From marko.bauhardt at mailbox.org  Fri Sep  4 15:49:29 2015
From: marko.bauhardt at mailbox.org (Marko Bauhardt (private))
Date: Fri, 4 Sep 2015 15:49:29 +0200
Subject: upload subkeys
In-Reply-To: <12113124.6DlezG15hJ@tabin.local>
References: <D877CF7D-9510-4870-81C0-6BC41686B7EF@mailbox.org>
 <12113124.6DlezG15hJ@tabin.local>
Message-ID: <45BFCA70-9DD5-4435-8D51-2510D1F135BF@mailbox.org>


On 29 Aug 2015, at 01:44, Sandro Knauß <bugs at sandroknauss.de> wrote:

Hi,

> 
>> Ich hätte nun gedacht das ich besser nacheinander die 2 Subkeys für
>> Verschlüsselung und Signierung hochlade. Mittels  `gpg —send-key
>> <SUBKEY>!`? Was empfiehlt ihr? Was sind die Vorteile und Nachteile?
> 
> was sind denn deine erwartungen, was besser ist wenn du den upload in zwei 
> teilen machst? der keyserver bastelt die ja wieder zusammen, oder sehe ich da 
> was nicht?

Der keyserver bastelt die keys wieder zusammen? Ok.
Meine Frage ist eher: Ist es denn notwendig oder von Nachteil/Vorteil wenn ich den public key des zertifizierungs Schlüssel mit hochlade?




>> Welcher keyserver is denn zu empfehlen?
> 
> pool.sks-keyservers.net
> 
> bzw.
> 
> hkps://hkps.pool.sks-keyservers.net
> 
> jedoch musst du das Zertifikat selber runterladen:
> # Provide a certificate store to override the system default
> # Get this from https://sks-keyservers.net/sks-keyservers.netCA.pem
> keyserver-options ca-cert-file = <pathto>/hkps.pool.sks-keyservers.net.pem

Ok, ich dank dir

Marko



From oleg at gurevich.de  Thu Sep 10 21:11:52 2015
From: oleg at gurevich.de (Oleg Gurevich)
Date: Thu, 10 Sep 2015 21:11:52 +0200
Subject: SSL Client Authentification mit OpenPGP Karte. GnuPG 2.0.29 und Scute
 1.4.0
Message-ID: <55F1D5F8.40208@gurevich.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Hallo zusammen,

die Möglichkeit die OpenPGP Card für SSL Client Authentication
einzusetzen ist  sehr praktisch und nützlich. Mit den ungepatchten
aktuellen Versionen von GnuPG 2.0.2x, Scute 1.4.0 funktioniert diese
Konstellation  nicht so richtig.

Im August 2014
http://lists.gnupg.org/pipermail/gnupg-users/2014-August/050787.html
gab es eine Vorschlag in GPG-Agent die Hashlänge von 51 zu akzeptieren
und in Scute (1.4.0) den Buffer für MAX_DATA_LEN zu vergrößern. Mit
diesen Patches funktioniert bei uns die SSL Authentifizierung mit dem
2048 bit Schlüssel auf der Karte. (GnuPG 2.0.26, auch die brand
aktuelle Version 2.0.29)

Spricht etwas dagegen diesen Patch in die aktuelle Entwicklung mit
aufnehmen ?

Die aktuellen GnuPG Versionen können auch mit den 4096 Bit Schlüsseln
umgehen. Auch die OpenPGP untestüzt das. Kann eines Tages auch Scute
damit umgehen ?
Die Letzte Version  1.4.0 ist vom Jahr 2010. Ist dieses Projekt noch
aktiv ?


Mit freundlichen Grüßen/ с Уважением/ best regards

Oleg Gurevich

PGP Key: E9D76E3FE74A0B0C
Fingerprint: 38A0 D0CC BD23 1707 B0AF  D158 E9D7 6E3F E74A 0B0C
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
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=y/Mi
-----END PGP SIGNATURE-----


From ch.gosch at googlemail.com  Sat Sep 12 10:28:22 2015
From: ch.gosch at googlemail.com (Christian Gosch)
Date: Sat, 12 Sep 2015 10:28:22 +0200
Subject: =?UTF-8?Q?GnuPG_Card_=28Zeitcontrol=29_2.1_mit_4096_bit_Schl=c3=bcs?=
 =?UTF-8?Q?seln=3f?=
Message-ID: <55F3E226.5000909@gmail.com>

Hallo zusammen,

ich habe vor längerer Zeit mal eine GnuPG-Karte 2.0 mit 4096 bit
Schlüsseln befüllt, die ich mit gpg mit dem Kommando "keytocard" auf die
Karte geschoben habe.

