OpenPGP SmartCard kaputt?
Olav Seyfarth
gnupg-de_olav at seyfarth.de
Do Mai 1 01:02:34 CEST 2008
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Hallo Liste,
ich benutze seit Jahren eine OpenPGP SmartCard (hauptsächlich aus Enigmail
heraus) - und auf einmal funktioniert sie nicht mehr!?
Mechanische, elektrische und Software-Probleme kann ich ausschließen, weil die
Karte vom funktionierenden zum nicht mehr funktionierenden Zustand nicht aus
ihrem Kartenleser entfernt und die Software nicht verändert wurde.
Ich nehme mal an, die Karte ist defekt -- aber wie konnte das passieren? Oder
handelt es sich "nur" um ein Config-Bit was wieder gerade gebogen werden muss?
Der PIN Retry Counter steht auf 3-2-3, ändert sich jedoch nicht, egal ob ich
die PIN (oder Admin-PIN) korrekt oder absichtlich falsch eingebe. Entsperren
funktioniert auch nicht.
Ich habe den Entschlüsselungsschlüssel beim Erzeugen als Datei gespeichert.
Ist es möglich, diesen nun so in meinen Secret Keyring zu importieren, dass
damit an diesen Schlüssel verschlüsselte Emails via Enigmail entschlüsselt
werden können? Wenn ja: wie geht das bzw. wo steht wie das (im Einzelnen) geht?
Hier die Situation wie sie sich mir darstellt:
Auf meinem Rechner (Windows XP, SCR335) hatte ich zuerst folgenden Fehler
(1) C:\>gpg -ab test.txt
gpg: detected reader `SCM Microsystems Inc. SCR33x USB Smart Card Reader 0'
gpg: Anzahl bereits erzeugter Signaturen: 3002
Bitte die PIN eingeben
[Sigs erzeugt: 3002]
gpg: Prüfung des CHV1 fehlgeschlagen: Allgemeiner Fehler
gpg: Beglaubigung fehlgeschlagen: Allgemeiner Fehler
gpg: signing failed: Allgemeiner Fehler
Jetzt, zwei Tage später kann ich die Karte dort gar nicht mehr lesen:
(2) C:\>gpg --card-status
gpg: detected reader `SCM Microsystems Inc. SCR33x USB Smart Card Reader 0'
gpg: pcsc_connect failed: removed card (0x80100069)
gpg: Kartenleser ist nicht vorhanden
gpg: OpenPGP Karte ist nicht vorhanden: Allgemeiner Fehler
Eine andere Karte ist auf diesem Rechner aber lesbar (auch Entschlüsseln und
Signieren funktioniert):
(3) C:\>gpg --card-status
gpg: detected reader `SCM Microsystems Inc. SCR33x USB Smart Card Reader 0'
Application ID ...: D2760001240101010001000005840000
Version ..........: 1.1
Manufacturer .....: PPC Card Systems
Serial number ....: 00000584
...
Auf einem anderen Rechner ist die fehlerhafte Karte zwar lesbar ...
