From mailinglisten at hauke-laging.de Tue Mar 3 04:31:53 2015 From: mailinglisten at hauke-laging.de (Hauke Laging) Date: Tue, 03 Mar 2015 04:31:53 +0100 Subject: Die =?UTF-8?B?U2NobMO8c3NlbC1GYWxsZQ==?= In-Reply-To: <87zj83y67a.fsf@vigenere.g10code.de> References: <87zj83y67a.fsf@vigenere.g10code.de> Message-ID: <2306068.8vldJlcTmH@inno> Moin, Werner, Am Di 24.02.2015, 11:06:17 schrieb Werner Koch: > Anstatt über Keyserver und OpenPGP allgemein herzuziehen wäre mehr > erreicht, die Mail-Provider aufzufordern, etwas zu tun: Mailadressen > sind einzig über das DNS festgelegt und deswegen kann und sollte man > auch das DNS benutzen um an einen passenden Schlüssel zu gelangen. > Leider wollen die Provider dabei nicht mitmachen und lullen die > Öffentlichkeit in Sicherheit durch Schwachsinn wie /Email made in > Germany/ oder gar dem Verweis auf den Hintertürdienst /De-Mail/ ein. ich denke, dass es einfacher wäre, Provider dafür zu gewinnen, wenn die nicht jede E-Mail einzeln eintragen müssten, sondern einfach für die ganze Domain auf einen (nicht über das normale Interface beschreibbaren, nicht – jedenfalls nicht im klassischen Sinn – synchronisierenden) Keyserver verweisen könnte. Den könnte dann ein Dienstleister betreiben; der Provider hätte nur einmalig wenig Arbeit, das Ergebnis hätte ähnliche Qualität. Da ich so was noch nie gemacht habe: Was ist der "offizielle" Weg, solche Änderungsvorschläge für https://tools.ietf.org/html/draft-wouters-dane-openpgp-02 einzubringen? Einfach die oben auf der Seite angegebene Adresse anschreiben? Hauke -- Crypto für alle: http://www.openpgp-schulungen.de/fuer/unterstuetzer/ http://userbase.kde.org/Concepts/OpenPGP_Help_Spread OpenPGP: 7D82 FB9F D25A 2CE4 5241 6C37 BF4B 8EEF 1A57 1DF5 -------------- n�chster Teil -------------- Ein Dateianhang mit Bin�rdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigr��e : 603 bytes Beschreibung: This is a digitally signed message part. URL : From wk at gnupg.org Wed Mar 4 12:26:27 2015 From: wk at gnupg.org (Werner Koch) Date: Wed, 04 Mar 2015 12:26:27 +0100 Subject: Die =?utf-8?Q?Schl=C3=BCssel-Falle?= In-Reply-To: <2306068.8vldJlcTmH@inno> (Hauke Laging's message of "Tue, 03 Mar 2015 04:31:53 +0100") References: <87zj83y67a.fsf@vigenere.g10code.de> <2306068.8vldJlcTmH@inno> Message-ID: <87twy19f6k.fsf@vigenere.g10code.de> On Tue, 3 Mar 2015 04:31, mailinglisten at hauke-laging.de said: > ich denke, dass es einfacher wäre, Provider dafür zu gewinnen, wenn die > nicht jede E-Mail einzeln eintragen müssten, sondern einfach für die Es geht nicht darum, das sie irgendwas eintragen sollen. Es soll nur eine Möglichkeit geschaffen werden, das User eine weiteres Datum zu Ihren Account Informationen hinzufügen können: Den Fingerprint. Automatisiert das Eintragen per besonderer Mail/IMAP wäre auch schön, kann aber in einem weiteren Schritt gemacht werden. > Keyserver verweisen könnte. Den könnte dann ein Dienstleister betreiben; > der Provider hätte nur einmalig wenig Arbeit, das Ergebnis hätte > ähnliche Qualität. Das kann man auch jetzt schon machen - dafür benötigt man die Provider nicht. Ich will aber eine definitive Aussage zu einer Mailadresse haben - und das auch in der Verantwortung des Users lassen. > Da ich so was noch nie gemacht habe: Was ist der "offizielle" Weg, solche > Änderungsvorschläge für > > https://tools.ietf.org/html/draft-wouters-dane-openpgp-02 Neuen Draft schreiben, am besten basierend auf der XML Vorlage die zu obigem wohl geben wird, und submitten. Geht alls automatisch. Wenn der Draft den selben Namen hat (mit -03) dann werden die vorherigen Authoren gefragt, ob sie zustimmen. Siehe tools.ietf.org. pandoc2rfc ist wohl das einfachste Tool um I-D zu erstellen (gibt es wohl auch dort). Du kannst dem Autor auch einfach schreiben und es mit ihm diskutieren. Das ist auch eher die übliche Vorgehensweise. Salam-Shalom, Werner -- Die Gedanken sind frei. Ausnahmen regelt ein Bundesgesetz. From uf at ib-forstmann.de Fri Mar 6 19:23:57 2015 From: uf at ib-forstmann.de (Udo Forstmann) Date: Fri, 06 Mar 2015 19:23:57 +0100 Subject: gnupg-card unter Windows Message-ID: <54F9F0BD.1000602@ib-forstmann.de> Liebe Leute, ich versuche gerade meine Schlüssel auf eine Smartcard zu