Private Schlüssel werden als abgelaufen moniert.

    Hilfe:

    seit gestern Abend werden meine privaten Schlüssel als abgelaufen moniert (Gültigkeitsdatum 2020), obwohl die aktuelle Version eigentlich noch bis 2023 laufen sollte. Diese scheint aber nicht mehr existent zu sein (lässt sich auch nicht importieren)?

    Ich kann so keine Mails mehr signieren, geschweige denn verschlüsseln.

    Ich arbeite unter einem normalen Benutzerkonto und mein Profilordner liegt auf dem D:-Laufwerk.

    Unter openSuSE-Linux funktioniert es übrigens mit den gleichen Schlüsseln nach wie vor!

    Ist hierzu schon ein Bug bekannt?

    --

    Viele Grüße,
    Felix

  • felbre 12. April 2022 um 20:14

    Hat den Titel des Themas von „Privater Schlüssel werden als abgelaufen moniert.“ zu „Private Schlüssel werden als abgelaufen moniert.“ geändert.

    Die Information, dass es sich hier um einen Schlüssel handelt, dessen Laufzeit du selbst verlängert hast, hättest du hier auch geben können, nicht nur im Bug.

    Rasche Abhilfe könnte ein neues Profil liefern, in das du den Schlüssel dann hoffentlich wieder importieren kannst.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Hallo Susi,

    vielen Dank für den Link!

    Ich finde hierzu (umstellen auf SHA-2) weder entsprechende Einstellungsmöglichkeiten in Thunderbird, noch in Kleopatra. Wie muss ich die gnupg.conf editieren? Kannst Du mir vielleicht nochmal genaue Tipps geben, was ich hier genau eintragen muss und wie ich dann vorzugehen habe?

    Problem war bislang immer, dass ich meine Schlüssel mit Kleopatra gar nicht ordentlich verlängert bekommen habe (die Unterschlüssel hatten nie das gewünschte Enddatum), nur mit Hilfe von Enigmail in Thunderbird.

    Jetzt war ich eigentlich schon die ganze Zeit über darauf gespannt, wie sich Thunderbird mit der integrierten Verschlüsselung dieses Problems annimmt. Offenbar hat man sich diesbezüglich noch überhaupt keine Gedanken gemacht? Auf der derzeitigen Eben halte ich das Problem jedenfalls für überhaupt nicht anwenderfreundlich?

    --

    Frohe Ostern,

    Fips

    Also zunächst mal, ich habe die Information, dass SHA-1 seitens RNP als invalid angesehen wird, dem Bug entnommen. Mir war das zuvor auch nicht bekannt. Es betrifft mich auch nicht.

    Ob das in deinem Fall die Ursache ist, weiß ich nicht. Es spricht aber einiges dafür. Deine Schlüssel haben ja offensichtlich digest algo 2. Jedoch würde ich abwarten, was die Entwickler dazu sagen.

    Dann, mein alter Beitrag stammt aus dem Jahr 2017. Damals hat Thunderbird noch GnuPG verwendet. Das ist nun seit einiger Zeit nicht mehr der Fall. Das heißt, die gnupg.conf interessiert den Thunderbird nicht mehr.

    (Man kann das Verwenden von gnupg gegenwärtig meines Wissens noch erzwingen. Das dient aber in erster Linie der noch nicht unterstützten Benutzung von Smartcards und wird vermutlich irgendwann entfallen.)

    Wenn also RNP das alte SHA-1 für neue Schlüssel nicht mehr unterstützt und auch eine Verlängerung alter Schlüssel nicht mehr zulässt, wirst du nicht darum herumkommen, neue Schlüssel zu erstellen. Das wäre vielleicht eh mal angesagt. SHA-1 ist schon ziemlich lange "tot".

    Zitat von felbre

    Auf der derzeitigen Eben halte ich das Problem jedenfalls für überhaupt nicht anwenderfreundlich?

