Ich habe mir vor einiger Zeit eine gnupg smartcard gekauft, ist einfach cool so eine Karte ;) Diese verwendet ich jetzt, wie hier beschrieben mit subkeys.
Allerdings wirft das auch ein paar Fragen auf:
Ich kann die subkeys nicht sichern und z.B. auf eine neue Karte wieder aufspielen, ich habe mir also bevor ich die subkeys erzeugt habe den Hauptschlüssel als Backup gespeichert. Wenn jetzt die Karte nichtmehr funktioniert (ich denke irgendwann wird eine solche Karte auch das zeitliche segnen) und ich mir eine neue besorge kann ich mir aus dem backup neue subkeys erzeugen. Was soll ich jetzt beim Keysigning unterschreiben lassen? Den Hauptschlüssel oder die subkeys? Zumindest auf dem Keyserver sind ja die subkeys zusammen mit dem hauptschlüssel geführt, gelten die Hauptsignaturen dann auch für die subkeys? Wenn ich die subkeys auch signieren sollte würde das ja heißen, dass ich mein kompletten "Web-of-Trust" verlieren, wenn ich eine neue Karte und damit neue subkeys brauche, obwohl der eigentliche key der gleiche ist. Dann nochwas zu subkey. Als ich nur den hauptschüssel hatte, habe ich einfach diesen auf meiner Homepage veröffentlicht zusammen mit der key-id + fingerprint. Wie mache ich das jetzt mit den subkeys? Weiterhin den Hauptschlüssel veröffentlichen, sind da die subkeys mit dabei? Oder nur die subkeys und die key-id der subkeys? Wenn jemand über einen keyserver mit der key-id des Hauptschlüssels den public key holt, bekommt er dann auch die subkeys mit? Also wenn ich jetzt vollkommen auf subkeys+smartcard umsteige und jemand bisher nur meinen Hauptschlüssel hat, wird dieser dann automatisch wenn er eine mail von mir bekommt (vorausgesetzt der mailclient bzw. gnupg config kann das) aktualisiert so dass er auch die subkey mail lesen kann und wird diese als "vertraulich" behandelt wenn der Empfänger meinen Hauptschlüssel bereits akzeptiert hat?
Das waren jetzt ziemlich viele Fragen, aber so einfach die technische Umsetzung von smartcard+subkeys ist soviele Fragen im Umgang wirft es bei mir auf. Wäre schön wenn mir da jemand etwas weiterhelfen könnte.
Also der Gesamt-Key (aka Hauptkey) enthält auch die Subkeys. D.h. Du exportierst weiterhin den Gesamt-Key. Das ist auch mehr oder weniger der Nachteil, weil anscheinend immer der letzte/neueste Subkey automatisch zum encrypten verwendet wird. Fast keine GPG-Applikation erlaubt dem Absender die Auswahl des encryption keys, womit dann alle neuen verschlüsselten Mails nur noch mit der Smartcard decodierbar sind.
>Fast keine GPG-Applikation erlaubt dem Absender die Auswahl des encryption keys, womit dann alle neuen verschlüsselten Mails nur noch mit der Smartcard decodierbar sind.
Das ist kein Problem, ich kann ja in meiner gpg.conf eintragen, dass immer auch mit dem Hauptschlüssel verschlüsselt werden soll.
Ansonsten verstehe ich dich so, dass ich auch mit subkeys ganz normal mit dem Hauptschlüssel arbeite, also ich exportiere diesen. Als Erkennung gebe ich dessen ID und fingerprint an und ich lasse diesen Signieren und die signaturen gelten dann für den Hauptschlüssel und alle aktuellen und zukünftigen subkeys. Richtig?
[*] Du möchtest in aptitude nach font-Paketen suchen und sie installieren. [*] Du möchtest anschließend im KDE-Kontrollzentrum die Schriften an Deinen Geschmack anpassen
Von René van Bevern am Di, 4. April 2006 um 19:55 #
Hm, also "in meiner Kindheit" (und ich bin noch keine 80) wurde mir von Erziehern und Eltern immer beigebracht, man solle nicht das unhöfliche "du sollst" sondern das höflichere "du möchtest" verwenden. Aus dieser Sicht kann ich an der obigen Nachricht auch nichts aufzwingendes erkennen.
