GnuPG: Verschlüssen geht, aber Fehlermeldung beim Signieren

bei mir scheint ein grds. problem vorzuliegen. war zwar schon immer so mit den zwie schlüsseln und hat bisher alls gefunzt, aber jetzt wirds vogelwild.

wie kann man die sache bereinigen? hast du dazu ideen?

Und wobei klappt jetzt twas nicht? Einige Schritte zum Nachstellen, bitte.

Bei mir dins immer zwei Schlüssel beim Verschlüsseln verwendet, der eigene Abseinder und der des Empfängers.

Klappt zu Entschlüsseln bei 11.0.3 32bit und GnuPG aus GPG4Win 4.3.0.

mail@ hat irgendwie 2 schlüssel s.o.

A4... = pub

09... = sub

wieso the bat diese aber zur auswahl stellt erschließt sich mir nicht.

andere mailadresse:

...@gmx.de

an ...@gmx.de kann ich von mail@ senden: 1. nur signiiert, 2. nur verschlüsselt und 3. signiert und verschlüsselt.

nun sende ich von ...@gmx.de an mail@. versenden 1. nur signiert. 2. nur verschlüsselt und 3. signiert und verschlüsselt an mail@ funktioniert ohne fehlermeldung von seite the bat.

jetzt rufe die drei mails die von ...@gmx.de an mail@... gegangen sind ab. folgendes passiert:

zu 1:

korrekte unterschrift von ...@gmx.de

zu 2:

gpg: verschlüsselt mit 8192-Bit RSA Schlüssel, ID 09xxxxx, erzeugt 2014-05-25 " <mail@>"

gpg: Entschlüsselung mit Public-Key-Verfahren fehlgeschlagen: Falsche Passphrase

gpg: Entschlüsselung fehlgeschlagen: Geheimer Schlüssel ist nicht vorhanden

zu 3:

gpg: verschlüsselt mit 8192-Bit RSA Schlüssel, ID 09xxxxx, erzeugt 2014-05-25" <mail@>"

gpg: Entschlüsselung mit Public-Key-Verfahren fehlgeschlagen: Falsche Passphrase

gpg: Entschlüsselung fehlgeschlagen: Geheimer Schlüssel ist nicht vorhanden

2 und 3 verlangt wohl den schlüssel A4....

Es gibt immer zwei RSA-Unterschlüssel, einer zum Verschlüsseln, einer zum Beglaubigen+Signieren.

Aber bei mir kommt keine Schlüsselauswahl in The Bat!.

Schon mal in Kleopatra nachgesehen, bei dem Hauptschlüssel, unter Details → Weitere Details…, ob da ein Unterschlüssel abgelaufen ist?

hab nun gnupg 2.4.3 installiert und nun gehts! wtf. doch nicht. eben kam immer die GnuPG pw eingabemaske, jetzt wieder das TheBat eigene.

Wie viele Schlüssel existieren denn für mail@.....

gpg -K mail@......

gpg -k mail@......

oder ist mail@.... deines oder ein anderer Empfänger?

Benutzt du The Bat!s OpenPGP-Einstellungen → Immer mit Standarschlüssel verschlüsseln - so gehört sichs nämlich.

Hast du irgendwelche Schlüssel in der gpg.conf gesetzt als Standard?

Hast du mal Private Schlüssel gelöscht, weil du die nicht mehr brauchtest oder auf 8192bits upgraded hast?

Ich lösche abgelaufene nie und wenn ich meine Schlüssel upgrade, dann lasse ich die alten auch drauf.

Ich habe sonst keine Idee, warum The Bat! dir zwei Schlüssel zur Auswahl vorschlägt,

Zitat von GwenDragon

Wie viele Schlüssel existieren denn für mail@.....

gpg -K mail@......

gpg -k mail@......

oder ist mail@.... deines oder ein anderer Empfänger?

Benutzt du The Bat!s OpenPGP-Einstellungen → Immer mit Standarschlüssel verschlüsseln - so gehört sichs nämlich.

Hast du irgendwelche Schlüssel in der gpg.conf gesetzt als Standard?

