Kommando keytocard fehlgeschlagen, fehlerhafter Schlüssel

Nitrokey Storage
Ich habe letztens zwei nitrokey storage gekauft. Test mit dem Ersten:

  • Auf sicherem (offline) Lubuntu system mit gpg einen Hauptschlüssel und zwei Unterschlüssel RSA 4096 bit erzeugt und ein Backup angelegt.
  • mit keytocard diese drei Schlüssel auf den nitrokey storage geschoben. Alles prima
  • Thunderbird unter Ubuntu 22.04 LTS mit Gnome überredet mit dem nitrokey zusammenzuarbeiten (verwendet ja bekanntlich seit Verision 78 nur noch
    einen Schlüssel grmpf) Signieren und Verschlüsseln klappt.

Dann wollte ich diesen Vorgang mit meiner zweiten Emailadresse wiederholen. Gleiches Prozedere
aber beim keytocard Kommando für den Hauptschlüssel erhalte ich die Meldung: “Kommando fehlgeschlagen, fehlerhafter Schlüssel” Der Schlüssel ist fehlerhaft.
Daraufhin habe ich den Schlüssel auf dem sicheren System geprüft (Kleopatra usw.) er funktioniert einwandfrei. Was mache ich falsch? habe mir dann mal den Status des leeren nitrokey storage angeschaut. unter RSA type steht RSA 2048… kann es daran liegen ?
Mit freundlichen Grüßen
Kay Sterzik

Uh, debugging mit GnuPG ist schwierig. Ich mache normalerweise 2 Sachen um zu schauen was eigentlich los ist:

  • gpg-agent und scdaemon stoppen mit gpgconf --kill all
  • $HOME/.gnupg/gpg-agent.conf editieren und dort zwei Zeilen reinschreiben: log-file /tmp/agent.log und debug 0xffff
  • $HOME/.gnupg/scdaemon.conf editieren und dort auch was: log-file /tmp/scdaemon.log und debug 0xffff
  • Der Vorgang wiederholen.
  • Vorsicht! die /tmp/agent.log und /tmp/scdaemon.log Dateien werden Geheimnisse beinhalten! Auf keinem Fall die Dateien hier oder sonstwo posten.

In /tmp/scdaemon.log und /tmp/agent.log nach der Fehlermeldung suchen und schauen, was genau da vorher passiert ist.

Es wäre auch Hilfreich folgendes bereitzuhalten:

  • Die genaue GPG Version
  • Die Kommandos und ausgaben (nicht nur die Story) - damit kann jemand versuchen es nachzustellen
1 Like