Discussion:
Abgelaufene Unterschrift PGP-Schlüssel
p***@boehlk.com
2015-04-13 14:36:27 UTC
Permalink
Hallo,
was l=C3=A4uft falsch?
Nach einem Jahr ist die Unterschrift von CACert f=C3=BCr meinen PGP-Schl=C3=
=BCssel
abgelaufen. Die einzige M=C3=B6glichkeit ist doch eine neue Unterschrift zu
generieren. Habe ich also gemacht, aber die Unterschrift auf den Key-Servern
bleibt immer noch die alte, obwohl bei CACert die neue angezeigt wird. Was =
ist
zu tun?
Andreas
Lucas Werkmeister
2015-04-13 14:37:58 UTC
Permalink
Hast du den SchlÃŒssel nochmal mit neuer Signatur bei Key-Servern
hochgeladen? Soweit ich weiß, kriegen die so eine Änderung nicht von
alleine mit.
Gruß Lucas
Post by p***@boehlk.com
Hallo,
was lÀuft falsch?
Nach einem Jahr ist die Unterschrift von CACert fÃŒr meinen PGP-SchlÃŒssel
abgelaufen. Die einzige Möglichkeit ist doch eine neue Unterschrift zu
generieren. Habe ich also gemacht, aber die Unterschrift auf den Key-Servern
bleibt immer noch die alte, obwohl bei CACert die neue angezeigt wird. Was ist
zu tun?
Andreas
Matthias Bergt
2015-04-13 14:40:35 UTC
Permalink
Moin,
Post by p***@boehlk.com
aber die Unterschrift auf den Key-Servern
bleibt immer noch die alte, obwohl bei CACert die neue angezeigt wird. Was ist
zu tun?
Ich kann zwar das "abgelaufen" nicht nachvollziehen - aber allgemein:
Neue Unterschriften gelangen auf die Keyserver, indem du den
öffentlichen Schlüssel noch mal neu (mit der neuen Unterschrift - also
schauen, dass die auch in deinem Keyring vorhanden ist) hochlädst. Ein
Server sollte reichen, die werden im Laufe der Zeit verteilt.

Gruß
Matthias
h***@joel-hatsch.net
2015-04-13 14:43:47 UTC
Permalink
Moin,
Post by p***@boehlk.com
aber die Unterschrift auf den Key-Servern
bleibt immer noch die alte, obwohl bei CACert die neue angezeigt wird. Was ist
zu tun?
Doch ist so, die Unterschrift von CAcert ist mit 1 Jahr Gültigkeit
explizit angegeben

Die meisten Signaturen die man sonst so bekommt sind unbegrenzt gültig

Neu Signieren lassen und neu auf den Keyserver hochladen ist die Lösung.
Wobei bei dem Verfahren die alte Signatur immer noch im Cert drin ist -
sieht optisch unschön aus :-)

Joel
Andreas Boehlk
2015-04-13 17:02:31 UTC
Permalink
Danke,
war der irrigen Meinung, daß es so lÀuft wie mit Kleopatra, dh. wenn
man einen SchlÃŒssel unterschreibt wird der auch gleich mit der neuen
Unterschrift von dem Unterschreibenden auf einen Keyserver
hochgeladen, also hier in diesem Falle von CACert; wÀre Ìbrigens ganz
praktisch. Zumal diese Prozedur sich ja offensichtlich jÀhrlich fÌr
alle Adressen wiederholen muß.
Was spricht denn dagegen die Ablaufzeit zu verlÀngern, denn nach
einigen Jahren sieht es wirklich sehr unschön und auch unÌbersichtlich
aus.

