OpenPGP-SmartCard V2.0 unter Ubuntu 10.04
GnuPG auf mehreren PCs
Wird GnuPG mit derselben Chipkarte auf mehreren PCs genutzt, muss die Datei ~/.gnupg/pubring.gpg auf alle PCs kopiert werden.
Mögliche Probleme und Lösungen
Die Chipkarte kann verloren gehen oder ist defekt, oder die Festplatte ist defekt.
Chipkarte defekt oder verloren
Eine neue Chipkarte besorgen und den gesicherten Verschlüsselungs-Schlüssel (Encryption key) auf eine neue Chipkarte schreiben, somit ist es mindestens möglich, verschlüsselte Dateien zu entschlüsseln. Die Key-ID muss bekannt sein, oder die Key-ID auslesen mittels:
~$ gpg2 --list-keys pub 2048R/XXXXXXXX 2010-12-16 ~$ gpg2 --card-status ~$ gpg2 --edit-key <Key-ID> Befehl> toggle Befehl> bkuptocard /media/usbxxx/sk_xxxxxxxxxx.gpg 2 Befehl> save
Karte ziehen und wieder stecken, Daten der neuen Chipkarte listen:
~$ gpg2 --card-status
Den alten geheimen Schlüssel der Karte verschieben, wegen der Seriennummer der Karten:
~$ mv ~/.gnupg/secring.gpg ~/.gnupg/secring.gpg.alt ~$ gpg2 --card-status
Nun können verschlüsselte Dateien entschlüsselt werden. Danach sollte, wenn die Daten der Chipkarte auf einem Schlüssel-Server bekannt sind, die Chipkarte mit dem Rückruf-Zertifikat für ugültig erklärt werden. Nach diesen Schritten können nun wieder neue Schlüssel, wie beschrieben, auf dieser Chipkarte erstellt werden.
Festplatte defekt
Nach der Neuinstallation die Datei pubring.gpg vom USB-Stick in das Verzeichnis ~/.gnupg kopieren:
~$ cp -p /media/usbxxx/pubring.gpg ~/.gnupg/
In Thunderbird sollte der Assistent unter
ausgeführt werden, damit der neue Schlüssel als Standard verwendet wird.OpenPGP-SmartCard V2.0 zurücksetzen
Man kann einen Factory Reset durchführen, um die Karte in den Zustand Fabrikneu zu bringen. Die folgende Beschreibung wurde den GnuPG Mailing List Archives entnommen.
Bitte beachten, diese Beschreibung setzt eine Karte der Version 2.0 voraus. Diese Befehle NICHT mit einer Karte der Version 1 ausführen, da die Karte sonst zerstört wird!
Nur die Zeichen hinter dem >
-Prompt eingeben und die Ausgabe beobachten. Sollte nach den ersten vier Eingabezeilen die Ausgabe nicht auf 83 (D[0000] 69 83)
wechseln, die vorherige Befehlszeile so oft wiederholen, bis die Ausgabe auf 83 wechselt. Das kann auch nach den drei darauffolgenden Zeilen passieren, auch hier muss die Ausgabe auf 83 wechseln.
~$ gpg2 --card-status ~$ gpg-connect-agent --hex > scd apdu 00 20 00 81 08 40 40 40 40 40 40 40 40 D[0000] 69 82 i.OK > scd apdu 00 20 00 81 08 40 40 40 40 40 40 40 40 D[0000] 69 82 i.OK > scd apdu 00 20 00 81 08 40 40 40 40 40 40 40 40 D[0000] 69 82 i.OK > scd apdu 00 20 00 81 08 40 40 40 40 40 40 40 40 D[0000] 69 83 i.OK > scd apdu 00 20 00 83 08 40 40 40 40 40 40 40 40 D[0000] 69 82 i.OK > scd apdu 00 20 00 83 08 40 40 40 40 40 40 40 40 D[0000] 69 82 i.OK > scd apdu 00 20 00 83 08 40 40 40 40 40 40 40 40 D[0000] 69 83 i.OK > scd apdu 00 e6 00 00 D[0000] 90 00 ..OK > scd apdu 00 44 00 00 D[0000] 90 00 ..OK > bye OK closing connection > quit
Die Chipkarte (den Stick) ziehen und neu stecken, dann die Chipkarte auslesen:
~$ gpg2 --card-status
Nun sollte eine fabrikneue Chipkarte angezeigt werden.