GnuPG: Verschlüssen geht, aber Fehlermeldung beim Signieren
-
palmzip -
13. Januar 2016 um 14:36 -
Erledigt
-
-
Und wobei klappt jetzt twas nicht? Einige Schritte zum Nachstellen, bitte.
-
Bei mir dins immer zwei Schlüssel beim Verschlüsseln verwendet, der eigene Abseinder und der des Empfängers.
Klappt zu Entschlüsseln bei 11.0.3 32bit und GnuPG aus GPG4Win 4.3.0.
-
mail@ hat irgendwie 2 schlüssel s.o.
A4... = pub
09... = sub
wieso the bat diese aber zur auswahl stellt erschließt sich mir nicht.
andere mailadresse:
...@gmx.de
an ...@gmx.de kann ich von mail@ senden: 1. nur signiiert, 2. nur verschlüsselt und 3. signiert und verschlüsselt.
nun sende ich von ...@gmx.de an mail@. versenden 1. nur signiert. 2. nur verschlüsselt und 3. signiert und verschlüsselt an mail@ funktioniert ohne fehlermeldung von seite the bat.
jetzt rufe die drei mails die von ...@gmx.de an mail@... gegangen sind ab. folgendes passiert:
zu 1:
korrekte unterschrift von ...@gmx.de
zu 2:
gpg: verschlüsselt mit 8192-Bit RSA Schlüssel, ID 09xxxxx, erzeugt 2014-05-25 " <mail@>"
gpg: Entschlüsselung mit Public-Key-Verfahren fehlgeschlagen: Falsche Passphrase
gpg: Entschlüsselung fehlgeschlagen: Geheimer Schlüssel ist nicht vorhanden
zu 3:
gpg: verschlüsselt mit 8192-Bit RSA Schlüssel, ID 09xxxxx, erzeugt 2014-05-25" <mail@>"
gpg: Entschlüsselung mit Public-Key-Verfahren fehlgeschlagen: Falsche Passphrase
gpg: Entschlüsselung fehlgeschlagen: Geheimer Schlüssel ist nicht vorhanden
2 und 3 verlangt wohl den schlüssel A4....
-
Es gibt immer zwei RSA-Unterschlüssel, einer zum Verschlüsseln, einer zum Beglaubigen+Signieren.
Aber bei mir kommt keine Schlüsselauswahl in The Bat!.
Schon mal in Kleopatra nachgesehen, bei dem Hauptschlüssel, unter Details → Weitere Details…, ob da ein Unterschlüssel abgelaufen ist?
-
hab nun gnupg 2.4.3 installiert
und nun gehts! wtf.doch nicht. eben kam immer die GnuPG pw eingabemaske, jetzt wieder das TheBat eigene. -
Wie viele Schlüssel existieren denn für mail@.....
gpg -K mail@......
gpg -k mail@......
oder ist mail@.... deines oder ein anderer Empfänger?
Benutzt du The Bat!s OpenPGP-Einstellungen → Immer mit Standarschlüssel verschlüsseln - so gehört sichs nämlich.
Hast du irgendwelche Schlüssel in der gpg.conf gesetzt als Standard?
Hast du mal Private Schlüssel gelöscht, weil du die nicht mehr brauchtest oder auf 8192bits upgraded hast?
Ich lösche abgelaufene nie und wenn ich meine Schlüssel upgrade, dann lasse ich die alten auch drauf.
Ich habe sonst keine Idee, warum The Bat! dir zwei Schlüssel zur Auswahl vorschlägt,
-
Wie viele Schlüssel existieren denn für mail@.....
gpg -K mail@......
gpg -k mail@......
oder ist mail@.... deines oder ein anderer Empfänger?
Benutzt du The Bat!s OpenPGP-Einstellungen → Immer mit Standarschlüssel verschlüsseln - so gehört sichs nämlich.
Hast du irgendwelche Schlüssel in der gpg.conf gesetzt als Standard?
