From marko.bauhardt at mailbox.org Fri Sep 4 15:49:29 2015 From: marko.bauhardt at mailbox.org (Marko Bauhardt (private)) Date: Fri, 4 Sep 2015 15:49:29 +0200 Subject: upload subkeys In-Reply-To: <12113124.6DlezG15hJ@tabin.local> References: <12113124.6DlezG15hJ@tabin.local> Message-ID: <45BFCA70-9DD5-4435-8D51-2510D1F135BF@mailbox.org> On 29 Aug 2015, at 01:44, Sandro Knauß wrote: Hi, > >> Ich hätte nun gedacht das ich besser nacheinander die 2 Subkeys für >> Verschlüsselung und Signierung hochlade. Mittels `gpg —send-key >> !`? Was empfiehlt ihr? Was sind die Vorteile und Nachteile? > > was sind denn deine erwartungen, was besser ist wenn du den upload in zwei > teilen machst? der keyserver bastelt die ja wieder zusammen, oder sehe ich da > was nicht? Der keyserver bastelt die keys wieder zusammen? Ok. Meine Frage ist eher: Ist es denn notwendig oder von Nachteil/Vorteil wenn ich den public key des zertifizierungs Schlüssel mit hochlade? >> Welcher keyserver is denn zu empfehlen? > > pool.sks-keyservers.net > > bzw. > > hkps://hkps.pool.sks-keyservers.net > > jedoch musst du das Zertifikat selber runterladen: > # Provide a certificate store to override the system default > # Get this from https://sks-keyservers.net/sks-keyservers.netCA.pem > keyserver-options ca-cert-file = /hkps.pool.sks-keyservers.net.pem Ok, ich dank dir Marko From oleg at gurevich.de Thu Sep 10 21:11:52 2015 From: oleg at gurevich.de (Oleg Gurevich) Date: Thu, 10 Sep 2015 21:11:52 +0200 Subject: SSL Client Authentification mit OpenPGP Karte. GnuPG 2.0.29 und Scute 1.4.0 Message-ID: <55F1D5F8.40208@gurevich.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Hallo zusammen, die Möglichkeit die OpenPGP Card für SSL Client Authentication einzusetzen ist sehr praktisch und nützlich. Mit den ungepatchten aktuellen Versionen von GnuPG 2.0.2x, Scute 1.4.0 funktioniert diese Konstellation nicht so richtig. Im August 2014 http://lists.gnupg.org/pipermail/gnupg-users/2014-August/050787.html gab es eine Vorschlag in GPG-Agent die Hashlänge von 51 zu akzeptieren und in Scute (1.4.0) den Buffer für MAX_DATA_LEN zu vergrößern. Mit diesen Patches funktioniert bei uns die SSL Authentifizierung mit dem 2048 bit Schlüssel auf der Karte. (GnuPG 2.0.26, auch die brand aktuelle Version 2.0.29) Spricht etwas dagegen diesen Patch in die aktuelle Entwicklung mit aufnehmen ? Die aktuellen GnuPG Versionen können auch mit den 4096 Bit Schlüsseln umgehen. Auch die OpenPGP untestüzt das. Kann eines Tages auch Scute damit umgehen ? Die Letzte Version 1.4.0 ist vom Jahr 2010. Ist dieses Projekt noch aktiv ? Mit freundlichen Grüßen/ с Уважением/ best regards Oleg Gurevich PGP Key: E9D76E3FE74A0B0C Fingerprint: 38A0 D0CC BD23 1707 B0AF D158 E9D7 6E3F E74A 0B0C -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQIcBAEBCAAGBQJV8dXxAAoJEH5u5dDzfOKiRq8P/3QtCDHvLX3j4cD2J3d8KrRm VCtnH9if2T4PQGq6JjGmqNyIqNnNR62w3W473HpUiQwfJ8jXnPNLzlJipkgXmB3o Dk8ch1Kxv2yieoYjeaTLGwC5aBh5YlNi96pl2bvKf0nBX87YPwv2VpLNaoS9KWQp h+MSqY1ZRGtIgO9J5Z2HwV6la4b0wNFWVu6x/3zC7MB3cHrXc/WAURMzggFHL7Qg kGrHRHWOilkxgeTmA9rYTZgrrNpYMqnBv4XfIAt7ndAhozfL8ab/F+B/TvsgcHd5 zFhi/elGVTM4C7zWxArQBvzi6A3eQ0atgQ1gEuTYe50dBj92NOhT1j5alra9Vf1w izp3sR6oAtMj2SYEnxPmAD4LCZlPZW1o27CMEMXaJqpQFoaJGbjAY3B541onucYc U8xGYqkP1PjHDan/x5xMqcKnY9R4YWz1GGze+q0qpe4IjPIqdJ2SIGwc6TV9ox4D +JpQ4q7sL8YNO4+UosdnK6PZQQYP8pYUwxsfoSrTC33rREkTR2oir+i+1qkCAFts E2uzEm/S/Wfks1f+vNMk1hHfgzqtL1eFwgv6QuN8gVNSR9w8cz+VEXy10wcwxfca 1r+wK4gH/u80eg+LyjW/LaqsXCV/Zu4j/ajXV5zFImwiWrsgFfD0JvT5vmhYKz9Q HrhuaRcj24m/bNj9byZb =y/Mi -----END PGP SIGNATURE----- From ch.gosch at googlemail.com Sat Sep 12 10:28:22 2015 From: ch.gosch at googlemail.com (Christian Gosch) Date: Sat, 12 Sep 2015 10:28:22 +0200 Subject: =?UTF-8?Q?GnuPG_Card_=28Zeitcontrol=29_2.1_mit_4096_bit_Schl=c3=bcs?