Hast du mal Private Schlüssel gelöscht, weil du die nicht mehr brauchtest oder auf 8192bits upgraded hast?

Ich lösche abgelaufene nie und wenn ich meine Schlüssel upgrade, dann lasse ich die alten auch drauf.

Ich habe sonst keine Idee, warum The Bat! dir zwei Schlüssel zur Auswahl vorschlägt,

Alles anzeigen

C:\Users\x>gpg -K mail@xxxxx.xxx

sec rsa8192 2014-05-25 [SCEA]

76EH)uHKSS68B6XXXXXXXXXXTUUZR6572A

uid [ ultimativ ] <mail@xxxxx.xxx>

ssb rsa8192 2014-05-25 [SEA]

mail@xxxxx.xxx ist meines.

gpg.conf:

display-charset UTF-8

default-key 0xUUUZSHSSNJS11

"Hast du mal Private Schlüssel gelöscht, weil du die nicht mehr brauchtest oder auf 8192bits upgraded hast?

Ich lösche abgelaufene nie und wenn ich meine Schlüssel upgrade, dann lasse ich die alten auch drauf."

gute frage! fand 8192bits mal ein herrliches projekt. die genauen details kann ich nicht mehr erinnern. frage wäre, wie ich für mail@xxxxx.xxx mal eine bereinigung hinbekomme. vielleicht mal neue schlüssel erzeugen. den alten möchte ich tatsächlich (läuft nie aus) nicht löschen... idee wie man das korrekt angehen kann?

Zitat von Liquid Soul

default-key 0xUUUZSHSSNJS11

Mach mal ein # davor um auszukommentieren
Und prüfe dann.

Es sollte eigentlich default-recipient-self reichen.
Warum der Key als Default?

Zitat von Liquid Soul

gute frage! fand 8192bits mal ein herrliches projekt. die genauen details kann ich nicht mehr erinnern. frage wäre, wie ich für mail@xxxxx.xxx mal eine bereinigung hinbekomme. vielleicht mal neue schlüssel erzeugen. den alten möchte ich tatsächlich (läuft nie aus) nicht löschen... idee wie man das korrekt angehen kann?

Die alten revoken, aber nicht lokal löschen, dann neue generieren. Leider.

Hattee ich 2013 (Snowden sei dank) auch so gemacht, weil die Schlüssellänge mit 1024 zu gering war.

ich werde noch kirre!

gpg: "9AXXXXXXX" wird als voreingestellter geheimer Signaturschlüssel benutzt

gpg: Beglaubigung fehlgeschlagen: Falsche Passphrase

gpg: [stdin]: clear-sign failed: Falsche Passphrase

Zitat von GwenDragon

Ich weiß nur nicht wie ich da was debuggen kann

So vielleicht:

Guckt mal, ob Ihr die Konfigurationsdateien von GnuPG findet:

c:\users\<Dein windows Username>\AppData\Roaming\gnupg\

Dort sollte es eine Datei namens:

1. gpg.conf
2. gpg-agent.conf

geben. The BaT!, GnuPG, Kleopatra etc. beenden, ggf. im Taskmanager das beenden erzwingen.

Sollte es diese Dateien nicht geben, dann danach suchen!

Gibt es diese immer noch nicht, dann in dem o.g. Verzeichnis (Ordner) anlegen.

Mit einem Texteditor, ich empfehle Notepad++, diese beiden Dateien bearbeiten:

gpg.conf:

Folgende Zeilen suchen und ggf. ändern. Falls nicht vorhanden, einfügen:

#### Select the debug level for investigating problems.

debug-level 20

#debug-level none

und

#### The logger data is written to file.

logger-file "c:\<Dein windows Username>\Downloads\TB-GnuP_VERBOSE.log"

#logger-file "z:\home\joerg\log\tb_appdb_gpg.log"

(Hier muss ein für Deinen Windows-User beschreibbarer Pfad drin stehen!).

