Hallo zusammen,
schon länger versuche ich, den Schlüssel, den ich auf dem Crypto-Stick V.1.0 generiert habe, in den V.1.2 zu importieren.
Ich will also zwei Sticks mit gleichem Schlüssel (für 2 Computer). Mit “gpg(2) --edit-card key ID” und “addcardkey”
komme ich immer an den gleichen Punkt: Nach ein paar Schritten kommt die Aufforderung, den Stick V.1.0 einzulegen,
und dann wird ein Subkey (?) auf diesem erzeugt. Aber im V.1.2. ist der gewünschte Schlüssel natürlich nicht hinzugefügt.
Geht das überhaupt? Wenn ja, wie?
Vorausgesetzt Du hast ein Backup des Schluessels angelegt, funktioniert es. Das Backup musst Du auf dem v1.2 Stick importieren. Siehe: gnupg.org/documentation/manu … n-WRITEKEY
Merci für deinen Tipp jans!
Dachte schon, na dass geht ja einfach. Aber leider muss ich nochmal nachfragen.
Bei WRITEKEY --force] keyID kommt jedesmal:
WRITEKEY: Befehl nicht gefunden.
Habe dann mal mit “gpg --card-edit” und “admin” die Admin-Befehle erlaubt, aber auch hier kommt die gleiche Meldung. Was mache ich mit dem sec-pub-key, den ich damals tatsächlich gebackupt habe? Importiere ich den neu in die Schlüsselverwaltung, oder was sonst?
Aber vielleicht erstmal: Wieso wird der Befehl nicht gefunden? Muss ich noch was anderes voranstellen?
Writekey ist ein Befehl fuer Scdaemon, welches nicht enduserfreundlich ist. Hier geht es komfortabler mit GnuPG: gnupg.org/howtos/card-howto/ … #id2523191
Hi Jans,
total nett von dir, dass du nochmal weiter zu der Frage recherchiert hast, merci vielmals! Die keytocard-Option hatte ich allerdings vorher auch schon ausprobiert.
Es geht nur bis: “gpg: Geheimer Schlüssel ist bereits auf einer Karte gespeichert”, siehe unten. Das habe ich sowohl mit und ohne den “gebackupten” Schlüssel gemacht.
Kein Unterschied.
Scheint mir auch logisch, weil ja der gebackupte Schlüssel auf dem Crypto-Stick generiert wurde. Mir scheint deshalb, das geht nur, wenn der Schlüssel nicht auf dem
Stick erzeugt wurde, sondern wie üblich via GnuPG/Enigmail z.B.
Ausserdem weiß ich nicht, wie es sich mit dem Hinweis verhält, das nur 1024 RSA-Schlüssel für den Import unterstützt werden. Vielleicht ist das obsolet mittlerweile.
Falls nicht, wäre auch das jedenfalls wegen der bekannte “serious attack against SHA-1 digest algorithm” debian-administration.org/users/dkg/weblog/48 unbrauchbar.
Falls es dabei bleibt, dass der Import eines auf einem Crypto-Stick generierten Schlüssels in einen anderen Crypto-Stick nicht geht, wäre ein Hinweis auf der Crypto-Stick-Page angebracht, finde ich - bevor Leute wie ich, ihren Crypto-Stick-generierten Key überall verbreiten und dann doch wieder den nächsten nachschieben müssen.
Grüße
[code]Last login: Mon Oct 4 11:22:02 on console
— Profildatei wird eingelesen —
buero:~ home$ gpg2 --edit-key F4C8…
gpg (GnuPG/…) 2.0.14; Copyright © 2009 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Geheimer Schlüssel ist vorhanden.
pub 2048R/F4C8… erzeugt: 2010-02-17 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/DAE5… erzeugt: 2010-02-17 verfällt: niemals Aufruf: A
sub 2048R/BD84… erzeugt: 2010-02-17 verfällt: niemals Aufruf: E
uneing.] (1). name meine@mail.de
Befehl> toggle
sec 2048R/F4C8… erzeugt: 2010-02-17 verfällt: niemals
Kartennummer:0005 000002ED
ssb 2048R/DAE7… erzeugt: 2010-02-17 verfällt: niemals
Kartennummer:0005 000002ED
ssb 2048R/BD84… erzeugt: 2010-02-17 verfällt: niemals
Kartennummer:0005 000002ED
(1) name meine@mail.de
Befehl> keytocard
Den Hauptschlüssel wirklich verschieben? (j/N) j
Signature key …: E5B0 … … … … … … … … 7879
Encryption key…: 93CF … … … … … … … … 78AC
Authentication key: BA48 … … … … … … … … 0819
Wählen Sie den Speicherort für den Schlüssel:
(1) Unterschriften-Schlüssel
(3) Authentisierungs-Schlüssel
Ihre Auswahl? 3
gpg: WARNING: such a key has already been stored on the card!
