From malte.gell at gmx.de Thu Oct 12 17:47:25 2006
From: malte.gell at gmx.de (Malte Gell)
Date: Thu Oct 12 19:21:08 2006
Subject: S-Trust Benutzer hier?
Message-ID: <200610121747.26212.malte.gell@gmx.de>
Hallo,
benutzt hier vielleicht jemand die Zertifikate der Sparkassen / S-Trust
mit GnuPG bzw. kleopatra (s. http://www.s-trust.de )?
Gruß
Malte
From wk at gnupg.org Fri Oct 13 15:23:44 2006
From: wk at gnupg.org (Werner Koch)
Date: Fri Oct 13 16:21:28 2006
Subject: S-Trust Benutzer hier?
In-Reply-To: <200610121747.26212.malte.gell@gmx.de> (Malte Gell's message of
"Thu, 12 Oct 2006 17:47:25 +0200")
References: <200610121747.26212.malte.gell@gmx.de>
Message-ID: <87iriowdr3.fsf@wheatstone.g10code.de>
On Thu, 12 Oct 2006 17:47, Malte Gell said:
> benutzt hier vielleicht jemand die Zertifikate der Sparkassen / S-Trust
> mit GnuPG bzw. kleopatra (s. http://www.s-trust.de )?
Nein. Ich habe zwar eine Testkarte aber kann damit nichts anfangen da
S-Trust die CA Zertifikate nicht herausrückt. Um sie zu erhalten muss
man eine NDA unterschreiben die so ungefahr alles verbietet. Würde ich
das machen dürfte ich keine Anwendungen mit Signaturen entwickeln, die
in Konkorrenz zu S-Trust stehen. Jedenfalls war das mein Eindruck
nach mehrmaligen Lesen der Unterlagen. Für eine verbindliche Aussage
müsste man das erstmal juristisch prüfen lassen.
Shalom-Salam,
Werner
From malte.gell at gmx.de Fri Oct 13 16:52:35 2006
From: malte.gell at gmx.de (Malte Gell)
Date: Fri Oct 13 16:51:14 2006
Subject: S-Trust Benutzer hier?
In-Reply-To: <87iriowdr3.fsf@wheatstone.g10code.de>
References: <200610121747.26212.malte.gell@gmx.de>
<87iriowdr3.fsf@wheatstone.g10code.de>
Message-ID: <200610131652.35949.malte.gell@gmx.de>
On Friday 13 October 2006 15:23, Werner Koch wrote:
> On Thu, 12 Oct 2006 17:47, Malte Gell said:
> > benutzt hier vielleicht jemand die Zertifikate der Sparkassen /
> > S-Trust mit GnuPG bzw. kleopatra (s. http://www.s-trust.de )?
> Nein. Ich habe zwar eine Testkarte aber kann damit nichts anfangen
> da S-Trust die CA Zertifikate nicht herausrückt.
Nicht, dass ich jetzt was falsch verstehe, aber sind die CA-Zert. denn
nicht die hier, oder gibt es da noch weitere?
http://www.s-trust.de/download/ausstellerzertifikate/index.htm
Malte
From ch.gaida at gmx.de Fri Oct 20 19:41:17 2006
From: ch.gaida at gmx.de (Christian Gaida)
Date: Fri Oct 20 21:21:27 2006
Subject: Smartcard und mehrere Rechner
Message-ID: <45390A3D.5030500@gmx.de>
Hallo Liste!
Ich habe eine OpenPGP Smartcard die ich gerne unter Linux
und Windows nutzen möchte.
Die Schlüssel habe ich gestern unter Linux erstellt. Jetzt
würde ich die Smartcard auch gerne unter Windows benutzen,
nur will mir das nicht gelingen.
Kann mir jemand einen Tip geben? Ich muss vielleicht dazu
sagen dass ich noch nicht viel Erfahrung im Umgang mit GnuPG
habe.
