From info at emre.de  Sat Dec 17 13:51:25 2016
From: info at emre.de (Emre Bastuz)
Date: Sat, 17 Dec 2016 13:51:25 +0100
Subject: =?utf-8?Q?Subkeys_nutzen_-_Wiederherstellung_des_Masterkey_f?=
 =?utf-8?Q?=C3=BCr_revocation/addkey/=2E=2E=2E_klappt_nicht?=
Message-ID: <2EEB5D66-A299-4954-BEEB-9E342204B9B7@emre.de>

Hi!

Den diversen Tutorials für die Nutzung von Masterkeys & Subkeys folgend habe ich ein Setup konfiguriert, bei dem der Signing-/Master-Key nicht mehr in meinem Schlüsselbund ist (Tutorials [1] und [2|).

Bei einem Test ?was wäre wenn ich mal neue Subkeys anlegen oder Subkeys wiederrufen möchte?, komme ich allerdings nicht weiter:
Der Sigining-/Master-Key lässt sich nicht wieder in den Schlüsselbund importieren, s.d. ich keine Veränderung vornehmen kann.

Als Beispiel:

Nach dem Entfernen Signing-/-Master-Key:

# gpg --list-secret-keys
---------------------------------
sec#  4096R/123400A9 2016-12-17
uid                  Emre Bastuz <info at emre.de>
ssb   4096R/1234CCBA 2016-12-17
ssb   4096R/1234C0F1 2016-12-17

Die Raute ?#? nach dem sec zeigt, dass das Entfernen des relevanten Master-Anteils erfolgreich war.

Wenn ich nun einen weiteren Subkey anlegen oder Keys widerrufen möchte, müsste ich den Schlüssel wiederherstellen, richtig?

Dazu versuchter Schritt:

gpg --import info_at_emre.de.public.gpg-key info_at_emre.de.private.gpg-key

Die Dateien wurden vorher wie folgt gesichert:
gpg --export-secret-keys --armor info at emre.de > info_at_emre.de.private.gpg-key
gpg --export --armor info at emre.de > info_at_emre.de.public.gpg-key

Nach einem Import kann ich allerdings die gewünschten Änderungen nicht machen weil scheinbar der Private Key dazu fehlt.

Ein ?gpg ?list-secret-keys? zeigt mir immer noch den Eintrag mit ?sec#?.

Was mache ich falsch? :-)

Gruß,

Emre

[1] https://alexcabal.com/creating-the-perfect-gpg-keypair/ 
[2] https://wiki.debian.org/Subkeys

From mbauer at mailbox.org  Sun Dec 18 11:11:17 2016
From: mbauer at mailbox.org (Mathias Bauer-Rohrbeck)
Date: Sun, 18 Dec 2016 11:11:17 +0100
Subject: Subkeys nutzen - =?utf-8?Q?Wiederherst?=
 =?utf-8?Q?ellung_des_Masterkey_f=C3=BC?= =?utf-8?Q?r?= revocation/addkey/...
 klappt nicht
In-Reply-To: <2EEB5D66-A299-4954-BEEB-9E342204B9B7@emre.de>
References: <2EEB5D66-A299-4954-BEEB-9E342204B9B7@emre.de>
Message-ID: <20161218101117.GA22138@mailbox.org>

Hallo Emre Bastuz,

* Emre Bastuz schrieb am Sa, 17. Dez 2016, um 13:51 (+0100):

> Bei einem Test ?was wäre wenn ich mal neue Subkeys anlegen oder
> Subkeys wiederrufen möchte?, komme ich allerdings nicht weiter:
> Der Sigining-/Master-Key lässt sich nicht wieder in den
> Schlüsselbund importieren, s.d. ich keine Veränderung vornehmen
> kann.
> [...]
> # gpg --list-secret-keys
> ---------------------------------
> sec#  4096R/123400A9 2016-12-17
> uid                  Emre Bastuz <info at emre.de>
> ssb   4096R/1234CCBA 2016-12-17
> ssb   4096R/1234C0F1 2016-12-17
> [...]
> Wenn ich nun einen weiteren Subkey anlegen oder Keys widerrufen
> möchte, müsste ich den Schlüssel wiederherstellen, richtig?

Ja.

> Dazu versuchter Schritt:
> gpg --import info_at_emre.de.public.gpg-key info_at_emre.de.private.gpg-key

So geht das nicht.

