From werbefilter.gnupg.mailliste at will.ws Thu Feb 1 17:49:47 2007 From: werbefilter.gnupg.mailliste at will.ws (Wisp) Date: Thu, 01 Feb 2007 17:49:47 +0100 Subject: RSA =?ISO-8859-15?Q?Schl=FCssel_erzeugen_der_Signieren_/?= =?ISO-8859-15?Q?_Beglaubigen_/_Verschl=FCsseln_und_Authentifiz?= =?ISO-8859-15?Q?ieren_kann!?= Message-ID: <45C21A2B.7060203@will.ws> Warum sollte man einen RSA Schlüssel der nur die Funktionen Signieren und Beglaubigen hat, nicht auch zum Verschlüsseln einsetzen können? Was spricht dagegen? Technische Schranken? Wenn man GPA unter Windows ausführt (aus dem Paket Gpg4win 1.0.8 -> GnuPG 1.4.6) kann man beim Schlüsselerstellen von RSA nur "RSA (nur signieren)" auswählen. In der Shell (Befehl: gpg --gen-key) kann man nur "RSA (signieren/beglaubigen)" auswählen. In WinPT kann man beim Schlüsselerzeugen im Experten-Mode zwischen RSA(nur signieren) und RSA(signieren/verschlüsseln), auswählen. Durch einen Zufall, eventuell unter Linux, wurde ein RSA-Schlüsselpaar erzeugt, der alles konnte (Signieren, Beglaubigen, Verschlüsseln und Authentifizieren). Mit welchen gpg Befehlen/Parametern, kann man bei der Erzeugung in eine Art Experten-Mode schalten, in dem man die Funktionalitäten des zu erzeugenden Schlüssels selbst erzwingen kann? Vielen Dank, Grüße an alle - Wisp From wk at gnupg.org Fri Feb 2 13:27:24 2007 From: wk at gnupg.org (Werner Koch) Date: Fri, 02 Feb 2007 13:27:24 +0100 Subject: RSA =?utf-8?Q?Schl=C3=BCssel?= erzeugen der Signieren / Beglaubigen / =?utf-8?Q?Verschl=C3=BCsseln?= und Authentifizieren kann! In-Reply-To: <45C21A2B.7060203@will.ws> (werbefilter.gnupg.mailliste@will.ws's message of "Thu\, 01 Feb 2007 17\:49\:47 +0100") References: <45C21A2B.7060203@will.ws> Message-ID: <87d54spwwj.fsf@wheatstone.g10code.de> On Thu, 1 Feb 2007 17:49, werbefilter.gnupg.mailliste at will.ws said: > Warum sollte man einen RSA Schlüssel der nur die Funktionen Signieren > und Beglaubigen hat, nicht auch zum Verschlüsseln einsetzen können? Was > spricht dagegen? Technische Schranken? Aus Vorsicht. Es gibt keine wirklichen Attacken dagegen aber es ist eine uralte Regel, einen Key immer zu zum einem Zweck einzusetzen. > Mit welchen gpg Befehlen/Parametern, kann man bei der Erzeugung in eine > Art Experten-Mode schalten, in dem man die Funktionalitäten des zu > erzeugenden Schlüssels selbst erzwingen kann? Die Option --expert erlaubt dies. Also z.B. gpg --expert --gen-key Salam-Shalom, Werner From mailing at edv-fervers.de Sun Feb 11 14:02:52 2007 From: mailing at edv-fervers.de (Volker Fervers) Date: Sun, 11 Feb 2007 14:02:52 +0100 Subject: Frage =?iso-8859-1?q?Ver=F6ffentlichung?= =?iso-8859-1?q?_Unterschl=FCssel?= Message-ID: <200702111402.52420.mailing@edv-fervers.de> Hallo Liste! Ich habe eine Anfängerfrage: Nach Anleitung auf gnupg.org/fsfe.org habe ich auf einer Smartcard Unterschlüssel zum Verschlüsseln, Authentisieren und Signieren erstellt und den privaten Hauptsignier-/beglaubigungsschlüssel sowie den El-Gamal-Schlüssel gelöscht. Wenn ich jetzt anderen Benutzern ermöglichen möchte, mir verschlüsselte E-Mails oder Daten zu schicken und von mir Signiertes auf Authentizität zu prüfen, müssen