bekommen, um auf den verschiedenen benutzten Geräten nicht jeweils die privaten Schlüssel speichern und bewachen zu müssen. Ich habe mich etwas eingelesen (K. Raven und H. Laging), eine gnupg V2 Karte käuflich erworben und in einen USB Token (Kobil miDentity light), den ich von einer verblichenen DATEV-Anwendung noch hatte, eingesetzt. Unter Linux konnte ich die Karte ohne weiteres lesen und editieren und habe drei neue Unterschlüssel (addcartkey) darauf abgelegt. Die Verwendung mit TB und Enigmail hat zunächst noch nicht funktioniert, das ist aber eine andere Baustelle und kommt später. Unter Windows7 kann ich die Karte aber bisher nicht ansprechen. Ich habe nach der Anleitung von Kai Raven den OpenPGP Smartcard mini driver installiert und den Microsoft Usbccid-Smartcard-Leser eingerichtet. Beide sind im Gerätemanager sichtbar und unauffällig . Weil das nicht funktioniert hat, habe ich den scdaemon gemäß einer Mail aus der englischen gnupg-users händisch im Programmverzeichnis gestartet: > [...] scdaemon.exe --server --debug 1024 scdaemon [12524]: Optionen werden aus ... scdaemon.conf gelesen scdaemon [12524]: enabled debaug flags: command assuan OK GNU Privacy Guard's Smartcard server ready serialno ERR 100663404 Kartenfehler scdaemon.conf: ###+++--- GPGConf ---+++### debug-level advanced log-file C:/Program Files (x86)/GNU/GnuPG/sclog ###+++--- GPGConf ---+++### 03/03/15 08:53:03 Mitteleuropäische Zeit # GPGConf edited this configuration file. # It will disable options before this marked block, but it will # never change anything below these lines. sclog: ... 2015-03-06 18:12:05 scdaemon[13100] Handhabungsroutine fr fd -1 gestartet 2015-03-06 18:12:05 scdaemon[13100] detected reader `KOBIL KAAN SIM III 0' 2015-03-06 18:12:05 scdaemon[13100] reader slot 0: not connected scdaemon[13100]: chan_0000000F -> OK GNU Privacy Guard's Smartcard server ready 2015-03-06 18:12:06 scdaemon[13100] updating slot 0 status: 0x0000->0x0007 (0->1) scdaemon[13100]: chan_0000000F <- serialno 2015-03-06 18:12:12 scdaemon[13100] pcsc_connect failed: sharing violation (0x8010000b) 2015-03-06 18:12:12 scdaemon[13100] reader slot 0: not connected scdaemon[13100]: chan_0000000F -> ERR 100663404 Kartenfehler 2015-03-06 18:12:13 scdaemon[13100] updating slot 0 status: 0x0007->0x0007 (1->2) Auf die sharing violation hin habe ich einen gpg-agent gesucht und beendet, nützt aber nichts. Für "slots" und "Handhabungsroutinen" reicht mein Systemverständnis nicht aus. Wo würdet ihr weiter suchen? Im Voraus vielen Dank und Beste Grüße, Udo Forstmann -------------- n�chster Teil -------------- Ein Dateianhang mit Bin�rdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigr��e : 490 bytes Beschreibung: OpenPGP digital signature URL : From ml.throttle at xoxy.net Sat Mar 7 22:09:58 2015 From: ml.throttle at xoxy.net (Helmut Waitzmann) Date: Sat, 07 Mar 2015 22:09:58 +0100 Subject: delete-key, delete-secret-key oder delete-secret-and-public-key? Message-ID: <877fusqzsw.fsf@helmutwaitzmann.news.arcor.de> Ich habe bisher gedacht, gpg hängt einen öffentlichen Schlüssel an den public keyring und den dazu gehörenden geheimen Schlüssel, sofern vorhanden, an den secret keyring. Ist das richtig? Oder gibt es auch öffentliche Schlüssel am secret keyring oder geheime Schlüssel am public keyring? Dann lässt mich das Manual zu gpg2 etwas ratlos zurück: --delete-key name Remove key from the public keyring. In batch mode either --yes is required or the key must be specified by fingerprint. This is a safeguard against accidental deletion of multiple keys. löscht einen öffentlichen Schlüssel. Der geheime, falls vorhanden, wird nicht gelöscht, richtig?. Das erscheint mir plausibel, weil ich meine, irgendwo gelesen zu haben, dass der öffentliche Schlüssel jederzeit wieder aus dem geheimen erzeugt werden kann (natürlich fehlen ihm dann gesammelte Fremdsignaturen des Web's of Trust). --delete-secret-key name Remove key from the secret and public keyring. In batch mode the key must be specified by fingerprint. löscht einen geheimen Schlüssel von beiden Schlüsselringen (schließlich heißt es ja delete-secret-key)? Ja, gibt es denn geheime Schlüssel im public keyring? Oder wird vom public keyring der dazu gehörende