> Die Dateien wurden vorher wie folgt gesichert:
> gpg --export-secret-keys --armor info at emre.de > info_at_emre.de.private.gpg-key
> gpg --export --armor info at emre.de > info_at_emre.de.public.gpg-key
>
> Nach einem Import kann ich allerdings die gewünschten
> Änderungen nicht machen weil scheinbar der Private Key dazu
> fehlt.

Kurz: Der private Schlüssel existiert bereits, nämlich der
"ungültig gemachte".  Der Import des "richtigen" privaten
Schlüssels ändert daher nichts an den Schlüsselringen.

Ausweg:
1. Lösche den Schlüssel komplett aus beiden Keyring.
2. Importiere info_at_emre.de.private.gpg-key dann info_at_emre.de.public.gpg-key:
   gpg --import info_at_emre.de.private.gpg-key info_at_emre.de.public.gpg-key

Details dazu findest du auch in den Abschnitten 6.7, 7 und 9 des
"OpenPGP Key Management HowTo"
https://wiki.lug-in.de/OpenPGP/KeyManagementHowTo

> [1] https://alexcabal.com/creating-the-perfect-gpg-keypair/
> [2] https://wiki.debian.org/Subkeys

Viele Grüße
Mathias

-- 
GnuPG/OpenPGP: B100 5DC4 9686 BE64 87E9 0E22 44C3 983F A762 9DE8
Linux und Unix User Group Ingolstadt e.V. - http://www.lug-in.de
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 760 bytes
Beschreibung: nicht verfügbar
URL         : </pipermail/attachments/20161218/6aad67a8/attachment.sig>

From info at emre.de  Wed Dec 28 19:18:35 2016
From: info at emre.de (Emre Bastuz)
Date: Wed, 28 Dec 2016 19:18:35 +0100
Subject: =?utf-8?Q?Re=3A_Subkeys_nutzen_-_Wiederherstellung_des_Masterkey_?=
 =?utf-8?Q?f=C3=BCr_revocation/addkey/=2E=2E=2E_klappt_nicht?=
In-Reply-To: <DE27E90F-146C-4A7D-819B-696B3B4A736C@schokokeks.org>
References: <2EEB5D66-A299-4954-BEEB-9E342204B9B7@emre.de>
 <DE27E90F-146C-4A7D-819B-696B3B4A736C@schokokeks.org>
Message-ID: <F77B9A5C-C4E1-48D8-8929-ECA0A5BF8686@emre.de>

Hi Martin & Michael! Hi Liste!

Danke für die Infos!

Ich habe mich dann noch mal in das Thema reingefuchst und herausgefunden wo das Problem liegt.

Die Fehlermeldung von gpg hätte mich eigentlich darauf bringen können :-)

Für ?die Nachwelt? hier noch mal dokumentiert, so wie ich es verstanden habe:

Wenn mit "gpg --export-secret-subkeys? die geheimen Subkeys exportiert werden, wird gleichzeitig der Secret Anteil des Master-Key als ?Dummy? mit exportiert (Stichwort ?S2K?).

Ein Löschen des Masterkey und Import der Subkeys führt dann zu dem folgenden Zustand, wobei die Raute hinter dem sec signalisiert ?ich habe einen Secret Key aber der ist leer und ein Dummy":

$ gpg -K
/home/user/.gnupg/secring.gpg
--------------------------------
sec#  4096R/5F2446D0 2016-12-28
uid                  Martin Muster <martin at muster.com>
ssb   4096R/A1A9D2C4 2016-12-28
ssb   4096R/81461DA0 2016-12-28
ssb   4096R/EBE6FC35 2016-12-28
ssb   4096R/191BB1B5 2016-12-28 

Im Detail kann man sich den Inhalt mit "gpg --export-secret-keys martin at muster.com | gpg --list-packets? anschauen.