diese Benutzer jetzt zwei meiner Schlüssel (den öffentlichen Verschlüsselungs- und den öffentlichen Signaturschlüssel) verwenden. Ist es dazu sinnvoll, a) beide auf einen Schlüsselserver zu übertragen und/oder b) beide auf einer Webseite (mit --armor) zu veröffentlichen? Wie macht Ihr das, so daß es sich für andere möglichst einfach darstellt? Danke für's Lesen! GV From twoaday at gmx.net Sun Feb 11 19:28:08 2007 From: twoaday at gmx.net (Timo Schulz) Date: Sun, 11 Feb 2007 19:28:08 +0100 Subject: Frage =?ISO-8859-1?Q?Ver=F6ffentlichung_Unterschl=FCssel?= In-Reply-To: <200702111402.52420.mailing@edv-fervers.de> References: <200702111402.52420.mailing@edv-fervers.de> Message-ID: <45CF6038.3070409@gmx.net> Volker Fervers wrote: > Ist es dazu sinnvoll, a) beide auf einen Schlüsselserver zu übertragen > und/oder b) beide auf einer Webseite (mit --armor) zu veröffentlichen? Wie > macht Ihr das, so daß es sich für andere möglichst einfach darstellt? Es ist definitiv sinnvoll, den Schlüssel auf einen Keyserver hochzuladen. GPG und mögliche Front-Ends versuchen dann automatisch, soweit eingestellt, den Schlüssel runterzuladen wenn er lokal nicht vorhanden ist aber benötigt wird! Das geschieht alles ohne zu tun und die Kenntnis von irgendwelchen Homepages/Orten zum Schlüssel. Den Schlüssel nochmals auf der Website abzuspeichern ist ebenfalls eine gute Idee. Wenn die Mailersoftware das unterstützt, kann man auch einen speziellen Header setzen wo der Schlüssel zu finden ist. Allerdings gibt es gerade in der Windows-Welt, An. des Schreibers, nicht viele Mailer die damit umgehen können. Noch eine Bemerkung...die meisten Keyserver sollten keine Probleme mit subkeys/photo-ids und ähnlichen Nerungen haben, aber mit subkeys.pgp.net ist man generell auf der sicheren Seite. Timo From mailing at edv-fervers.de Sun Feb 11 13:28:38 2007 From: mailing at edv-fervers.de (Volker Fervers) Date: Sun, 11 Feb 2007 13:28:38 +0100 Subject: Frage =?iso-8859-1?q?Ver=F6ffentlichung?= =?iso-8859-1?q?_Unterschl=FCssel?= Message-ID: <200702111328.38740.mailing@edv-fervers.de> Hallo Liste! Ich habe eine Anfängerfrage: Nach Anleitung auf gnupg.org/fsfe.org habe ich auf einer Smartcard Unterschlüssel zum Verschlüsseln, Authentisieren und Signieren erstellt und den privaten Hauptsignier-/beglaubigungsschlüssel sowie den El-Gamal-Schlüssel gelöscht. Wenn ich jetzt anderen Benutzern ermöglichen möchte, mir verschlüsselte E-Mails oder Daten zu schicken und von mir Signiertes auf Authentizität zu prüfen, müssen diese Benutzer jetzt zwei meiner Schlüssel (den öffentlichen Verschlüsselungs- und den öffentlichen Signaturschlüssel) verwenden. Ist es dazu sinnvoll, a) beide auf einen Schlüsselserver zu übertragen und/oder b) beide auf einer Webseite (mit --armor) zu veröffentlichen? Wie macht Ihr das, so daß es sich für andere möglichst einfach darstellt? Danke für's Lesen! GV From mailing at edv-fervers.de Sun Feb 11 23:06:26 2007 From: mailing at edv-fervers.de (Volker Fervers) Date: Sun, 11 Feb 2007 23:06:26 +0100 Subject: Frage =?iso-8859-1?q?Ver=F6ffentlichung?= =?iso-8859-1?q?_Unterschl=FCssel?