From malte.gell at gmx.de Thu Oct 12 17:47:25 2006 From: malte.gell at gmx.de (Malte Gell) Date: Thu Oct 12 19:21:08 2006 Subject: S-Trust Benutzer hier? Message-ID: <200610121747.26212.malte.gell@gmx.de> Hallo, benutzt hier vielleicht jemand die Zertifikate der Sparkassen / S-Trust mit GnuPG bzw. kleopatra (s. http://www.s-trust.de )? Gruß Malte From wk at gnupg.org Fri Oct 13 15:23:44 2006 From: wk at gnupg.org (Werner Koch) Date: Fri Oct 13 16:21:28 2006 Subject: S-Trust Benutzer hier? In-Reply-To: <200610121747.26212.malte.gell@gmx.de> (Malte Gell's message of "Thu, 12 Oct 2006 17:47:25 +0200") References: <200610121747.26212.malte.gell@gmx.de> Message-ID: <87iriowdr3.fsf@wheatstone.g10code.de> On Thu, 12 Oct 2006 17:47, Malte Gell said: > benutzt hier vielleicht jemand die Zertifikate der Sparkassen / S-Trust > mit GnuPG bzw. kleopatra (s. http://www.s-trust.de )? Nein. Ich habe zwar eine Testkarte aber kann damit nichts anfangen da S-Trust die CA Zertifikate nicht herausrückt. Um sie zu erhalten muss man eine NDA unterschreiben die so ungefahr alles verbietet. Würde ich das machen dürfte ich keine Anwendungen mit Signaturen entwickeln, die in Konkorrenz zu S-Trust stehen. Jedenfalls war das mein Eindruck nach mehrmaligen Lesen der Unterlagen. Für eine verbindliche Aussage müsste man das erstmal juristisch prüfen lassen. Shalom-Salam, Werner From malte.gell at gmx.de Fri Oct 13 16:52:35 2006 From: malte.gell at gmx.de (Malte Gell) Date: Fri Oct 13 16:51:14 2006 Subject: S-Trust Benutzer hier? In-Reply-To: <87iriowdr3.fsf@wheatstone.g10code.de> References: <200610121747.26212.malte.gell@gmx.de> <87iriowdr3.fsf@wheatstone.g10code.de> Message-ID: <200610131652.35949.malte.gell@gmx.de> On Friday 13 October 2006 15:23, Werner Koch wrote: > On Thu, 12 Oct 2006 17:47, Malte Gell said: > > benutzt hier vielleicht jemand die Zertifikate der Sparkassen / > > S-Trust mit GnuPG bzw. kleopatra (s. http://www.s-trust.de )? > Nein. Ich habe zwar eine Testkarte aber kann damit nichts anfangen > da S-Trust die CA Zertifikate nicht herausrückt. Nicht, dass ich jetzt was falsch verstehe, aber sind die CA-Zert. denn nicht die hier, oder gibt es da noch weitere? http://www.s-trust.de/download/ausstellerzertifikate/index.htm Malte From ch.gaida at gmx.de Fri Oct 20 19:41:17 2006 From: ch.gaida at gmx.de (Christian Gaida) Date: Fri Oct 20 21:21:27 2006 Subject: Smartcard und mehrere Rechner Message-ID: <45390A3D.5030500@gmx.de> Hallo Liste! Ich habe eine OpenPGP Smartcard die ich gerne unter Linux und Windows nutzen möchte. Die Schlüssel habe ich gestern unter Linux erstellt. Jetzt würde ich die Smartcard auch gerne unter Windows benutzen, nur will mir das nicht gelingen. Kann mir jemand einen Tip geben? Ich muss vielleicht dazu sagen dass ich noch nicht viel Erfahrung im Umgang mit GnuPG habe. Grüße Christian From ch.gaida at gmx.de Fri Oct 20 22:24:16 2006 From: ch.gaida at gmx.de (Christian Gaida) Date: Fri Oct 20 22:22:52 2006 Subject: Smartcard und mehrere Rechner In-Reply-To: <45390A3D.5030500@gmx.de> References: <45390A3D.5030500@gmx.de> Message-ID: <45393070.8040902@gmx.de> Christian Gaida schrieb: > Hallo Liste! > > Ich habe eine OpenPGP Smartcard die ich gerne unter Linux > und Windows nutzen möchte. > > Die Schlüssel habe ich gestern unter Linux erstellt. Jetzt > würde ich die Smartcard auch gerne unter Windows benutzen, > nur will mir das nicht gelingen. Ich habe mich glaube ich etwas unklar ausgedrückt. Die Smartcard an