GPGME, gpgsm und mutt

Werner Koch wk at gnupg.org
Mi Jul 10 16:28:55 CEST 2013 

On Wed, 22 May 2013 22:32, net at janeden.net said:

> Der Umstieg auf GPGME gestaltet sich allerdings sehr schwierig. mutt ist
> entsprechend kompiliert (--enable-gpgme), gepatcht

Leider habe ich seit Jahren nicht mehr die Mutt Entwicklung vefolgt und
so kann es durchaus sein, dass sich hier etwas „bit rot“ eingeschlichen
hat.

> Mit OpenPGP und GPGME läuft es einigermaßen. Wenn ich allerdings eine

Schön.

> verschlüsselte Nachricht zwischen meinen beiden Mail-Accounts versende,
> akzeptiert gpg nur die Passphrase des *Absenders* zum Entschlüsseln der
> Nachricht (encrypt_to in gpg.conf ist auf die ID des Absenderschlüssels

Ich verstehe nicht genau was Du hier meinst.


> pinentry-curses: no LC_CTYPE known - assuming UTF-8
>
> Die offenbar häufigste Ursache für diese Fehlermeldung habe ich bereits
> beseitigt (export GPG_TTY=`tty` in .bash_profile), trotzdem scheitert

Das ist by curses wirklich wichtig.

> der Import (mit der o.g. Fehlermeldung). Interessanterweise startet
> pinentry-curses anstandslos, wenn ich ein OpenPGP-Schlüsselpaar
> generiere oder in mutt meine Passphrase beim Signieren eingeben muss

Kannst Du das Ganze bitte einmal in einem xterm testen, so das eine GUI
Version des Pinentries benutzt wird?

> (Frage am Rande: In .muttrc kann ich ein Timeout für Passphrasen
> angeben – ist das auch mit GPGME möglich?).

Neuere Pinentries haben zwar ein timeout feature, das wird aber momentan
noch nicht benutzt.

> mit gpgsm importiert. Die Fingerprints der CAs habe ich in qualified.txt

In qualified.txt sollte die aber nur drin sein, ween es wirklich die
Root für eine qualifizierte Signatur ist.

> abgelegt, die Fingerprints der CAs und den meines eigenen Zertifikates
> in trustlist.txt (jeweils mit 'S' am Zeilenende).

Das sollte reichen.  Die gpg-agent Option "allow-mark-trusted" ist aber
einafcher zu verwenden als die trustlist.txt selbst festzulegen.

> signiert wurden, nicht verifizert werden, solange GPGME genutzt wird.
> OpenSSL verifiziert die Signaturen.

Ich vermute eine Regression in Mutt.  Den Code in Mutt aber ich vor
Urzeiten geschrieben.  Das müsste man sich mal genau ansehen - ich habe
dafür aber keine Zeit.  In gpgsm.conf "debug 512" eintragen.  Dann werden
Debugdateien erzeugt, mit den Daten die signiert werden - das wird
schnell den Fehler aufzeigen.



Salam-Shalom,

   Werner

-- 
Die Gedanken sind frei.  Ausnahmen regelt ein Bundesgesetz.

Mehr Informationen über die Mailingliste Gnupg-de