= In-Reply-To: <200702111328.38740.mailing@edv-fervers.de> References: <200702111328.38740.mailing@edv-fervers.de> Message-ID: <200702112306.27103.mailing@edv-fervers.de> Tschuldigung! Hatte Probleme mit dem Einliefern meiner Mails nach gnupg.org wg. Fehler: 451-256.50.184.50 is not yet authorized to deliver mail from 451 Am Sonntag, 11. Februar 2007 13:28 schrieb Volker Fervers: > Hallo Liste! From mailing at edv-fervers.de Sun Feb 11 23:25:29 2007 From: mailing at edv-fervers.de (Volker Fervers) Date: Sun, 11 Feb 2007 23:25:29 +0100 Subject: Frage =?iso-8859-1?q?Ver=F6ffentlichung?= =?iso-8859-1?q?_Unterschl=FCssel?= In-Reply-To: <45CF6038.3070409@gmx.net> References: <200702111402.52420.mailing@edv-fervers.de> <45CF6038.3070409@gmx.net> Message-ID: <200702112325.30092.mailing@edv-fervers.de> Am Sonntag, 11. Februar 2007 19:28 schrieb Timo Schulz: > Volker Fervers wrote: > > Ist es dazu sinnvoll, a) beide auf einen Schlüsselserver zu übertragen > > und/oder b) beide auf einer Webseite (mit --armor) zu veröffentlichen? > > Es ist definitiv sinnvoll, den Schlüssel auf einen Keyserver > hochzuladen. GPG und mögliche Front-Ends versuchen dann automatisch, > soweit eingestellt, den Schlüssel runterzuladen wenn er lokal nicht > vorhanden ist aber benötigt wird! Das geschieht alles ohne zu tun und > die Kenntnis von irgendwelchen Homepages/Orten zum Schlüssel. > > Noch eine Bemerkung...die meisten Keyserver sollten keine Probleme > mit subkeys/photo-ids und ähnlichen Nerungen haben, aber mit > subkeys.pgp.net ist man generell auf der sicheren Seite. Vielen Dank! Dann werde ich das mal mit Thunderbird, das ja auf Linux und Windows gleichermaßen läuft, ausprobieren und es meinen Kommunikationspartnern nahelegen, mir fürderhin verschlüsselte E-Mails zu schicken. GV From mailing at edv-fervers.de Tue Feb 13 21:48:38 2007 From: mailing at edv-fervers.de (Volker Fervers) Date: Tue, 13 Feb 2007 21:48:38 +0100 Subject: Subkeys / Anzeige in Thunderbird Message-ID: <45D22426.7050307@edv-fervers.de> Guten Abend! Da ich gerade dabei bin, zu Unterschlüsseln Fragen zu stellen ;-), noch eine: Ich habe auf einer SmartCard Unterschlüssel für Signatur und Verschlüsselung angelegt, sowie den privaten Hauptsignierschlüssel gelöscht. Wenn ich mir testweise verschlüsselte Nachrichten sende, bietet mir Thunderbird (oder Enigmail) nur meinen Hauptsignierschlüssel als Verschlüsselungsschlüssel an. Da ich die Nachricht nach Erhalt aber entschlüsseln kann, gehe ich davon aus, daß mit dem Subkey verschlüsselt wurde. Kann ich irgendwie feststellen, welche Schlüssel tatsächlich verwendet werden? (In ~/.gnupg/gnupg.conf habe ich default-key [subkey], default-recipient-self und default-recipient [ElGamal] angegeben. Danke! GV From wk at gnupg.org Wed Feb 14 09:46:54 2007 From: wk at gnupg.org (Werner Koch) Date: Wed, 14 Feb 2007 09:46:54 +0100 Subject: Subkeys / Anzeige in Thunderbird In-Reply-To: <45D22426.7050307@edv-fervers.de> (Volker Fervers's message of "Tue\, 13 Feb 2007 21\:48\:38 +0100") References: <45D22426.7050307@edv-fervers.de> Message-ID: <87sld9dt35.fsf@wheatstone.g10code.de> On Tue, 13 Feb 2007 21:48, mailing at edv-fervers.de said: > Wenn ich mir testweise verschlüsselte