Grüße
Christian
From ch.gaida at gmx.de Fri Oct 20 22:24:16 2006
From: ch.gaida at gmx.de (Christian Gaida)
Date: Fri Oct 20 22:22:52 2006
Subject: Smartcard und mehrere Rechner
In-Reply-To: <45390A3D.5030500@gmx.de>
References: <45390A3D.5030500@gmx.de>
Message-ID: <45393070.8040902@gmx.de>
Christian Gaida schrieb:
> Hallo Liste!
>
> Ich habe eine OpenPGP Smartcard die ich gerne unter Linux
> und Windows nutzen möchte.
>
> Die Schlüssel habe ich gestern unter Linux erstellt. Jetzt
> würde ich die Smartcard auch gerne unter Windows benutzen,
> nur will mir das nicht gelingen.
Ich habe mich glaube ich etwas unklar ausgedrückt.
Die Smartcard an sich ist nicht das Problem, sondern die
erstellten Schlüssel. Ich kann zwar auf die Smartcard
mit pgp --card-status und pgp --edit-card zugreifen nur
meine unter Linux erstellten Schlüssel kann ich unter Windows
nicht verwenden.
Christian
From michael.kallas at web.de Fri Oct 20 23:30:00 2006
From: michael.kallas at web.de (Michael Kallas)
Date: Sat Oct 21 00:51:22 2006
Subject: Smartcard und mehrere Rechner
In-Reply-To: <45393070.8040902@gmx.de>
References: <45390A3D.5030500@gmx.de> <45393070.8040902@gmx.de>
Message-ID: <45393FD8.80800@web.de>
Hallo,
Christian Gaida schrieb:
> Ich habe mich glaube ich etwas unklar ausgedrückt.
> Die Smartcard an sich ist nicht das Problem, sondern die
> erstellten Schlüssel. Ich kann zwar auf die Smartcard
> mit pgp --card-status und pgp --edit-card zugreifen nur
> meine unter Linux erstellten Schlüssel kann ich unter Windows
> nicht verwenden.
Du mußt deinen (öffentlichen) Schlüssel nach Windows importieren und ihm
das Vertrauen aussprechen.
Vorher kann GPG damit nichts anfangen, iirc.
Gruß
Michael
--
Nobody can save your freedom but YOU -
become a fellow of the FSF Europe! http://www.fsfe.org/en
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 374 bytes
Beschreibung: OpenPGP digital signature
URL : /pipermail/attachments/20061020/8c34c95b/signature.pgp
From ch.gaida at gmx.de Sat Oct 21 14:13:54 2006
From: ch.gaida at gmx.de (Christian Gaida)
Date: Sat Oct 21 14:12:36 2006
Subject: Smartcard und mehrere Rechner
In-Reply-To: <45393FD8.80800@web.de>
References: <45390A3D.5030500@gmx.de> <45393070.8040902@gmx.de>
<45393FD8.80800@web.de>
Message-ID: <453A0F02.7030205@gmx.de>
Michael Kallas schrieb:
> Du mußt deinen (öffentlichen) Schlüssel nach Windows importieren und ihm
> das Vertrauen aussprechen.
> Vorher kann GPG damit nichts anfangen, iirc.
Danke erst einmal für die Antwort. Ich glaube im Moment hapert es
bei mir an dem Grundsätzlichen Verständnis.
Was ich bisher getan habe, ist ein Schlüsselpaar zu generieren. So
weit so gut. Die Schlüssel habe ich jetzt also auf der Smartcard, eine
Sicherheitskopie des privaten Schlüssels habe ich zusätzlich auf
Diskette gespeichert.
Unter Linux kann ich jetzt ver- und entschlüsseln und signieren, das
funktioniert immerhin schon mal.
Aber wie ich den öffentlichen Schlüssel unter Windows jetzt importieren
kann weiß ich leider nicht. Muss ich den öffntl. Schlüssel erst zu einem
Keyserver schicken und dann unter Win importieren?
