Hallo,
ich habe mir mal vor einiger Zeit mit Gpg4win ein GnuPG-Schlüsselpaar erzeugt und mit meiner E-Mail-Adresse verknüpft. Wie kann ich dieses Schlüsselpaar samt E-Mail-Adresse nun wieder löschen, also nicht lokal, sondern von den Zertifikats- und Schlüsselservern?
Liebe Grüße
Hugo
Hallo,
kenne nur OpenPGP, aber wie auch immer:
Hast Du denn bei der Erstellung der Schlüssel auch ein Widerrufszertifikat (revocation certificate) erzeugt?
Wenn nicht, hast du schlechte Karten.
mfg
tf
Hallo Thomas,
vielen Dank für deine Antwort.
Hast Du denn bei der Erstellung der Schlüssel auch ein
Widerrufszertifikat (revocation certificate) erzeugt?
Meines Wissens nicht. Aber ich habe noch den privaten Schlüssel und zusätzlich ein Passwort. Erst mal würde es mir schon weiterhelfen zu wissen, wo und wie ich mir die Zuordnung von E-Mail-Adresse zum Public Key online abrufen kann. Bei der Erstellung des Schlüsselpaares dürfte als Schlüsselserver hkp://keys.gnupg.net voreingestellt gewesen sein.
Liebe Grüße
Hugo
Hallo,
eigentlich so:
Dann Schlüsselsuche und Email-Adresse eintragen und los …
Ohne Widerrufszertifikat kannst du m.E. den Schlüssel nicht löschen.
Du kannst aber aber durchaus mit der selben Email-Adresse einen neuen Schlüssel erzeugen. Dann diesmal bitte aber auch gleich das Widerspruchszertifikat erzeugen und gut aufbewahren.
mfg
tf
Hallo Thomas,
vielen Dank für deine schnelle Antwort.
eigentlich so:
Dann Schlüsselsuche und Email-Adresse eintragen und los …
Klasse, besten Dank! Zwar finde ich meinen Schlüssel dort nicht, aber immerhin weiß ich nun, wo ich suchen muss. (Woran das liegen könnte, dass ich meinen Schlüssel dort nicht finde, weißt du wahrscheinlich auch nicht, oder?)
Ohne Widerrufszertifikat kannst du m.E. den Schlüssel nicht
löschen.
Das wäre aber schade. 
Du kannst aber aber durchaus mit der selben Email-Adresse
einen neuen Schlüssel erzeugen. Dann diesmal bitte aber auch
gleich das Widerspruchszertifikat erzeugen und gut
aufbewahren.
Könnte ich dann nicht einen neuen Schlüssel mit Widerspruchszertifikat erzeugen und anschließend das Ganze löschen? Oder bleibt dann der alte Schlüssel trotzdem noch übrig?
Liebe Grüße
Hugo
Hallo Hugo,
eigentlich - und auch „uneigentlich“ - mußt du nach Eingabe der Email-Adresse (genau DERSELBEN) mit der Du die Schlüssel erzeugt hast, eben diesen erzeugten Schlüssel dort finden.
Wenn dies nicht der Fall sein sollte, hast du entweder die Schlüssel nicht zum Server hochgeladen oder der Schlüssel hatte nur eine bestimmte zeitlich begrenzte Gültigkeit und die Frist ist abgelaufen, somit automatisch gelöscht.
Und NEIN: Mit dem neu erzeugten Schlüssel und dem entsprechenden Widerspruchszertifikat kannst du den alten Schlüssel nicht löschen. Ergibt Sinn, denn sonst könnte ich ja - sofern mir Deine Email-Adresse bekannt sein sollte, Deine Schlüssel löschen. Wäre ja nicht schön, oder?
Auch wenn Dir dieses Vorgehen jetzt - aus Deiner Sicht - umständlich erscheinen mag, ist es sinnvoll.
Ein nicht authorisierter Widerruf eines Schlüssel kann auch böse Folgen haben.
Es liegt an Dir, bei der Erstellung des Schlüssels die Frage (so kenne ich es zumindest von meinen Linux-Programmen), ob Du ein Widerspruchszertifikat erstellen möchtest oder auch nicht, zu beantworten. Ich lasse mir immer eines erstellen, speichere dieses auf Diskette (ja, lacht nur!) und verwahre es an einem gesicherten Ort.