Hier das diff vor dem Löschen des Private Key und danach:

$ diff -u pre-delete.txt post-delete.txt 
--- pre-delete.txt	2016-12-28 18:43:12.108007629 +0100
+++ post-delete.txt	2016-12-28 18:45:05.692008442 +0100
@@ -2,10 +2,8 @@
 	version 4, algo 1, created 1482946136, expires 0
 	skey[0]: [4096 bits]
 	skey[1]: [17 bits]
-	iter+salt S2K, algo: 3, SHA1 protection, hash: 2, salt: 7594fcceaac7e8b2
-	protect count: 65536 (96)
-	protect IV:  66 99 4a 09 21 42 8e ee
-	encrypted stuff follows
+	gnu-dummy S2K, algo: 3, SHA1 protection, hash: 2
+	protect IV: 
 	keyid: 49AEB1FE5F2446D0
 :user ID packet: "Martin Muster <martin at muster.com>"
 :signature packet: algo 1, keyid 49AEB1FE5F2446D0

Aussagekräftig ist hier: gnu-dummy S2K, algo: 3, SHA1 protection, hash: 2

Wenn ich nun meinen exportieren Master-Private-Key importieren möchte kommt die Meldung:
gpg: Schlüssel 5F2446D0: Ist bereits im geheimen Schlüsselbund

Klar: der Dummy Eintrag ist noch drin! Daher klappt der Import nicht.

Folgender Post widmet sich dem Thema:
http://security.stackexchange.com/questions/100807/re-import-secret-primary-key-in-gnupg

Klare Ansage bzw. Optionen:
- Mit Sicherung des Ordners .gnupg arbeiten
- Private Key in einen ?leeren? Keyring importieren oder 
- GnuPG 2.1 statt 2.0 nutzen.

Die Variante mit gpgsplit zu arbeiten klingt für mich jetzt nicht sooo praktikabel.

Gruß,

Emre   


> Am 19.12.2016 um 06:22 schrieb Michael Kesper <mkesper at schokokeks.org>:
> 
> Hallo Emre,
> 
> Du verwendest einfach dein Backup des gnupg-Verzeichnisses.
> Niemals solltest du den Schlüssel löschen ohne vorher ein Backup zu machen.
> 
> Viele Grüße
> Michael, der überallhin sein gnupg-Verzeichnis kopiert, da der Ex- und Import schlicht nicht funktioniert
> 
> Am 17. Dezember 2016 13:51:25 MEZ, schrieb Emre Bastuz <info at emre.de>:
> Hi!
> 
> Den diversen Tutorials für die Nutzung von Masterkeys & Subkeys folgend habe ich ein Setup konfiguriert, bei dem der Signing-/Master-Key nicht mehr in meinem Schlüsselbund ist (Tutorials [1] und [2|).
> 
> Bei einem Test ?was wäre wenn ich mal neue Subkeys anlegen oder Subkeys wiederrufen möchte?, komme ich allerdings nicht weiter:
> Der Sigining-/Master-Key lässt sich nicht wieder in den Schlüsselbund importieren, s.d. ich keine Veränderung vornehmen kann.
> 
> Als Beispiel:
> 
> Nach dem Entfernen Signing-/-Master-Key:
> 
> # gpg --list-secret-keys
> 
> sec#  4096R/123400A9 2016-12-17
> uid                  Emre Bastuz <info at emre.de>
> ssb   4096R/1234CCBA 2016-12-17
> ssb   4096R/1234C0F1 2016-12-17
> 
> Die Raute ?#? nach dem sec zeigt, dass das Entfernen des relevanten Master-Anteils erfolgreich war.
> 
> Wenn ich nun einen weiteren Subkey anlegen oder Keys
> widerrufen möchte, müsste ich den Schlüssel wiederherstellen, richtig?
> 
> 
> Dazu versuchter Schritt:
> 
> gpg --import info_at_emre.de.public.gpg-key info_at_emre.de.private.gpg-key
> 
> Die Dateien wurden vorher wie folgt gesichert:
> gpg --export-secret-keys --armor info at emre.de > info_at_emre.de.private.gpg-key
> gpg --export --armor info at emre.de > info_at_emre.de.public.gpg-key
> 
> Nach einem Import kann ich allerdings die gewünschten Änderungen nicht machen weil scheinbar der Private Key dazu fehlt.
> 
> Ein ?gpg ?list-secret-keys? zeigt mir immer noch den Eintrag mit ?sec#?.
> 
> Was mache ich falsch? :-)
> 
> Gruß,
> 
> Emre
> 
> [1] https://alexcabal.com/creating-the-perfect-gpg-keypair/ 
> [2] https://wiki.debian.org/Subkeys
> 
> Gnupg-de mailing list
> Gnupg-de at gnupg.org
> http://lists.gnupg.org/mailman/listinfo/gnupg-de
> 
> -- 
> Diese Nachricht wurde von meinem Android-Mobiltelefon mit K-9 Mail gesendet.