Das wollte ich bisher noch nicht machen weil ich mir nicht sicher war ob
das so richtig ist. Ich habe von 2002 noch ein paar Schlüsselleichen und
will die nicht noch vermehren durch irgendeine trotteligkeit von mir.
Und wenn ich den öffentlichen Schlüssel dann importiert habe, woher weiß
dann gpg das meine Schlüssel auf der Smartcard sind.
Tut mir leid wenn die Fragen bescheuert sind, aber je mehr ich im
Internet nach Infos suche desto verwirrter werde ich.
Das Grundprinzip der Verschlüsselung mit einem öffentlichen Schlüssel
leuchtet mir ein, aber alles was da noch so drum herum ist kann einen
schon etwas durcheinander machen.
Grüße
Christian
From stefan at mail.swiftos.de Sun Oct 22 17:46:23 2006
From: stefan at mail.swiftos.de (Stefan Grote)
Date: Sun Oct 22 19:24:02 2006
Subject: gpg agent enable ssh support + smartcard
Message-ID: <453B924F.5040906@mail.swiftos.de>
Hallo,
ich wuerde gerne die Keys auf der Openpgp Smartcard nutzen um mich an
einem remote system anzumelden.
Der gpg agent ist so konfiguriert das mir
ssh-add -l
den korrekten fingerprint
und
ssh-add -L
den korrekten Public Key ausgibt.
Darauf habe ich den Public Key in die authorized_keys2 Datei geschrieben.
Wenn ich nun versuch mich via Openssh auf dem Rechner anzumelden bekomme
ich folgende fehlermeldung:
debug2: input_userauth_pk_ok: fp
d6:f5:98:84:cd:ab:16:d7:3f:92:85:d9:ad:45:ca:77
debug3: sign_and_send_pubkey
Agent admitted failure to sign using the key.
Jemand eine Idee?
--
Stefan Grote
From wk at gnupg.org Mon Oct 23 10:56:19 2006
From: wk at gnupg.org (Werner Koch)
Date: Mon Oct 23 11:02:53 2006
Subject: gpg agent enable ssh support + smartcard
In-Reply-To: <453B924F.5040906@mail.swiftos.de> (Stefan Grote's message of
"Sun\, 22 Oct 2006 17\:46\:23 +0200")
References: <453B924F.5040906@mail.swiftos.de>
Message-ID: <873b9fbebw.fsf@wheatstone.g10code.de>
On Sun, 22 Oct 2006 17:46, Stefan Grote said:
> Agent admitted failure to sign using the key.
Am besten mal in scdaemon.conf
verbose
debug 2048
log-file /somewhere
reinschreiben. Achtung, Deine PIN Nummer könnte darin erscheinen,
also vorher redigieren und wenn Du unsicher bist, erstmal nur an mich
senden.
Mit watchgnupg und einem zweiten xterm kann man das noch besser debuggen.
Salam-Shalom,
Werner
From wk at gnupg.org Mon Oct 23 10:59:32 2006
From: wk at gnupg.org (Werner Koch)
Date: Mon Oct 23 11:03:07 2006
Subject: S-Trust Benutzer hier?
In-Reply-To: <200610131652.35949.malte.gell@gmx.de> (Malte Gell's message of
"Fri\, 13 Oct 2006 16\:52\:35 +0200")
References: <200610121747.26212.malte.gell@gmx.de>
<87iriowdr3.fsf@wheatstone.g10code.de>
<200610131652.35949.malte.gell@gmx.de>
Message-ID: <87y7r79zm3.fsf@wheatstone.g10code.de>
On Fri, 13 Oct 2006 16:52, Malte Gell said:
> Nicht, dass ich jetzt was falsch verstehe, aber sind die CA-Zert. denn
> nicht die hier, oder gibt es da noch weitere?
