From info at emre.de Sat Dec 17 13:51:25 2016 From: info at emre.de (Emre Bastuz) Date: Sat, 17 Dec 2016 13:51:25 +0100 Subject: =?utf-8?Q?Subkeys_nutzen_-_Wiederherstellung_des_Masterkey_f?= =?utf-8?Q?=C3=BCr_revocation/addkey/=2E=2E=2E_klappt_nicht?= Message-ID: <2EEB5D66-A299-4954-BEEB-9E342204B9B7@emre.de> Hi! Den diversen Tutorials für die Nutzung von Masterkeys & Subkeys folgend habe ich ein Setup konfiguriert, bei dem der Signing-/Master-Key nicht mehr in meinem Schlüsselbund ist (Tutorials [1] und [2|). Bei einem Test ?was wäre wenn ich mal neue Subkeys anlegen oder Subkeys wiederrufen möchte?, komme ich allerdings nicht weiter: Der Sigining-/Master-Key lässt sich nicht wieder in den Schlüsselbund importieren, s.d. ich keine Veränderung vornehmen kann. Als Beispiel: Nach dem Entfernen Signing-/-Master-Key: # gpg --list-secret-keys --------------------------------- sec# 4096R/123400A9 2016-12-17 uid Emre Bastuz ssb 4096R/1234CCBA 2016-12-17 ssb 4096R/1234C0F1 2016-12-17 Die Raute ?#? nach dem sec zeigt, dass das Entfernen des relevanten Master-Anteils erfolgreich war. Wenn ich nun einen weiteren Subkey anlegen oder Keys widerrufen möchte, müsste ich den Schlüssel wiederherstellen, richtig? Dazu versuchter Schritt: gpg --import info_at_emre.de.public.gpg-key info_at_emre.de.private.gpg-key Die Dateien wurden vorher wie folgt gesichert: gpg --export-secret-keys --armor info at emre.de > info_at_emre.de.private.gpg-key gpg --export --armor info at emre.de > info_at_emre.de.public.gpg-key Nach einem Import kann ich allerdings die gewünschten Änderungen nicht machen weil scheinbar der Private Key dazu fehlt. Ein ?gpg ?list-secret-keys? zeigt mir immer noch den Eintrag mit ?sec#?. Was mache ich falsch? :-) Gruß, Emre [1] https://alexcabal.com/creating-the-perfect-gpg-keypair/ [2] https://wiki.debian.org/Subkeys From mbauer at mailbox.org Sun Dec 18 11:11:17 2016 From: mbauer at mailbox.org (Mathias Bauer-Rohrbeck) Date: Sun, 18 Dec 2016 11:11:17 +0100 Subject: Subkeys nutzen - =?utf-8?Q?Wiederherst?= =?utf-8?Q?ellung_des_Masterkey_f=C3=BC?= =?utf-8?Q?r?= revocation/addkey/... klappt nicht In-Reply-To: <2EEB5D66-A299-4954-BEEB-9E342204B9B7@emre.de> References: <2EEB5D66-A299-4954-BEEB-9E342204B9B7@emre.de> Message-ID: <20161218101117.GA22138@mailbox.org> Hallo Emre Bastuz, * Emre Bastuz schrieb am Sa, 17. Dez 2016, um 13:51 (+0100): > Bei einem Test ?was wäre wenn ich mal neue Subkeys anlegen oder > Subkeys wiederrufen möchte?, komme ich allerdings nicht weiter: > Der Sigining-/Master-Key lässt sich nicht wieder in den > Schlüsselbund importieren, s.d. ich keine Veränderung vornehmen > kann. > [...] > # gpg --list-secret-keys > --------------------------------- > sec# 4096R/123400A9 2016-12-17 > uid Emre Bastuz > ssb 4096R/1234CCBA 2016-12-17 > ssb 4096R/1234C0F1 2016-12-17 > [...] > Wenn ich nun einen weiteren Subkey anlegen oder Keys widerrufen > möchte, müsste ich den Schlüssel wiederherstellen, richtig? Ja. > Dazu versuchter Schritt: > gpg --import info_at_emre.de.public.gpg-key info_at_emre.de.private.gpg-key