Unterschlüssel austauschbar?

[Udo Forstmann]

Am 13.03.2015 um 18:19 schrieb Hauke Laging:
> Am Fr 13.03.2015, 18:11:53 schrieb Udo Forstmann:
> 
>> Wenn Daten mit einem Unterschlüssel verschlüsselt wurden, lassen sie
>> sich dann mit einem anderen Unterschlüssel desselben Hauptschlüssels
>> wieder entschlüsseln?
> 
> Nein.
> 
> Die hängen nur auf der Verwaltungsebene zusammen. Technisch haben die 
> nichts miteinander zu tun.

OK, dann ist das so.

Verwaltungstechnisch dient die Beziehung von HS und US zur Verknüpfung
der Nutzer-IDs und Fremdzertifikate für alle aktuellen und später
erzeugten Unterschlüssel des HS. Richtig?

>> Offline-Hauptschlüssel
> 
> :-)
> 
> Ich verstehe aber das praktische Problem nicht. Wenn man einen neuen 
> Unterschlüssel erzeugt, muss man eh den OHS aus dem Backup ins sichere 
> System holen. Dann ist es doch kein Mehraufwand, nach der 
> Schlüsselerzeugung das Backup zu aktualisieren.

Also addkey und dann bkuptocard?

Der Gedanke war eher "kurzlebige" Unterschlüssel in unsicheren
Umgebungen ohne Smartcard (Smartphone) zu verwenden und regelmäßig
verfallen zu lassen. Mit einem anderen besser gesicherten Unterschlüssel
könnten dann die damit versendeten Mails später noch gelesen werden.
(Kann ein Angreifer mit einem verfallenen Schlüssel noch entschlüsseln?)

Dann wäre es nun also richtig, die verfallenen Unterschlüssel dauerhaft
im Backup des sicheren Systems zu halten, beim Entschlüsseln würden sie
dann automatisch verwendet?

Wie dokumentiert man die verschiedenen Schlüssel zweckmäßig? Im System
selbst (Kommentarfeld) oder in einer separaten Liste?

Da die Smartcard nicht viele Schlüssel halten kann, müssten die mobil
verwendeten Schlüssel zusätzlich auch auf den normalerweise mit
Smartcard gesicherten verschiedenen PCs im keyring vorgehalten werden.
Hmm die wollte ich dort eigentlich weghaben.

Also zum USB-Token noch ein USB-Stick mit den keyrings? Ich verwende
Sticks allgemein ungern, in einigermaßen aufgeräumten Umgebungen suche
ich eher etwas wie VPN zu nutzen.

Scheint so, als sollte man doch auf dem Smartphone überhaupt nicht
verschlüsseln. Schade eigentlich.

---

@Hauke: Übungsaufgabe für mich am konkreten Beispiel:
Beim Prüfen deiner Signatur hat mein Enigmail deinen Schlüssel 1a571df5
vom Keyserver geladen, moniert aber eine falsche Signatur:

Enigmail-Sicherheitsinfo:
Fehler - Überprüfung der Unterschrift fehlgeschlagen
Öffentlicher Schlüssel 486B17AB3F96AD8E zur Überprüfung der Unterschrift
benötigt
FALSCHE Unterschrift von Hauke Laging (nur für Mailinglisten)
<mailinglisten at hauke-laging.de>

Offenbar fehlt der öffentliche Teil des verwendeten Unterschlüssels. Was
läuft hier falsch?

Grüße
Udo



-------------- n�chster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 473 bytes
Beschreibung: OpenPGP digital signature
URL         : </pipermail/attachments/20150314/c152327a/attachment.sig>