(4) C:\>gpg --card-status
gpg: detected reader `OMNIKEY CardMan 4040 0'
Application ID ...: D27600012401010100010000047D0000
Version ..........: 1.1
Manufacturer .....: PPC Card Systems
Serial number ....: 0000047D
Name of cardholder: Seyfarth Olav
Language prefs ...: de
Sex ..............: männlich
URL of public key : http://seyfarth.de/gnupg/4E463A6A.asc
Login data .......: olav
Private DO 1 .....: [nicht gesetzt]
Private DO 2 .....: [nicht gesetzt]
Signature PIN ....: zwingend
Max. PIN lengths .: 254 254 254
PIN retry counter : 3 2 3
Signature counter : 3002
Signature key ....: 6942 2D4C 2541 4C9F 2930 64F1 FDD2 747A 4E46 3A6A
created ....: 2005-10-20 01:05:59
Encryption key....: 6F58 9692 EB0C DBDB CBFC 2F98 D2E8 8720 D590 C436
created ....: 2005-10-20 01:06:29
Authentication key: 1BD2 F255 99D2 F90F BF7B 3C4D AC89 F122 6B11 68AD
created ....: 2005-10-20 01:06:27
General key info..: pub 1024R/4E463A6A 2005-10-20 Olav Seyfarth (private
card key) <olav at seyfarth.de>
sec> 1024R/4E463A6A erzeugt: 2005-10-20 verfällt: niemals
Kartennummer:0001 0000047D
ssb> 1024R/6B1168AD erzeugt: 2005-10-20 verfällt: niemals
Kartennummer:0001 0000047D
ssb> 1024R/D590C436 erzeugt: 2005-10-20 verfällt: niemals
Kartennummer:0001 0000047D
... bringt beim Signieren, Entschlüsseln und Entsperren aber die gleichen
Fehlermeldungen wie zuvor auf dem ersten PC:
(5) C:\>gpg -ab test.txt
gpg: detected reader `OMNIKEY CardMan 4040 0'
gpg: Anzahl bereits erzeugter Signaturen: 3002
Bitte die PIN eingeben
[Sigs erzeugt: 3002]
gpg: Prüfung des CHV1 fehlgeschlagen: Allgemeiner Fehler
gpg: Beglaubigung fehlgeschlagen: Allgemeiner Fehler
gpg: signing failed: Allgemeiner Fehler
C:\>gpg test.txt.gpg
gpg: detected reader `OMNIKEY CardMan 4040 0'
PIN
gpg: Prüfung des CHV2 fehlgeschlagen: Allgemeiner Fehler
gpg: verschlüsselt mit 1024-Bit RSA Schlüssel, ID D590C436, erzeugt
2005-10-20, "Olav Seyfarth (private card key) <olav at seyfarth.de>"
gpg: Entschlüsselung mit Public-Key-Verfahren fehlgeschlagen:
Allgemeiner Fehler
gpg: Entschlüsselung fehlgeschlagen: Geheimer Schlüssel ist nicht vorhanden
C:\Dokumente und Einstellungen\barbara>gpg --card-edit
gpg: detected reader `OMNIKEY CardMan 4040 0'
Application ID ...: D27600012401010100010000047D0000
...
Befehl> admin
Admin-Befehle sind erlaubt
Befehl> passwd
gpg: OpenPGP Karte Nr. D27600012401010100010000047D0000 erkannt
1 - change PIN
2 - unblock PIN
3 - change Admin PIN
Q - quit
Ihre Auswahl? 2
gpg: Noch 3 Admin-PIN-Versuche, bis die Karte dauerhaft geperrt ist
Admin-PIN
gpg: Prüfung des CHV3 fehlgeschlagen: Allgemeiner Fehler
Error unblocking the PIN: Allgemeiner Fehler
Da die PIN-Retry-Counter bei all diesen Aktionen unbeeinflusst bleiben, gehe ich
davon aus, dass die Karte gar nicht so weit kommt.
Werner: In "Noch x Admin-PIN-Versuche, bis die Karte dauerhaft geperrt ist" ist
ein Schreibfehler: "geSperrt". Laut google gab es dazu schon mal einen Patch für
den 1.9er Zweig:
http://www.google.de/search?q=Admin-PIN-Versuche%2C%20bis%20die%20Karte%20dauerhaft%20geperrt%20ist&hl=de
Ich bin für jeden Hinweis dankbar:
- ob die Karte wirklich hin ist
- warum
- wie ich das hätte verhindern können
- ob ich sie (nach Widerruf des Schlüssels) dem Hersteller oder sonstwem zum
Debuggen zur Verfügung stellen soll
- wie man den Entschlüsselungsschlüssel importiert
Herzliche Grüße aus dem Breisgau,
Olav Seyfarth
Mitglied im Enigmail Team
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32)
Comment: Diese ist eine Digitale Signatur nach OpenPGP-Standard
Comment: Weitere Informationen: http://privat.seyfarth.de/olav/schluessel.html
iEYEAREIAAYFAkgY+oYACgkQL/NBt8fdKe0BgwCfaopyr6l3UobHkg1Lpah6H4e+
ymcAnRFXSEfKJ/NJg6x9eNoBgsVFTuHq
=KCIk
-----END PGP SIGNATURE-----