sicherheit Mail schlüssel zertifikat Schlüssels Schlüsseln

Revocation GPG key ohne zertifikat?

Von: , Frage gestellt am Sa, 12. Feb 2005

Hallo Sicherheitsexperten!

ich habe vor laaanger Zeit einen GPG Schlüssel generiert und öffentlich hinterlegt. Inzwischen ist durch einen Plattencrash mein gesamter Keyring und sämtliche Schlüsseldaten verloren gegangen. An die Passphrase kann ich mich ohnehin nicht mehr erinnern.

Leider ist die Diskette, auf der mein "revocation certificate" gespeichert war, inzwischen auch nicht mehr lesbar. Hätte ich wohl öfter mal frisch kopieren sollen.

Wie auch immer: Gibt es wirklich keine Möglichkeit, einen ungültigen Schlüssel auch ohne revocation cert. wieder loszuwerden? Der Schlüssel ist nämlich mit meiner email verbandelt und ich möchte nur sehr ungerne meine Adresse ändern.

Könnte man nicht z.B. persönlich und mit Personalausweis bei einem Trustcenter vorbeimarschieren und von dort offiziell beglaubigt einen Rückruf starten?

Bei meinem neuen Schlüsselpaar habe ich erstens eine begrenzte Haltbarkeit eingetragen und das revocation cert. auf Papier ausgedruckt. Das ist auch in 50 Jahren noch lesbar!

Gruß

Fritze

8 Antworten zu dieser Frage

1. Antwort von nach 7 Stunden 0 hilfreich

   Re: Revocation GPG key ohne zertifikat?

   Hallo, Wie auch immer: Gibt es wirklich keine Möglichkeit, einen
   ungültigen Schlüssel auch ohne revocation cert. wieder
   loszuwerden? Der Schlüssel ist nämlich mit meiner email
   verbandelt und ich möchte nur sehr ungerne meine Adresse
   ändern.
   Nein. Aber solange der Schlüssel von niemanden signiert ist wird ihn eh kaum jemand benutzen. Könnte man nicht z.B. persönlich und mit Personalausweis bei
   einem Trustcenter vorbeimarschieren und von dort offiziell
   beglaubigt einen Rückruf starten?
   Trustcenter haben mit den pgp-Keyservern nichts zu tun. Bei meinem neuen Schlüsselpaar habe ich erstens eine begrenzte
   Haltbarkeit eingetragen und das revocation cert. auf Papier
   ausgedruckt. Das ist auch in 50 Jahren noch lesbar!
   Wenn es säurefreies Papier ist vielleicht...
   
   Grüße,
   Moritz
   

   • Antwort von nach 10 Stunden 0 hilfreich

     Re^2: Revocation GPG key ohne zertifikat?

     Hallo, Wie auch immer: Gibt es wirklich keine Möglichkeit, einen
     ungültigen Schlüssel auch ohne revocation cert. wieder
     loszuwerden? Der Schlüssel ist nämlich mit meiner email
     verbandelt und ich möchte nur sehr ungerne meine Adresse
     ändern.
     Nein. Aber solange der Schlüssel von niemanden signiert ist
     wird ihn eh kaum jemand benutzen.
     Fein fein. Aber es ist nervig, dass es derzeit *zwei* Schlüssel mit dem gleichen Namen und der gleichen email Adresse gibt. Es *hat* nämlich jemand den falschen Schlüssel benutzt :) Könnte man nicht z.B. persönlich und mit Personalausweis bei
     einem Trustcenter vorbeimarschieren und von dort offiziell
     beglaubigt einen Rückruf starten?
     Trustcenter haben mit den pgp-Keyservern nichts zu tun.
     Schon klar. Aber sie sind vertrauenswürdig und könnten so die Identität desjenigen bestätigen, der ohne revocation cert einen Schlüssel entfernt haben möchte.
     
     Eine Lösung für das Problem wäre sicher sinnvoll, weil es zig tausende von solchen Geisterschlüsseln auf den öffentlichen keyservern gibt. Es wäre also auch schon aus technischen Gründen sinnvoll, diese mal auszusortieren. Wenn es säurefreies Papier ist vielleicht...
     Ich habe hier olle Aufzeichnungen von meinem Großvater rumfliegen, die sind erheblich älter und auf recht üblem Papier geschrieben. Ist schon reichlich gilb, aber noch wunderbar lesbar. Natürlich kein revocation certifiacte :)
     
     Gruß
     
     Fritze
     

     • Antwort von nach 21 Stunden 1 hilfreich

       Re^3: Revocation GPG key ohne zertifikat?

