From bernhard at intevation.de Mon Sep 23 17:07:18 2019 From: bernhard at intevation.de (Bernhard Reiter) Date: Mon, 23 Sep 2019 17:07:18 +0200 Subject: Kuketz WKD Anleitung Message-ID: <201909231707.22306.bernhard@intevation.de> Moin, der spendenfinanzierte Blog von Mike Kuketz hat eine WKD Anleitung auf Deutsch veröffentlich: https://www.kuketz-blog.de/gnupg-web-key-directory-wkd-einrichten/ Gruß, Bernhard -- www.intevation.de/~bernhard   +49 541 33 508 3-3 Intevation GmbH, Osnabrück, DE; Amtsgericht Osnabrück, HRB 18998 Geschäftsführer Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: This is a digitally signed message part. URL : From wk at gnupg.org Mon Sep 23 21:48:26 2019 From: wk at gnupg.org (Werner Koch) Date: Mon, 23 Sep 2019 21:48:26 +0200 Subject: Kuketz WKD Anleitung In-Reply-To: <201909231707.22306.bernhard@intevation.de> (Bernhard Reiter's message of "Mon, 23 Sep 2019 17:07:18 +0200") References: <201909231707.22306.bernhard@intevation.de> Message-ID: <874l1223qt.fsf@wheatstone.g10code.de> On Mon, 23 Sep 2019 17:07, bernhard at intevation.de said: > der spendenfinanzierte Blog von Mike Kuketz hat eine WKD Anleitung auf Deutsch > veröffentlich: Leider aber etwas veraltet. Es geht schon lange wesentlich einfacher. Der wichtige Punkt mit der openpgpkey Subdomain wird leider nicht erwähnt: Falls keine openpgpkey Subdomain konfiguriert ist, aber DNS wildcards benutzt werden, so muß sichergestellt sein, daß openpgpkey.example.org nicht per Wildcard aufgelöst wird. Das macht man indem ein Dummy TXT record angelegt wird. --8<---------------cut here---------------start------------->8--- $ORIGIN example.org. openpgpkey IN TXT "" --8<---------------cut here---------------end--------------->8--- Shalom-Salam, Werner -- Die Gedanken sind frei. Ausnahmen regelt ein Bundesgesetz. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 227 bytes Beschreibung: nicht verfügbar URL : From bernhard at intevation.de Tue Sep 24 08:56:03 2019 From: bernhard at intevation.de (Bernhard Reiter) Date: Tue, 24 Sep 2019 08:56:03 +0200 Subject: Kuketz WKD Anleitung In-Reply-To: <874l1223qt.fsf@wheatstone.g10code.de> References: <201909231707.22306.bernhard@intevation.de> <874l1223qt.fsf@wheatstone.g10code.de> Message-ID: <201909240856.03754.bernhard@intevation.de> Am Montag 23 September 2019 21:48:26 schrieb Werner Koch: > On Mon, 23 Sep 2019 17:07, bernhard at intevation.de said: > > der spendenfinanzierte Blog von Mike Kuketz hat eine WKD Anleitung auf > > Deutsch veröffentlich: > > Leider aber etwas veraltet. Es geht schon lange wesentlich einfacher. Bisher habe ich die Anleitung nur überflogen, aber den Verdacht hatte ich auch. Ich denke, es zeigt, dass wir unsere WKD Informationen noch verbessern können. Der Blog-Eintrag ist gut, weil er in DE eine große Reichweite hat und eine Gemeinschaft die Sicherheits und Privatsphären Themen beachtet. > Der wichtige Punkt mit der openpgpkey Subdomain wird leider nicht > erwähnt: Falls keine openpgpkey Subdomain konfiguriert ist, aber DNS > wildcards benutzt werden, so muß sichergestellt sein, daß > openpgpkey.example.org nicht per Wildcard aufgelöst wird. Danke für den konkreten Hinweise. Das schicke ich Herrn Kuketz gleich mal und probiere aus, ob ich ihn per WKD