sich ist nicht das Problem, sondern die erstellten Schlüssel. Ich kann zwar auf die Smartcard mit pgp --card-status und pgp --edit-card zugreifen nur meine unter Linux erstellten Schlüssel kann ich unter Windows nicht verwenden. Christian From michael.kallas at web.de Fri Oct 20 23:30:00 2006 From: michael.kallas at web.de (Michael Kallas) Date: Sat Oct 21 00:51:22 2006 Subject: Smartcard und mehrere Rechner In-Reply-To: <45393070.8040902@gmx.de> References: <45390A3D.5030500@gmx.de> <45393070.8040902@gmx.de> Message-ID: <45393FD8.80800@web.de> Hallo, Christian Gaida schrieb: > Ich habe mich glaube ich etwas unklar ausgedrückt. > Die Smartcard an sich ist nicht das Problem, sondern die > erstellten Schlüssel. Ich kann zwar auf die Smartcard > mit pgp --card-status und pgp --edit-card zugreifen nur > meine unter Linux erstellten Schlüssel kann ich unter Windows > nicht verwenden. Du mußt deinen (öffentlichen) Schlüssel nach Windows importieren und ihm das Vertrauen aussprechen. Vorher kann GPG damit nichts anfangen, iirc. Gruß Michael -- Nobody can save your freedom but YOU - become a fellow of the FSF Europe! http://www.fsfe.org/en -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 374 bytes Beschreibung: OpenPGP digital signature URL : /pipermail/attachments/20061020/8c34c95b/signature.pgp From ch.gaida at gmx.de Sat Oct 21 14:13:54 2006 From: ch.gaida at gmx.de (Christian Gaida) Date: Sat Oct 21 14:12:36 2006 Subject: Smartcard und mehrere Rechner In-Reply-To: <45393FD8.80800@web.de> References: <45390A3D.5030500@gmx.de> <45393070.8040902@gmx.de> <45393FD8.80800@web.de> Message-ID: <453A0F02.7030205@gmx.de> Michael Kallas schrieb: > Du mußt deinen (öffentlichen) Schlüssel nach Windows importieren und ihm > das Vertrauen aussprechen. > Vorher kann GPG damit nichts anfangen, iirc. Danke erst einmal für die Antwort. Ich glaube im Moment hapert es bei mir an dem Grundsätzlichen Verständnis. Was ich bisher getan habe, ist ein Schlüsselpaar zu generieren. So weit so gut. Die Schlüssel habe ich jetzt also auf der Smartcard, eine Sicherheitskopie des privaten Schlüssels habe ich zusätzlich auf Diskette gespeichert. Unter Linux kann ich jetzt ver- und entschlüsseln und signieren, das funktioniert immerhin schon mal. Aber wie ich den öffentlichen Schlüssel unter Windows jetzt importieren kann weiß ich leider nicht. Muss ich den öffntl. Schlüssel erst zu einem Keyserver schicken und dann unter Win importieren? Das wollte ich bisher noch nicht machen weil ich mir nicht sicher war ob das so richtig ist. Ich habe von 2002 noch ein paar Schlüsselleichen und will die nicht noch vermehren durch irgendeine trotteligkeit von mir. Und wenn ich den öffentlichen Schlüssel dann importiert habe, woher weiß dann gpg das meine Schlüssel auf der Smartcard sind. Tut mir leid wenn die Fragen bescheuert sind, aber je mehr ich im Internet nach Infos suche desto verwirrter werde ich. Das Grundprinzip der Verschlüsselung mit einem öffentlichen Schlüssel leuchtet mir ein, aber alles was da noch so drum herum ist kann einen schon etwas durcheinander machen. Grüße Christian From stefan at mail.swiftos.de Sun Oct 22 17:46:23 2006 From: stefan at mail.swiftos.de (Stefan Grote) Date: Sun Oct 22 19:24:02 2006 Subject: gpg agent enable ssh support + smartcard Message-ID: <453B924F.5040906@mail.swiftos.de> Hallo, ich wuerde gerne die Keys auf der Openpgp Smartcard nutzen um mich an einem remote system anzumelden. Der gpg agent ist so konfiguriert