Gpg: decryption failed: No secret key


#1

Hallo,
ich habe erfolgreich auf dem Nitrokey per Kommandozeile ein Schlüsselpaar erzeugt; dieses taucht auch in der enigmail-Schlüsselverwaltung auf; ich konnte den public key exportieren und an meine Kontakte verschicken - aber jetzt findet enigmail den secret key nicht, wenn ich eine mit diesem Schlüssel chiffrierte mail erhalte. Habe in Thunderbird in den Verschlüsselungsoptionen testweise den neuen Schlüssel ausgewählt und dem entsprechenden Konto zugewiesen - gleiches Ergebnis. Eigentlich müsste doch, wenn eine e-mail eintrifft, die mit dem auf dem Nitrokey gespeicherten Schlüssel verschlüsselt wurde, die PIN-Abfrage in Gang gesetzt werden; das passiert aber nicht. Ich erhalte lediglich die Meldung: gpg: decryption failed: No secret key. Ich habe bei der Schlüsselerstellung darauf verzichtet, meinen Namen einzutragen, habe nur die e-mail-Adresse des Accounts angegeben, auf den sich der Schlüssel bezieht - aber daran kann es doch nicht liegen, oder? Muss man vielleicht beim Schlüsselexport etwas beachten? Aber exportiert wird doch ohnehin nur der öffentliche Teil des encryption keys, oder?

Freue mich über jeden Tipp.
Danke und Gruß
Hartknopf


#2

Hallo @Hartknopf,

das Weglassen der E-Mail-Adresse sollte keine Probleme machen (eben auch noch einmal getestet).

Die Fehlermeldung sagt, dass der entsprechende private Schlüssel nicht gefunden werden konnte. Dem entsprechend sollte der Schlüssel in der Schlüsselverwaltung fehlen. Bitte lasse dir über die Enigmal-Sicherheitsinfo (am oberen rechten Rand der Nachrichten auf Details klicken) die Kennung der Schlüssel, mit denen die Mail verschlüsselt wurde, anzeigen und vergleiche diese mit dem Schlüssel in deinem Schlüsselring.

Du kannst auch versuchen dir selbst eine Mail zu schreiben, um sicherzustellen, dass nicht einfach deine Kommunikationspartner die Mail versehentlich nicht mit deinem aktuellen Schlüssel verschlüsselt haben oder ähnliches. Das Problem scheint hier jedenfalls nicth der Zugriff auf den Nitrokey zu sein, sondern dass der verwendete Schlüssel nicht im Schlüsselring ist.

Liebe Grüße
Alex


#3

Danke für die Antwort. Irritierend ist, dass der Schlüssel durchaus im Schlüsselring auftaucht. Heute fiel mir auf, dass der private Schlüssel dann nicht gefunden wird, wenn mein Reiner-Kartenleser mit dem Rechner verbunden ist. Kartenleser und Nitrokey konfligieren offenbar (gpg card-status gibt jedenfalls eine Fehlermeldung aus, wenn der Kartenleser aktiv ist). Wenn auf den Nitrokey zugegriffen werden soll, muss also vorher der Kartenleser vom Rechner getrennt werden.

Viele Grüße
Hartknopf


#4

Hi,

GnuPG hat keinen Mechanismus den Nutzer zu fragen, welcher Kartenleser verwendet werden soll. Deshalb verwendet GnuPG den (für ihn) ersten Kartenleser.

Nun kommt es darauf an, ob du beide Leser das eine oder andere Mal benötigst. Im Arch Linux wiki und in der GnuPG Anleitung wird beschrieben, dass die Variable ‘reader-port 32768’ in der Konfiguariontsdatei scdaemon.conf helfen könnte (ich weiß leider nicht, welches Betriebssystem du verwendest, sag Bescheid, falls du Hilfe mit dem Speicherort der Datei brauchst).

Allerdings weist dies GnuPG nur an, den ersten USB Reader zu verwenden. Wenn beides USB Reader sind hilft das natürlich nicht :blush: Vielleicht schaust du mal, was passiert, wenn du ‘reader-port 32769’ in die Datei einträgst…

Wenn du beide Leser brauchst, kenne ich gerade auch keine bessere Lösung, als jeweils den nicht benötigten Leser zu entfernen :thinking:

Liebe Grüße
Alex