Nitrokey Pro Widerrufszertifikat erstellen schlägt fehl

Hallo Forum,

leider kann ich von meinem GPG-Schlüssel zur Sicherung kein Widerrufszertifikat erstellen.

$gpg2 --gen-revoke >SchlüsselID< > revoke.asc

…

Ist das OK? (j/N) j
Ausgabe mit ASCII Hülle erzwungen
scdaemon[5772]: updating slot 0 status: 0x0000->0x0007 (0->1)
scdaemon[5772]: Der Fingerabdruck auf der Karte entspricht nicht dem angeforderten.
scdaemon[5772]: app_sign failed: Falscher geheimer Schlüssel benutzt
gpg: Beglaubigung fehlgeschlagen: Falscher geheimer Schlüssel benutzt
gpg: “make_keysig_packet” fehlgeschlagen: Falscher geheimer Schlüssel benutzt

$scdaemon[5772]: scdaemon (GnuPG) 2.0.28 angehalten

Sonst funktioniert soweit “alles”:

Ver- und Entschlüsseln von Dateien, eMails, gpg2-- card-status,…

Ich konnte im Forum und Netz leider keine Lösung finden. Hat jemand einen Tip für mich?

MfG

makrie

Hallo,

scheinbar willst du deine Schlüssel-ID nicht preisgeben, kann du dann aber trotzdem bitte mal anonymisiert ein paar mehr Details bereitstellten, z.B. --list-secret-keys und dann deinen Versuch.

gpg2 --list-secret-keys
 /home/login/.gnupg/secring.gpg
 ------------------------------
 sec#  4096R/A0000000 2015-09-27
 uid                  Name (Comment) <name@somehost.com>
 uid                  Name (Comment) <name@otherhost.org>
 uid                  [jpeg image of size 3259]
 ssb>  4096R/B0000000 2015-09-27
 ssb>  4096R/C0000000 2015-09-27
 ssb>  4096R/D0000000 2015-09-27

gpg2 --gen-revoke  0xA0000000 > revoke.asc

Hallo copyright,

anbei die gewünschte Information:

makrie@t430s:~$ gpg2 --card-status
scdaemon[2527]: updating slot 0 status: 0x0000->0x0007 (0->1)
Application ID …: D27600012401020100050000340D0000
Version …: 2.1
Manufacturer …: ZeitControl
Serial number …: 0000340D
Name of cardholder: makrie
Language prefs …: de
Sex …: männlich
URL of public key : -
Login data …: -
Signature PIN …: zwingend
Key attributes …: 4096R 4096R 4096R
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 2
Signature key …: 94BE E080 2FAC 7728 DDF6 2237 98C9 D02C B4A2 53F1
created …: 2015-10-11 12:06:07
Encryption key…: EA9F BF74 7D9C 7603 8312 3203 662E 0068 112E FA0D
created …: 2015-10-11 12:14:24
Authentication key: A672 8A25 F567 763F F198 883B 5E34 1B0C 086E C76B
created …: 2015-10-11 12:49:02
General key info…: pub 4096R/B4A253F1 2015-10-11 makrie makrie@posteo.de
sec> 4096R/D10E265D erzeugt: 2015-10-11 verfällt: niemals
Kartennummer:0005 0000340D
ssb> 4096R/B4A253F1 erzeugt: 2015-10-11 verfällt: 2016-10-10
Kartennummer:0005 0000340D
ssb> 4096R/112EFA0D erzeugt: 2015-10-11 verfällt: 2016-10-10
Kartennummer:0005 0000340D
ssb> 4096R/086EC76B erzeugt: 2015-10-11 verfällt: 2016-10-10
Kartennummer:0005 0000340D
makrie@t430s:~$ scdaemon[2527]: scdaemon (GnuPG) 2.0.28 angehalten

makrie@t430s:~$ gpg2 --list-secret-keys
/home/makrie/.gnupg/secring.gpg

sec> 4096R/D10E265D 2015-10-11
Kartenseriennr. = 0005 0000340D
uid makrie makrie@posteo.de
uid makrie ma.krie@posteo.de
ssb> 4096R/B4A253F1 2015-10-11
ssb> 4096R/112EFA0D 2015-10-11
ssb> 4096R/086EC76B 2015-10-11

makrie@t430s:~$ gpg2 --gen-revoke D10E265D > D10E265D.revoke.asc

sec 4096R/D10E265D 2015-10-11 makrie makrie@posteo.de

Ein Widerrufszertifikat für diesen Schlüssel erzeugen? (j/N) j
Grund für den Widerruf:
0 = Kein Grund angegeben
1 = Hinweis: Dieser Schlüssel ist nicht mehr sicher
2 = Schlüssel ist überholt
3 = Schlüssel wird nicht mehr benutzt
Q = Abbruch
(Wahrscheinlich möchten Sie hier 1 auswählen)
Ihre Auswahl? 0
Geben Sie eine optionale Beschreibung ein. Beenden mit einer leeren Zeile:

Grund für Widerruf: Kein Grund angegeben
(Keine Beschreibung angegeben)
Ist das OK? (j/N) j
Ausgabe mit ASCII Hülle erzwungen
scdaemon[2541]: updating slot 0 status: 0x0000->0x0007 (0->1)
scdaemon[2541]: Der Fingerabdruck auf der Karte entspricht nicht dem angeforderten.
scdaemon[2541]: app_sign failed: Falscher geheimer Schlüssel benutzt
gpg: Beglaubigung fehlgeschlagen: Falscher geheimer Schlüssel benutzt
gpg: “make_keysig_packet” fehlgeschlagen: Falscher geheimer Schlüssel benutzt
makrie@t430s:~$ scdaemon[2541]: scdaemon (GnuPG) 2.0.28 angehalten

Ich hoffe das hilft.

MfG

makrie

Ok, ich sehe du hast einen Masterkey und drei Subkeys. Nach Best-Pratices hast du vermutlich die Subkeys auf dem Nitrokey und Masterkey woanders.

Zum erstellen eines Widerrufszertifikats brauchst du ein Zertifikat zum Zertifizieren. Das hat aber nur der Masterkey. Auf deinem Nitrokey hast du also “nur” ein Schlüssel zum Signieren, Entschlüsseln und Authentifizieren.
Wie ich selber schmerzlich lernen musste ist in der GnuPG-Welt signieren und zertifizieren nicht das Gleich.

Du brauchst also deinen Masterkey dafür.

Hallo copyrights,

leider bin ich mit der Lösung des Problems noch nicht weiter.

OK. Ich benötige den Masterkey zur Zertifizierung des Widerrufs.

Ein gpg2 --list-secretkeys liefert:

/home/makrie/.gnupg/secring.gpg

sec> 4096R/D10E265D 2015-10-11
Card serial no. = 0005 0000340D
uid makrie makrie@posteo.de
uid ma.krie ma.krie@posteo.de
ssb> 4096R/B4A253F1 2015-10-11
ssb> 4096R/112EFA0D 2015-10-11
ssb> 4096R/086EC76B 2015-10-11

Ich schließe daraus das der Masterkey vorhanden ist. Nur wo? In secring.gpg oder auf dem Nitrokey? Wie kann ich ggf. darauf geziehlt zugreifen?

Exportiern lässt sich der Masterkey anscheinend:

gpg2 -a --export-secret-keys D10E265D > D10E265D.master.asc

Vielleicht kansst du mir einen erhellenden Tip geben?

MfG

makrie