From dg8wnx at gmx.net Thu Nov 15 19:17:43 2018 From: dg8wnx at gmx.net (Norbert Woletz) Date: Thu, 15 Nov 2018 19:17:43 +0100 Subject: =?UTF-8?Q?=c3=84nderung_in_der_Verwaltung_der_privaten_Schl=c3=bcss?= =?UTF-8?B?ZWw/?= Message-ID: Hallo! Mir ist aufgefallen, das GPG wohl neuerdings die Datei SECRING.GPG nicht mehr verwendet. Zumindest bei mir. PUBRING.GPG aber schon. Private Schlüssel werden nun offenbar in einem Unterverzeichnis in einzelnen Dateien abgelegt. Und pro Schlüssel werden offenbar 2 Dateien angelegt. Ist das so fix, oder kann man auch das "alte" System verwenden? Oder ist bei mir nur was verstellt? Gruß Norbert From vollkorn at cryptobitch.de Fri Nov 16 09:14:36 2018 From: vollkorn at cryptobitch.de (Jan Girlich) Date: Fri, 16 Nov 2018 09:14:36 +0100 Subject: =?UTF-8?Q?Re=3a_=c3=84nderung_in_der_Verwaltung_der_privaten_Schl?= =?UTF-8?B?w7xzc2VsPw==?= In-Reply-To: References: Message-ID: <104fc652-8815-4211-c278-0dda7046c98b@cryptobitch.de> Moin Norbert, Am 15.11.18 um 19:17 schrieb Norbert Woletz: > Mir ist aufgefallen, das GPG wohl neuerdings die Datei SECRING.GPG nicht > mehr verwendet. Zumindest bei mir. > PUBRING.GPG aber schon. > Private Schlüssel werden nun offenbar in einem Unterverzeichnis in > einzelnen Dateien abgelegt. Und pro Schlüssel werden offenbar 2 Dateien > angelegt. korrekt. Siehe z.B. diese Mail im Archiv, um mehr über das neue Format zu lernen: https://lists.gnupg.org/pipermail/gnupg-devel/2017-December/033295.html > Ist das so fix, oder kann man auch das "alte" System verwenden? Keine Ahnung. Hast du schon im Manual geschaut, ob gpg-agent da eine Konfigurationsoption für hat? > Oder ist bei mir nur was verstellt? Nö, das ist seit gpg 2.1, glaube ich, Standard. Gruß Jan From wk at gnupg.org Fri Nov 16 09:49:30 2018 From: wk at gnupg.org (Werner Koch) Date: Fri, 16 Nov 2018 09:49:30 +0100 Subject: =?utf-8?Q?=C3=84nderung?= in der Verwaltung der privaten =?utf-8?Q?Schl=C3=BCssel=3F?= In-Reply-To: (Norbert Woletz's message of "Thu, 15 Nov 2018 19:17:43 +0100") References: Message-ID: <87va4xflut.fsf@wheatstone.g10code.de> On Thu, 15 Nov 2018 19:17, dg8wnx at gmx.net said: > Mir ist aufgefallen, das GPG wohl neuerdings die Datei SECRING.GPG nicht > mehr verwendet. Zumindest bei mir. > PUBRING.GPG aber schon. Das ist seit 2.1 grundsätzlich so. Wir benutzen dieses Format schoin immer für gpgsm (gpg 2.0) > Private Schlüssel werden nun offenbar in einem Unterverzeichnis in > einzelnen Dateien abgelegt. Und pro Schlüssel werden offenbar 2 Dateien > angelegt. Richtig, für jeden Schlüssel wird eine Datei angelegt. Dies Schlüssel sind dann unabhängig vom Protokoll und so ist es auch möglich denselben SChlüssel für S/MIME und OpenPGP und SSH zu benutzen. Nicht das das eine gute Idee is, aber gelegentlich kann das sinnvoll sein. Unten habe ich nochmal den betreffenden Abschnitt aus der What's new in 2.1 kopiert. Sorry, ich habe davon leider keine deutsche Übersetzung. > Ist das so fix, oder kann man auch das "alte" System verwenden? > Oder ist bei mir nur was verstellt? Nein, geht nicht mehr. Überhaupt ist alles im ~/.gnupg eine interne Angelegenheit von GnuPG und andere Programme sollten darauf niemals direkt zugreifen. Immer schön gpg --export verwenden. Sage ich schon seit Jahren ;-) Übrigens: Das Format dieser Schlüsseldateien ist in beschrieben. 