erreichen kann. ;) Gruß, Bernhard -- www.intevation.de/~bernhard   +49 541 33 508 3-3 Intevation GmbH, Osnabrück, DE; Amtsgericht Osnabrück, HRB 18998 Geschäftsführer Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: This is a digitally signed message part. URL : From vollkorn at cryptobitch.de Wed Sep 25 09:09:48 2019 From: vollkorn at cryptobitch.de (Jan Girlich) Date: Wed, 25 Sep 2019 09:09:48 +0200 Subject: GPGME Python: Unterscheidung zwischen "Keyserver down" und "Key nicht auf Keyserver" Message-ID: <7523419d-5763-a22f-2919-7a43e40b7763@cryptobitch.de> Moin, ich benutze die GPGME-Python-Bindings und versuche einen Schlüssel wie folgt von den Keyservern zu holen: import gpg with gpg.Context(armor=True) as c: c.set_keylist_mode(gpg.constants.keylist.mode.EXTERN) key = c.get_key('0xD3730FB324783220') Wenn der Key nicht auf dem Keyserver, der in meiner gpg.conf konfiguriert ist, vorhanden ist, dann erhalte ich eine Exception vom Typ gpg.errors.KeyNotFound. Allerdings erhalte ich exakt die gleiche Exception, wenn der Keyserver nicht erreichbar ist. Das passiert leider ziemlich häufig mal, wenn man zum Beispiel pool.sks-keyservers.net als Keyserver auswählt. Wie kann ich diese beiden Fehlerzustände sinnvoll unterscheiden? Gruß Jan From bernhard at intevation.de Wed Sep 25 13:35:48 2019 From: bernhard at intevation.de (Bernhard Reiter) Date: Wed, 25 Sep 2019 13:35:48 +0200 Subject: Kuketz WKD Anleitung In-Reply-To: <201909240856.03754.bernhard@intevation.de> References: <201909231707.22306.bernhard@intevation.de> <874l1223qt.fsf@wheatstone.g10code.de> <201909240856.03754.bernhard@intevation.de> Message-ID: <201909251335.48886.bernhard@intevation.de> Am Dienstag 24 September 2019 08:56:03 schrieb Bernhard Reiter: > Das schicke ich Herrn Kuketz gleich mal und probiere aus, > ob ich ihn per WKD erreichen kann. ;) Hat beides geklappt, er hat seinen Artikel übrigens ergänzt. Viele Grüße, Bernhard -- www.intevation.de/~bernhard   +49 541 33 508 3-3 Intevation GmbH, Osnabrück, DE; Amtsgericht Osnabrück, HRB 18998 Geschäftsführer Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: This is a digitally signed message part. URL : From bernhard at intevation.de Wed Sep 25 13:38:56 2019 From: bernhard at intevation.de (Bernhard Reiter) Date: Wed, 25 Sep 2019 13:38:56 +0200 Subject: GPGME Python: Unterscheidung zwischen "Keyserver down" und "Key nicht auf Keyserver" In-Reply-To: <7523419d-5763-a22f-2919-7a43e40b7763@cryptobitch.de> References: <7523419d-5763-a22f-2919-7a43e40b7763@cryptobitch.de> Message-ID: <201909251338.56679.bernhard@intevation.de> Hallo Ja, Am Mittwoch 25 September 2019 09:09:48 schrieb Jan Girlich: > ich benutze die GPGME-Python-Bindings und versuche einen Schlüssel wie > folgt von den Keyservern zu holen: [..] > Allerdings erhalte ich exakt die gleiche Exception, wenn der Keyserver > nicht erreichbar ist. Das passiert leider ziemlich häufig mal, wenn man > zum Beispiel pool.sks-keyservers.net als Keyserver auswählt. > > Wie kann ich diese beiden Fehlerzustände sinnvoll unterscheiden? Gute Frage, die ich auch nicht direkt beantworten kann. Was oft hilft um eine schnelle Antwort zu bekommen, ist: Welche Versionen von gnupg-python und gnupg verwendest Du (auf welcher Plattforrm)? Was möchtest