Das hilft nicht bei Anwendungen, die Xft verwenden (GNOME 2, KDE 3, ...). aptitude install msttcorefonts && dpkg-reconfigure fontconfig kommt da besser.
Diese verwendet ich jetzt, wie hier beschrieben mit subkeys.
Allerdings wirft das auch ein paar Fragen auf:
Ich kann die subkeys nicht sichern und z.B. auf eine neue Karte wieder aufspielen, ich habe mir also bevor ich die subkeys erzeugt habe den Hauptschlüssel als Backup gespeichert. Wenn jetzt die Karte nichtmehr funktioniert (ich denke irgendwann wird eine solche Karte auch das zeitliche segnen) und ich mir eine neue besorge kann ich mir aus dem backup neue subkeys erzeugen.
Was soll ich jetzt beim Keysigning unterschreiben lassen? Den Hauptschlüssel oder die subkeys?
Zumindest auf dem Keyserver sind ja die subkeys zusammen mit dem hauptschlüssel geführt, gelten die Hauptsignaturen dann auch für die subkeys?
Wenn ich die subkeys auch signieren sollte würde das ja heißen, dass ich mein kompletten "Web-of-Trust" verlieren, wenn ich eine neue Karte und damit neue subkeys brauche, obwohl der eigentliche key der gleiche ist.
Dann nochwas zu subkey. Als ich nur den hauptschüssel hatte, habe ich einfach diesen auf meiner Homepage veröffentlicht zusammen mit der key-id + fingerprint. Wie mache ich das jetzt mit den subkeys? Weiterhin den Hauptschlüssel veröffentlichen, sind da die subkeys mit dabei? Oder nur die subkeys und die key-id der subkeys? Wenn jemand über einen keyserver mit der key-id des Hauptschlüssels den public key holt, bekommt er dann auch die subkeys mit? Also wenn ich jetzt vollkommen auf subkeys+smartcard umsteige und jemand bisher nur meinen Hauptschlüssel hat, wird dieser dann automatisch wenn er eine mail von mir bekommt (vorausgesetzt der mailclient bzw. gnupg config kann das) aktualisiert so dass er auch die subkey mail lesen kann und wird diese als "vertraulich" behandelt wenn der Empfänger meinen Hauptschlüssel bereits akzeptiert hat?
Das waren jetzt ziemlich viele Fragen, aber so einfach die technische Umsetzung von smartcard+subkeys ist soviele Fragen im Umgang wirft es bei mir auf. Wäre schön wenn mir da jemand etwas weiterhelfen könnte.
Das ist auch mehr oder weniger der Nachteil, weil anscheinend immer der letzte/neueste Subkey automatisch
zum encrypten verwendet wird. Fast keine GPG-Applikation erlaubt dem Absender die Auswahl des encryption keys, womit
dann alle neuen verschlüsselten Mails nur noch mit der Smartcard decodierbar sind.
>Fast keine GPG-Applikation erlaubt dem Absender die Auswahl des encryption keys, womit
dann alle neuen verschlüsselten Mails nur noch mit der Smartcard decodierbar sind.
Das ist kein Problem, ich kann ja in meiner gpg.conf eintragen, dass immer auch mit dem Hauptschlüssel verschlüsselt werden soll.
Ansonsten verstehe ich dich so, dass ich auch mit subkeys ganz normal mit dem Hauptschlüssel arbeite, also ich exportiere diesen. Als Erkennung gebe ich dessen ID und fingerprint an und ich lasse diesen Signieren und die signaturen gelten dann für den Hauptschlüssel und alle aktuellen und zukünftigen subkeys. Richtig?
[*] Du möchtest anschließend im KDE-Kontrollzentrum die Schriften an Deinen Geschmack anpassen
HTH,
husky
[*] Du möchtest ....
..., dann hat jemand das "*" dahin gesetzt ohne mich zu fragen. Das ist herablassend und meiner unwürdig. Ich verstehe jeden, der dagegen opponiert!
apt-get install xfonts-.\*-transcoded
aptitude install msttcorefonts && dpkg-reconfigure fontconfig
kommt da besser.