öffentliche Schlüssel gelöscht? Dann werden also beide Schlüssel gelöscht. Doch wozu gibt es dann noch das folgende? --delete-secret-and-public-key name Same as --delete-key, but if a secret key exists, it will be removed first. In batch mode the key must be specified by fingerprint. löscht einen öffentlichen Schlüssel vom public keyring (same as --delete-key), zuvor aber, wenn vorhanden, den geheimen Schlüssel vom secret keyring? Wenn ich annehme, dass am public keyring nur öffentliche Schlüssel und am secret keyring nur geheime Schlüssel hängen und --delete-secret-key beide Schlüssel löscht, wo ist da jetzt der Unterschied zu --delete-secret-key, die Löschreihenfolge? Warum kommt es auf die Löschreihenfolge an? Ich habe den Eindruck, das Manual ist da etwas zu spartanisch. Klärt mich bitte jemand auf? From mbauer at mailbox.org Sun Mar 8 10:08:57 2015 From: mbauer at mailbox.org (Mathias Bauer) Date: Sun, 8 Mar 2015 10:08:57 +0100 Subject: delete-key, delete-secret-key oder delete-secret-and-public-key? In-Reply-To: <877fusqzsw.fsf@helmutwaitzmann.news.arcor.de> References: <877fusqzsw.fsf@helmutwaitzmann.news.arcor.de> Message-ID: <20150308090857.GA1536@mailbox.org> Hallo Helmut, * Helmut Waitzmann schrieb am Sa, 7. Mär 2015, um 22:09 (+0100): > Ich habe bisher gedacht, gpg hängt einen öffentlichen Schlüssel > an den public keyring und den dazu gehörenden geheimen > Schlüssel, sofern vorhanden, an den secret keyring. Ist das > richtig? es gibt unterschiedliche Sprechweisen. Die eine ist, von einem Schlüsselpaar mit öffentlichem und privatem/geheimem Schlüssel und die andere, von *einem* Schlüssel zu sprechen, der *zwei* Komponenten (öffentlich und privat/geheim) besitzt. > Oder gibt es auch öffentliche Schlüssel am secret keyring oder > geheime Schlüssel am public keyring? Nein. > --delete-key name löscht einen öffentlichen Schlüssel. Der > geheime, falls vorhanden, wird nicht gelöscht, richtig?. Ja. > Das erscheint mir plausibel, weil ich meine, irgendwo gelesen > zu haben, dass der öffentliche Schlüssel jederzeit wieder aus > dem geheimen erzeugt werden kann (natürlich fehlen ihm dann > gesammelte Fremdsignaturen des Web's of Trust). Ja. > --delete-secret-key name löscht einen geheimen Schlüssel von > beiden Schlüsselringen (schließlich heißt es ja > delete-secret-key)? Jein. Der geheime Teil des Schlüssels wird aus dem geheimen Schlüsselring gelöscht, der öffentliche Teil (der sich im öffentlichen Schlüsselring befindet) wird nicht angetastet. > Ja, gibt es denn geheime Schlüssel im public keyring? Nein. > --delete-secret-and-public-key Es macht genau das, was die Manpage beschreibt :-) > Wenn ich annehme, dass am public keyring nur öffentliche > Schlüssel und am secret keyring nur geheime Schlüssel hängen > und --delete-secret-key beide Schlüssel löscht --delete-secret-key löscht nicht beide Komponenten! > Klärt mich bitte jemand auf? Es gibt zwei Möglichkeiten einen eigenen Schlüssel (mit privater und öffentlicher Komponente) zu löschen: 1. in einem Schritt mit --delete-secret-and-public-key NAME 2. in zwei Schritten mit --delete-secret-key NAME und danach mit --delete-key NAME "Fremdschlüssel" löscht man ebenso --delete-key NAME; es funktioniert auch --delete-secret-and-public-key NAME. Mathias -- CAcert Assurer - See http://www.CAcert.org for details or ask me GnuPG/OpenPGP: B100 5DC4 9686 BE64 87E9 0E22 44C3 983F A762 9DE8 -------------- n�chster Teil -------------- Ein Dateianhang mit Bin�rdaten wurde abgetrennt... Dateiname : nicht verf�gbar Dateityp : application/pgp-signature Dateigr��e : 760 bytes Beschreibung: nicht verf�gbar URL : From ml.throttle at xoxy.net Sun Mar 8 12:11:12 2015 From: ml.throttle at xoxy.net (Helmut Waitzmann) Date: Sun, 08 Mar 2015 12:11:12 +0100 Subject: delete-key, delete-secret-key oder delete-secret-and-public-key? In-Reply-To: <20150308090857.GA1536@mailbox.org> (Mathias Bauer's message of "Sun, 8 Mar 2015 10:08:57 +0100") References: <877fusqzsw.fsf@helmutwaitzmann.news.arcor.de> <20150308090857.GA1536@mailbox.org> Message-ID: <871tkzrbfa.fsf@helmutwaitzmann.news.arcor.de> Mathias Bauer schreibt: >* Helmut Waitzmann schrieb am Sa, 7. Mär 2015, um 22:09 (+0100): >> --delete-secret-key name >Der geheime Teil des Schlüssels