       Hy, Nein. Aber solange der Schlüssel von niemanden signiert ist
       wird ihn eh kaum jemand benutzen.
       Fein fein. Aber es ist nervig, dass es derzeit *zwei*
       Schlüssel mit dem gleichen Namen und der gleichen email
       Adresse gibt. Es *hat* nämlich jemand den falschen Schlüssel
       benutzt :)
       Aeh, ja...und?! Dann hast Du im schlimmsten Fall eine Mail bekommen, die Du nicht öffnen kannst, weil der falsche Schlüssel verwendet wurde. Also teilst Du am einfachsten Deinem "Partner" den richtigen mit. Wäre am einfachsten, oder ?!
       Bei GnuPG würde das glaub ich mit '--gen-revoke' gehen. Bei PGP selber bin ich mir garnicht sicher... Müsste man mal im handbuch nachschauen.
       Vielleicht hilft auch http://sunfje.rz.uni-saarland.de/CA/PGP/revoke.html Könnte man nicht z.B. persönlich und mit Personalausweis bei
       einem Trustcenter vorbeimarschieren und von dort offiziell
       beglaubigt einen Rückruf starten?
       Trustcenter haben mit den pgp-Keyservern nichts zu tun.
       Schon klar. Aber sie sind vertrauenswürdig und könnten so die
       Identität desjenigen bestätigen, der ohne revocation cert
       einen Schlüssel entfernt haben möchte.
       Ja. Genau das können die. Nicht mehr! Die können bestätigen und somit Deinen Key, den Du ja aber zurückziehen willst, im besten fall zertifizieren. Eine Lösung für das Problem wäre sicher sinnvoll, weil es zig
       tausende von solchen Geisterschlüsseln auf den öffentlichen
       keyservern gibt. Es wäre also auch schon aus technischen
       Gründen sinnvoll, diese mal auszusortieren.
       Deshalb hatte die PGP Corp. vor kuezem eine mail an alle Keybesitzer geschickt um diese Keys ggf upzudaten. Ansonsten werden die demnächst so wie die sich das darstellt demnächst halt mal "aufgeräumt"
       http://www.heise.de/newsticker/result.xhtml?url=/new...
       
       Gruß
       h.
       

       • Antwort von nach 22 Stunden 0 hilfreich

         Re^4: Revocation GPG key ohne zertifikat?

         Czescz, Aeh, ja...und?! Dann hast Du im schlimmsten Fall eine Mail
         bekommen, die Du nicht öffnen kannst, weil der falsche
         Schlüssel verwendet wurde. Also teilst Du am einfachsten
         Deinem "Partner" den richtigen mit. Wäre am einfachsten, oder
         ?!
         Mei, es geht hier nicht um eine einzelne Nachricht, bei der das in der Tat kein Problem ist. Vielmehr habe ich mir generell Gedanken gemacht, wie man die Keyserver für GnuPG entrümpeln könnte, obwohl sicher noch erheblich mehr Nutzer ihr revocation cert verbummelt haben. Bei GnuPG würde das glaub ich mit '--gen-revoke' gehen.
         Ja. Aber das Ergebinis muss man im Falle eines Falles parat haben. Das ist gerade *nicht* der Fall. Schon klar. Aber sie sind vertrauenswürdig und könnten so die
         Identität desjenigen bestätigen, der ohne revocation cert
         einen Schlüssel entfernt haben möchte.
         Ja. Genau das können die. Nicht mehr! Die können bestätigen
         und somit Deinen Key, den Du ja aber zurückziehen willst, im
         besten fall zertifizieren.
         Wieso können die das nicht? Doch wohl eher, weil sie es nicht wollen. Das Problem mit dem annullieren von Schlüsseln ist ja lediglich, die korrekte Identität des Besitzers feststellen zu müssen. Daher das Zertifikat. Da man persönlich durch geignete Dokumente ja diese Identität überprüfen kann, wären Trustcenter für diese Aufgabe ganz außerordentlich gut geignet. Sie könnten es ja gegen eine Bezahlung als Service anbieten.
         
