Probleme, wenn für den ausgewählten e-mailaccount schon ein OpenPGP-key existiert?


#1

Hallo,

ich möchte einen Nitrokey Pro unter Opensuse 42.3 verwenden, vor allem zur Mailverschlüsselung. Ich verschlüssele bereits meine e-mails, allerdings liegt der private Schlüssel auf dem PC, daher der Nitrokey. Dabei möchte ich den neuen Schlüssel dem mailaccount zuordnen, zu dem es bereits einen OpenPGP-Schlüssel gibt. Nun bin ich im privacy Handbuch auf folgende Bemerkung gestoßen: “Für diesen [E-mail-]Account darf kein(!) OpenPGP-Key vorhanden sein. Anderenfalls bricht der Vorgang mit einer Fehlermeldung ab.” Heißt das, ich müsste den alten Schlüssel erst löschen, bevor ich für diesen mailaccount einen neuen Schlüssel generieren kann? Oder nennt das Privacy-Handbuch hier ein Spezialproblem von Thunderbird und Enigmail, dem man dadurch ausweichen könnte, dass man die Schlüssel per Konsolenbefehle erzeugt? Anders gefragt: Können ein älterer und ein neuerer OpenPGP-Schlüssel zu ein und demselben account, von denen ersterer auf dem PC und letzterer auf dem Nitrokey gespeichert ist, nebeneinander existieren (in Enigmail)? Hat jemand mit dieser Konstellation Erfahrung?

Danke schön und Gruß
Hartknopf


#2

Hi Hartknopf,

zunächst: bitte lege ein Backup deines Schlüssels an, bevor du fortfährst! :smile:

Ich weiß nicht, was für ein Privacy-Handbuch du meinst, um ehrlich zu sein. Aber wenn ich dich richtig verstehe, möchtest du deinen bestehenden Schlüssel weiterverwenden und den in Zukunft nur noch auf deinem Nitrokey liegen haben (vermutlich + ein Backup irgendwo außerhalb eines am Internet angeschlossenen Gerätes, falls der Nitrokey verloren geht).

Hierfür solltest du einen weiteren Subkey erstellen (für Authentication) und diesem samt dem Sign/Cert und dem Encryption key auf den Nitrokey übertragen. Klingt unangenehm? Ein wenig hakelig ist es schon, aber es ist machbar…
Ich lade vermutlich im Laufe des Tages ein Video hoch, dass das Prozedere zeigt. Ansonsten ist leider diese veraltete Anleitung immer noch das beste, das ich kenne…

Liebe Grüße
Alex


#3

Lieber Alex,

danke für Deine Antwort. Ich beziehe mich auf diesen Abschnitt im Privacy Handbuch https://www.privacy-handbuch.de, in dem der Nitrokey vorgestellt wird: https://www.privacy-handbuch.de/handbuch_32r.htm.

Stimmt, ich möchte meinen bestehenden Schlüssel zwar weiterverwenden können, aber zugleich für denselben Account einen neuen erzeugen, der von vornherein auf dem Nitrokey gespeichert wird. Mir schien dies einfacher, als den alten Schlüssel in den Nitrokey zu importieren. Außerdem hätte ich für diesen Account sowieso gerne einen neuen Schlüssel; will aber den alten nicht annullieren.

Die Frage ist also, ob das so geht, wie ich mir das vorstelle. Oder ob ich mich zwingend zwischen Import des alten und Neuerzeugung eines neuen Schüssels entscheiden muss.

Danke jedenfalls schon einmal für den Hinweis auf die Anleitung. Auf das Video bin ich gespannt.

Viele Grüße
Hartknopf


#4

Hi,

hast du es denn bereits ausprobiert? Das hört sich für mich wie ein Software-Fehler an, der vermutlich bereits behoben ist. Bei mir hat es zumindest eben funktioniert.

Du willst ja letztlich mit dem alten Schlüssel verschlüsselte Mails weiterhin entschlüsseln können. Thunderbird sollte automatisch erkennen, welcher Schlüssel zu verwenden ist. Für neue Mails sollte dann automatisch der Nitrokey verwendet werden.

Den Schlüssel direkt auf dem Nitrokey zu erstellen (ohne Backup) ist natürlich sicherer insofern, dass der Key nie außerhalb der speziell geschützten Smartcard lag. Wenn das Szenario des Verlustes oder Defekts des Geräts verkraftbar ist, ist das sicherlich eine gute Wahl.

(Video folgt dennoch :wink:)

Liebe Grüße
Alex


#5

Ja, ich hatte es ausprobiert und tatsächlich gab Thunderbird/Enigmail eine Fehlermeldung aus, die ich aber nicht einschätzen konnte. Umso erfreulicher, wenn Du diese Fehlermeldung nicht bestätigen kannst. Das spricht ja dafür, dass es sich um kein grundsätzliches Problem handelt. Ich werde es also erneut versuchen, ggf. über die Kommandozeile.

Danke nochmals für die Unterstützung und viele Grüße
Hartknopf


#6

Sorry für die Verspätung. Hier erst einmal ein kleines Video. https://asciinema.org/a/174556
Später werden wir das auch noch auf die Webseite stellen…