Fragen zur Option --import-options

Helmut Waitzmann ml.throttle at xoxy.net
Do Feb 25 22:16:52 CET 2016 

Klara Hofmann <k.hofmann81 at web.de>:

> In der Beschreibung zur Option --import-options import-local-sigs Ist
> von einem Schlüsselbund-Schema
> die Rede. Was ist damit gemeint?

Ja, von einem „shared keyring scheme“ ist die Rede.  Ich vermute,
auf Deutsch nicht „verteiltes Schlüsselringschema“ sondern „Schema
mit verteiltem Schlüsselring“, also eine Art, einen Schlüsselring
zu verwenden, bei der mehrere Personen einen Schlüsselring
gemeinsam benutzen.

Eine nicht‐lokale sondern „normale“ Signatur (eigentlich eher ein
Zertifikat, denn es geht hier um das Unterschreiben anderer Leute
Schlüssel) ist eine Beglaubigung, die jemand an einem öffentlichen
Schlüssel einer anderen Person anbringt, um seinem GnuPG und der
ganzen Welt mitzuteilen:  Ich weiß, dass derjenige, dessen User‐Id
ich unterschrieben habe, wirklich so heißt, und, dass die
E‐Mail‐Adresse, die er angegeben hat, wirklich seine ist.
Außerdem weiß ich, dass der Schlüssel, an dem das User‐Id hängt,
sein Schlüssel ist.

Beispiel:

Anne möchte Bernds Schlüssel beglaubigen.  Dazu trifft sie sich mit
ihm.  Bernd bringt ausgedruckt das User‐Id

„Bernd Mustermann <Bernd_Mustermann at mailprovider.example>“

und das Fingerprint seines Schlüssels und außerdem seinen
Personalausweis mit.

Dann lässt sich Anne den Personalausweis zeigen und nimmt das
User‐Id und das Fingerprint in Empfang.

Zuhause lädt sie sich Bernds Schlüssel anhand des Fingerprints von
einem Schlüsselserver herunter und unterschreibt das User‐Id

„Bernd Mustermann <Bernd_Mustermann at mailprovider.example>“

an Bernds Schlüssel, das den Namen, der auf dem Personalausweis
stand, und die E‐Mail‐Adresse, die Bernd ihr gegeben hat, enthält.

Dann schickt sie Bernd den so zertifizierten Schlüssel zurück,
damit er ihn auf den Schlüsselserver hochlädt (oder sie lädt ihn
selber auf den Schlüsselserver hoch).  So teilt sie ihrem GnuPG
und der ganzen Welt mit:  Ich bestätige, dass Bernd Mustermann,
dessen User‐Id ich unterschrieben habe, wirklich so heißt, und,
dass die E‐Mail‐Adresse „<Bernd_Mustermann at mailprovider.example>“
wirklich seine ist.  Außerdem bestätige ich, dass dieser Schlüssel
sein Schlüssel ist.

Nun könnte es sein, dass Anne, da sie sich mit Personalausweisen
nicht auskennt, nicht entscheiden kann, ob der Personalausweis,
den Bernd ihr gezeigt hat, gefälscht oder echt ist.  Deshalb
möchte sie auch nicht vor der ganzen Welt dafür geradestehen, dass
sie Bernds Personalausweis geprüft hat und für echt hält.  Das
bedeutet:  Sie darf Bernds Schlüssel nicht zertifizieren.

Trotzdem möchte sie Bernds Schlüssel mit ihrem GnuPG verwenden.

Damit Annes GnuPG Bernds Schlüssel anerkennt, braucht es aber
Annes Zertifikat an Bernds Schlüssel.  Was kann Anne tun?  Sie
beglaubigt Bernds Schlüssel mit einem lokalem Zertifikat.
Dann ist ihr GnuPG zufrieden.  Wenn sie Bernds Schlüssel
exportiert, wird das lokale Zertifikat nicht
mit exportiert, es sei denn, sie würde an ihrem GnuPG

  `--export-options `parameters''
       This is a space or comma delimited string that gives
       options for exporting keys. Options can be prepended with a
       `no-' to give the opposite meaning. The options are:

      export-local-sigs
            Allow exporting key signatures marked as "local". This
            is not generally useful unless a shared keyring scheme
            is being used.  Defaults to no.

einstellen.

Jetzt zur Anfangsfrage zurück:

> In der Beschreibung zur Option --import-options
> import-local-sigs Ist von einem Schlüsselbund-Schema die
> Rede. Was ist damit gemeint?

    import-local-sigs
          Allow importing key signatures marked as "local". This
          is not generally useful unless a shared keyring scheme
          is being used.  Defaults to no.


Ich vermute, damit ist einfach gemeint:  Wie verwendet Anne ihren
Schlüsselring?  Exportiert sie ihn auf einen anderen Rechner?
Teilt sie ihn mit anderen Personen in ihrem engsten Umfeld?

Je nachdem, wie sie export-local-sigs und import-local-sigs
einstellt, wird dabei die lokale Signatur mit übertragen oder
nicht.

> In der Beschreibung zum Wert repair-pks-subkey-bug ist von einem Bug der
> Keyserver-Software die Rede. Existiert dieser Bug eigentlich noch? Oder
> ist dieser Options-Wert vielleicht schon obsolet?

Soweit ich gelesen habe, gibt es längst Patches für die Software.
Aber ich habe es nicht in der Hand, ob wirklich alle
Schlüsselserverbetreiber ihren Server auf Vordermann gebracht
haben.

Mehr Informationen über die Mailingliste Gnupg-de