    Dann muss ich nochmal etwas kleinlich sein, unserer Sprache zuliebe. Eine Aussage mit einem Fragezeichen abzuschließen, ergibt keinen Sinn. Wenn es eine Frage sein sollte, dann solltest du sie auch als solche formulieren.

    Falls du damit einen Unmut gegenüber Thunderbird zum Ausdruck bringen wolltest, bedenke, dass RNP nicht von Mozilla/Thunderbird entwickelt wird.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Bei der Gelegenheit sollte man sich auch mal ansehen, ob der Typ und die Schlüssellänge noch zeitgemäß sind:[box]

    gpg --list-signatures <keyid> | grep -E "^(p|s)ub"[/box]

    Folgendes Problem: ich habe die Schlüssel aktualisiert wie bei Heise angegeben. In Kleopatra werden sie offenbar korrekt angezeigt. Aber in Thunderbird lassen sie sich nicht importieren (das hat ja jetzt offenbar eine eigene Schlüsselverwaltung?).


    Beim Hochladen auf den Schlüsselserver kommt folgende Fehlermeldung (unter openSuSE-LInux):


    Code:

    Code
    Die Ausgabe von /usr/bin/gpg2 lautet: gpg: WARNUNG: Unsichere Zugriffsrechte des Home-Verzeichnis `/home/fips/.gnupg' gpg: sende Schlüssel CEF760F286FAEF27 auf hkps://hkps.pool.sks-keyservers.net gpg: Senden an Schlüsselserver fehlgeschlagen: Server zeigt einen unbestimmten Fehler

    WAS SAGT UNS DAS?

    Problem gelöst: in der Standardinstallation existiert KEINE gpg.conf. Ich hatte deshalb die gpg-agent.conf editiert. Unter Windows wurde das beim Start von Kleopatra als Fehler ausgewiesen. Mit der korrekt konfigurierten gpg.conf klappt jetzt alles einwandfrei unter Windows 10 (so wie bei Heise.de beschrieben). Linux werde ich nachher noch testen…

    Einmal editiert, zuletzt von felbre (17. April 2022 um 23:59)

    Zitat von felbre

    Problem gelöst:

    Nein, du hast das Problem nicht gelöst. Du hast es eher versteckt. Besser wäre gewesen, du hättest gleich den Rat befolgt, die Schlüssel neu zu erstellen. Dieser Trick ist nicht nur recht aufwendig, was man schon daran sieht, dass die Anleitung 3 Seiten hat. Er ist auch suboptimal. Nicht umsonst schreibt Heise gleich zu Beginn:

    Zitat

    Das einfachste ist, sich neue Schlüssel mit dem aktuellen GPGv2 zu erstellen, das aus Sicherheitssicht sinnvolle Voreinstellungen hat.

    Auf den Keyservern wird der alte SHA-1 Hash durch das erneute Hochladen nicht gelöscht. Es wird nur der neue hinzugefügt. Auch das erwähnt der Artikel. Auch eventuelle Beglaubigungen anderer mit SHA-1 bleiben erhalten.

    Außerdem unterstützt Thunderbird diese Keyserver eh nicht. Das heißt, deine Kommunikationspartner haben, sofern sie Thunderbird benutzen, nach wie vor den alten SHA-1 Key. Ganz peinlich wird es, wenn der alte Schlüssel auch noch einen schwachen Algorithmus für die Verschlüsselung verwendet.

    Die gpg.conf greift nur bei gpg. Auch dazu nochmals der Hinweis, dass der Thunderbird kein gpg mehr benutzt, sondern RNP.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Problem gelöst: in der Standardinstallation existiert KEINE gpg.conf. Ich hatte deshalb die gpg-agent.conf editiert. Unter Windows wurde das beim Start von Kleopatra als Fehler ausgewiesen. Mit der korrekt konfigurierten gpg.conf klappt jetzt alles einwandfrei unter Windows 10 (so wie bei Heise.de beschrieben). Unter openSuSE Linux funktioniert es ebenfalls.

  • Community-Bot 3. September 2024 um 20:50

    Hat das Thema geschlossen.