From mailing at edv-fervers.de Tue Jun 27 11:06:44 2006 From: mailing at edv-fervers.de (Volker Fervers) Date: Tue Jun 27 12:55:47 2006 Subject: SuSE 10.1 & Kobil KAAN Pro Message-ID: <200606271106.44894.mailing@edv-fervers.de> Grüß Euch! Ich versuche (jetzt mittlerweile) mit frisch installiertem SuSE 10.1 und KMail meine ePost mittels SmartCard zu signieren und zu verschlüsseln. Aber ich erhalte von gpg eine Fehlermeldung, daß keine Karte vorhanden sei. pcscd ist aber anderer Meinung s.u. v@a:~> gpg --version gpg (GnuPG) 1.4.2 v@a:~> gpg --card-status --verbose gpg: selecting openpgp failed: ec=6.108 gpg: OpenPGP Karte ist nicht vorhanden: Allgemeiner Fehler Außerdem: Wenn ich mich recht erinnere, sollte beim Start von KMail doch ein "scdaemon" mitgestartet werden (von KMail?), der für die Kommunikation zwischen gpg-agent und Leser/Karte zuständig ist (http://www.gnupg.org/aegypten2/index.html). Den finde ich nicht mehr (ps -eax | grep scdae). Hat jemand eine solche Konfiguration, weiß jemand, wie ich an die Ursache der Fehlermeldung komme? Oder Tips für einen anderen Leser (PIN-Eingabe am Gerät geht aber wohl noch nicht, oder?). Oder ein anderes OS? Gruß Volker Kartenleser: Kobil KAAN Pro / FW V2.09m, USB->RS232 Eingerichtet nach Anleitung von Kobil (für CT und PC/SC): -rwxr-xr-x 1 root root 164386 2006-01-10 12:07 /usr/lib/libct.so -rwxr-xr-x 1 root root 14075 2006-01-10 12:08 /usr/lib/libkobil_ifd.so /etc/CT_devices: - - - 8< - - - GetPortType=#0 SetPortType=#0 DefaultPortType=#0 DefaultProtocollType=#0 UseOnlyDefaultProtocoll=#0 B1DTRLow=#50 B1DSRRespActive=#2000 PnPChar=#150 B1WaitForPnPString=#1500 KaanWaitForPnPString=#600 Port1=PCSC;Kobil KAAN Pro 00 00;1;0;KAAN Pro via PCSC LogfileName=/var/log/ctapi-logfile LogLevel=#15 - - - >8 - - - /etc/CT_devices: - - - 8< - - - # Configuration file for pcsc-lite # # This file has to be configured for serial and PCMCIA readers only. # normal USB readers shall _not_ be configured here! # # David Corcoran #FRIENDLYNAME "Generic Reader" #DEVICENAME /dev/ttySx_not_configured #LIBPATH /usr/lib/readers/libgen_ifd.so #CHANNELID 0x0103F8 FRIENDLYNAME "Kobil KAAN Pro 00 00" DEVICENAME /dev/ttyUSB0 LIBPATH /usr/lib/libkobil_ifd.so CHANNELID 0x000001 # End of file - - - >8 - - - Leser läuft (wenn er denn mal zufällig auf ttyUSB0 fällt); FSFE-Karte wird erkannt; Lampe ist an: v@a~> sudo su - -c "pcscd -df" root's password: pcscdaemon.c:258:main() pcscd set to foreground with debug send to stderr readerfactory.c:1097:RFInitializeReader() Attempting startup of Kobil KAAN Pro 00 00. readerfactory.c:971:RFBindFunctions() Loading IFD Handler 3.0 pcscdaemon.c:463:main() pcsc-lite 1.2.9-beta9 daemon ready. hotplug_libusb.c:214:HPReadBundleValues() No bundle files in pcsc drivers directory: /usr/lib/readers hotplug_libusb.c:215:HPReadBundleValues() Disabling USB support for pcscd eventhandler.c:418:EHStatusHandlerThread() Card inserted into Kobil KAAN Pro 00 00 Card ATR: 3B FA 13 00 FF 81 31 80 45 00 31 C1 73 C0 01 00 00 90 00 B1 From wk at gnupg.org Tue Jun 27 16:31:03 2006 From: wk at gnupg.org (Werner Koch) Date: Tue Jun 27 17:25:42 2006 Subject: SuSE 10.1 & Kobil KAAN Pro In-Reply-To: <200606271106.44894.mailing@edv-fervers.de> (Volker Fervers's message of "Tue, 27 Jun 2006 11:06:44 +0200") References: <200606271106.44894.mailing@edv-fervers.de> Message-ID: <873bdqbrh4.fsf@wheatstone.g10code.de> On Tue, 27 Jun 2006 11:06, Volker Fervers said: > Aber ich erhalte von gpg eine Fehlermeldung, daß keine Karte vorhanden sei. > pcscd ist aber anderer Meinung s.u. > > v@a:~> gpg --version > gpg (GnuPG) 1.4.2 > > v@a:~> gpg --card-status --verbose > gpg: selecting openpgp failed: ec=6.108 > gpg: OpenPGP Karte ist nicht vorhanden: Allgemeiner Fehler gpg --debug 2048 --debug-ccid-driver --card-status kann hier weiterhelfen. Läüft den gpg-agent? (einfach gpg-agent eingeben). > Außerdem: Wenn ich mich recht erinnere, sollte beim Start von KMail doch ein > "scdaemon" mitgestartet werden (von KMail?), der für die Kommunikation > zwischen gpg-agent und Leser/Karte zuständig ist solange nicht disable-scdaemon in gpg-agent.conf drinsteht. > (http://www.gnupg.org/aegypten2/index.html). Den finde ich nicht mehr (ps > -eax | grep scdae). Ist er installiert? Wenn nicht ihn mal manuell testen: scdaemon --server --debug 2048 und dann z.B. "SERIALNO" eingeben. > Fehlermeldung komme? Oder Tips für einen anderen Leser (PIN-Eingabe am Gerät > geht aber wohl noch nicht, oder?). Oder ein anderes OS? Kobil Kaan Pro läuft bei mir, allerdings benuzte ich nicht pcscd sondern den internen CCID Treiber von gpg bzw. scdaemon. pcscd darf dann nicht laufen. Salam-Shalom, Werner From twoaday at gmx.net Tue Jun 27 17:47:01 2006 From: twoaday at gmx.net (Timo Schulz) Date: Tue Jun 27 19:25:48 2006 Subject: SuSE 10.1 & Kobil KAAN Pro In-Reply-To: <200606271106.44894.mailing@edv-fervers.de> References: <200606271106.44894.mailing@edv-fervers.de> Message-ID: <20060627154701.GA1237@daredevil.joesixpack.net> On Tue Jun 27 2006; 11:06, Volker Fervers wrote: > v@a:~> gpg --version > gpg (GnuPG) 1.4.2 Da ich sehe Du nutzt GPG 1.4... > Außerdem: Wenn ich mich recht erinnere, sollte beim Start von KMail doch ein > "scdaemon" mitgestartet werden (von KMail?), der für die Kommunikation ...da wird der scdaemon nicht benötigt. GPG 1.4 stellt intern alle smart card Funktionen bereit. GPG 1.9 (gpg S/MIME) benutzt den scdaemon und ebenfalls den gpg-agent (welcher aber auch in 1.4 benutzt werden kann). > zwischen gpg-agent und Leser/Karte zuständig ist > (http://www.gnupg.org/aegypten2/index.html). Den finde ich nicht mehr (ps Ist für 1.4 auch nicht nötig. > Hat jemand eine solche Konfiguration, weiß jemand, wie ich an die Ursache der > Fehlermeldung komme? Oder Tips für einen anderen Leser (PIN-Eingabe am Gerät > geht aber wohl noch nicht, oder?). Oder ein anderes OS? Es ist ja die Frage ob du CT-API oder eben PC/SC benutzen willst. Ich habe ebenfalls einen Kobil (Twin) Reader und dort hatte ich zum Testen einfach mal CT genommen und es klappte gleich. Einfach nur die gpg.conf wie folgt verändern: ==gpg.conf== ctapi-driver /usr/lib/libct.so reader-port 1 ==end== Danach sollte ein foo:~ gpg --card-status den Reader erkennen. Sollte es immer noch nicht klappen, "gpg --debug 2048 --card-status" gibt mehr Debug-Infos bezüglich der Kommunikation karte<-->gpg aus. Timo From wk at gnupg.org Tue Jun 27 20:05:24 2006 From: wk at gnupg.org (Werner Koch) Date: Tue Jun 27 20:11:02 2006 Subject: SuSE 10.1 & Kobil KAAN Pro In-Reply-To: <20060627154701.GA1237@daredevil.joesixpack.net> (Timo Schulz's message of "Tue, 