73 und Salam-Shalom, Werner ===== Aus https://gnupg.org/faq/whats-new-in-2.1.html ** Removal of the secret keyring :PROPERTIES: :CUSTOM_ID: nosecring :END: gpg used to keep the public key pairs in two files: =pubring.gpg= and =secring.gpg=. The only difference is that secring stored in addition to the public part also the private part of the key pair. The secret keyring thus contained only the keys for which a private key is available, that is the user?s key. It required a lot of code to keep both versions of the key in sync and led to sometimes surprising inconsistencies. The design of GnuPG-2 demands that only the gpg-agent has control over the private parts of the keys and the actual encryption engine (gpg or gpgsm) does not know about the private key but care only about session keys and keys for symmetric encryption. This has been implemented about 10 years ago for /gpgsm/ (the S/MIME part of GnuPG). However, /gpg/ (the OpenPGP part) used the gpg-agent only as passphrase entry and cache device but handles the private key itself. With GnuPG 2.1 this changed and /gpg/ now also delegates all private key operations to the gpg-agent. Thus there is no more code in the /gpg/ binary for handling private keys. En passant this allows the long time requested ?merging of secret keys? and several other advanced key management techniques. To ease the migration to the no-secring method, /gpg/ detects the presence of a =secring.gpg= and converts the keys on-the-fly to the the key store of /gpg-agent/ (this is the =private-keys-v1.d= directory below the GnuPG home directory (=~/.gnupg=)). This is done only once and an existing =secring.gpg= is then not anymore touched by /gpg/. This allows co-existence of older GnuPG versions with GnuPG 2.1. However, any change to the private keys using the new /gpg/ will not show up when using pre-2.1 versions of GnuPG and vice versa. Note that the command =--export-secret-keys= still creates an OpenPGP compliant file with the secret keys. This is achieved by asking /gpg-agent/ to convert a key and return it in the OpenPGP protected format. The export operation requires that the passphrase for the key is entered so that /gpg-agent/ is able to change the protection from its internal format to the OpenPGP required format. -- Die Gedanken sind frei. Ausnahmen regelt ein Bundesgesetz. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 227 bytes Beschreibung: nicht verfügbar URL : From telegraph at gmx.net Sun Nov 18 09:20:35 2018 From: telegraph at gmx.net (Gregor Zattler) Date: Sun, 18 Nov 2018 09:20:35 +0100 Subject: =?utf-8?Q?=C3=84nderung?= in der Verwaltung der privaten =?utf-8?Q?Schl=C3=BCssel=3F?= In-Reply-To: References: Message-ID: <875zwuokz0.fsf@len.workgroup> Hi Norbert, * Norbert Woletz [2018-11-15; 19:17]: > Mir ist aufgefallen, das GPG wohl neuerdings die Datei SECRING.GPG nicht > mehr verwendet. Zumindest bei mir. > PUBRING.GPG aber schon. > Private Schlüssel werden nun offenbar in einem Unterverzeichnis in > einzelnen Dateien abgelegt. Und pro Schlüssel werden offenbar 2 Dateien > angelegt. das ist so ab GnuPG Version 2.1. > Ist das so fix, oder kann man auch das "alte" System verwenden? gpg v2.1 migriert die Schlüssel aus secring.gpg automatisch und benutzt danach das Verzeichnis privater Schlüssel. > Oder ist bei mir nur was verstellt? Nein. Das bedeutet aber, dass 1. Ein altes gpg funktioniert weiter im den alten privaten Schlüsseln. 2. Die Migration passiert aber nur ein Mal automatisch. 3. Wenn Du mit dem neuen gpg einen weiteren privaten Schlüssel erstellst, ein altes gpg davon nichts merkt und den nicht nutzen kann. 4. Umgekehrt: Wenn Du mit einem alten gpg einen weiteren privaten Schlüssel erzeugst, wir der nicht automatisch migriert, und das neue gpg bemerkt den mit dem alten gpg erzeugten, neuen privaten Schlüssel nicht. Ciao; Gregor -- -... --- .-. . -.. ..--.. ...-.-