Hallo,
zuerst mit “gpg --armor --output ...” privkey, subkeys, pubkey und revoke gesichert.
Dann mit “keytocard” den gpg-Schlüsselbund auf den Storage-Stick2 Nr.1 verschoben.

Die Handhabung habe ich geprüft. Wenn ich zB ein verschlüsseltes tar-Archiv entschlüsseln will, schreit er nach dem Nitokey. Das funktioniert alles.

Aus Sicherheitsgründen muss eine Sicherung auf einen zweiten Nitrokey-Storage2
Mit “gpg --import” den private-key importiert. Entschlüsseln der tar-Archive geht jetzt ohne Nitrokey.

Als ich nun den Schlüsselbund auf den zweiten Key verschieben will, passiert folgendes:
gpg --edit-key --expert <schlüsselname>
Geheimer Schlüssel ist vorhanden.

gpg> keytocard
Den Hauptschlüssel wirklich verschieben? (j/N) j
Wählen Sie den Speicherort für den Schlüssel:
   (1) Signatur-Schlüssel
   (3) Authentisierungs-Schlüssel
Ihre Auswahl? 1
gpg: Das KEYTOCARD Kommando schlug fehl: Unbrauchbarer geheimer Schlüssel

Uups. Was ist hier falsch gelaufen?

Hallo,

Es sieht so aus, als hätten Sie die privaten Daten dieses speziellen Schlüssels nicht importiert.
Normalerweise gibt es für OpenPGP-Schlüssel 3 Steckplätze, die mit verschiedenen Schlüsseln belegt werden können. Standardmäßig ist der Hauptschlüssel für das Signieren und die Authentifizierung zuständig, und ein Unterschlüssel arbeitet mit der Verschlüsselung.
In diesem Fall müssen Sie Ihren Verschlüsselungsschlüssel importiert haben, nicht aber den Hauptschlüssel, was zu einem solchen Verhalten führen könnte.
Die Liste des aktuellen geheimen Materials erhalten Sie durch Ausführen von:

$ gpg2 --list-secret-keys

Hi, es werden auch die beiden Subkeys (E, A) mit gelistet. Ich sehe da keinen Fehler.
Vielleicht geht meine Frage auch eher dahin: wie bekomme ich mehr debug-Infos?
Ein separates Logfile vielleicht.
Danke.

Das ich danach noch die Subkeys einzeln rausschreiben muss, weiß ich. Ich bin damals beim ersten Nitrokey-Storage2 streng nach https://www.kuketz-blog.de/zwei-schluessel-fuer-alle-faelle-nitrokey-teil1/ vorgegangen. Leider erzählt Meister Kuketz die Geschichte nicht bis zuende. Genau der Teil “schreiben auf einen zweiten Stick” fehlt.

Potenziell angeschlossen:

• Gpg does not replace subkey stubs with secret keys when importing secret keys
• https://security.stackexchange.com/questions/207138/how-do-i-delete-secret-subkeys-correctly
• https://docs.nitrokey.com/storage/linux/openpgp-key-generation-with-backup.html

Ich konnte die Situation erfolgreich auflösen. Es ist aber ein bißchen Magie dabei. Zuerst müssen auf dem Linux-System die Keys sauber gelöscht worden sein. Kein Verweis auf ein externes Device zB…
Erst danach die Backupdaten zurückspielen und auch erst wenn das vollständig ist, kann der private key auf den Stick geschoben werden. Die Anleitung ist also korrekt, es fehlen ab und an Zwischenschritte.