= =?UTF-8?Q?seln=3f?= Message-ID: <55F3E226.5000909@gmail.com> Hallo zusammen, ich habe vor längerer Zeit mal eine GnuPG-Karte 2.0 mit 4096 bit Schlüsseln befüllt, die ich mit gpg mit dem Kommando "keytocard" auf die Karte geschoben habe. Jetzt habe ich eine neue Karte, Version 2.1, und möchte ebenso 4096 bit Schlüssel darauf haben. Ich benutze einen Gemalto USB Shell Token V2. Mein gpg ist die Version 2.1.7. Wenn ich mit "gpg --card-edit" das Kommando "generate" ausführe und dann die Bitlänge 4096 eingebe, bekomme ich diesen Fehler: "gpg: error changing size of key 1 to 4096 bits: Invalid data" Ich habe auch versucht, Schlüssel auf die Karte zu verlegen mit keytocard, aber auch das schlägt fehl. Hat jemand eine Idee woran das liegen könnte? Laut Aufdruck kann die Karte 4096 bit. Viele Grüße und vielen Dank Christian From ch.gosch at googlemail.com Wed Sep 23 10:17:02 2015 From: ch.gosch at googlemail.com (C Gosch) Date: Wed, 23 Sep 2015 10:17:02 +0200 Subject: =?utf-8?Q?Re:_GnuPG_Card_=28Zeitcontrol=29_2.1_mit_4096_bit_Schl?= =?utf-8?Q?=C3=BCsseln=3F?= In-Reply-To: <201509220833.01747.bernhard@intevation.de> References: <55F3E226.5000909@gmail.com> <201509220833.01747.bernhard@intevation.de> Message-ID: <05B0F85A-B9E1-4E92-9924-A2D59BB75EBB@googlemail.com> Hallo Bernhard, danke für Deine Antwort! Mit 2.1.8 funktioniert es -- war wohl noch nicht ganz fertig. Cool :) Viele Grüße Christian > Am 22.09.2015 um 08:32 schrieb Bernhard Reiter : > > Moin Christian, > >> On Saturday 12 September 2015 at 10:28:22, Christian Gosch wrote: >> Mein gpg ist die Version 2.1.7. >> >> Wenn ich mit "gpg --card-edit" das Kommando "generate" ausführe und dann >> die Bitlänge 4096 eingebe, bekomme ich diesen Fehler: >> "gpg: error changing size of key 1 to 4096 bits: Invalid data" > > bedenke, dass 2.1.x die "brand neuen" GnuPG Versionen sind, > da sind auch gelegentlich noch Probleme drin. > > Die GnuPG-Entwickler freuen sich natürlich über Leute, welche das > ausprobieren. Am besten nochmal die aktuelle 2.1.8 neuen, nochmal > probieren und falls es noch fehl schlägt Dich an gnupg-devel wenden. > > Viele Grüße, > Bernhard > > -- > www.intevation.de/~bernhard (CEO) www.fsfe.org (Founding GA Member) > Intevation GmbH, Osnabrück, Germany; Amtsgericht Osnabrück, HRB 18998 > Owned and run by Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner From oleg at gurevich.de Wed Sep 23 19:46:50 2015 From: oleg at gurevich.de (Oleg Gurevich) Date: Wed, 23 Sep 2015 19:46:50 +0200 Subject: SSL Client Authentification mit OpenPGP Karte. GnuPG 2.0.29 und Scute 1.4.0 In-Reply-To: <201509230955.21076.bernhard@intevation.de> References: <55F1D5F8.40208@gurevich.de> <201509230955.21076.bernhard@intevation.de> Message-ID: <5602E58A.5090907@gurevich.