Grüße
tf
Hallo,
ich muß wohl mal noch ein paar Sachen klarstellen:
Man kann einen Schlüssel nicht vom Server löschen, sondern nur widerrufen. Er ist dann immer noch dort abrufbar, nur eben „revoked“.
Das Hochladen des Schlüssels ist ein aktiver Prozeß, das passiert nicht automatisch, nur weil der Schlüsselserver im Verschlüsselungsprogramm eingetragen ist.
hkp:// ist übrigens ein gültiges Protokoll, aber möglicherweise veraltet:
http://de.wikibooks.org/wiki/GnuPG:_GnuPG_benutzen#P…
Der weltweite Abgleich aller Schlüsselserver scheint auch nur in der Theorie zu funktionieren - ich finde meine Schlüssel auch nicht überall. Also besser, man weiß noch, wo man den Schlüssel hochgeladen hat.
Ansonsten: Völlig richtig, Widerrufszertifikat erzeugen und in den Safe legen, bis er mal benutzt werden muß.
Nur: wer nie einen Schlüssel vom Server abruft, weil er ihn auf anderem Weg bekommen hat, wird vielleicht nie von deinem Widerruf erfahren.
Also auch ein Ablaufdatum festlegen (ja, bringt auch Probleme mit sich, alle Bekannten regelmäßig über neuen Schlüssel informieren…)
Gruß, muzel
Hallo Thomas,
vielen Dank für deine ausführliche Antwort.
eigentlich - und auch „uneigentlich“ - mußt du nach Eingabe
der Email-Adresse (genau DERSELBEN) mit der Du die Schlüssel
erzeugt hast, eben diesen erzeugten Schlüssel dort finden.Wenn dies nicht der Fall sein sollte, hast du entweder die
Schlüssel nicht zum Server hochgeladen oder der Schlüssel
hatte nur eine bestimmte zeitlich begrenzte Gültigkeit und die
Frist ist abgelaufen, somit automatisch gelöscht.
Vielleicht habe ich den Schlüssel (es ist doch nur einer, der Public Key, oder?) doch nicht hochgeladen. Aber irgendwo habe ich mein Schlüsselpaar doch mit meiner E-Mail-Adresse verknüpft!? Ich blicke da nicht so richtig durch.
Und NEIN: Mit dem neu erzeugten Schlüssel und dem
entsprechenden Widerspruchszertifikat kannst du den alten
Schlüssel nicht löschen. Ergibt Sinn, denn sonst könnte ich ja
- sofern mir Deine Email-Adresse bekannt sein sollte, Deine
Schlüssel löschen. Wäre ja nicht schön, oder?
Stimmt, es kann ja im Prinzip jeder eine beliebige E-Mail-Adresse mit einem Schlüsselpaar verknüpfen, richtig? Aber woher weiß dann mein Kommunikationsparter, dass tatsächlich ich es bin, der ihm schreibt?
Auch wenn Dir dieses Vorgehen jetzt - aus Deiner Sicht -
umständlich erscheinen mag, ist es sinnvoll.Ein nicht authorisierter Widerruf eines Schlüssel kann auch
böse Folgen haben.
Weil dann verschlüsselte E-Mails nicht mehr gelesen werden können?
Es liegt an Dir, bei der Erstellung des Schlüssels die Frage
(so kenne ich es zumindest von meinen Linux-Programmen), ob Du
ein Widerspruchszertifikat erstellen möchtest oder auch nicht,
zu beantworten.
Darauf muss ich beim nächsten Mal unbedingt achten, danke sehr!
Ich lasse mir immer eines erstellen, speichere
dieses auf Diskette (ja, lacht nur!) und verwahre es an einem
gesicherten Ort.
Ich lache gar nicht. Warum nicht Disketten nutzen, wenn der Computer noch über ein entsprechendes Laufwerk verfügt. Es werden ja wohl zumindest 3,5″-Disketten sein. ;-D
Liebe Grüße
Hugo
Hallo Muzel,
vielen Dank für die zuzsätzlichen Informationen.
ich muß wohl mal noch ein paar Sachen klarstellen:
Man kann einen Schlüssel nicht vom Server löschen, sondern nur
widerrufen. Er ist dann immer noch dort abrufbar, nur eben
„revoked“.
Es ist also auch nicht auf Anfrage möglich die eigene E-Mail-Adresse vom Server löschen zu lassen?
Das Hochladen des Schlüssels ist ein aktiver Prozeß, das
passiert nicht automatisch, nur weil der Schlüsselserver im
Verschlüsselungsprogramm eingetragen ist.