Meine Testzertifikate sind schon was älter und offensichlich noch von
vor der Zeit als S-Trust sich als Trustcenter für qualifizierte
Signaturen bei der BNetzA angemeldet hat. Die ganze Sache mit den
nicht-akkredidierten Trustcentern für qualifizierten Signaturen ist
rechtlich wohl sehr kompliziert. Ich versuche das immer noch zu
verstehen.
Shalom-Salam,
Werner
From wk at gnupg.org Mon Oct 23 11:08:32 2006
From: wk at gnupg.org (Werner Koch)
Date: Mon Oct 23 11:12:43 2006
Subject: Smartcard und mehrere Rechner
In-Reply-To: <453A0F02.7030205@gmx.de> (Christian Gaida's message of "Sat\, 21
Oct 2006 14\:13\:54 +0200")
References: <45390A3D.5030500@gmx.de> <45393070.8040902@gmx.de>
<45393FD8.80800@web.de> <453A0F02.7030205@gmx.de>
Message-ID: <87u01v9z73.fsf@wheatstone.g10code.de>
On Sat, 21 Oct 2006 14:13, Christian Gaida said:
> Aber wie ich den öffentlichen Schlüssel unter Windows jetzt importieren
> kann weiß ich leider nicht. Muss ich den öffntl. Schlüssel erst zu einem
> Keyserver schicken und dann unter Win importieren?
Ja oder irgendow anderes ablegen. Zum Beispiel auf einer Website,
falls Du eine hast. z. B. http://www.example.org/foo/pubkey.html und
dort einfach den --armor de publick keys ablegen. Die URL kannst Du
dann auf der Smartcard ablegen (--card-edit, "admin" und dann "url").
Spater kannst Du den Public Key dann einfach auf einem anderen Rechner
wieder abholen mit --card-edit und "fetch".
Falls du keine Webseite hast, dann kannst Du zum testen auch den neuen
Keyserver hkp://demokeys.gnupg.org benutzen. Dieser syncroniziert mit
keinem anderen Server und sollte halt nur zum testen benutzt werden.
Siehe auch http://demokeys.gnupg.org:11371/ .
> Und wenn ich den öffentlichen Schlüssel dann importiert habe, woher weiß
> dann gpg das meine Schlüssel auf der Smartcard sind.
Auf der Karte ist der Fingerprint des Schlüssels gespeichert. gpg
legt dann allerdings noch automatisch einen Stub-Key im secring.gpg
an. So kann gpg Dich auffordern, eine entsprechende Karte einzulegen.
> Tut mir leid wenn die Fragen bescheuert sind, aber je mehr ich im
> Internet nach Infos suche desto verwirrter werde ich.
Das Howto unter www.gnupg.org hast Du gelesen? Falls Du Anregungen
hast, sollte wir es noch erweitern.
Salam-Shalom,
Werner
From michael.kallas at web.de Mon Oct 23 21:15:26 2006
From: michael.kallas at web.de (Michael Kallas)
Date: Mon Oct 23 21:17:46 2006
Subject: Smartcard und mehrere Rechner
In-Reply-To: <453A0F02.7030205@gmx.de>
References: <45390A3D.5030500@gmx.de>
<45393070.8040902@gmx.de> <45393FD8.80800@web.de>
<453A0F02.7030205@gmx.de>
Message-ID: <453D14CE.8030902@web.de>
Hallo,
Christian Gaida schrieb:
> Danke erst einmal für die Antwort. Ich glaube im Moment hapert es
> bei mir an dem Grundsätzlichen Verständnis.
[snip]
> Das wollte ich bisher noch nicht machen weil ich mir nicht sicher war ob
> das so richtig ist. Ich habe von 2002 noch ein paar Schlüsselleichen und
> will die nicht noch vermehren durch irgendeine trotteligkeit von mir.