Vorhandenen Schlüssel ersetzen? (j/N) j
gpg: Geheimer Schlüssel ist bereits auf einer Karte gespeichert
Befehl>[/code]
[quote=“Tira”]Ausserdem weiß ich nicht, wie es sich mit dem Hinweis verhält, das nur 1024 RSA-Schlüssel für den Import unterstützt werden. Vielleicht ist das obsolet mittlerweile.
Falls nicht, wäre auch das jedenfalls wegen der bekannte “serious attack against SHA-1 digest algorithm” debian-administration.org/users/dkg/weblog/48 unbrauchbar.[/quote]
Richtig, dieser Hinweis is veraltet.
Das geht; ueblicherweise auch ohne Probleme. Soweit ich Deinen Fall verstehe, ist dieses Szenario jedoch etwas ungewöhnlich, da GnuPG denkt, der Schluessel ist bereits auf dem Stick. Es gibt sicherlich einen Trick, wie man GnuPG doch dazu überredet. Könntest Du mal auf der GnuPG Users Mailingliste nachfragen? Ausserdem solltest Du Deine GnuPG Version dabei nennen.
Hi Jans,
jetzt haben wir es offiziell sozusagen:
Werner Koch schrieb:
On Tue, 5 Oct 2010 13:18, Tira said:
My question is: How can I import a key which was
generated on a crypto stick (containing an integrated smart card)
into another crypto stick?The whole point of generating keys on a smartcard is that it is
impossible to get it back out of the card - you may only use the
generated key with certain command provided by the smartcard.And thus you can’t import it to another smartcard.
Shalom-Salam,
Werner
Die zwei wichtigen Aussagen will ich nochmal in zwei Sätzen festhalten:
- Einen Key, den man auf einem Crypto-Stick generiert hat, kriegt man nicht mehr aus der Karte raus.
- Ein Key, der auf einem Crypto-Stick generiert wurde, ist nicht möglich auf einen anderen Crypto-Stick zu importieren.
Punkt. Höchste Zeit finde ich, dass das mal klargestellt wurde. Danke an Werner (Koch)!
Du hast beim erstellen auf dem Cryptostick ein Backup lokal auf die Festplatte zu speichern.
Dieses Backup kannst du verwenden um es auf einem weiteren Cryptostick zu importieren.
@Tira: Wie jans bereits in seiner ersten Antwort geschrieben hat:
Haste kein Backup angelegt, kommste nie wieder an privaten Key auf dem Stick ran und kannst ihn auch nicht mehr auf einen anderen Stick übertragen. Das ist ein wesentliches Sicherheitsfeature der OpenPGP-SmartCard und des CryptoStick und das ist kein Bug. (Doku lesen!)
Ja liebe Leute, ihr habt natürlich vollkommen recht, sorry!
Was Werner Koch geantwortet hat, ist ja eigentlich nichts neues - habs gestern auch nochmal im Privacy Handbuch nachgelesen. Steht da ja drin, wenn es heißt:
Dass “kein Zugriff auf diese Schlüssel mehr möglich” auch bedeutet Schlüssel kann 1. nicht exportiert oder 2. importiert werden (sofern kein backup auf einen externen Datenträger gemacht wurde!), versteht sich eigentlich von selbst, ist mir aber erst durch die Zeilen von WK richtig klar geworden. Das ist ja aus Sicherheitsgründen auch gut und wünschenswert.
Ich habe auf der GnuPG-Liste nicht klar genug meine Frage formuliert. Ich hätte mehr auf den Import des gebackupten (!) key´s fokussieren müssen. Jenes habe ich ja schon mehrere Male versucht, aber nicht hingekriegt, siehe oben.
Bevor ich jetzt aber viele weiter mit meinem Problem beschäftige, ziehe ich meine Frage zurück. Denn ich bin mir mittlerweile nicht mehr 100% sicher, ob der Key, wie ich ihn schön verschlüsselt in einem Container abgelegt hatte, wirklich der gebackupte ist, der im GnuPG-Verzeichnis abgelegt wurde. Denke schon, kann´s aber nicht ausschliessen.
Die GnuPG-Version mit dem ich den Schlüssel generiert habe, ist übrigens MacGnuPG 2.0.14
Habe wieder viel gelernt. Danke für eure Antworten. Ihr seid echt ein netter Verein.