Also ich habe „Kleopatra“ benutzt, das ist in „Gpg4win“ integriert. Da es schon länger her ist, weiß ich nicht mehr ganz genau, wie es abgelaufen ist, aber ich musste meine E-Mail-Adresse angeben und das Schlüsselpaar wurde dieser zugeordnet. Meine Frage ist halt, wie ich diese Zuordnung wieder aufheben kann.
hkp:// ist übrigens ein gültiges Protokoll, aber
möglicherweise veraltet:
http://de.wikibooks.org/wiki/GnuPG:_GnuPG_benutzen#P…
Dazu kann ich nichts sagen.
Der weltweite Abgleich aller Schlüsselserver scheint auch nur
in der Theorie zu funktionieren - ich finde meine Schlüssel
auch nicht überall. Also besser, man weiß noch, wo man den
Schlüssel hochgeladen hat.
Ok, danke für den Tipp!
Ansonsten: Völlig richtig, Widerrufszertifikat erzeugen und in
den Safe legen, bis er mal benutzt werden muß.
Nur: wer nie einen Schlüssel vom Server abruft, weil er ihn
auf anderem Weg bekommen hat, wird vielleicht nie von deinem
Widerruf erfahren.
Also auch ein Ablaufdatum festlegen (ja, bringt auch Probleme
mit sich, alle Bekannten regelmäßig über neuen Schlüssel
informieren…)
Welchen Gültigkeitszeitraum würdest du denn empfehlen?
Liebe Grüße
Hugo
Hallo,
du kannst so viele Schlüssel erstellen wie Du möchtest. Das dies in der Praxis wenig Sinn ergibt, liegt auf der Hand. Diese mußt du nicht auf einen Schlüsselserver hochladen. Könntest Du ja auch persönlich übergeben oder nur im Intranet nutzen.
Die Verknüpfung mit Deiner Email-Adresse macht die Suche einfacher, mehr nicht. Kannst also auch mehrere Schlüssel mit einer Email-Adresse verbinden.
Dein Kommunikationspartner weiß, daß Du ihm schreibst, wenn Du Deine Mail mit Deinem privaten Schlüssel signierst. gleicht er diesen gegen Deinen öffentlichen ab (deshalb u.a. die Email-Adresse als Suchbegriff), weiß er, daß nur Du diese Mail geschrieben kannst (bzw. jemand, der im Besitz Deines privaten Schlüssels ist).
Du unterschreibst also mit Deinem privaten Schlüssel und der Empfänger kann die Authenzität mit Deinem öffentlichen Schlüssel überprüfen.
Wenn jetzt „jeder“, der Deine Email-Adresse kennt, den Schlüssel für ungültig erklären könnte, wäre ja Deine digitale Signatur gefährdet, weil wertlos.
Dein Kommunkationspartner könnte eben nicht mehr überprüfen, ob Die Email von Dir stammt, weil ja der öffentliche Schlüssel nicht mehr zur Verfügung stehen würde.
Würde ich hingegen Dir eine Email-Schreiben, so würde ich Deinen öffentlichen Schlüssel herunterladen, meine Mail mit diesem verschlüsseln und absenden. Du könntest dann die Mail mit Deinem privaten Schlüssel entschlüsseln.
Achtung: Die „Betreffzeile“ wird nicht verschlüsselt.
Hört sich alles viel komplizierter an, als es in der Praxis ist. Thunderbird z.B. hat den ganzen Kram hervorragend integriert.
Die Lebensdauer eines Schlüssels (Standard) - zumindest bei dem von mir verwendeten OpenPGP - ist 5 Jahre.
mfg
tf
Hallo Hugo,
Es ist also auch nicht auf Anfrage möglich die eigene E-Mail-Adresse vom Server :löschen zu lassen?
Da muß ich mich wohl teilweise korrigieren, es gibt mittlerweile zwei Typen von Schlüsselservern. Bei Wikipedia ist der erste Typ ausführlich erklärt http://de.wikipedia.org/wiki/Schl%C3%BCsselserver und der zweite verlinkt:
https://keyserver.pgp.com
Beim letztgenannten geht das Löschen vermutlich, ob es sinnvoll ist, sei dahingestellt.
Da du die Open-Source-Software kleopatra/Gpg4win verwendet hast, glaube ich nicht, daß der letzgenannte (kommerzielle) Server voreingestellt war.