Jetzt habe ich eine neue Karte, Version 2.1, und möchte ebenso 4096 bit
Schlüssel darauf haben.
Ich benutze einen Gemalto USB Shell Token V2.

Mein gpg ist die Version 2.1.7.

Wenn ich mit "gpg --card-edit" das Kommando "generate" ausführe und dann
die Bitlänge 4096 eingebe, bekomme ich diesen Fehler:
"gpg: error changing size of key 1 to 4096 bits: Invalid data"

Ich habe auch versucht, Schlüssel auf die Karte zu verlegen mit
keytocard, aber auch das schlägt fehl.

Hat jemand eine Idee woran das liegen könnte? Laut Aufdruck kann die
Karte 4096 bit.

Viele Grüße und vielen Dank
Christian


From ch.gosch at googlemail.com  Wed Sep 23 10:17:02 2015
From: ch.gosch at googlemail.com (C Gosch)
Date: Wed, 23 Sep 2015 10:17:02 +0200
Subject: =?utf-8?Q?Re:_GnuPG_Card_=28Zeitcontrol=29_2.1_mit_4096_bit_Schl?=
 =?utf-8?Q?=C3=BCsseln=3F?=
In-Reply-To: <201509220833.01747.bernhard@intevation.de>
References: <55F3E226.5000909@gmail.com>
 <201509220833.01747.bernhard@intevation.de>
Message-ID: <05B0F85A-B9E1-4E92-9924-A2D59BB75EBB@googlemail.com>

Hallo Bernhard,
danke für Deine Antwort!
Mit 2.1.8 funktioniert es -- war wohl noch nicht ganz fertig. Cool :)

Viele Grüße
Christian



> Am 22.09.2015 um 08:32 schrieb Bernhard Reiter <bernhard at intevation.de>:
> 
> Moin Christian,
> 
>> On Saturday 12 September 2015 at 10:28:22, Christian Gosch wrote:
>> Mein gpg ist die Version 2.1.7.
>> 
>> Wenn ich mit "gpg --card-edit" das Kommando "generate" ausführe und dann
>> die Bitlänge 4096 eingebe, bekomme ich diesen Fehler:
>> "gpg: error changing size of key 1 to 4096 bits: Invalid data"
> 
> bedenke, dass 2.1.x die "brand neuen" GnuPG Versionen sind,
> da sind auch gelegentlich noch Probleme drin.
> 
> Die GnuPG-Entwickler freuen sich natürlich über Leute, welche das 
> ausprobieren. Am besten nochmal die aktuelle 2.1.8 neuen, nochmal
> probieren und falls es noch fehl schlägt Dich an gnupg-devel wenden.
> 
> Viele Grüße,
> Bernhard 
> 
> -- 
> www.intevation.de/~bernhard (CEO)    www.fsfe.org (Founding GA Member)
> Intevation GmbH, Osnabrück, Germany; Amtsgericht Osnabrück, HRB 18998
> Owned and run by Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner


From oleg at gurevich.de  Wed Sep 23 19:46:50 2015
From: oleg at gurevich.de (Oleg Gurevich)
Date: Wed, 23 Sep 2015 19:46:50 +0200
Subject: SSL Client Authentification mit OpenPGP Karte. GnuPG 2.0.29 und
 Scute 1.4.0
In-Reply-To: <201509230955.21076.bernhard@intevation.de>
References: <55F1D5F8.40208@gurevich.de>
 <201509230955.21076.bernhard@intevation.de>
Message-ID: <5602E58A.5090907@gurevich.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Hallo Bernhard,

danke für den Tipp, ich werde mich an gnupg-devel wenden.
Das Einsatzgebiet der OpenPGP Karte ist enorm groß. Die Möglichkeiten
die Karte sowohl für den Hauptzweck - Signature/Encryption  als auch
für SSH und SSL Authentication zu verwenden ist einfach genial.