wird aus dem geheimen >Schlüsselring gelöscht, der öffentliche Teil (der sich im >öffentlichen Schlüsselring befindet) wird nicht angetastet. So verstehe ich es, nur aus dem Kommandonamen betrachtet, auch. Dann verstehe ich aber noch nicht, warum es im Manual (Hervorhebung durch Großbuchstaben von mir) heißt: --delete-secret-key name Remove key from the secret AND PUBLIC keyring. Das „and public“ ist dann doch eindeutig falsch. >> --delete-secret-and-public-key > >Es macht genau das, was die Manpage beschreibt :-) Dann verstehe ich aber noch nicht, warum das Manual (Hervorhebung durch Großbuchstaben von mir) auf die Löschreihenfolge abhebt: --delete-secret-and-public-key name Same as --delete-key, BUT IF A SECRET KEY EXISTS, IT WILL BE REMOVED FIRST. Wenn die einzige Aussage sein sollte: Löscht den geheimen und den öffentlichen Teil des Schlüssels, dann hätte doch ein Remove key from the secret and public keyring. ohne Bezugnahme auf --delete-key gereicht. Und das steht wörtlich aber oben bei --delete-secret-key. Steckt da noch eine andere Funktionalität mit drin, die aber nirgends erwähnt wird? Oder ist der Manualtext mittels Cut‐and‐paste erstellt, dabei die Arbeit aber auf halbem Wege abgebrochen worden? Helmut From mbauer at mailbox.org Sun Mar 8 14:09:57 2015 From: mbauer at mailbox.org (Mathias Bauer) Date: Sun, 8 Mar 2015 14:09:57 +0100 Subject: delete-key, delete-secret-key oder delete-secret-and-public-key? In-Reply-To: <871tkzrbfa.fsf@helmutwaitzmann.news.arcor.de> References: <877fusqzsw.fsf@helmutwaitzmann.news.arcor.de> <20150308090857.GA1536@mailbox.org> <871tkzrbfa.fsf@helmutwaitzmann.news.arcor.de> Message-ID: <20150308130957.GA14633@mailbox.org> * Helmut Waitzmann schrieb am So, 8. Mär 2015, um 12:11 (+0100): > Mathias Bauer schreibt: > > * Helmut Waitzmann schrieb am Sa, 7. Mär 2015, um 22:09 (+0100): > > > --delete-secret-key name > > > Der geheime Teil des Schlüssels wird aus dem geheimen > > Schlüsselring gelöscht, der öffentliche Teil (der sich im > > öffentlichen Schlüsselring befindet) wird nicht angetastet. > > So verstehe ich es, nur aus dem Kommandonamen betrachtet, auch. > Dann verstehe ich aber noch nicht, warum es im Manual > (Hervorhebung durch Großbuchstaben von mir) heißt: > > --delete-secret-key name > Remove key from the secret AND PUBLIC keyring. > > Das „and public“ ist dann doch eindeutig falsch. Ja. > > > --delete-secret-and-public-key > > > > Es macht genau das, was die Manpage beschreibt :-) > > Dann verstehe ich aber noch nicht, warum das Manual > (Hervorhebung durch Großbuchstaben von mir) auf die > Löschreihenfolge abhebt: > > --delete-secret-and-public-key name > Same as --delete-key, BUT IF A SECRET KEY EXISTS, IT WILL BE > REMOVED FIRST. > > Wenn die einzige Aussage sein sollte: Löscht den geheimen und > den öffentlichen Teil des Schlüssels, dann hätte doch ein > > Remove key from the secret and public keyring. > > ohne Bezugnahme auf --delete-key gereicht. Und das steht > wörtlich aber oben bei --delete-secret-key. > > Steckt da noch eine andere Funktionalität mit drin, die aber > nirgends erwähnt wird? > > Oder ist der Manualtext mittels Cut‐and‐paste erstellt, dabei > die Arbeit aber auf halbem Wege abgebrochen worden? Schlage die Details halt im Quelltext nach - wahrscheinlich ist es in g10/delkey.c - und entwirf eine bessere Formulierung für die Manpage. Mathias -- CAcert Assurer - See http://www.CAcert.org for details or ask me GnuPG/OpenPGP: B100 5DC4 9686 BE64 87E9 0E22 44C3 983F A762 9DE8 -------------- n�chster Teil -------------- Ein Dateianhang mit Bin�rdaten wurde abgetrennt... Dateiname : nicht verf�gbar Dateityp : application/pgp-signature Dateigr��e : 760 bytes Beschreibung: nicht verf�gbar URL : From wk at gnupg.org Sun Mar 8 20:11:40 2015 From: wk at gnupg.org (Werner Koch) Date: Sun, 08 Mar 2015 20:11:40 +0100 Subject: gnupg-card unter Windows In-Reply-To: <54F9F0BD.1000602@ib-forstmann.de> (Udo Forstmann's message of "Fri, 06 Mar 2015 19:23:57 +0100") References: <54F9F0BD.1000602@ib-forstmann.de> Message-ID: <87oao31ez7.fsf@vigenere.g10code.de> On Fri, 6 Mar 2015 19:23, uf at ib-forstmann.de said: > Unter Windows7 kann ich die Karte aber bisher nicht ansprechen. Ich habe > nach der