[Bug] Beim Signieren mit PGP Keys auf OpenPGP-Smartcard (yubikey)

    Beim Signieren einer Mail wird die Passphrase des Keys abgefragt. Soweit okay.

    Hat meine seine Keys allerdings auf einen Yubikey, wird beim Import der Keys auf diesen das Passwort durch eine PIN des OpenPGP Moduls ersetzt.

    Beim Entschlüsseln von Mails kriegt The Bat das ordentlich hin. Es kommt zur Abfrage der PIN.

    Beim Signieren allerdings wird weiterhin das Passwort abgefragt und nicht die PIN, so als wäre der Key lokal gespeichert.


    Gem. diesen Beitrages im Ritlabs Board ein 11 Jahre alter Bug: https://www.ritlabs.com/en/forums/forum4/topic11703/

  • JunePaik 29. Mai 2025 um 17:17

    Hat den Titel des Themas von „[Bug] Beim Signieren mit PGP Keys auf OpenGPG-Smartcard (yubikey)“ zu „[Bug] Beim Signieren mit PGP Keys auf OpenPGP-Smartcard (yubikey)“ geändert.
    Zitat von JunePaik

    Hat meine seine Keys allerdings auf einen Yubikey

    Hast du die dort auf dem Yubikey generiert?

    Zitat von JunePaik

    wird beim Import der Keys auf diesen das Passwort durch eine PIN des OpenPGP Moduls ersetzt.

    Wieso Import auf diesen?

    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    JunePaik Mein auf dem Yubikey erstellter Schlüsselsatz benutzt die Benutzer-PIN, die ich gesetzt hatte.
    Welche PIN hast du denn erwartet zu nutzen?

    Oder wie hast du die Schlüssel erstellt bei dir?

    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Ganz normal lokal erstellt, Gpg4win installiert und per Kommandozeile. Anschließend die Sub-Keys (S,E,A) erstellt, gesichert und auf den Yubi importiert. Hier vorher die Standard User und Admin-PIN geändert.


    Die Keys sind ja auch alle drauf, beim Entschlüsseln bekomme ich auch die PIN-Abfrage, gebe also die User PIN ein, Mail entschlüsselt lesbar.

    Nur beim Signieren will The Bat einfach immer das beim Key erzeugte Passwort wissen bzw. ein Passwort wissen, es kommt nicht die PIN sondern die Passphrase Abfrage.

    Und dann scheitert die Eingabe und nach 3 Versuchen muss man übrigens auch den PIN-Lock vom Yubi wieder deaktivieren, weil The Bat da was falsches weiterleitet und der Yubi es als eine falsche PIN-Eingabe interpretiert.


    Beim Export auf den YubiKey werden ja die lokalen entfernt. Insoweit OK.
    Bei mir auf der Kommandozeile wird beim Verschlüsseln/Signieren/Entschlüsseln die User-PIN benutzt. Insoweit OK.

    The Bat! muss ich noch probieren. Benutzt die User-PIN für den Key.

    Mir ist nicht klar wie The Bat! bei GPG wann über den gpg-agent zugreift.
    Bei der miesen GnuPG-Doku will ich mich auch nicht heute noch einlesen.

    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    5 Mal editiert, zuletzt von GwenDragon (29. Mai 2025 um 20:33)

    "Jain"

    Ich speichere nur die Subkeys auf den Yubi, nicht aber den Hauptschlüssel, den Hauptschlüssel habe ich aber anschließend lokal aus dem keyring gelöscht. Der befindet sich weder aufm Yubi noch sonstwo, lediglich in einem VeraCrypt Container offline.

    Das scheint das Problem zu sein. The Bat mag es wohl beim Signieren nicht, wenn Hauptschlüssel (Beglaubigen, Signieren) und Subkey (Signieren) existieren od. in meinem Fall nur das 2. aufm Yubi.

    Ich hab mal den Primary-Key aufn Yubi geschmissen und nun frisst The Bat die User-Pin vom Yubi beim Signieren. Blöderweise heißt das Fenster aber immer noch "Passphrase-Eingabe" und nicht "Entsperren der Karte / PIN", es geht aber trotzdem mit PIN-Eingabe. Das ist sehr verwirrend.

    edit: Anbei mal nochn Screenshot.