das mir ssh-add -l den korrekten fingerprint und ssh-add -L den korrekten Public Key ausgibt. Darauf habe ich den Public Key in die authorized_keys2 Datei geschrieben. Wenn ich nun versuch mich via Openssh auf dem Rechner anzumelden bekomme ich folgende fehlermeldung: debug2: input_userauth_pk_ok: fp d6:f5:98:84:cd:ab:16:d7:3f:92:85:d9:ad:45:ca:77 debug3: sign_and_send_pubkey Agent admitted failure to sign using the key. Jemand eine Idee? -- Stefan Grote From wk at gnupg.org Mon Oct 23 10:56:19 2006 From: wk at gnupg.org (Werner Koch) Date: Mon Oct 23 11:02:53 2006 Subject: gpg agent enable ssh support + smartcard In-Reply-To: <453B924F.5040906@mail.swiftos.de> (Stefan Grote's message of "Sun\, 22 Oct 2006 17\:46\:23 +0200") References: <453B924F.5040906@mail.swiftos.de> Message-ID: <873b9fbebw.fsf@wheatstone.g10code.de> On Sun, 22 Oct 2006 17:46, Stefan Grote said: > Agent admitted failure to sign using the key. Am besten mal in scdaemon.conf verbose debug 2048 log-file /somewhere reinschreiben. Achtung, Deine PIN Nummer könnte darin erscheinen, also vorher redigieren und wenn Du unsicher bist, erstmal nur an mich senden. Mit watchgnupg und einem zweiten xterm kann man das noch besser debuggen. Salam-Shalom, Werner From wk at gnupg.org Mon Oct 23 10:59:32 2006 From: wk at gnupg.org (Werner Koch) Date: Mon Oct 23 11:03:07 2006 Subject: S-Trust Benutzer hier? In-Reply-To: <200610131652.35949.malte.gell@gmx.de> (Malte Gell's message of "Fri\, 13 Oct 2006 16\:52\:35 +0200") References: <200610121747.26212.malte.gell@gmx.de> <87iriowdr3.fsf@wheatstone.g10code.de> <200610131652.35949.malte.gell@gmx.de> Message-ID: <87y7r79zm3.fsf@wheatstone.g10code.de> On Fri, 13 Oct 2006 16:52, Malte Gell said: > Nicht, dass ich jetzt was falsch verstehe, aber sind die CA-Zert. denn > nicht die hier, oder gibt es da noch weitere? Meine Testzertifikate sind schon was älter und offensichlich noch von vor der Zeit als S-Trust sich als Trustcenter für qualifizierte Signaturen bei der BNetzA angemeldet hat. Die ganze Sache mit den nicht-akkredidierten Trustcentern für qualifizierten Signaturen ist rechtlich wohl sehr kompliziert. Ich versuche das immer noch zu verstehen. Shalom-Salam, Werner From wk at gnupg.org Mon Oct 23 11:08:32 2006 From: wk at gnupg.org (Werner Koch) Date: Mon Oct 23 11:12:43 2006 Subject: Smartcard und mehrere Rechner In-Reply-To: <453A0F02.7030205@gmx.de> (Christian Gaida's message of "Sat\, 21 Oct 2006 14\:13\:54 +0200") References: <45390A3D.5030500@gmx.de> <45393070.8040902@gmx.de> <45393FD8.80800@web.de> <453A0F02.7030205@gmx.de> Message-ID: <87u01v9z73.fsf@wheatstone.g10code.de> On Sat, 21 Oct 2006 14:13, Christian Gaida said: > Aber wie ich den öffentlichen Schlüssel unter Windows jetzt importieren > kann weiß ich leider nicht. Muss ich den öffntl. Schlüssel erst zu einem > Keyserver schicken und dann unter Win importieren? Ja oder irgendow anderes ablegen. Zum Beispiel auf einer Website, falls Du eine hast. z. B. http://www.example.org/foo/pubkey.html und dort einfach den --armor de publick keys ablegen. Die URL kannst Du dann auf der Smartcard ablegen (--card-edit, "admin" und dann "url"). Spater kannst Du den Public Key dann einfach auf einem anderen Rechner wieder abholen mit --card-edit und "fetch". Falls du keine Webseite hast, dann kannst Du zum testen auch den neuen Keyserver hkp://demokeys.gnupg.org benutzen. Dieser syncroniziert mit keinem anderen Server und sollte halt nur zum testen benutzt werden. Siehe