Anleitung von Kai Raven den OpenPGP Smartcard mini driver > installiert und den Microsoft Usbccid-Smartcard-Leser eingerichtet. Es ist gut möglich, das dieser sich nicht mit GnuPG verträgt. Ein Opencard Minidriver sollte gpg-agent statt PC/SC benutzen > 2015-03-06 18:12:12 scdaemon[13100] pcsc_connect failed: sharing > violation (0x8010000b) Der Minicard driver wird die Karte schon in Beschlag genommen haben. Die Details habe ich gerade nicht mehr im Kopf, vermutlich funktioniert er aber genau wie GnuPG und benötigt exklusiven Zugriff auf die KArte. Salam-Shalom, Werner -- Die Gedanken sind frei. Ausnahmen regelt ein Bundesgesetz. From wk at gnupg.org Sun Mar 8 20:15:21 2015 From: wk at gnupg.org (Werner Koch) Date: Sun, 08 Mar 2015 20:15:21 +0100 Subject: delete-key, delete-secret-key oder delete-secret-and-public-key? In-Reply-To: <871tkzrbfa.fsf@helmutwaitzmann.news.arcor.de> (Helmut Waitzmann's message of "Sun, 08 Mar 2015 12:11:12 +0100") References: <877fusqzsw.fsf@helmutwaitzmann.news.arcor.de> <20150308090857.GA1536@mailbox.org> <871tkzrbfa.fsf@helmutwaitzmann.news.arcor.de> Message-ID: <87k2yr1et2.fsf@vigenere.g10code.de> On Sun, 8 Mar 2015 12:11, ml.throttle at xoxy.net said: > Dann verstehe ich aber noch nicht, warum es im Manual (Hervorhebung > durch Großbuchstaben von mir) heißt: > > --delete-secret-key name > Remove key from the secret AND PUBLIC keyring. > > Das „and public“ ist dann doch eindeutig falsch. Ja, das ist aber in aktuellen Version bereits gefixed. Shalom-Salam, Werner -- Die Gedanken sind frei. Ausnahmen regelt ein Bundesgesetz. From marcozehe-ml at mailbox.org Mon Mar 9 08:22:11 2015 From: marcozehe-ml at mailbox.org (Marco Zehe) Date: Mon, 9 Mar 2015 08:22:11 +0100 Subject: =?utf-8?Q?Meldung_bei_Heise=3A_De-Mail_integriert_Ende-zu-Ende-V?= =?utf-8?Q?erschl=C3=BCsselung_mit_PGP?= Message-ID: <6ABDE482-FEF0-4DE0-95AA-F71F61863953@mailbox.org> Hallo zusammen! Dies kam eben über Heise Online rein. Ich lass’ das einfach mal so hier: http://www.heise.de/newsticker/meldung/De-Mail-integriert-Ende-zu-Ende-Verschluesselung-mit-PGP-2570632.html Schöne Grüße aus Hamburg Marco -------------- n�chster Teil -------------- Ein Dateianhang mit Bin�rdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigr��e : 496 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From uf at ib-forstmann.de Thu Mar 12 16:19:37 2015 From: uf at ib-forstmann.de (Udo Forstmann) Date: Thu, 12 Mar 2015 16:19:37 +0100 Subject: gnupg-card unter Windows In-Reply-To: <87oao31ez7.fsf@vigenere.g10code.de> References: <54F9F0BD.1000602@ib-forstmann.de> <87oao31ez7.fsf@vigenere.g10code.de> Message-ID: <5501AE89.5080503@ib-forstmann.de> Am 08.03.2015 um 20:11 schrieb Werner Koch: > On Fri, 6 Mar 2015 19:23, uf at ib-forstmann.de said: > >> Unter Windows7 kann ich die Karte aber bisher nicht ansprechen. Ich habe >> nach der Anleitung von Kai Raven den OpenPGP Smartcard mini driver >> installiert und den Microsoft Usbccid-Smartcard-Leser eingerichtet. > > Es ist gut möglich, das dieser sich nicht mit GnuPG verträgt. Ein > Opencard Minidriver sollte gpg-agent statt PC/SC benutzen Wer verträgt sich nicht, der OpenPGP Smartcard mini driver oder der Usbccid-Smartcard-Leser? Ich habe leider gar keine Ahnung, was da eigentlich stattfindet und was der Unterschied zwischen PC/SC und gpg-agent ist. Ich meine bei meinen Versuchen entlang der Anleitungen mit dem gpg-agent gearbeitet zu haben. Wodurch kann PC/SC gestartet werden und woran erkennt man das? Welche Rolle spielt in diesem Kontext scdaemon.exe? >> 2015-03-06 18:12:12 scdaemon[13100] pcsc_connect failed: sharing >> violation (0x8010000b) > > Der Minicard driver wird die Karte schon in Beschlag genommen haben. > Die Details habe ich gerade nicht mehr im Kopf, vermutlich funktioniert > er aber genau wie GnuPG und benötigt exklusiven Zugriff auf die KArte. Bei deinstalliertem Smartcard mini driver wird aber gar keine Karte erkannt. Was wäre unter Windows die Alternative? Beste Grüße Udo Forstmann P.S. In gnupg-de scheint nicht viel los zu sein, ich sollte mich wohl eher in gnupg-users bemühen? -------------- n�chster Teil -------------- Ein Dateianhang mit Bin�rdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigr��e : 473 bytes