Hast du mal Private Schlüssel gelöscht, weil du die nicht mehr brauchtest oder auf 8192bits upgraded hast?
Ich lösche abgelaufene nie und wenn ich meine Schlüssel upgrade, dann lasse ich die alten auch drauf.
Ich habe sonst keine Idee, warum The Bat! dir zwei Schlüssel zur Auswahl vorschlägt,
C:\Users\x>gpg -K mail@xxxxx.xxx
sec rsa8192 2014-05-25 [SCEA]
76EH)uHKSS68B6XXXXXXXXXXTUUZR6572A
uid [ ultimativ ] <mail@xxxxx.xxx>
ssb rsa8192 2014-05-25 [SEA]
mail@xxxxx.xxx ist meines.
gpg.conf:
display-charset UTF-8
default-key 0xUUUZSHSSNJS11
"Hast du mal Private Schlüssel gelöscht, weil du die nicht mehr brauchtest oder auf 8192bits upgraded hast?
Ich lösche abgelaufene nie und wenn ich meine Schlüssel upgrade, dann lasse ich die alten auch drauf."
gute frage! fand 8192bits mal ein herrliches projekt. die genauen details kann ich nicht mehr erinnern. frage wäre, wie ich für mail@xxxxx.xxx mal eine bereinigung hinbekomme. vielleicht mal neue schlüssel erzeugen. den alten möchte ich tatsächlich (läuft nie aus) nicht löschen... idee wie man das korrekt angehen kann?
-
default-key 0xUUUZSHSSNJS11
Mach mal ein # davor um auszukommentieren
Und prüfe dann.
Es sollte eigentlich default-recipient-self reichen.
Warum der Key als Default? -
gute frage! fand 8192bits mal ein herrliches projekt. die genauen details kann ich nicht mehr erinnern. frage wäre, wie ich für mail@xxxxx.xxx mal eine bereinigung hinbekomme. vielleicht mal neue schlüssel erzeugen. den alten möchte ich tatsächlich (läuft nie aus) nicht löschen... idee wie man das korrekt angehen kann?
Die alten revoken, aber nicht lokal löschen, dann neue generieren. Leider.
Hattee ich 2013 (Snowden sei dank) auch so gemacht, weil die Schlüssellänge mit 1024 zu gering war.
-
ich werde noch kirre!
gpg: "9AXXXXXXX" wird als voreingestellter geheimer Signaturschlüssel benutzt
gpg: Beglaubigung fehlgeschlagen: Falsche Passphrase
gpg: [stdin]: clear-sign failed: Falsche Passphrase
-
Ich weiß nur nicht wie ich da was debuggen kann
So vielleicht:
Guckt mal, ob Ihr die Konfigurationsdateien von GnuPG findet:
c:\users\<Dein windows Username>\AppData\Roaming\gnupg\
Dort sollte es eine Datei namens:
- gpg.conf
- gpg-agent.conf
geben. The BaT!, GnuPG, Kleopatra etc. beenden, ggf. im Taskmanager das beenden erzwingen.
Sollte es diese Dateien nicht geben, dann danach suchen!
Gibt es diese immer noch nicht, dann in dem o.g. Verzeichnis (Ordner) anlegen.
Mit einem Texteditor, ich empfehle Notepad++, diese beiden Dateien bearbeiten:
gpg.conf:
Folgende Zeilen suchen und ggf. ändern. Falls nicht vorhanden, einfügen:
#### Select the debug level for investigating problems.
debug-level 20
#debug-level none
und
#### The logger data is written to file.
logger-file "c:\<Dein windows Username>\Downloads\TB-GnuP_VERBOSE.log"
#logger-file "z:\home\joerg\log\tb_appdb_gpg.log"
(Hier muss ein für Deinen Windows-User beschreibbarer Pfad drin stehen!).