Deshalb empfiehlt es sich auch, als erste Tat ein Rückruf-Zertifikat zu
erstellen und _auszudrucken_. :)
Gruß
Michael
--
Nobody can save your freedom but YOU -
become a fellow of the FSF Europe! http://www.fsfe.org/en
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 374 bytes
Beschreibung: OpenPGP digital signature
URL : /pipermail/attachments/20061023/2e531791/signature.pgp
From stefan at mail.swiftos.de Tue Oct 24 19:00:12 2006
From: stefan at mail.swiftos.de (Stefan Grote)
Date: Tue Oct 24 18:58:33 2006
Subject: gpg agent enable ssh support + smartcard
In-Reply-To: <873b9fbebw.fsf@wheatstone.g10code.de>
References: <453B924F.5040906@mail.swiftos.de>
<873b9fbebw.fsf@wheatstone.g10code.de>
Message-ID: <453E469C.8080700@mail.swiftos.de>
Werner Koch wrote:
> On Sun, 22 Oct 2006 17:46, Stefan Grote said:
>
>
>> Agent admitted failure to sign using the key.
>>
>
> Am besten mal in scdaemon.conf
>
> verbose
> debug 2048
> log-file /somewhere
>
>
>
habe ich getan. Hier mal ein auszug aus der scdaemon.log
2006-10-24 18:37:12 scdaemon[3513] Es wird auf Socket
`/tmp/gpg-tDOzr0/S.scdaemon' gehört
2006-10-24 18:37:12 scdaemon[3513] Handhabungsroutine für fd -1 gestartet
2006-10-24 18:37:12 scdaemon[3513] DBG: failed to open `/dev/cmx0':
Keine Berechtigung
2006-10-24 18:37:12 scdaemon[3513] DBG: failed to open `/dev/cmx1':
Datei oder Verzeichnis nicht gefunden
2006-10-24 18:37:13 scdaemon[3513] reader slot 0: active protocol:
2006-10-24 18:37:13 scdaemon[3513] slot 0: ATR=3B FA 13 00 FF 81 31 80
45 00 31 C1 73 C0 01 00 00 90 00 B1
Habe den Omnikey Cardman 4040 mit einem 2.6.7.17 Kernel im einsatz.
Ueber PCSC er ohne probleme erkannt. Deswege schließe ich eigentlich ein
Problem mit dem Kartenleser aus.
From wk at gnupg.org Tue Oct 24 19:16:27 2006
From: wk at gnupg.org (Werner Koch)
Date: Tue Oct 24 20:47:02 2006
Subject: gpg agent enable ssh support + smartcard
In-Reply-To: <453E469C.8080700@mail.swiftos.de> (Stefan Grote's message of
"Tue\, 24 Oct 2006 19\:00\:12 +0200")
References: <453B924F.5040906@mail.swiftos.de>
<873b9fbebw.fsf@wheatstone.g10code.de>
<453E469C.8080700@mail.swiftos.de>
Message-ID: <87zmbl63dg.fsf@wheatstone.g10code.de>
On Tue, 24 Oct 2006 19:00, Stefan Grote said:
> 2006-10-24 18:37:12 scdaemon[3513] DBG: failed to open `/dev/cmx0':
> Keine Berechtigung
> 2006-10-24 18:37:12 scdaemon[3513] DBG: failed to open `/dev/cmx1':
> Datei oder Verzeichnis nicht gefunden
Keine Rechte um auf den cm4040 zuzugreifen.
> 2006-10-24 18:37:13 scdaemon[3513] reader slot 0: active protocol:
> 2006-10-24 18:37:13 scdaemon[3513] slot 0: ATR=3B FA 13 00 FF 81 31 80
> 45 00 31 C1 73 C0 01 00 00 90 00 B1
Aber es geht ja doch. Offensichlich unterstüzt pcsclite neuerdings
auch den cm4040. Aber wohl nicht korrekt.
# /etc/init.d/pcscd stop
Kontrolliere ob Du dann Schreibrechte auf /dev/cmx0 hast. Wenn nicht
entspechend ändern.
pcsclite wird nur gebraucht für Karten die kein T=1 können. Die Karten
aus DE sowie die gängigen OpenPGP Karten können das aber.