Beschreibung: OpenPGP digital signature URL : From uf at ib-forstmann.de Thu Mar 12 18:07:32 2015 From: uf at ib-forstmann.de (Udo Forstmann) Date: Thu, 12 Mar 2015 18:07:32 +0100 Subject: gnupg-card unter Windows In-Reply-To: <5501AE89.5080503@ib-forstmann.de> References: <54F9F0BD.1000602@ib-forstmann.de> <87oao31ez7.fsf@vigenere.g10code.de> <5501AE89.5080503@ib-forstmann.de> Message-ID: <5501C7D4.90006@ib-forstmann.de> Hallo, ich habe den Treiber des Smartcardlesers noch einmal deinistalliert und dann Windows selbst suchen lassen. Danach wurde ein anderer Treiber geladen und die Karte auf Anhieb gefunden. Irgend wie Windows-typisch, jetzt weiß ich zwar nicht wirklich mehr, aber es geht erst einmal. Auf bald, Udo Forstmann Am 12.03.2015 um 16:19 schrieb Udo Forstmann: > Am 08.03.2015 um 20:11 schrieb Werner Koch: >> On Fri, 6 Mar 2015 19:23, uf at ib-forstmann.de said: >> >>> Unter Windows7 kann ich die Karte aber bisher nicht ansprechen. Ich habe >>> nach der Anleitung von Kai Raven den OpenPGP Smartcard mini driver >>> installiert und den Microsoft Usbccid-Smartcard-Leser eingerichtet. >> >> Es ist gut möglich, das dieser sich nicht mit GnuPG verträgt. Ein >> Opencard Minidriver sollte gpg-agent statt PC/SC benutzen > > Wer verträgt sich nicht, der OpenPGP Smartcard mini driver oder der > Usbccid-Smartcard-Leser? > > Ich habe leider gar keine Ahnung, was da eigentlich stattfindet und was > der Unterschied zwischen PC/SC und gpg-agent ist. Ich meine bei meinen > Versuchen entlang der Anleitungen mit dem gpg-agent gearbeitet zu haben. > Wodurch kann PC/SC gestartet werden und woran erkennt man das? > Welche Rolle spielt in diesem Kontext scdaemon.exe? > >>> 2015-03-06 18:12:12 scdaemon[13100] pcsc_connect failed: sharing >>> violation (0x8010000b) >> >> Der Minicard driver wird die Karte schon in Beschlag genommen haben. >> Die Details habe ich gerade nicht mehr im Kopf, vermutlich funktioniert >> er aber genau wie GnuPG und benötigt exklusiven Zugriff auf die KArte. > > Bei deinstalliertem Smartcard mini driver wird aber gar keine Karte > erkannt. Was wäre unter Windows die Alternative? > > Beste Grüße > Udo Forstmann > > P.S. In gnupg-de scheint nicht viel los zu sein, ich sollte mich wohl > eher in gnupg-users bemühen? > > > > _______________________________________________ > Gnupg-de mailing list > Gnupg-de at gnupg.org > http://lists.gnupg.org/mailman/listinfo/gnupg-de > -------------- n�chster Teil -------------- Ein Dateianhang mit Bin�rdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigr��e : 473 bytes Beschreibung: OpenPGP digital signature URL : From uf at ib-forstmann.de Fri Mar 13 18:11:53 2015 From: uf at ib-forstmann.de (Udo Forstmann) Date: Fri, 13 Mar 2015 18:11:53 +0100 Subject: =?UTF-8?B?VW50ZXJzY2hsw7xzc2VsIGF1c3RhdXNjaGJhcj8=?= Message-ID: <55031A59.8090505@ib-forstmann.de> Hallo, folgende Einsteiger-Verständnisfrage: Wenn Daten mit einem Unterschlüssel verschlüsselt wurden, lassen sie sich dann mit einem anderen Unterschlüssel desselben Hauptschlüssels wieder entschlüsseln? Dann wäre es nicht notwendig, von Unterschlüsseln, die von einem Offline-Hauptschlüssel auf Smartcards erstellt werden Backups zu erstellen und vorzuhalten. Bei einem Defekt oder Verlust, könnten einfach neue Unterschlüssel auf einer neuen Smartcard erstellt (addcartkey) und auf die alten Daten angewendet werden. Sinngemäß träfe das dann wohl auch auf die Verifizierung von Signaturen zu. Wie ist das gebaut? Man kann es grundsätzlich sicher ausprobieren, aber ich bin nicht sicher, ob ich die gezielte Verwendung verschiedener Unterschlüssel auf einem System schon hinreichend sicher abgrenzen kann. Beste Grüße, Udo Forstmann -------------- n�chster Teil -------------- Ein Dateianhang mit Bin�rdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigr��e : 473 bytes Beschreibung: OpenPGP digital signature URL : From mailinglisten at hauke-laging.de Fri Mar 13 18:19:58 2015 From: mailinglisten at hauke-laging.de (Hauke Laging) Date: Fri, 13 Mar 2015 18:19:58 +0100 Subject: =?UTF-8?B?VW50ZXJzY2hsw7xzc2Vs?