auch http://demokeys.gnupg.org:11371/ . > Und wenn ich den öffentlichen Schlüssel dann importiert habe, woher weiß > dann gpg das meine Schlüssel auf der Smartcard sind. Auf der Karte ist der Fingerprint des Schlüssels gespeichert. gpg legt dann allerdings noch automatisch einen Stub-Key im secring.gpg an. So kann gpg Dich auffordern, eine entsprechende Karte einzulegen. > Tut mir leid wenn die Fragen bescheuert sind, aber je mehr ich im > Internet nach Infos suche desto verwirrter werde ich. Das Howto unter www.gnupg.org hast Du gelesen? Falls Du Anregungen hast, sollte wir es noch erweitern. Salam-Shalom, Werner From michael.kallas at web.de Mon Oct 23 21:15:26 2006 From: michael.kallas at web.de (Michael Kallas) Date: Mon Oct 23 21:17:46 2006 Subject: Smartcard und mehrere Rechner In-Reply-To: <453A0F02.7030205@gmx.de> References: <45390A3D.5030500@gmx.de> <45393070.8040902@gmx.de> <45393FD8.80800@web.de> <453A0F02.7030205@gmx.de> Message-ID: <453D14CE.8030902@web.de> Hallo, Christian Gaida schrieb: > Danke erst einmal für die Antwort. Ich glaube im Moment hapert es > bei mir an dem Grundsätzlichen Verständnis. [snip] > Das wollte ich bisher noch nicht machen weil ich mir nicht sicher war ob > das so richtig ist. Ich habe von 2002 noch ein paar Schlüsselleichen und > will die nicht noch vermehren durch irgendeine trotteligkeit von mir. Deshalb empfiehlt es sich auch, als erste Tat ein Rückruf-Zertifikat zu erstellen und _auszudrucken_. :) Gruß Michael -- Nobody can save your freedom but YOU - become a fellow of the FSF Europe! http://www.fsfe.org/en -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 374 bytes Beschreibung: OpenPGP digital signature URL : /pipermail/attachments/20061023/2e531791/signature.pgp From stefan at mail.swiftos.de Tue Oct 24 19:00:12 2006 From: stefan at mail.swiftos.de (Stefan Grote) Date: Tue Oct 24 18:58:33 2006 Subject: gpg agent enable ssh support + smartcard In-Reply-To: <873b9fbebw.fsf@wheatstone.g10code.de> References: <453B924F.5040906@mail.swiftos.de> <873b9fbebw.fsf@wheatstone.g10code.de> Message-ID: <453E469C.8080700@mail.swiftos.de> Werner Koch wrote: > On Sun, 22 Oct 2006 17:46, Stefan Grote said: > > >> Agent admitted failure to sign using the key. >> > > Am besten mal in scdaemon.conf > > verbose > debug 2048 > log-file /somewhere > > > habe ich getan. Hier mal ein auszug aus der scdaemon.log 2006-10-24 18:37:12 scdaemon[3513] Es wird auf Socket `/tmp/gpg-tDOzr0/S.scdaemon' gehört 2006-10-24 18:37:12 scdaemon[3513] Handhabungsroutine für fd -1 gestartet 2006-10-24 18:37:12 scdaemon[3513] DBG: failed to open `/dev/cmx0': Keine Berechtigung 2006-10-24 18:37:12 scdaemon[3513] DBG: failed to open `/dev/cmx1': Datei oder Verzeichnis nicht gefunden 2006-10-24 18:37:13 scdaemon[3513] reader slot 0: active protocol: 2006-10-24 18:37:13 scdaemon[3513] slot 0: ATR=3B FA 13 00 FF 81 31 80 45 00 31 C1 73 C0 01 00 00 90 00 B1 Habe den Omnikey Cardman 4040 mit einem 2.6.7.17 Kernel im einsatz. Ueber PCSC er ohne probleme erkannt. Deswege schließe ich eigentlich ein Problem mit dem Kartenleser aus. From wk at gnupg.org Tue Oct 24 19:16:27 2006 From: wk at gnupg.org (Werner Koch) Date: Tue Oct 24 20:47:02 2006 Subject: gpg agent enable ssh support + smartcard In-Reply-To: <453E469C.8080700@mail.swiftos.de> (Stefan Grote's message of "Tue\, 24 Oct 2006 19\:00\:12 +0200") References: <453B924F.5040906@mail.swiftos.de> <873b9fbebw.fsf@wheatstone.g10code.de> <453E469C.8080700@mail.swiftos.de> Message-ID: <87zmbl63dg.fsf@wheatstone.g10code.de> On Tue, 24 Oct 2006 19:00, Stefan Grote said: > 2006-10-24 18:37:12 scdaemon[3513] DBG: failed to open `/dev/cmx0': > Keine Berechtigung > 2006-10-24 18:37:12 scdaemon[3513] DBG: failed to open `/dev/cmx1': > Datei oder Verzeichnis nicht gefunden Keine Rechte um auf den cm4040 zuzugreifen. > 2006-10-24 18:37:13 scdaemon[3513] reader slot 0: active protocol: > 2006-10-24 18:37:13 scdaemon[3513] slot 0: ATR=3B FA 13 00 FF 81 31 80 > 45 00 31 C1 73 C0 01 00 00 90 00 B1 Aber es geht ja doch. Offensichlich unterstüzt pcsclite neuerdings auch den cm4040. Aber wohl nicht korrekt. # /etc/init.d/pcscd stop Kontrolliere ob Du dann Schreibrechte auf /dev/cmx0 hast. Wenn nicht entspechend ändern. pcsclite wird nur gebraucht für Karten die kein T=1 können. Die Karten aus DE sowie die gängigen OpenPGP Karten können das aber. Shalom-Salam, Werner From stefan at mail.swiftos.de Wed Oct 25 13:02:22 2006 From: stefan at mail.swiftos.de (Stefan Grote) Date: Wed Oct 25 13:00:46 2006 Subject: gpg agent enable ssh support + smartcard In-Reply-To: <87zmbl63dg.fsf@wheatstone.g10code.de> References: <453B924F.5040906@mail.swiftos.de> <873b9fbebw.fsf@wheatstone.g10code.de> <453E469C.8080700@mail.swiftos.de> <87zmbl63dg.fsf@wheatstone.g10code.de> Message-ID: <453F443E.2070200@mail.swiftos.de> > Aber es geht ja doch. Offensichlich unterstüzt pcsclite neuerdings > auch den cm4040. Aber wohl nicht korrekt. > > ja, mit ein wenig gefummel laeuft der Cardman mit pcsclite. Im Grund muessen nur folgende Zeilen in die reader.conf eingefuegt werden: FRIENDLYNAME "Omnikey Cardman" DEVICENAME /dev/cmx0 LIBPATH /usr/lib/ifdok_cm4040_lnx-1.1.0.so CHANNELID 0 Nachdem ich die rechte fuer /dev/cmx0 angepasst habe bekomme ich nun folgende fehlermeldung: 2006-10-25 12:49:20 scdaemon[3813] updating status of slot 0 to 0x0007 2006-10-25 12:49:20 scdaemon[3813] client pid is 3780, sending signal 12 2006-10-25 12:50:02 scdaemon[3813] DBG: asking for PIN 'PIN' 2006-10-25 12:50:02 scdaemon[3813] Fehler vom PIN "callback": Allgemeiner Assuan Fehler 2006-10-25 12:50:02 scdaemon[3813] operation auth result: Allgemeiner Assuan Fehler 2006-10-25 12:50:02 scdaemon[3813] app_auth_sign failed: Allgemeiner Assuan Fehler From wk at gnupg.org Thu Oct 26 11:18:17 2006 From: wk at gnupg.org (Werner Koch) Date: Thu Oct 26 11:21:50 2006 Subject: gpg agent enable ssh support + smartcard In-Reply-To: <453F443E.2070200@mail.swiftos.de> (Stefan Grote's message of "Wed\, 25 Oct 2006 13\:02\:22 +0200") References: <453B924F.5040906@mail.swiftos.de> <873b9fbebw.fsf@wheatstone.g10code.de> <453E469C.8080700@mail.swiftos.de> <87zmbl63dg.fsf@wheatstone.g10code.de> <453F443E.2070200@mail.swiftos.de> Message-ID: <87vem7e8py.fsf@wheatstone.g10code.de> On Wed, 25 Oct 2006 13:02, Stefan Grote said: > 2006-10-25 12:50:02 scdaemon[3813] DBG: asking for PIN 'PIN' > 2006-10-25 12:50:02 scdaemon[3813] Fehler vom PIN "callback": > Allgemeiner Assuan Fehler Da stimmt irgendwas mit dem pinentry nicht. Um ganz sicher zu gehen würde ich mal mit einem anderen Reader testen. Pinentry debuggen kann man entweder mit "strace -fo /tmp/foo.log -p " machen. Oder besser mittels eines kleinen Wrappers: ======= #!/bin/sh exec strace -o /tmp/pinentry.trc /usr/lib/pinentry/pinentry-gtk -d "$@" 2>/tmp/pinentry.err ========= Und diesen dann als pinentry-program /foo/bar/my-wrapper in gpg-agent.conf eintragen. gpg-agent dann ein HUP geben. Salam-Shalom, Werner