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Hallo Bernhard, danke für den Tipp, ich werde mich an gnupg-devel wenden. Das Einsatzgebiet der OpenPGP Karte ist enorm groß. Die Möglichkeiten die Karte sowohl für den Hauptzweck - Signature/Encryption als auch für SSH und SSL Authentication zu verwenden ist einfach genial. ... werde dort in WIKI nach dem aktuellen Stand der PCK11 Module (Scute) erkundigen ... Mit freundlichen Grüßen/ с Уважением/ best regards Oleg Gurevich PGP Key: 38A0 D0CC BD23 1707 B0AF D158 E9D7 6E3F E74A 0B0C -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQIcBAEBCAAGBQJWAuV4AAoJEH5u5dDzfOKiVxMQAIGwv/r1mq7tylOmGMGS+FpT wXpzxRHLbSSpb21a4FJmRIGlTvdTiGs7D+l/QgvVXjROTn4SqvGejHSyHZH7L0Lh HRc1Gqbg8Zws/4AlM54hXH27ZMDw3iOswIX88+Bou0i6LLBHykVUTsznnTevmFk1 LH30OvMTT3lAQau0cSQRfLtzOnOFdj+Dr6igJbC75epoAN1AIj3q7d17c+bS3SY/ Qd9YzpVdO2UifPgdMcR0WNqkrVm8Y+rM4O+W6GAHsf4JDp89pzKtHA6I7kxPr3Zb o1x6ATgLtSHlFT3IDE4Gse7VCqbyxzc6vUcOoi94tSn3odYRpe0vdxhU7HNDQL8G gqgS9o3eZyZRyYsiDC2NHN1S3QSbUbOULfeHVPMBRZtcITyG/8JEcSgwO3Po405u yIqN+aSJ/wsgSUXFBHsvP+WvKqT7elBfjZalPJBhNXkbQWt0SDh7md6JXK6q1+Ii HsDzAs4Dy4x0SPuukasjDVWjYSyNGC/E4WVBP4d1tHxGzkdiXDpYkl2YK/kDTr69 dnfmdWAXjweVe7IbX/zpX9xjO9bovUEGynErmUSjwEjYFe4aENVvGDMkjmz/P3+1 rXEeyV/R7W513I+1nrzJvNQRL6r7UTrymvuY22xnJQwRlQhcGaKDWWxbS2PYL6af P2G2GmLL/U3DsWh8dmRx =QHc2 -----END PGP SIGNATURE----- From bernhard at intevation.de Thu Sep 24 09:16:37 2015 From: bernhard at intevation.de (Bernhard Reiter) Date: Thu, 24 Sep 2015 09:16:37 +0200 Subject: SSL Client Authentification mit OpenPGP Karte. GnuPG 2.0.29 und Scute 1.4.0 In-Reply-To: <5602E58A.5090907@gurevich.de> References: <55F1D5F8.40208@gurevich.de> <201509230955.21076.bernhard@intevation.de> <5602E58A.5090907@gurevich.de> Message-ID: <201509240916.38676.bernhard@intevation.de> Hallo Oleg, On Wednesday 23 September 2015 at 19:46:50, Oleg Gurevich wrote: > danke für den Tipp, ich werde mich an gnupg-devel wenden. keine Problem, manche Dinge sind eben bei den Leuten, welche näher an der Entwicklung dran sind, besser aufgehoben. Oft lohnt es natürlich auch erst hier zu fragen und dann später erst weiter zu gehen. Schließlich läuft gnupg-devel auch besser, wenn da vor allem die knackigeren und entwicklungsorientierten Anregungen auflaufen. ;) > Das Einsatzgebiet der OpenPGP Karte ist enorm groß. :) Gruß, Bernhard -- www.intevation.de/~bernhard (CEO) www.fsfe.org (Founding GA Member) Intevation GmbH, Osnabrück, Germany; Amtsgericht Osnabrück, HRB 18998 Owned and run by Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: This is a digitally signed message part. URL : From michael at cacn.de Mon Sep 28 15:43:26 2015 From: michael at cacn.de (Michael) Date: Mon, 28 Sep 2015 15:43:26 +0200 Subject: GPA 0.9.5 Message-ID: <20150928154326.36b122bd@debidesk.local> Hallo Liste, Ich arbeite mit dem im Betreff genannten GPA 0.9.5 (unter GnuPG 2.0.26) Nach der Installation der Debian Pakete und dem ersten start des GPA GUI sehe ich das ich da SSL Zertifikate mit gekommen sind. Bspw: Dieser Schlüssel hat nur einen öffentlichen Teil Der Schlüssel ist ausschließlich zum Zertifizieren verwendbar. 0.2.262.1.10.7.20=#31+CN=6R-Ca 1:PN,O=RegulierungsbehÈorde fÈur Telekommunikation und Post,C=DE EA8D 99DD 36AA 2D07 1A3C 7B69 009E 51B9 4A2E E760 Dann ist da noch: CN=9R-CA 1:PN,O=Regulierungsbehörde für Telekommunikation und Post,C=DE Oder auch: CN=12R-CA 1:PN,O=Bundesnetzagentur,C=DE Wenn ich diese ominösen (und von mir persönlich nicht "eingepflegten" oder angenommen) löschen möchte bekomme ich folgende Fehlermeldung: Die GPGME-Bibliothek gab eine unerwartete Fehlermeldung zurück (gpakeydeleteop.c:208): Kein öffentlicher Schlüssel Dies ist wahrscheinlich ein fehler in GPA. GPA versucht nun, sich davon wieder zu erholen. Wie kann ich diese Zertifikate aus GPA löschen? Wenn ich gpa --disable-x509 auf der shell starte sind diese abgelaufen Zertifikate zwar nicht mehr sichtbar aber doch immer noch da?! Danke vorab Michael