Andreas
Post by Matthias Bergt
Moin,
aber die Unterschrift auf den Key-Servern bleibt immer noch die
alte, obwohl bei CACert die neue angezeigt wird. Was ist zu
tun?
Ich kann zwar das "abgelaufen" nicht nachvollziehen - aber
Doch ist so, die Unterschrift von CAcert ist mit 1 Jahr GÃŒltigkeit
explizit angegeben
Die meisten Signaturen die man sonst so bekommt sind unbegrenzt
gÃŒltig
Neu Signieren lassen und neu auf den Keyserver hochladen ist die
Lösung. Wobei bei dem Verfahren die alte Signatur immer noch im
Cert drin ist - sieht optisch unschön aus :-)
Joel
- --
Andreas Boehlk
Hermann-Löns-Straße 10
29223 Celle
Tel.: 05141-2999511
Mobil: 0160-93586056
E-Post: ***@boehlk.com
Lucas Werkmeister
2015-04-13 17:09:38 UTC
Permalink
Ich glaube, du kannst Signaturen löschen: `gpg --edit-key 'user id'` und
da drin dann `delsig`. Weiß allerdings nicht, was der Keyserver dann
damit macht (und will’s noch nicht ausprobieren).
Post by Andreas Boehlk
Danke,
war der irrigen Meinung, daß es so lÀuft wie mit Kleopatra, dh. wenn
man einen SchlÃŒssel unterschreibt wird der auch gleich mit der neuen
Unterschrift von dem Unterschreibenden auf einen Keyserver
hochgeladen, also hier in diesem Falle von CACert; wÀre Ìbrigens ganz
praktisch. Zumal diese Prozedur sich ja offensichtlich jÀhrlich fÌr
alle Adressen wiederholen muß.
Was spricht denn dagegen die Ablaufzeit zu verlÀngern, denn nach
einigen Jahren sieht es wirklich sehr unschön und auch unÌbersichtlich
aus.
Andreas
Post by Matthias Bergt
Moin,
aber die Unterschrift auf den Key-Servern bleibt immer noch die
alte, obwohl bei CACert die neue angezeigt wird. Was ist zu
tun?
Ich kann zwar das "abgelaufen" nicht nachvollziehen - aber
Doch ist so, die Unterschrift von CAcert ist mit 1 Jahr GÃŒltigkeit
explizit angegeben
Die meisten Signaturen die man sonst so bekommt sind unbegrenzt
gÃŒltig
Neu Signieren lassen und neu auf den Keyserver hochladen ist die
Lösung. Wobei bei dem Verfahren die alte Signatur immer noch im
Cert drin ist - sieht optisch unschön aus :-)
Joel
Sascha Ternes
2015-04-13 17:37:51 UTC
Permalink
Hallo Lucas,
Post by Lucas Werkmeister
Ich glaube, du kannst Signaturen löschen: `gpg --edit-key 'user id'` und
da drin dann `delsig`. Weiß allerdings nicht, was der Keyserver dann
damit macht (und will’s noch nicht ausprobieren).
ich werde das mal ausprobieren und dann berichten.

Sascha
Jens Erat
2015-04-13 18:04:52 UTC
Permalink
Post by Lucas Werkmeister
Ich glaube, du kannst Signaturen löschen: `gpg --edit-key 'user id'` und
da drin dann `delsig`. Weiß allerdings nicht, was der Keyserver dann
damit macht (und will’s noch nicht ausprobieren).
Keyserver wird das nicht interessieren. Aus dem Keyserver-Netzwerk kann
man faktisch nichts löschen, nur widerrufen.

Mit `--edit-key` und `delsig` löschst Du lediglich die lokal
gespeicherte Signatur (das Signaturpaket). Wenn Du danach auf einen
Keyserver hochlÀdst fÌhrt dieser alle OpenPGP-Pakete zu Deinem Key
wieder zusammen, sprich wirft die Signatur nicht weg, sondern behÀlt
die, die er schon kennt.

Wenn Du nach dem Löschen wieder `--recv-key` fÌr Deinen Key ausfÌhrst,
wirst Du die Signatur auch wieder auf Deinem Rechner haben.

Das ist eine grundlegende Eigenschaft des OpenPGP-Keyserver-Netzwerkes,
die es robust gegen Lösch-Angriffe macht.

Viele GrÌße vom Bodensee,
Jens
--
Jens Erat

[phone]: tel:+49-151-56961126
[mail]: mailto:***@jenserat.de
[jabber]: xmpp:***@jenserat.de
[web]: http://www.jenserat.de

OpenPGP: 0D69 E11F 12BD BA07 7B37 26AB 4E1F 799A A4FF 2279
Jannis Pinter
2015-04-13 17:14:05 UTC
Permalink
Hallo Andreas,
Post by Andreas Boehlk
Meinung, daß es so lÀuft wie mit Kleopatra, dh. wenn
man einen SchlÃŒssel unterschreibt wird der auch gleich mit der neuen
Unterschrift von dem Unterschreibenden auf einen Keyserver
hochgeladen, also hier in diesem Falle von CACert.
nicht jeder möchte (aus DatenschutzgrÌnden), dass sein PGP-SchlÌssel auf
Keyserver hochgeladen wird. Denn ein öffentlicher SchlÌssel enthÀlt auch
persönliche Informationen wie z.B.:
- Name
- E-Mail Adresse (wird von Spammern abgegriffen).
- Personenkreis mit denen du korrespondierst (welche Personen deinen
SchlÃŒssel unterschrieben haben).

Und kann leider nicht wieder vom Keyserver entfernt werden.

Viele GrÌße
Jannis
Matthias Bergt
2015-04-13 19:07:04 UTC
Permalink
Post by h***@joel-hatsch.net
Doch ist so, die Unterschrift von CAcert ist mit 1 Jahr Gültigkeit
explizit angegeben
Muss aber recht neu sein - bei meinen Keys konnte ich eine solche
Begrenzung nicht entdecken. Oder hab' ich was übersehen?

Gruß
Matthias


- --
WICHTIGER HINWEIS:

Diese Nachricht ist vertraulich. Sollten Sie sie versehentlich
erhalten haben, nehmen Sie bitte zur Kenntnis, dass der Absender ein
Trottel ist, der vertrauliche Daten in unverschlüsselten E-Mails
versendet.

Lesen Sie weiter auf narkive:
Loading...