Shalom-Salam,
Werner
From stefan at mail.swiftos.de Wed Oct 25 13:02:22 2006
From: stefan at mail.swiftos.de (Stefan Grote)
Date: Wed Oct 25 13:00:46 2006
Subject: gpg agent enable ssh support + smartcard
In-Reply-To: <87zmbl63dg.fsf@wheatstone.g10code.de>
References: <453B924F.5040906@mail.swiftos.de> <873b9fbebw.fsf@wheatstone.g10code.de> <453E469C.8080700@mail.swiftos.de>
<87zmbl63dg.fsf@wheatstone.g10code.de>
Message-ID: <453F443E.2070200@mail.swiftos.de>
> Aber es geht ja doch. Offensichlich unterstüzt pcsclite neuerdings
> auch den cm4040. Aber wohl nicht korrekt.
>
>
ja, mit ein wenig gefummel laeuft der Cardman mit pcsclite. Im Grund
muessen nur folgende Zeilen in die reader.conf eingefuegt werden:
FRIENDLYNAME "Omnikey Cardman"
DEVICENAME /dev/cmx0
LIBPATH /usr/lib/ifdok_cm4040_lnx-1.1.0.so
CHANNELID 0
Nachdem ich die rechte fuer /dev/cmx0 angepasst habe bekomme ich nun
folgende fehlermeldung:
2006-10-25 12:49:20 scdaemon[3813] updating status of slot 0 to 0x0007
2006-10-25 12:49:20 scdaemon[3813] client pid is 3780, sending signal 12
2006-10-25 12:50:02 scdaemon[3813] DBG: asking for PIN 'PIN'
2006-10-25 12:50:02 scdaemon[3813] Fehler vom PIN "callback":
Allgemeiner Assuan Fehler
2006-10-25 12:50:02 scdaemon[3813] operation auth result: Allgemeiner
Assuan Fehler
2006-10-25 12:50:02 scdaemon[3813] app_auth_sign failed: Allgemeiner
Assuan Fehler
From wk at gnupg.org Thu Oct 26 11:18:17 2006
From: wk at gnupg.org (Werner Koch)
Date: Thu Oct 26 11:21:50 2006
Subject: gpg agent enable ssh support + smartcard
In-Reply-To: <453F443E.2070200@mail.swiftos.de> (Stefan Grote's message of
"Wed\, 25 Oct 2006 13\:02\:22 +0200")
References: <453B924F.5040906@mail.swiftos.de>
<873b9fbebw.fsf@wheatstone.g10code.de>
<453E469C.8080700@mail.swiftos.de>
<87zmbl63dg.fsf@wheatstone.g10code.de>
<453F443E.2070200@mail.swiftos.de>
Message-ID: <87vem7e8py.fsf@wheatstone.g10code.de>
On Wed, 25 Oct 2006 13:02, Stefan Grote said:
> 2006-10-25 12:50:02 scdaemon[3813] DBG: asking for PIN 'PIN'
> 2006-10-25 12:50:02 scdaemon[3813] Fehler vom PIN "callback":
> Allgemeiner Assuan Fehler
Da stimmt irgendwas mit dem pinentry nicht. Um ganz sicher zu gehen
würde ich mal mit einem anderen Reader testen.
Pinentry debuggen kann man entweder mit "strace -fo /tmp/foo.log -p
" machen. Oder besser mittels eines kleinen
Wrappers:
=======
#!/bin/sh
exec strace -o /tmp/pinentry.trc /usr/lib/pinentry/pinentry-gtk -d "$@" 2>/tmp/pinentry.err
=========
Und diesen dann als
pinentry-program /foo/bar/my-wrapper
in gpg-agent.conf eintragen. gpg-agent dann ein HUP geben.
Salam-Shalom,
Werner