So geht das nicht. > Die Dateien wurden vorher wie folgt gesichert: > gpg --export-secret-keys --armor info at emre.de > info_at_emre.de.private.gpg-key > gpg --export --armor info at emre.de > info_at_emre.de.public.gpg-key > > Nach einem Import kann ich allerdings die gewünschten > Änderungen nicht machen weil scheinbar der Private Key dazu > fehlt. Kurz: Der private Schlüssel existiert bereits, nämlich der "ungültig gemachte". Der Import des "richtigen" privaten Schlüssels ändert daher nichts an den Schlüsselringen. Ausweg: 1. Lösche den Schlüssel komplett aus beiden Keyring. 2. Importiere info_at_emre.de.private.gpg-key dann info_at_emre.de.public.gpg-key: gpg --import info_at_emre.de.private.gpg-key info_at_emre.de.public.gpg-key Details dazu findest du auch in den Abschnitten 6.7, 7 und 9 des "OpenPGP Key Management HowTo" https://wiki.lug-in.de/OpenPGP/KeyManagementHowTo > [1] https://alexcabal.com/creating-the-perfect-gpg-keypair/ > [2] https://wiki.debian.org/Subkeys Viele Grüße Mathias -- GnuPG/OpenPGP: B100 5DC4 9686 BE64 87E9 0E22 44C3 983F A762 9DE8 Linux und Unix User Group Ingolstadt e.V. - http://www.lug-in.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 760 bytes Beschreibung: nicht verfügbar URL : From info at emre.de Wed Dec 28 19:18:35 2016 From: info at emre.de (Emre Bastuz) Date: Wed, 28 Dec 2016 19:18:35 +0100 Subject: =?utf-8?Q?Re=3A_Subkeys_nutzen_-_Wiederherstellung_des_Masterkey_?= =?utf-8?Q?f=C3=BCr_revocation/addkey/=2E=2E=2E_klappt_nicht?= In-Reply-To: References: <2EEB5D66-A299-4954-BEEB-9E342204B9B7@emre.de> Message-ID: Hi Martin & Michael! Hi Liste! Danke für die Infos! Ich habe mich dann noch mal in das Thema reingefuchst und herausgefunden wo das Problem liegt. Die Fehlermeldung von gpg hätte mich eigentlich darauf bringen können :-) Für ?die Nachwelt? hier noch mal dokumentiert, so wie ich es verstanden habe: Wenn mit "gpg --export-secret-subkeys? die geheimen Subkeys exportiert werden, wird gleichzeitig der Secret Anteil des Master-Key als ?Dummy? mit exportiert (Stichwort ?S2K?). Ein Löschen des Masterkey und Import der Subkeys führt dann zu dem folgenden Zustand, wobei die Raute hinter dem sec signalisiert ?ich habe einen Secret Key aber der ist leer und ein Dummy": $ gpg -K /home/user/.gnupg/secring.gpg -------------------------------- sec# 4096R/5F2446D0 2016-12-28 uid Martin Muster ssb 4096R/A1A9D2C4 2016-12-28 ssb 4096R/81461DA0 2016-12-28 ssb 4096R/EBE6FC35 2016-12-28 ssb 4096R/191BB1B5 2016-12-28 Im Detail kann man sich den Inhalt mit "gpg --export-secret-keys martin at muster.com | gpg --list-packets? anschauen. Hier das diff vor dem Löschen des Private Key und danach: $ diff -u pre-delete.txt post-delete.txt --- pre-delete.txt 2016-12-28 18:43:12.108007629 +0100 +++ post-delete.txt 2016-12-28 18:45:05.692008442 +0100 @@ -2,10 +2,8 @@ version 4, algo 1, created 1482946136, expires 0 skey[0]: [4096 bits] skey[1]: [17 bits] - iter+salt S2K, algo: 3, SHA1 protection, hash: 2, salt: 7594fcceaac7e8b2 - protect count: 65536 (96) - protect IV: 66 99 