21, was problemlos funktioniert.

Der Umstieg auf GPGME gestaltet sich allerdings sehr schwierig. mutt ist
entsprechend kompiliert (--enable-gpgme), gepatcht
(http://dev.mutt.org/trac/attachment/ticket/3300/mutt-1.5.21-gpgme-init.patch)
und konfiguriert (set crypt_use_gpgme = yes).

Mit OpenPGP und GPGME läuft es einigermaßen. Wenn ich allerdings eine
verschlüsselte Nachricht zwischen meinen beiden Mail-Accounts versende,
akzeptiert gpg nur die Passphrase des *Absenders* zum Entschlüsseln der
Nachricht (encrypt_to in gpg.conf ist auf die ID des Absenderschlüssels
gesetzt). Deaktiviere ich gpgme, entschlüsselt gpg (via smime_keys)
dieselbe Nachricht mit beiden Passphrasen. Rätselhaft und
reproduzierbar.

Mein zweites Problem betrifft gpgsm. Es handelt sich um die bekannte
pinentry-Fehlermeldung, wenn ich versuche, mein X.509-Zertifikat samt
privatem Schlüssel mit gpgsm zu importieren:

pinentry-curses: no LC_CTYPE known - assuming UTF-8

Die offenbar häufigste Ursache für diese Fehlermeldung habe ich bereits
beseitigt (export GPG_TTY=`tty` in .bash_profile), trotzdem scheitert
der Import (mit der o.g. Fehlermeldung). Interessanterweise startet
pinentry-curses anstandslos, wenn ich ein OpenPGP-Schlüsselpaar
generiere oder in mutt meine Passphrase beim Signieren eingeben muss
(Frage am Rande: In .muttrc kann ich ein Timeout für Passphrasen
angeben – ist das auch mit GPGME möglich?).

Das zweite Problem ist die Verifikation bestehender Signaturen. Ich habe
den öffentlichen Teil meines Zertifikates sowie die CA-Kette erfolgreich
mit gpgsm importiert. Die Fingerprints der CAs habe ich in qualified.txt
abgelegt, die Fingerprints der CAs und den meines eigenen Zertifikates
in trustlist.txt (jeweils mit 'S' am Zeilenende).

Dennoch können meine Signaturen in Nachrichten, die (mit OpenSSL)
signiert wurden, nicht verifizert werden, solange GPGME genutzt wird.
OpenSSL verifiziert die Signaturen.

Ich bin einigermaßen ratlos. Bin ich auf Bugs gestoßen? Ist das erste
Problem (Entschlüsselung von Nachrichten) stattdessen ein Feature, das
ich nicht richtig verstehe?

Vielen Dank im Voraus für alle Hinweise.

Freundliche Grüße
Jan Eden
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 3870 bytes
Beschreibung: nicht verfügbar
URL         : </pipermail/attachments/20130522/9144c960/attachment.bin>

Mehr Informationen über die Mailingliste Gnupg-de