27 Jun 2006 17:47:01 +0200") References: <200606271106.44894.mailing@edv-fervers.de> <20060627154701.GA1237@daredevil.joesixpack.net> Message-ID: <87veqm8oez.fsf@wheatstone.g10code.de> On Tue, 27 Jun 2006 17:47, Timo Schulz said: > ...da wird der scdaemon nicht benötigt. GPG 1.4 stellt intern alle > smart card Funktionen bereit. GPG 1.9 (gpg S/MIME) benutzt den scdaemon > und ebenfalls den gpg-agent (welcher aber auch in 1.4 benutzt werden kann). Wenn gpg-agent aktiv ist, dann wir gpg jeden Smartcard Zugriff via gpg-agent auf scdaemon umleiten. Er wird dann also doch gebraucht. > ==gpg.conf== > ctapi-driver /usr/lib/libct.so ctapi wird irgendwann mal entfert. Man sollte sich also nicht so sehr darauf verlassen. Salam-Shalom, Werner From mailing at edv-fervers.de Wed Jun 28 17:09:10 2006 From: mailing at edv-fervers.de (Volker Fervers) Date: Wed Jun 28 18:10:08 2006 Subject: SuSE 10.1 & Kobil KAAN Pro In-Reply-To: <87veqm8oez.fsf@wheatstone.g10code.de> References: <200606271106.44894.mailing@edv-fervers.de> <20060627154701.GA1237@daredevil.joesixpack.net> <87veqm8oez.fsf@wheatstone.g10code.de> Message-ID: <200606281709.11175.mailing@edv-fervers.de> Danke für Eure Erläuterungen! Am Dienstag, 27. Juni 2006 20:05 schrieb Werner Koch: > ctapi wird irgendwann mal entfert. Man sollte sich also nicht so sehr > darauf verlassen. Ich hatte versucht herauszufinden, wofür dieses CCID steht; gefunden habe ich drei Versionen: 1.) Spezifikation für die USB-Schnittstelle, 2.) für den Leser und 3.) für die Karte. Und da in der Anleitung des Herstellers zu meinem Leser (Kobil KAAN Pro) folgendes zu lesen war: ser/USB: KAAN Standard Plus, Secovid Reader Plus, B1 Professional, KAAN Professional seriell: B1-S, KAAN Base, KAAN Advanced USB (CCID): KAAN Base, KAAN Advanced, KAAN SIM III, mIDentity bin ich davon ausgegangen, daß er nicht "CCID-fähig" ist. Zu PC/SC: Ich glaube, daß mein Fehler darin bestand, den von Kobil mitgelieferten als Wrapper bezeichneten libkobil_ifd.so für den pcsc-Treiber zu halten. Als ich die gpg die Option --pcsc-driver /usr/lib/libpcsclite.so mitgab, konnte ich auf die Karte zugreifen (nach ln -s libpcsclite.so.1 libpcsclite.so). testpcsc dito. Das Erzeugen eines Schlüssels auf der Karte (in RL3 mit --no-use-agent) ist auch dann noch mehrfach gescheitert. Ab- und Anstöpseln hat aber geholfen (bei Interesse kann ich das gerne debuggen). Jetzt werde ich versuchen, die Karte für den Gebrauch mit Unterschlüsseln zu konfigurieren... GV From mailing at edv-fervers.de Thu Jun 29 09:50:35 2006 From: mailing at edv-fervers.de (Volker Fervers) Date: Thu Jun 29 09:49:20 2006 Subject: SuSE 10.1 & Kobil KAAN Pro In-Reply-To: <200606281709.11175.mailing@edv-fervers.de> References: <200606271106.44894.mailing@edv-fervers.de> <87veqm8oez.fsf@wheatstone.g10code.de> <200606281709.11175.mailing@edv-fervers.de> Message-ID: <200606290950.36662.mailing@edv-fervers.de> Moin, moin! Am Mittwoch, 28. Juni 2006 17:09 schrieb Volker Fervers: > Danke für Eure Erläuterungen! > Jetzt werde ich versuchen, die Karte für den Gebrauch mit Unterschlüsseln > zu konfigurieren... Nachdem das geschehen versuche ich laut Anleitung auf FSFE.org testweise eine Datei zu ver- und entschlüsseln. Ergebnis (Test a la Windows: d.h. nach Warmstart): mit gpg-agent Absturz wg. beschädigter