Ähnliches für den GPG-Agent:

gpg-agent.conf

#### Select the debug level for investigating problems.

debug-level 20

#debug-level none

und

#### Append all logging output to file.

log-file "c:\<Dein windows Username>\Downloads\TB-GnuPG-Agent_VERBOSE.log"

#log-file "z:\home\joerg\log\tb_appdb_gpg-agent.log"

Falls die o.g. Zeilen nicht vorhanden sind:

einfügen. Zeilen, die mit einer Raute (#) beginnen, sind (meine) Kommentare.

Je höher die Zahl bei debug-level ist, desto mehr Informationen gibt es, max. ist 20. log-file ist eine Logdatei. Später dann, wenn alles wieder gut™ ist, auf none setzen, oder diese eingefügten Zeilen wieder löschen.

Quelle: GPG options

sotel Ja, stimmt, den Debuglevel hochsetzen,

Ich probiere später mal was aus.

Ausschnitt:

gpg: DBG: [no clock] enter signing
gpg: DBG: chan_0x00000284 -> PKSIGN
gpg: DBG: chan_0x00000284 <- S INQUIRE_MAXLEN 255
gpg: DBG: chan_0x00000284 <- INQUIRE PASSPHRASE
gpg: DBG: chan_0x00000284 -> D äöü
gpg: DBG: chan_0x00000284 -> END
gpg: DBG: chan_0x00000284 <- ERR 67108875 Falsche Passphrase <GPG Agent>

Ich frage mal den Entwickler von GPG4Win wie das genauer debuggt werden kann.

Zitat von GwenDragon

Ich frage mal den Entwickler von GPG4Win wie das genauer debuggt werden kann.

OK.

Ich hatte den Verdacht, das es evtl. einen Bug in GnuPG gibt, hab zwar das hier gefunden, aber noch keine weiteren Infos dazu:

Gpg.exe hanging

Ist jetzt allerdings meine reine Spekulation....!

Sollten an meinen Vermutungen allerdings etwas dran sein, dann wird's kompliziert:

zwei kaputte Programme, die miteinander kommunizieren (sollen) sind schwerer zu (er)fassen und zu debuggen.

Zitat von sotel

ch hatte den Verdacht, das es evtl. einen Bug in GnuPG

Ich habe schon im Bugtracker auf https://dev.gnupg.org/ mich narrisch gesucht. Da ist nichst dazu.

Liquid Soul Ich buddle ohne Sinn gerade im Karnickelbau – wenn's gerade nix mit den Passwörtern zu tun hat, aber deine eigenen Schlüssel haben schon den Trustlevel Ultimate, und die Empfänger einen Level, sodass du verschlüsseln darfst.

Zitat von GwenDragon

Liquid Soul Ich buddle ohne Sinn gerade im Karnickelbau – wenn's gerade nix mit den Passwörtern zu tun hat, aber deine eigenen Schlüssel haben schon den Trustlevel Ultimate, und die Empfänger einen Level, sodass du verschlüsseln darfst.

sollte passen, oder? 09... und A4... zwei schlüssel zu einer mailadresse (mail@....) die da immer wieder durcheinander funken.

Ich habe auch mal auf https://forum.gnupg.org/t/how-to-debug…wrong-encoding/ gefragt.

Zitat von Liquid Soul

09... und A4... zwei schlüssel zu einer mailadresse (mail@....) die da immer wieder durcheinander funken.

Für dieselbe Mailadresse zwei Schlüssel?

Wenn du mal gpg -K mail@ machst und da bei den uid schaust, sowie gpg -k mail@ und bei den uid schaust.

Oder ist die GMX-Adresse des Screenshots nicht deine?

Zitat von GwenDragon

Für dieselbe Mailadresse zwei Schlüssel?

Wenn du mal gpg -K mail@ machst und da bei den uid schaust, sowie gpg -k mail@ und bei den uid schaust.

Oder ist die GMX-Adresse des Screenshots nicht deine?

Jaha! Das ist doch das seltsame. Irgendwie 2 Schlüssel für eine Mailadresse. Bei mail@.... geht immer das TheBat-Fenster auf für Passwortabfrage und dann kann ich zw. zwei Schlüssel wählen A4 und 09 siehe oben Screenshot Posting #21