... werde dort in WIKI nach dem aktuellen Stand der PCK11 Module
(Scute) erkundigen ...



Mit freundlichen Grüßen/ с Уважением/ best regards

Oleg Gurevich

PGP Key: 38A0 D0CC BD23 1707 B0AF  D158 E9D7 6E3F E74A 0B0C
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
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=QHc2
-----END PGP SIGNATURE-----


From bernhard at intevation.de  Thu Sep 24 09:16:37 2015
From: bernhard at intevation.de (Bernhard Reiter)
Date: Thu, 24 Sep 2015 09:16:37 +0200
Subject: SSL Client Authentification mit OpenPGP Karte. GnuPG 2.0.29 und
 Scute 1.4.0
In-Reply-To: <5602E58A.5090907@gurevich.de>
References: <55F1D5F8.40208@gurevich.de>
 <201509230955.21076.bernhard@intevation.de> <5602E58A.5090907@gurevich.de>
Message-ID: <201509240916.38676.bernhard@intevation.de>

Hallo Oleg,

On Wednesday 23 September 2015 at 19:46:50, Oleg Gurevich wrote:
> danke für den Tipp, ich werde mich an gnupg-devel wenden.

keine Problem, manche Dinge sind eben bei den Leuten, 
welche näher an der Entwicklung dran sind, besser aufgehoben. 

Oft lohnt es natürlich auch erst hier zu fragen und
dann später erst weiter zu gehen. Schließlich läuft gnupg-devel
auch besser, wenn da vor allem die knackigeren und entwicklungsorientierten 
Anregungen auflaufen. ;)

> Das Einsatzgebiet der OpenPGP Karte ist enorm groß.

:)

Gruß,
Bernhard

-- 
www.intevation.de/~bernhard (CEO)    www.fsfe.org (Founding GA Member)
Intevation GmbH, Osnabrück, Germany; Amtsgericht Osnabrück, HRB 18998
Owned and run by Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 473 bytes
Beschreibung: This is a digitally signed message part.
URL         : </pipermail/attachments/20150924/59485f18/attachment.sig>

From michael at cacn.de  Mon Sep 28 15:43:26 2015
From: michael at cacn.de (Michael)
Date: Mon, 28 Sep 2015 15:43:26 +0200
Subject: GPA 0.9.5
Message-ID: <20150928154326.36b122bd@debidesk.local>

Hallo Liste,

Ich arbeite mit dem im Betreff genannten GPA 0.9.5 (unter GnuPG 2.0.26) 

Nach der Installation der Debian Pakete und dem ersten start des GPA
GUI sehe ich das ich da SSL Zertifikate mit gekommen sind. Bspw:

Dieser Schlüssel hat nur einen öffentlichen Teil
Der Schlüssel ist ausschließlich zum Zertifizieren verwendbar.

0.2.262.1.10.7.20=#31+CN=6R-Ca 1:PN,O=RegulierungsbehÈorde fÈur
Telekommunikation und Post,C=DE

EA8D 99DD 36AA 2D07 1A3C  7B69 009E 51B9 4A2E E760

Dann ist da noch: CN=9R-CA 1:PN,O=Regulierungsbehörde für
Telekommunikation und Post,C=DE

Oder auch: CN=12R-CA 1:PN,O=Bundesnetzagentur,C=DE

Wenn ich diese ominösen (und von mir persönlich nicht "eingepflegten"
oder angenommen) löschen möchte bekomme ich folgende Fehlermeldung:

Die GPGME-Bibliothek gab eine unerwartete Fehlermeldung zurück
(gpakeydeleteop.c:208): Kein öffentlicher Schlüssel

Dies ist wahrscheinlich ein fehler in GPA. GPA versucht nun, sich davon
wieder zu erholen. 

Wie kann ich diese Zertifikate aus GPA löschen? 

Wenn ich gpa --disable-x509 auf der shell starte sind diese abgelaufen
Zertifikate zwar nicht mehr sichtbar aber doch immer noch da?! 

Danke vorab
Michael