= austauschbar? In-Reply-To: <55031A59.8090505@ib-forstmann.de> References: <55031A59.8090505@ib-forstmann.de> Message-ID: <1433955.imyFVq4nY8@inno> Am Fr 13.03.2015, 18:11:53 schrieb Udo Forstmann: > Wenn Daten mit einem Unterschlüssel verschlüsselt wurden, lassen sie > sich dann mit einem anderen Unterschlüssel desselben Hauptschlüssels > wieder entschlüsseln? Nein. Die hängen nur auf der Verwaltungsebene zusammen. Technisch haben die nichts miteinander zu tun. > Offline-Hauptschlüssel :-) Ich verstehe aber das praktische Problem nicht. Wenn man einen neuen Unterschlüssel erzeugt, muss man eh den OHS aus dem Backup ins sichere System holen. Dann ist es doch kein Mehraufwand, nach der Schlüsselerzeugung das Backup zu aktualisieren. Hauke -- Crypto für alle: http://www.openpgp-schulungen.de/fuer/unterstuetzer/ http://userbase.kde.org/Concepts/OpenPGP_Help_Spread OpenPGP: 7D82 FB9F D25A 2CE4 5241 6C37 BF4B 8EEF 1A57 1DF5 -------------- n�chster Teil -------------- Ein Dateianhang mit Bin�rdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigr��e : 603 bytes Beschreibung: This is a digitally signed message part. URL : From uf at ib-forstmann.de Sat Mar 14 10:46:40 2015 From: uf at ib-forstmann.de (Udo Forstmann) Date: Sat, 14 Mar 2015 10:46:40 +0100 Subject: =?UTF-8?B?VW50ZXJzY2hsw7xzc2VsIGF1c3RhdXNjaGJhcj8=?= In-Reply-To: <1433955.imyFVq4nY8@inno> References: <55031A59.8090505@ib-forstmann.de> <1433955.imyFVq4nY8@inno> Message-ID: <55040380.3070607@ib-forstmann.de> Am 13.03.2015 um 18:19 schrieb Hauke Laging: > Am Fr 13.03.2015, 18:11:53 schrieb Udo Forstmann: > >> Wenn Daten mit einem Unterschlüssel verschlüsselt wurden, lassen sie >> sich dann mit einem anderen Unterschlüssel desselben Hauptschlüssels >> wieder entschlüsseln? > > Nein. > > Die hängen nur auf der Verwaltungsebene zusammen. Technisch haben die > nichts miteinander zu tun. OK, dann ist das so. Verwaltungstechnisch dient die Beziehung von HS und US zur Verknüpfung der Nutzer-IDs und Fremdzertifikate für alle aktuellen und später erzeugten Unterschlüssel des HS. Richtig? >> Offline-Hauptschlüssel > > :-) > > Ich verstehe aber das praktische Problem nicht. Wenn man einen neuen > Unterschlüssel erzeugt, muss man eh den OHS aus dem Backup ins sichere > System holen. Dann ist es doch kein Mehraufwand, nach der > Schlüsselerzeugung das Backup zu aktualisieren. Also addkey und dann bkuptocard? Der Gedanke war eher "kurzlebige" Unterschlüssel in unsicheren Umgebungen ohne Smartcard (Smartphone) zu verwenden und regelmäßig verfallen zu lassen. Mit einem anderen besser gesicherten Unterschlüssel könnten dann die damit versendeten Mails später noch gelesen werden. (Kann ein Angreifer mit einem verfallenen Schlüssel noch entschlüsseln?) Dann wäre es nun also richtig, die verfallenen Unterschlüssel dauerhaft im Backup des sicheren Systems zu halten, beim Entschlüsseln würden sie dann automatisch verwendet? Wie dokumentiert man die verschiedenen Schlüssel zweckmäßig? Im System selbst (Kommentarfeld) oder in einer separaten Liste? Da die Smartcard nicht viele Schlüssel halten kann, müssten die mobil verwendeten Schlüssel zusätzlich auch auf den normalerweise mit Smartcard gesicherten verschiedenen PCs im keyring vorgehalten werden. Hmm die wollte ich dort eigentlich weghaben. Also zum USB-Token noch ein USB-Stick mit den keyrings? Ich verwende Sticks allgemein ungern, in einigermaßen aufgeräumten Umgebungen suche ich eher etwas wie VPN zu nutzen. Scheint so, als sollte man doch auf dem Smartphone überhaupt nicht verschlüsseln. Schade eigentlich. --- @Hauke: Übungsaufgabe für mich am konkreten Beispiel: Beim Prüfen deiner Signatur hat mein Enigmail deinen Schlüssel 1a571df5 vom Keyserver geladen, moniert aber eine falsche Signatur: Enigmail-Sicherheitsinfo: Fehler - Überprüfung der Unterschrift fehlgeschlagen Öffentlicher Schlüssel 486B17AB3F96AD8E zur Überprüfung der Unterschrift benötigt FALSCHE Unterschrift von Hauke Laging (nur für Mailinglisten) Offenbar fehlt der öffentliche Teil des verwendeten Unterschlüssels. Was läuft hier falsch? Grüße Udo -------------- n�chster Teil -------------- Ein Dateianhang mit Bin�rdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigr��e : 473 bytes Beschreibung: OpenPGP digital signature URL : From wk at gnupg.org Sun Mar 15 20:55:16 2015 From: wk at gnupg.org (Werner Koch) Date: Sun, 15 Mar 2015 20:55:16 +0100 Subject: gnupg-card