Du mit dem Unterscheiden der Fehlerzustände erreichen? (Und wenn hier keine Antworte kommt, da deutschsprachige Liste von Anwendenden frag mal auf gnupg-users@ auf English.) Viele Grüße, Bernhard -- www.intevation.de/~bernhard   +49 541 33 508 3-3 Intevation GmbH, Osnabrück, DE; Amtsgericht Osnabrück, HRB 18998 Geschäftsführer Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: This is a digitally signed message part. URL : From vollkorn at cryptobitch.de Wed Sep 25 14:28:45 2019 From: vollkorn at cryptobitch.de (Jan Girlich) Date: Wed, 25 Sep 2019 14:28:45 +0200 Subject: GPGME Python: Unterscheidung zwischen "Keyserver down" und "Key nicht auf Keyserver" In-Reply-To: <201909251338.56679.bernhard@intevation.de> References: <7523419d-5763-a22f-2919-7a43e40b7763@cryptobitch.de> <201909251338.56679.bernhard@intevation.de> Message-ID: Moin Bernhard, Am 25.09.19 um 13:38 schrieb Bernhard Reiter: > Am Mittwoch 25 September 2019 09:09:48 schrieb Jan Girlich: >> ich benutze die GPGME-Python-Bindings und versuche einen Schlüssel wie >> folgt von den Keyservern zu holen: > > [..] > >> Allerdings erhalte ich exakt die gleiche Exception, wenn der Keyserver >> nicht erreichbar ist. Das passiert leider ziemlich häufig mal, wenn man >> zum Beispiel pool.sks-keyservers.net als Keyserver auswählt. >> >> Wie kann ich diese beiden Fehlerzustände sinnvoll unterscheiden? > > Gute Frage, die ich auch nicht direkt beantworten kann. > Was oft hilft um eine schnelle Antwort zu bekommen, ist: > > Welche Versionen von gnupg-python und gnupg verwendest Du (auf welcher > Plattforrm)? gpg (GnuPG) 2.2.12 libgcrypt 1.8.1 libgpgme-dev 1.10.0 gpg 1.10.0 von PyPI Auf einem Ubuntu 18.04 > Was möchtest Du mit dem Unterscheiden der Fehlerzustände erreichen? Ich habe eine E-Mailadresse und einen Fingerprint auf einem anderen Kanal erhalten und möchte jetzt eine verschlüsselte E-Mail senden. Dazu möchte ich den Key vom Keyserver holen. Wenn der Key nicht auf dem Keyserver zu finden ist möchte ich eine Fehlermeldung anstelle meiner E-Mail senden. Wenn der Keyserver down ist, dann möchte ich weder eine Fehlermeldung, noch die eigentlich gewünschte Mail senden, sondern es später nochmal versuchen. Um zu entscheiden, ob ich jetzt eine Fehlermeldung sende oder es später versuche, brauche ich die Fallunterscheidung. > (Und wenn hier keine Antworte kommt, da deutschsprachige Liste von Anwendenden > frag mal auf gnupg-users@ auf English.) Guter Tipp, das versuche ich dann morgen oder so mal. Gruß Jan From bernhard at intevation.de Thu Sep 26 08:58:20 2019 From: bernhard at intevation.de (Bernhard Reiter) Date: Thu, 26 Sep 2019 08:58:20 +0200 Subject: GPGME Python: Unterscheidung zwischen "Keyserver down" und "Key nicht auf Keyserver" In-Reply-To: References: <7523419d-5763-a22f-2919-7a43e40b7763@cryptobitch.de> <201909251338.56679.bernhard@intevation.de> Message-ID: <201909260858.21197.bernhard@intevation.de> Am Mittwoch 25 September 2019 14:28:45 schrieb Jan Girlich: > Ich habe eine E-Mailadresse und einen Fingerprint auf einem anderen > Kanal erhalten und möchte jetzt eine verschlüsselte E-Mail senden. Dazu > möchte ich den Key vom Keyserver holen. Du solltest zuerst WKD probieren, dirmngr kann das ja auch machen. > Um zu entscheiden, ob