Re: Subkeys nutzen - Wiederherstellung des Masterkey für revocation/addkey/... klappt nicht

Emre Bastuz info at emre.de
Mi Dez 28 19:18:35 CET 2016 

Hi Martin & Michael! Hi Liste!

Danke für die Infos!

Ich habe mich dann noch mal in das Thema reingefuchst und herausgefunden wo das Problem liegt.

Die Fehlermeldung von gpg hätte mich eigentlich darauf bringen können :-)

Für „die Nachwelt“ hier noch mal dokumentiert, so wie ich es verstanden habe:

Wenn mit "gpg --export-secret-subkeys“ die geheimen Subkeys exportiert werden, wird gleichzeitig der Secret Anteil des Master-Key als „Dummy“ mit exportiert (Stichwort „S2K“).

Ein Löschen des Masterkey und Import der Subkeys führt dann zu dem folgenden Zustand, wobei die Raute hinter dem sec signalisiert „ich habe einen Secret Key aber der ist leer und ein Dummy":

$ gpg -K
/home/user/.gnupg/secring.gpg
--------------------------------
sec#  4096R/5F2446D0 2016-12-28
uid                  Martin Muster <martin at muster.com>
ssb   4096R/A1A9D2C4 2016-12-28
ssb   4096R/81461DA0 2016-12-28
ssb   4096R/EBE6FC35 2016-12-28
ssb   4096R/191BB1B5 2016-12-28 

Im Detail kann man sich den Inhalt mit "gpg --export-secret-keys martin at muster.com | gpg --list-packets“ anschauen.

Hier das diff vor dem Löschen des Private Key und danach:

$ diff -u pre-delete.txt post-delete.txt 
--- pre-delete.txt	2016-12-28 18:43:12.108007629 +0100
+++ post-delete.txt	2016-12-28 18:45:05.692008442 +0100
@@ -2,10 +2,8 @@
 	version 4, algo 1, created 1482946136, expires 0
 	skey[0]: [4096 bits]
 	skey[1]: [17 bits]
-	iter+salt S2K, algo: 3, SHA1 protection, hash: 2, salt: 7594fcceaac7e8b2
-	protect count: 65536 (96)
-	protect IV:  66 99 4a 09 21 42 8e ee
-	encrypted stuff follows
+	gnu-dummy S2K, algo: 3, SHA1 protection, hash: 2
+	protect IV: 
 	keyid: 49AEB1FE5F2446D0
 :user ID packet: "Martin Muster <martin at muster.com>"
 :signature packet: algo 1, keyid 49AEB1FE5F2446D0

Aussagekräftig ist hier: gnu-dummy S2K, algo: 3, SHA1 protection, hash: 2

Wenn ich nun meinen exportieren Master-Private-Key importieren möchte kommt die Meldung:
gpg: Schlüssel 5F2446D0: Ist bereits im geheimen Schlüsselbund

Klar: der Dummy Eintrag ist noch drin! Daher klappt der Import nicht.

Folgender Post widmet sich dem Thema:
http://security.stackexchange.com/questions/100807/re-import-secret-primary-key-in-gnupg

Klare Ansage bzw. Optionen:
- Mit Sicherung des Ordners .gnupg arbeiten
- Private Key in einen „leeren“ Keyring importieren oder 
- GnuPG 2.1 statt 2.0 nutzen.

Die Variante mit gpgsplit zu arbeiten klingt für mich jetzt nicht sooo praktikabel.

Gruß,

Emre   


> Am 19.12.2016 um 06:22 schrieb Michael Kesper <mkesper at schokokeks.org>:
> 
> Hallo Emre,
> 
> Du verwendest einfach dein Backup des gnupg-Verzeichnisses.
> Niemals solltest du den Schlüssel löschen ohne vorher ein Backup zu machen.
> 
> Viele Grüße
> Michael, der überallhin sein gnupg-Verzeichnis kopiert, da der Ex- und Import schlicht nicht funktioniert
> 
> Am 17. Dezember 2016 13:51:25 MEZ, schrieb Emre Bastuz <info at emre.de>:
> Hi!
> 
> Den diversen Tutorials für die Nutzung von Masterkeys & Subkeys folgend habe ich ein Setup konfiguriert, bei dem der Signing-/Master-Key nicht mehr in meinem Schlüsselbund ist (Tutorials [1] und [2|).
> 
> Bei einem Test „was wäre wenn ich mal neue Subkeys anlegen oder Subkeys wiederrufen möchte“, komme ich allerdings nicht weiter:
> Der Sigining-/Master-Key lässt sich nicht wieder in den Schlüsselbund importieren, s.d. ich keine Veränderung vornehmen kann.
> 
> Als Beispiel:
> 
> Nach dem Entfernen Signing-/-Master-Key:
> 
> # gpg --list-secret-keys
> 
> sec#  4096R/123400A9 2016-12-17
> uid                  Emre Bastuz <info at emre.de>
> ssb   4096R/1234CCBA 2016-12-17
> ssb   4096R/1234C0F1 2016-12-17
> 
> Die Raute „#“ nach dem sec zeigt, dass das Entfernen des relevanten Master-Anteils erfolgreich war.
> 
> Wenn ich nun einen weiteren Subkey anlegen oder Keys
> widerrufen möchte, müsste ich den Schlüssel wiederherstellen, richtig?
> 
> 
> Dazu versuchter Schritt:
> 
> gpg --import info_at_emre.de.public.gpg-key info_at_emre.de.private.gpg-key
> 
> Die Dateien wurden vorher wie folgt gesichert:
> gpg --export-secret-keys --armor info at emre.de > info_at_emre.de.private.gpg-key
> gpg --export --armor info at emre.de > info_at_emre.de.public.gpg-key
> 
> Nach einem Import kann ich allerdings die gewünschten Änderungen nicht machen weil scheinbar der Private Key dazu fehlt.
> 
> Ein „gpg —list-secret-keys“ zeigt mir immer noch den Eintrag mit „sec#“.
> 
> Was mache ich falsch? :-)
> 
> Gruß,
> 
> Emre
> 
> [1] https://alexcabal.com/creating-the-perfect-gpg-keypair/ 
> [2] https://wiki.debian.org/Subkeys
> 
> Gnupg-de mailing list
> Gnupg-de at gnupg.org
> http://lists.gnupg.org/mailman/listinfo/gnupg-de
> 
> -- 
> Diese Nachricht wurde von meinem Android-Mobiltelefon mit K-9 Mail gesendet.

Mehr Informationen über die Mailingliste Gnupg-de