unter Windows In-Reply-To: <5501AE89.5080503@ib-forstmann.de> (Udo Forstmann's message of "Thu, 12 Mar 2015 16:19:37 +0100") References: <54F9F0BD.1000602@ib-forstmann.de> <87oao31ez7.fsf@vigenere.g10code.de> <5501AE89.5080503@ib-forstmann.de> Message-ID: <87oanu9gt7.fsf@vigenere.g10code.de> On Thu, 12 Mar 2015 16:19, uf at ib-forstmann.de said: > Wer verträgt sich nicht, der OpenPGP Smartcard mini driver oder der > Usbccid-Smartcard-Leser? Praktisch alles Leser sind heute CCID Leser. Auf diesen CCID Treiber wird über das PC/SC System zugegriffen. Auf PC/SC greift nun entwender ein Mini-Driver zu oder aber gleichgestellte Dienste wie z.B. GnuPGs scdaemon. > P.S. In gnupg-de scheint nicht viel los zu sein, ich sollte mich wohl > eher in gnupg-users bemühen? Ween nicht viel gefragt wird, ist auch nicht viel los. Es liegt also an den Subscribern hier was los zu machen .-) Salam-Shalom, Werner -- Die Gedanken sind frei. Ausnahmen regelt ein Bundesgesetz. From mailinglisten at hauke-laging.de Sun Mar 15 21:16:36 2015 From: mailinglisten at hauke-laging.de (Hauke Laging) Date: Sun, 15 Mar 2015 21:16:36 +0100 Subject: =?UTF-8?B?VW50ZXJzY2hsw7xzc2Vs?= austauschbar? In-Reply-To: <55040380.3070607@ib-forstmann.de> References: <55031A59.8090505@ib-forstmann.de> <1433955.imyFVq4nY8@inno> <55040380.3070607@ib-forstmann.de> Message-ID: <1602555.PAl6tvivo6@inno> Am Sa 14.03.2015, 10:46:40 schrieb Udo Forstmann: > > Ich verstehe aber das praktische Problem nicht. Wenn man einen neuen > > Unterschlüssel erzeugt, muss man eh den OHS aus dem Backup ins > > sichere System holen. Dann ist es doch kein Mehraufwand, nach der > > Schlüsselerzeugung das Backup zu aktualisieren. > > Also addkey und dann bkuptocard? 1) addkey 2) den neuen Satz an privaten Schlüsseln sichern 3) keytocard bkuptocard kann man man wohl (ich habe das nie ausprobiert) nur dann nutzen, wenn man den Schlüssel auf der Smartcard generiert hat und nur auf Smartcards nutzen will. Kann natürlich sein, dass das bei Dir so ist. > Der Gedanke war eher "kurzlebige" Unterschlüssel in unsicheren > Umgebungen ohne Smartcard (Smartphone) zu verwenden und regelmäßig > verfallen zu lassen. Sicherheitsunterscheidungen innerhalb eines Zertifikats sind meines Erachtens – mit Ausnahme des Hauptschlüssels – der Weg zur Hölle. Technisch möglich, aber im allgemeinen viel zu gefährlich, dass irgendwer das nicht kapiert oder nicht hinkriegt. Mal abgesehen davon, dass man aus der Applikationsebene typischerweise keine Unterschlüssel selektieren kann. Die bessere Lösung: Ein getrenntes Zertifikat, das weniger sicher ist. Darin kann man dann die Unterschlüssel wechseln. > (Kann ein Angreifer mit einem verfallenen Schlüssel > noch entschlüsseln?) Ja, natürlich. Private Schlüssel haben sowieso kein Verfallsdatum, weil es (jedenfalls für Entschlüsselung) keinen Sinn ergäbe. Das Ablaufdatum weist nur die Sender an, nicht mehr für den Schlüssel zu verschlüsseln. > Dann wäre es nun also richtig, die verfallenen Unterschlüssel > dauerhaft im Backup des sicheren Systems zu halten, beim > Entschlüsseln würden sie dann automatisch verwendet? Ja. > Wie dokumentiert man die verschiedenen Schlüssel zweckmäßig? Im System > selbst (Kommentarfeld) oder in einer separaten Liste? Wie gesagt, diese Tür gar nicht erst öffnen. Das Kommentarfeld bezieht sich zudem nur auf User-IDs, nicht auf Unterschlüssel (da bräuchte man eine signature notation). > @Hauke: Übungsaufgabe für mich am konkreten Beispiel: > Beim Prüfen deiner Signatur hat mein Enigmail deinen Schlüssel > 1a571df5 vom Keyserver geladen, moniert aber eine falsche Signatur: > Offenbar fehlt der öffentliche Teil des verwendeten Unterschlüssels. Nein, offenbar ist Enigmail keine besonders gute Software. Denn es ist nicht das erste Mal, dass das passiert. In der Entwicklungsversion (1.80) ist der Bug behoben. Hauke -- Crypto für alle: http://www.openpgp-schulungen.de/fuer/unterstuetzer/ http://userbase.kde.org/Concepts/OpenPGP_Help_Spread OpenPGP: 7D82 FB9F D25A 2CE4 5241 6C37 BF4B 8EEF 1A57 1DF5 -------------- n�chster Teil -------------- Ein Dateianhang mit Bin�rdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigr��e : 603 bytes Beschreibung: This is a digitally signed message part. URL :