Nachrichten sende, bietet mir > Thunderbird (oder Enigmail) nur meinen Hauptsignierschlüssel als GnuPG wählt immer automatisch einen passenden Schlüssel aus. Wenn ein subkey da ist wird dieser immer priorisiert. > verwendet werden? (In ~/.gnupg/gnupg.conf habe ich default-key [subkey], > default-recipient-self und default-recipient [ElGamal] angegeben. Den Subkey anzugeben hilft nicht, da gpg einen passenden sucht. wenn man wirklich den angegebenen subkey benutzen will dann muss man eine Ausrufezeichen anhängen: encrypt-to 0x12345678! Ich würde übrigens encrypt-to statt default-recipient benutzen. Salam-Shalom, Werner From rose-indorf at gmx.de Mon Feb 19 01:13:58 2007 From: rose-indorf at gmx.de (Sebastian Rose-Indorf) Date: Mon, 19 Feb 2007 01:13:58 +0100 Subject: GnuPG-Pack Basics: Neue Version: 7.1.2 Message-ID: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo, es ist eine neue Version des GnuPG-Pack Basics erschienen: 7.1.2. Was ist neu? * Das noch aus GnuPP vertraute GPA 0.5.0 ist nicht mehr enthalten. (Dadurch ist das GnuPG-Pack Basics um rund 1,2 MB kleiner geworden.) Etwa bislang mit GPA erledigten Aufgaben lassen sich ebenso gut mit WinPT bewerkstelligen. * Geringfügige Änderungen in der GnuPG-Konfigurationsdatei ("gpg.conf"). * Ein Fehler beim Import des SSL-Zertifikats nach Windows - optional -, der auftreten konnte, wenn das Zertifikat nicht als "trusted certificate" installiert wurde, wurde behoben. (Betrifft nicht die üblichen Installationsvarianten!!! Außerdem hätte Windows den Fehler mit einer Fehlermeldung quittiert.) Überdies wurde die Projektseite an vielen Stellen überarbeitet und ergänzt. Ein Update des GnuPG-Pack Basics ist empfohlen, wenn (1.) die installierte Version von GnuPG älter als 1.4.6 ist oder wenn (2.) Probleme bei der Installation voriger Versionen des GnuPG-Pack Basics aufgetreten sind. Zur Kompabilität mit Windows Vista vgl. die diesbezügliche FAQ auf der Projektseite. Das GnuPG-Pack Basics ist ein Installationspaket für GnuPG, WinPT Tray und - optional - Stunnel mit OpenSSL. Die Projektseite findet Ihr - nunmehr - unter http://home.arcor.de/rose-indorf. Frohes Schaffen! Sebastian -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (MingW32) - GPGrelay v0.960 Comment: Protect messages and files using GnuPG and OpenSSL! Comment: GnuPG-Pack Basics: http://home.arcor.de/rose-indorf iD8DBQFF2OvQzipg5mWeO9ARAma+AKD1htIe4253VTLEA8FmXx6N7S1mcgCgtZMI MtLY2d8mG/FObaWIGVfYCCY= =MAUS -----END PGP SIGNATURE----- From lists_de at zemisch.de Fri Feb 23 04:35:03 2007 From: lists_de at zemisch.de (Dirk Zemisch) Date: Fri, 23 Feb 2007 10:35:03 +0700 Subject: Zusammenspiel GnuPG - GPG-Relay - sTunnel Message-ID: <1779200883.20070223103503@zemisch.de> Hallo Listlinge, ich hätte da gern mal ein Problem: Ich habe gestern meine alte Installation von GnuPT (GnuPG 1.4.3, GPG-Relay 0.959, GPGee und WinPT) durch die neue GnuPG-Pack Basics (GnuPG 1.4.6 eben und sTunnel) und GPG-Relay (wieder 0.959) ersetzt. Dazu habe ich die alte Installation zuerst (IMHO komplett, inkl. Neustart) entfernt und dann die neuen Pakete entsprechend der Anweisung auf der GnuPG-Pack WebSite neu eingespielt. Nun