ich jetzt eine > Fehlermeldung sende oder es später versuche, brauche ich die > Fallunterscheidung. Wäre es nicht sinnvoll, es in jedem Fall nochmals zu probieren und nach angemessener Zeit und Anzahl von Versuchen eine Meldung zu schicken? (Da es ja verschiedene Gründe geben kann, warum der öffentliche Schlüssel nicht da oder erhältlich ist. Wenn ein Keyserver an einem Zeitpunkt nicht zu erreichen ist oder den öffentlichen Schlüssel nicht hat, ist ja fast gleichwertig, oder?) Gruß, Bernhard -- www.intevation.de/~bernhard   +49 541 33 508 3-3 Intevation GmbH, Osnabrück, DE; Amtsgericht Osnabrück, HRB 18998 Geschäftsführer Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: This is a digitally signed message part. URL : From vollkorn at cryptobitch.de Thu Sep 26 09:25:22 2019 From: vollkorn at cryptobitch.de (Jan Girlich) Date: Thu, 26 Sep 2019 09:25:22 +0200 Subject: GPGME Python: Unterscheidung zwischen "Keyserver down" und "Key nicht auf Keyserver" In-Reply-To: <201909260858.21197.bernhard@intevation.de> References: <7523419d-5763-a22f-2919-7a43e40b7763@cryptobitch.de> <201909251338.56679.bernhard@intevation.de> <201909260858.21197.bernhard@intevation.de> Message-ID: Moin Bernhard, Am 26.09.19 um 08:58 schrieb Bernhard Reiter: > Am Mittwoch 25 September 2019 14:28:45 schrieb Jan Girlich: >> Ich habe eine E-Mailadresse und einen Fingerprint auf einem anderen >> Kanal erhalten und möchte jetzt eine verschlüsselte E-Mail senden. Dazu >> möchte ich den Key vom Keyserver holen. > > Du solltest zuerst WKD probieren, dirmngr kann das ja auch machen. okay, habe ich mich noch nicht mit beschäftigt. Ich lese mich da mal ein, aber meiner Einschätzung nach nutzen das nur ein sehr, sehr kleiner Teil der GPG-User und es hilft mir nicht bei dem vorliegenden Problem: User, die ihre Keys auf Keyservern haben. >> Um zu entscheiden, ob ich jetzt eine >> Fehlermeldung sende oder es später versuche, brauche ich die >> Fallunterscheidung. > > Wäre es nicht sinnvoll, es in jedem Fall nochmals zu probieren > und nach angemessener Zeit und Anzahl von Versuchen eine Meldung zu schicken? > (Da es ja verschiedene Gründe geben kann, warum der öffentliche Schlüssel > nicht da oder erhältlich ist. Wenn ein Keyserver an einem Zeitpunkt nicht zu > erreichen ist oder den öffentlichen Schlüssel nicht hat, ist ja fast > gleichwertig, oder?) Nein, das ist keinesfalls gleichwertig. In dem Falle, dass der Key nicht auf den Keyservern ist, muss die Gegenseite aktiv werden und im anderen Falle muss ich das Problem behandeln. Da mein Interval, in dem ich Versuche zu senden vornehmen kann, aus organisatorischen Gründen mindestens eine Woche lang ist, sind probabilistische Verfahren mit mehreren Versuchen etc. nicht gangbar. Aktueller Ansatz von mir ist eine Abfrage per HTTP zu machen um zu prüfen, ob der Key tatsächlich auf den Keyservern liegt. Da bekomme ich zumindest verschiedene Fehlercodes wie 200, 502, 504 etc. und kann bei einer 200 im Response-Body prüfen ob es einen Key gibt. Das ist natürlich wackelig, hat mögliche Race-Conditions (Key wird gerade erst zwischen den Servern verteilt und meine HTTP-Abfrage findet auf anderem Server statt als gnupgs Abfrage). Irgendwelche Ideen wie ich das über die gpgme-API regeln kann? Gruß Jan