Datenstruktur, ohne gpg-agent geht's, s.u. Jetzt versuche ich dasselbe noch einmal mit CT-API, und dann schaue ich mich nach einem anderen Kartenleser um... GV (In gpg.conf und scdaemon.conf stehen jetzt 'pcsc-driver /usr/bin/libpcsclite.so', und ich habe die 'reader-port'-Einträge auskommentiert. Jede ausprobierte Angabe für den 'reader-port' _außer_ 'Kobil KAAN 00 00' hat beim Entschlüsseln der Datei eine Fehlermeldung 'unknown reader' von pcscd gebracht.) --- Verschlüsseln ok v@a:/tmp> gpg --verbose --encrypt man_gpg.txt ... gpg: RSA/AES256 verschlüsselt für: 85E97BC1 Volker Fervers gpg: ELG-E/AES256 verschlüsselt für: D39A1604 Volker Fervers --- Und beim Entschlüsseln (SmartCard steckt): v@a:/tmp> gpg --debug 2048 --decrypt man_gpg.txt.gpg > man_gpg.txt.clear gpg: Optionen werden aus '/home/v/.gnupg/gpg.conf' gelesen gpg: anonymous recipient; trying secret key 5FF0C5D1 ... gpg: detected reader `Kobil KAAN Pro 00 00' gpg: pcsc_connect failed: sharing violation (0x8010000b) gpg: card reader not available *** glibc detected *** gpg: corrupted double-linked list: 0xb7ef7178 *** ======= Backtrace: ========= /lib/libc.so.6[0xb7e3d911] ...usw. Danach enthält KGnuPGWatch (u.a.): 4 - 2006-06-29 09:14:15 gpg-agent[4592]: DBG: first connection to SCdaemon established 4 - 2006-06-29 09:14:15 gpg-agent[4592]: DBG: additional connections at `/tmp/gpg-eanvUn/S.scdaemon' 7 - 2006-06-29 09:14:15 scdaemon[5099.0x8093d20] DBG: <- SERIALNO openpgp 7 - 2006-06-29 09:14:15 scdaemon[5099]: error sending PC/SC TRANSMIT request: Datenübergabe unterbrochen (broken pipe) 7 - 2006-06-29 09:14:15 scdaemon[5099.0x8093d20] DBG: -> ERR 100663356 Nicht unterstützt 4 - 2006-06-29 09:14:15 gpg-agent[4592.0x808ee50] DBG: -> ERR 100663356 Nicht unterstützt --- Entschlüsseln ohne gpg-agent geht (mit PIN-Abfrage in der konsole) v@a:/tmp> gpg --no-use-agent --debug advanced --decrypt man_gpg.txt.gpg > man_gpg.txt.clear gpg: Optionen werden aus '/home/v/.gnupg/gpg.conf' gelesen gpg: anonymous recipient; trying secret key 5FF0C5D1 ... gpg: detected reader `Kobil KAAN Pro 00 00' gpg: anonymous recipient; trying secret key B615003E ... gpg: anonymous recipient; trying secret key 85E97BC1 ... PIN gpg: Alles klar, wir sind der ungenannte Empfänger. gpg: encrypted with ELG-E key, ID 00000000 gpg: encrypted with RSA key, ID 00000000 Konfiguration: =========== --- Beim Hochfahren von pcscd in /vlm: Jun 29 08:51:16 a pcscd: pcscdaemon.c:488:at_exit() cleaning /var/run Jun 29 08:53:35 a pcscd: readerfactory.c:1097:RFInitializeReader() Attempting startup of Kobil KAAN Pro 00 00. Jun 29 08:53:36 a pcscd: readerfactory.c:971:RFBindFunctions() Loading IFD Handler 3.0 Jun 29 08:53:40 a pcscd: pcscdaemon.c:463:main() pcsc-lite 1.2.9-beta9 daemon ready. --- Beim Einstecken der Karte in /vlm: Jun 29 08:58:28 a pcscd: eventhandler.c:418:EHStatusHandlerThread() Card inserted into Kobil KAAN Pro 00 00 Jun 29 08:58:28 a pcscd: Card ATR: 3B FA 13 00 FF 81 31 80 45 00 31 C1 73 C0 01 00 00 90 00 B1 --- /etc/CT_devices v@a:~> cat /etc/CT_devices GetPortType=#0 SetPortType=#0 DefaultPortType=#0 DefaultProtocollType=#0 UseOnlyDefaultProtocoll=#0 B1DTRLow=#50 B1DSRRespActive=#2000 PnPChar=#150 B1WaitForPnPString=#1500 KaanWaitForPnPString=#600 Port1=PCSC;Kobil KAAN Pro 00 00;1;0;KAAN Pro via PCSC #LogfileName=/var/log/ctapi-logfile #LogLevel=#15 --- /etc/reader.conf v@a:~> cat /etc/reader.conf | grep ^[^#] FRIENDLYNAME "Kobil KAAN Pro" DEVICENAME /dev/ttyUSB0 LIBPATH /usr/lib/libkobil_ifd.so CHANNELID 0x000001 --- ~/.gnupg/gpg.conf v@a:/tmp> cat ~/.gnupg/gpg.conf | grep ^[^#] use-agent default-key 25A85F41 utf8-strings utf8-strings pcsc-driver /usr/lib/libpcsclite.so hidden-encrypt-to 0x85E97BC1! hidden-encrypt-to 0xD39A1604! default-recipient 0x85E97BC1! default-recipient 0xD39A1604! keyserver hkp://wwwkeys.eu.pgp.net --- ~/.gnupg/gpg-agent.conf v@a:/tmp> cat ~/.gnupg/gpg-agent.conf | grep ^[^#] debug-level advanced log-file socket:///home/v/.gnupg/log-socket --- ~/.gnupg/scdaemon.conf v@a:/tmp> cat ~/.gnupg/scdaemon.conf | grep ^[^#] pcsc-driver /usr/lib/libpcsclite.so debug-level advanced log-file socket:///home/v/.gnupg/log-socket From urs.mellini at bluewin.ch Thu Jun 29 22:12:36 2006 From: urs.mellini at bluewin.ch (Urs Mellini) Date: Thu Jun 29 23:25:50 2006 Subject: Keyserver Message-ID: <44A43434.6010206@bluewin.ch> Hallo miteinander Ich versuche schon seit des Releases von GnuPG 1.4.4 (und auch frueher schon) den Key von Werner Koch zu erhalten. Dabei habe ich folgendes versucht: > gpg --recv-key 1CE0C630 gpg: requesting key 1CE0C630 from ldap server pgp.surfnet.nl gpgkeys: unable to retrieve LDAP base: Nicht verf³gbar gpg: no valid OpenPGP data found. gpg: Total number processed: 0 und > gpg --recv-key 1CE0C630 gpg: requesting key 1CE0C630 from hkp server pgpkeys.pca.dfn.de ?: pgpkeys.pca.dfn.de: Unable to connect: ec=0 gpgkeys: HTTP fetch error 7: couldn't connect: No error gpg: no valid OpenPGP data found. gpg: Total number processed: 0 Dies z.B. mit folgenden Keyservern: pgp.mit.edu wwwkeys.ch.pgp.net pgpkeys.pca.dfn.de pgp.keyserver.ch keys.pgpi.net ldap://pgp.surfnet.nl:11370 und sicher noch mindestens 20 weitere, die ich in Listen im Web gefunden habe. Immer mit dem gleichen Ergebnis wie oben. Entwerder habe ich die Server-Namen in der Datei gpg.conf angegeben oder ueber den Parameter "--keyserver" auf der command-line. Gibt es ueberhaupt noch funktionierende Keyserver? Wenn ja auch solche, die meistens funktionieren? Ich glaube langsam nicht mehr daran... oder liegt's an mir? Danke fuer Eure Kommentare. -Urs- -- Urs Mellini From twoaday at gmx.net Fri Jun 30 09:00:47 2006 From: twoaday at gmx.net (Timo Schulz) Date: Fri Jun 30 09:35:25 2006 Subject: Keyserver In-Reply-To: <44A43434.6010206@bluewin.ch> References: <44A43434.6010206@bluewin.ch> Message-ID: <20060630070047.GA1181@daredevil.joesixpack.net> On Thu Jun 29 2006; 22:12, Urs Mellini wrote: > >gpg --recv-key 1CE0C630 > gpg: requesting key 1CE0C630 from hkp server pgpkeys.pca.dfn.de subkeys.pgp.net hat sich als sehr zuverlässig erwiesen. > Gibt es ueberhaupt noch funktionierende Keyserver? Wenn ja > auch solche, die meistens funktionieren? Ich glaube langsam > nicht mehr daran... oder liegt's an mir? subkeys.pgp.net ist ein Netz aus Keyservern, welches sich als sehr zuverlässig verwiesen hat. subkeys.pgp.net verweist dabei auf einen "zufälligen" dieser Server. Ich nutze subkeys.pgp.net schon seit langer Zeit und hatte bisher noch keine Probleme. In WinPT gibt es noch ein paar andere voreingestellte Server, aber eigentlich sollte subkeys.pgp.net ausreichen. Timo