         Das setzt aber natürlich vorraus, dass eine entsprechende Bestätigung von den Betreibern der Key Server akzeptiert bzw. technisch überhaupt ermöglicht wird. Nochmal: mir ging es jetzt über mein persönliches Problem hinaus um eine generelle Lösung. Deshalb hatte die PGP Corp. vor kuezem eine mail an alle
         Keybesitzer geschickt um diese Keys ggf upzudaten. Ansonsten
         werden die demnächst so wie die sich das darstellt demnächst
         halt mal "aufgeräumt"
         http://www.heise.de/newsticker/result.xhtml?url=/new...
         Ja. Aber es liegt nicht daran, dass sie die "Leichen" beseitigen wollen, sondern sie wechseln die Server-Infrastruktur. Es ist ein gewünschter Nebeneffekt. Und scheinbar soll das ja auch regelmäßig halbjährlich passieren. Eine gute Sache, die man alternativ auch bei den GnuPG Servern einführen sollte. Das würde allerdings einen gewissen Aufwand bei *allen* Nutzern bedeuten, während eine Rückname via Trustcenter lediglich einem Nutzer Arbeit macht (und natürlich den Serverbetreibern, die eine entsprechende Schnittstelle schaffen müssten).
         
         Gruß
         
         Fritze
         

         • Antwort von nach 2 Tagen 0 hilfreich

           Re^5: Revocation GPG key ohne zertifikat?

           Hi, Wieso können die das nicht? Doch wohl eher, weil sie es nicht
           wollen. Das Problem mit dem annullieren von Schlüsseln ist ja
           lediglich, die korrekte Identität des Besitzers feststellen zu
           müssen. Daher das Zertifikat. Da man persönlich durch geignete
           Dokumente ja diese Identität überprüfen kann, wären
           Trustcenter für diese Aufgabe ganz außerordentlich gut
           geignet. Sie könnten es ja gegen eine Bezahlung als Service
           anbieten.
           Das funzt aber nur dann, wenn auch der Schlüssel schon zertifiziert wurde. Ansonsten kann zwar im Nachhinein Deine Identität irgendwie zertifiziert werden, aber nicht, daß der verlorene Schlüssel auch wirklich zu Dir gehört hat.
           
           Gruß,
           
           Malte.
           

           • Antwort von nach 2 Tagen 0 hilfreich

             Re^6: Revocation GPG key ohne zertifikat?

             Hallo, Das funzt aber nur dann, wenn auch der Schlüssel schon
             zertifiziert wurde. Ansonsten kann zwar im Nachhinein Deine
             Identität irgendwie zertifiziert werden, aber nicht, daß der
             verlorene Schlüssel auch wirklich zu Dir gehört hat.
             Ja, das klappt nur, wenn auch die email Adresse auf einen festen Namen eingetragen ist. Das ist z.B. bei web.de der Fall.
             
             Am einfachsten wäre es, wenn die Schlüssel einfach periodisch entweder bestätigt werden müssten oder aber einfach entfernt würden. Sozusagen ein automatisches Verfallsdatum.
             
             Gruß
             
             Fritze
             

           • Antwort von nach 2 Tagen 0 hilfreich

             Re^7: Revocation GPG key ohne zertifikat?

             Hi, Am einfachsten wäre es, wenn die Schlüssel einfach periodisch
             entweder bestätigt werden müssten oder aber einfach entfernt
             würden. Sozusagen ein automatisches Verfallsdatum.
             Gibt es doch - Du musst das nur bei der Erstellung des Schlüssels so einrichten (jaja ich weiß - ich hab auch ein, zwei solcher Leichen...)
             It's your choice!
             
             Gruß,
             
             Malte.
             

           • Antwort von nach 11 Tagen 0 hilfreich

             Re^8: Revocation GPG key ohne zertifikat?

             Hallo, Gibt es doch - Du musst das nur bei der Erstellung des
             Schlüssels so einrichten (jaja ich weiß - ich hab auch ein,
             zwei solcher Leichen...)
             It's your choice!
             Ist mir bekannt. Ich nenne es "manuelles Verfallsdatum" :) Ich bin jetzt ein großer Fan dieses Verfahrens.
             
             Gruß
             
             Fritze
             

Keine passende Antwort gefunden? Jetzt eigene Frage stellen!