Ähnliches für den GPG-Agent:
gpg-agent.conf
#### Select the debug level for investigating problems.
debug-level 20
#debug-level none
und
#### Append all logging output to file.
log-file "c:\<Dein windows Username>\Downloads\TB-GnuPG-Agent_VERBOSE.log"
#log-file "z:\home\joerg\log\tb_appdb_gpg-agent.log"
Falls die o.g. Zeilen nicht vorhanden sind:
einfügen. Zeilen, die mit einer Raute (#) beginnen, sind (meine) Kommentare.
Je höher die Zahl bei debug-level ist, desto mehr Informationen gibt es, max. ist 20. log-file ist eine Logdatei. Später dann, wenn alles wieder gut™ ist, auf none setzen, oder diese eingefügten Zeilen wieder löschen.
Quelle: GPG options
-
sotel Ja, stimmt, den Debuglevel hochsetzen,
Ich probiere später mal was aus.Ausschnitt:
Codegpg: DBG: [no clock] enter signing gpg: DBG: chan_0x00000284 -> PKSIGN gpg: DBG: chan_0x00000284 <- S INQUIRE_MAXLEN 255 gpg: DBG: chan_0x00000284 <- INQUIRE PASSPHRASE gpg: DBG: chan_0x00000284 -> D äöü gpg: DBG: chan_0x00000284 -> END gpg: DBG: chan_0x00000284 <- ERR 67108875 Falsche Passphrase <GPG Agent>
Ich frage mal den Entwickler von GPG4Win wie das genauer debuggt werden kann.
-
Ich frage mal den Entwickler von GPG4Win wie das genauer debuggt werden kann.
OK.
Ich hatte den Verdacht, das es evtl. einen Bug in GnuPG gibt, hab zwar das hier gefunden, aber noch keine weiteren Infos dazu:
Ist jetzt allerdings meine reine Spekulation....!
Sollten an meinen Vermutungen allerdings etwas dran sein, dann wird's kompliziert:
zwei kaputte Programme, die miteinander kommunizieren (sollen) sind schwerer zu (er)fassen und zu debuggen.
-
ch hatte den Verdacht, das es evtl. einen Bug in GnuPG
Ich habe schon im Bugtracker auf https://dev.gnupg.org/ mich narrisch gesucht. Da ist nichst dazu.
-
Liquid Soul Ich buddle ohne Sinn gerade im Karnickelbau – wenn's gerade nix mit den Passwörtern zu tun hat, aber deine eigenen Schlüssel haben schon den Trustlevel Ultimate, und die Empfänger einen Level, sodass du verschlüsseln darfst.
-
Liquid Soul Ich buddle ohne Sinn gerade im Karnickelbau – wenn's gerade nix mit den Passwörtern zu tun hat, aber deine eigenen Schlüssel haben schon den Trustlevel Ultimate, und die Empfänger einen Level, sodass du verschlüsseln darfst.
sollte passen, oder? 09... und A4... zwei schlüssel zu einer mailadresse (mail@....) die da immer wieder durcheinander funken.
-
Ich habe auch mal auf https://forum.gnupg.org/t/how-to-debug…wrong-encoding/ gefragt.
-
09... und A4... zwei schlüssel zu einer mailadresse (mail@....) die da immer wieder durcheinander funken.
Für dieselbe Mailadresse zwei Schlüssel?
Wenn du mal gpg -K mail@ machst und da bei den uid schaust, sowie gpg -k mail@ und bei den uid schaust.
Oder ist die GMX-Adresse des Screenshots nicht deine?
-
Für dieselbe Mailadresse zwei Schlüssel?
Wenn du mal gpg -K mail@ machst und da bei den uid schaust, sowie gpg -k mail@ und bei den uid schaust.
Oder ist die GMX-Adresse des Screenshots nicht deine?
Jaha! Das ist doch das seltsame. Irgendwie 2 Schlüssel für eine Mailadresse. Bei mail@.... geht immer das TheBat-Fenster auf für Passwortabfrage und dann kann ich zw. zwei Schlüssel wählen A4 und 09 siehe oben Screenshot Posting #21
-