4a 09 21 42 8e ee - encrypted stuff follows + gnu-dummy S2K, algo: 3, SHA1 protection, hash: 2 + protect IV: keyid: 49AEB1FE5F2446D0 :user ID packet: "Martin Muster " :signature packet: algo 1, keyid 49AEB1FE5F2446D0 Aussagekräftig ist hier: gnu-dummy S2K, algo: 3, SHA1 protection, hash: 2 Wenn ich nun meinen exportieren Master-Private-Key importieren möchte kommt die Meldung: gpg: Schlüssel 5F2446D0: Ist bereits im geheimen Schlüsselbund Klar: der Dummy Eintrag ist noch drin! Daher klappt der Import nicht. Folgender Post widmet sich dem Thema: http://security.stackexchange.com/questions/100807/re-import-secret-primary-key-in-gnupg Klare Ansage bzw. Optionen: - Mit Sicherung des Ordners .gnupg arbeiten - Private Key in einen ?leeren? Keyring importieren oder - GnuPG 2.1 statt 2.0 nutzen. Die Variante mit gpgsplit zu arbeiten klingt für mich jetzt nicht sooo praktikabel. Gruß, Emre > Am 19.12.2016 um 06:22 schrieb Michael Kesper : > > Hallo Emre, > > Du verwendest einfach dein Backup des gnupg-Verzeichnisses. > Niemals solltest du den Schlüssel löschen ohne vorher ein Backup zu machen. > > Viele Grüße > Michael, der überallhin sein gnupg-Verzeichnis kopiert, da der Ex- und Import schlicht nicht funktioniert > > Am 17. Dezember 2016 13:51:25 MEZ, schrieb Emre Bastuz : > Hi! > > Den diversen Tutorials für die Nutzung von Masterkeys & Subkeys folgend habe ich ein Setup konfiguriert, bei dem der Signing-/Master-Key nicht mehr in meinem Schlüsselbund ist (Tutorials [1] und [2|). > > Bei einem Test ?was wäre wenn ich mal neue Subkeys anlegen oder Subkeys wiederrufen möchte?, komme ich allerdings nicht weiter: > Der Sigining-/Master-Key lässt sich nicht wieder in den Schlüsselbund importieren, s.d. ich keine Veränderung vornehmen kann. > > Als Beispiel: > > Nach dem Entfernen Signing-/-Master-Key: > > # gpg --list-secret-keys > > sec# 4096R/123400A9 2016-12-17 > uid Emre Bastuz > ssb 4096R/1234CCBA 2016-12-17 > ssb 4096R/1234C0F1 2016-12-17 > > Die Raute ?#? nach dem sec zeigt, dass das Entfernen des relevanten Master-Anteils erfolgreich war. > > Wenn ich nun einen weiteren Subkey anlegen oder Keys > widerrufen möchte, müsste ich den Schlüssel wiederherstellen, richtig? > > > Dazu versuchter Schritt: > > gpg --import info_at_emre.de.public.gpg-key info_at_emre.de.private.gpg-key > > Die Dateien wurden vorher wie folgt gesichert: > gpg --export-secret-keys --armor info at emre.de > info_at_emre.de.private.gpg-key > gpg --export --armor info at emre.de > info_at_emre.de.public.gpg-key > > Nach einem Import kann ich allerdings die gewünschten Änderungen nicht machen weil scheinbar der Private Key dazu fehlt. > > Ein ?gpg ?list-secret-keys? zeigt mir immer noch den Eintrag mit ?sec#?. > > Was mache ich falsch? :-) > > Gruß, > > Emre > > [1] https://alexcabal.com/creating-the-perfect-gpg-keypair/ > [2] https://wiki.debian.org/Subkeys > > Gnupg-de mailing list > Gnupg-de at gnupg.org > http://lists.gnupg.org/mailman/listinfo/gnupg-de > > -- > Diese Nachricht wurde von meinem Android-Mobiltelefon mit K-9 Mail gesendet.