    Zitat von JunePaik

    Das scheint das Problem zu sein. The Bat mag es wohl beim Signieren nicht, wenn Hauptschlüssel (Beglaubigen, Signieren) und Subkey (Signieren) existieren od. in meinem Fall nur das 2. aufm Yubi.

    Ob dir das eine Meldung auf Englisch an Ritlabs Bugtracker wert ist?

    Zitat von JunePaik

    Ich hab mal den Primary-Key aufn Yubi geschmissen und nun frisst The Bat die User-Pin vom Yubi beim Signieren.

    Seltsam.

    Zitat von JunePaik

    Blöderweise heißt das Fenster aber immer noch "Passphrase-Eingabe" und nicht "Entsperren der Karte / PIN", es geht aber trotzdem mit PIN-Eingabe. Das ist sehr verwirrend.

    Ob dir das eine Meldung auf Englisch an Ritlabs Bugtracker wert ist? Oder zu viel Mühe.

    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Zitat von GwenDragon

    Mir ist nicht klar wie The Bat! bei GPG wann über den gpg-agent zugreift.

    Gar nicht - würd' ich mal sagen: ich hab mal die EXE von TheBat durch strings geschickt und das hier gesehen:

    Die RitLaboranten kommunizieren mit GnuPG per Kommandozeile!

    Deshalb mal das hier:

    Wenn man das mit MingW compiliert, ergibt das die Datei args2file_with_date.exe, die legt man in das Verzeichnis von GnuPG, benennt die Original gpg.exe in gpg2_REAL.exe um und die args2file_with_date.exe in gpg.exe, und schon kann mal TheBat! bei der Kommunikation mit GnuPG zusehen, bzw. mitloggen, wie GnuPG eingebunden, d.h. aufgerufen, wurde.

    Zu diesem Thema gab es auch schon mal einige Bugs (von vielen) beim RitLabs Bugtracker:

    0002205: [wish]: Use a running gpg-agent instead of start a new instance of GnuPG

    0002289: When using GnuPG to sign or encrypt a message TheBat! 11.0.3.2 left over a running gpg-agent.exe.

    Doch leider passiert da so gar nix...!

    ;( <X

    Jörg Schiermeier
    Informatiker, Bielefeld

    1. produktiv: The Bat! professional v9.x (32bit NAU) mit XMP-, Regula- und Shell-Plugin • wine v10.x • devuan linux (excalibur/ceres)
    2. zum testen: The Bat! professional v11.x (64bit NAU und 32bit NAU) mit XMP-, Regula- und Shell-Plugin sowie AntispamSniperwine v10.x • devuan linux (excalibur/ceres)

    4 Mal editiert, zuletzt von sotel (31. Mai 2025 um 16:31)

    Zitat von JunePaik

    Es ist mir wohl nicht vergönnt den BT zu nutzen. Hatte es jetzt 2x probiert mich über eine mailbox.org Mail bzw. eine dort hinterlegte eigene Domain anzumelden, beim 2. Versuch auch mal die Anti-Spam Einstellungen voll runtergeschraubt, sowie alternativ 'ne outlook.com Adresse verwendet, da kommt einfach nirgends eine Bestätigungsmail an.

    Ja, da ist wohl deren Dienst für die Benachrichtigung down.
    Mein zum Test angefordertes Passwortrücksetz-Mail kam auch nicht.
    Ich kontaktiere mal Ritlabs über die beta-Mailingliste.
    Warten wir mal bis nach den Feiertagen ab.

    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Einmal editiert, zuletzt von GwenDragon (8. Juni 2025 um 12:03)

    Nein, auf keiner Mail.

    Obwohl da bei der Reg. stand, daß:

    Zitat

    Sie haben sieben Tage, um die Kontobestätigung abzuschließen. Falls Sie diese innerhalb dieser Periode nicht ausführen, wird das neu registrierte Konto gelöscht.

    Kann ich die Mail nicht wieder verwenden, obwohl die Woche rum ist, da:

    Zitat

    Diese E-Mail-Adresse wird bereits verwendet.

    und Passwort zurücksetzen, haut raus:

    Zitat

    Maximale Anzahl der in Bearbeitung befindlichen Anfragen erreicht. Bitte kontaktieren Sie einen Systemadministrator.

    Doof jetzt...