habe ich folgende Probleme, kann sie aber leider nicht genau einem Programm zuordnen und frage deshalb erstmal hier im Allgemeinen. Aber konkrete Hinweise werden auch gern genommen. ;-) Ich hole einen Großteil der über GPG-Relay laufenden Mailkonten per SSL (bzw. TLS) ab. Klappte vorher ganz wunderbar, seit der Neuinstallation meckert GPG-Relay das Fehlen der beiden SSL-DLLs (libeay32 und libssl32) an. Allerdings sind diese da (im GPG-Relay Verzeichnis), aber offensichtlich stammen diese aus dem OpenSSL Paket und werden von GPG-Relay nicht erkannt. Es funktioniert aber sofort , sobald ich die beiden Dateien mit den gleichnamigen aus dem SSL Paket von der GPG-Relay Projektseite ersetze. Dann allerdings funktioniert 'Compression: zlib' für sTunnel nicht. (OpenSSL-DLLs mit Datum 1.10.2006, GPG-Relay DLLs vom 10.07.2004) Im Moment habe ich erst einmal die Kompression in der stunnel.conf ausgeknipst und nutze die alten Dateien, aber als endgültige Lösung finde ich das nicht schön. Frage: Ist dieses Problem bekannt? Gibt es vielleicht sogar eine Lösung? Das zweite Problem scheint seine Ursache auch irgendwie im Zusammenspiel des neuen Paketes mit GPG-Relay zu haben. Und zwar bekomme ich (silent Mode in GPG-Relay) folgende Header (@dressen redigiert): > X-GPGrelay-GoodSig: 9D9A3B133BC72B51 Dirk Zemisch > X-GPGrelay-SigID: bSmhCqei3PQ0GqKuOqxpmw6ckoQ 2007-02-23 1172198022 > X-GPGrelay-EncTo: 0000000000000000 16 0 > X-GPGrelay-Status: This mail was encrypted (PGP-MIME). > ,-----GnuPG output follows (current time: Fri, Feb 23 2007 - 09:42:50)-- > | > | anonymous recipient; trying secret key DF5D2ACB ... > | anonymous recipient; trying secret key F1F5C6D4 ... > | anonymous recipient; trying secret key 4D6196B5 ... > | anonymous recipient; trying secret key E2E6A997 ... > | anonymous recipient; trying secret key 37732829 ... > | anonymous recipient; trying secret key 9D273BF0 ... > | anonymous recipient; trying secret key 51211DD6 ... > | anonymous recipient; trying secret key 212B1BDF ... > | anonymous recipient; trying secret key BF53A544 ... > | anonymous recipient; trying secret key C1C51B93 ... > | anonymous recipient; trying secret key A4555DC0 ... > | anonymous recipient; trying secret key FAC31E23 ... > | anonymous recipient; trying secret key 9D91C0BE ... > | anonymous recipient; trying secret key 577445AF ... > | anonymous recipient; trying secret key AFB66E83 ... > | anonymous recipient; trying secret key 2F3559D7 ... > | Alles klar, wir sind der ungenannte Empfänger. > | Signature made 02/23/07 09:33:42 using DSA key ID 3BC72B51 > | Good signature from "Dirk Zemisch " > | aka "Dirk Zemisch " > | aka "Dirk Zemisch " > | aka "Dirk Zemisch " > | aka "Dirk Zemisch " > | aka "[jpeg image of size 4106]" > | > `----------------------------------------------------------------------- Zu jedem 'trying ...' kommt natürlich der entsprechende Dialog zur Passphrase Abfrage hoch. Ist ja schön, dass letztendlich einer der Keys gegriffen hat, aber wer behauptet denn da 'anonymous recipient'? Im 'To:' steht nur eine Adresse und zwar genau die zum 2F3559D7 gehörende, die in keinem der anderen (größtenteils temporären Tests dienenden) Schlüsseln auftaucht. Ja, ich kann natürlich jedes Mal alle anderen Schlüsselabfragen skippen oder die entsprechenden temporären Schlüssel killen, aber lästig ist das schon und die Eingabe und Speicherung aller Passphrasen im Relay kann auch kaum als Lösung gelten. Außerdem: warum ging das gestern noch in der alten Konfiguration und nun nicht mehr? GPG-Relay würde ich fast ausschließen, weil dieselbe Version. Ich habe mich schon durch die verschiedensten .conf und die Registry gewühlt, aber leider ohne Erfolg. Windows XP (NT 5.1 Build 2600 - Service Pack 2 - alle aktuellen Updates) CPU: Intel Pentium M (586 - @1728 GHz) with RAM: 504MB (virtual: 1921MB; used 62%) IP: 192.168.0.11 -- Gruß Dirk Unterwegs mit The Bat! 3.95.8 unter Zuhilfenahme von Windows XP Service Pack 2 From sven.lug-dorsten at gmx.de Mon Feb 26 22:47:16 2007 From: sven.lug-dorsten at gmx.de (Sven) Date: Mon, 26 Feb 2007 22:47:16 +0100 Subject: Anonyme GnuPG-Key Server Message-ID: <1172526436.5113.55.camel@bluebox> Hi! ich hatte mal über Public Key Server nachgedacht und ich sehe da ein Problem. Public Key Server sind für Crawler von Mail Adressen und Namen ein gefundenes Fressen. Um trotzdem an benötigte Public Keys dranzukommen schlage ich vor einen anonymen Public Key Server zu betreiben, welcher Public Keys lediglich anhand von Hashwerten indiziert und nur über die Anfrage mit einem solchen den Public Key herausgibt. Beispiel, ich möchte an wk at 10code.com eine verschlüsselte Mail senden, mein client generiert dann eine Anfrage mit der md5sum dieser Adresse: # echo "wk at g10code.com" |md5sum f708ea785336b450be7132190aa8b4e3 Nur diese md5 Summe geht als Anfrage an den Server um mir die dazu passenden Keys zu senden. So würde niemand aus der Datenbank massenhaft Adressen baggern können, die Funktionalität öffentlich nach einem Public Key für eine Adresse suchen zu können bliebe jedoch erhalten. Beim Web of Trust dürften die Mail Adressen der Signierer allerdings auch nicht abrufbar sein. Da wirds schwierig trotzdem ein Web Of Trust einzubauen. freue mich auf eure Kommentare und Meinungen Gruss, Sven -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 189 bytes Beschreibung: Dies ist ein digital signierter Nachrichtenteil URL : /pipermail/attachments/20070226/3a6abbb6/attachment-0001.pgp From wk at gnupg.org Tue Feb 27 10:02:45 2007 From: wk at gnupg.org (Werner Koch) Date: Tue, 27 Feb 2007 10:02:45 +0100 Subject: Anonyme GnuPG-Key Server In-Reply-To: <1172526436.5113.55.camel@bluebox> (sven.lug-dorsten@gmx.de's message of "Mon\, 26 Feb 2007 22\:47\:16 +0100") References: <1172526436.5113.55.camel@bluebox> Message-ID: <87veho9dmy.fsf@wheatstone.g10code.de> On Mon, 26 Feb 2007 22:47, sven.lug-dorsten at gmx.de said: > So würde niemand aus der Datenbank massenhaft Adressen baggern können, Braucht auch keiner. Bestimmt 90% der Adressen auf den Keyservern sind überhaupt nicht mehr gültig und aktuelle validierte Mailadressen hold man sich bekanntlich direkt aus den Adressbüchern von Abermillionen Windows-PCs. Kann man dann auch direkt von dort versenden und der Empfänger kenn den Absender vieleicht sogar. Shalom-Salam, Werner