Wie gesagt, deine E-mail-Adresse ist absolut nötig für die Erstellung des Schlüsselpaars. Ob der öffentliche Schlüssel hochgeladen wurde, mußt du selbst wissen - oder ein paar Standardserver wie http://sks-keyservers.net oder http://blackhole.pca.dfn.de/ abfragen - eigentlich sollten die vernetzt sein und gleiche Ergebnisse liefern.
Bei diesem Verbund von Servern kannst du jedenfalls die Veröffentlichung nicht mehr rückgängig machen, nur ggfs. den Schlüssel widerrufen.
Übrigens hat gpg4win ein prima Handbuch - vielleicht findet sich da auch etwas zur empfohlenen Laufzeit…
Ach ja, einen wichtigen Punkt noch: man kann unbedenklich mit Hinz und Kunz die öffentlichen Schlüssel austauschen, man sollte aber die Echtheit überprüfen, wenn man sie wirklich einsetzen will.
http://de.wikipedia.org/wiki/Web_of_Trust
Gruß, muzel
Hallo Thomas,
vielen Dank für die ausführliche Erklärung!
Dein Kommunikationspartner weiß, daß Du ihm schreibst, wenn Du
Deine Mail mit Deinem privaten Schlüssel signierst. gleicht er
diesen gegen Deinen öffentlichen ab (deshalb u.a. die
Email-Adresse als Suchbegriff), weiß er, daß nur Du diese Mail
geschrieben kannst (bzw. jemand, der im Besitz Deines privaten
Schlüssels ist).
Das setzt aber doch voraus, dass ich es auch tatsächlich war, der das Schlüsselpaar erstellt hat, oder?
Achtung: Die „Betreffzeile“ wird nicht verschlüsselt.
Gut zu wissen.
Hört sich alles viel komplizierter an, als es in der Praxis
ist. Thunderbird z.B. hat den ganzen Kram hervorragend
integriert.
Das heißt, da braucht man gar keine Plugins mehr installieren? Ist ja super!
Die Lebensdauer eines Schlüssels (Standard) - zumindest bei
dem von mir verwendeten OpenPGP - ist 5 Jahre.
Prima.
Vielen Dank und noch einen schönen Tag!
Liebe Grüße
Hugo
Hallo Muzel,
vielen Dank für deine ausführliche Antwort.
Da muß ich mich wohl teilweise korrigieren, es gibt
mittlerweile zwei Typen von Schlüsselservern. Bei Wikipedia
ist der erste Typ ausführlich erklärt
http://de.wikipedia.org/wiki/Schl%C3%BCsselserver und der
zweite verlinkt:
https://keyserver.pgp.com
Beim letztgenannten geht das Löschen vermutlich, ob es
sinnvoll ist, sei dahingestellt.
Da du die Open-Source-Software kleopatra/Gpg4win verwendet
hast, glaube ich nicht, daß der letzgenannte (kommerzielle)
Server voreingestellt war.
Meines Wissens war der Schlüsselserver hkp://keys.gnupg.net voreingestellt.
Wie gesagt, deine E-mail-Adresse ist absolut nötig für die
Erstellung des Schlüsselpaars. Ob der öffentliche Schlüssel
hochgeladen wurde, mußt du selbst wissen - oder ein paar
Standardserver wie http://sks-keyservers.net oder
http://blackhole.pca.dfn.de/ abfragen - eigentlich sollten die
vernetzt sein und gleiche Ergebnisse liefern.
Bei diesem Verbund von Servern kannst du jedenfalls die
Veröffentlichung nicht mehr rückgängig machen, nur ggfs. den
Schlüssel widerrufen.
Ok, besten Dank für die Infos!
Übrigens hat gpg4win ein prima Handbuch - vielleicht findet
sich da auch etwas zur empfohlenen Laufzeit…
Ins Gpg4win-Kompendium habe ich schon mehrfach reingeschaut, nach der empfohlenen Lebensdauer eines Schlüssels allerdings noch nicht gesucht.
Ach ja, einen wichtigen Punkt noch: man kann unbedenklich mit
Hinz und Kunz die öffentlichen Schlüssel austauschen, man
sollte aber die Echtheit überprüfen, wenn man sie wirklich
einsetzen will.
http://de.wikipedia.org/wiki/Web_of_Trust
Das heißt, ich muss mir auf anderem Kommunikationsweg (Telefon, Brief, persönlich) die Echtheit des Schlüssels bzw., dass es sich bei dem Schlüssel tatsächlich um den meines Kommunikationspartners handelt, bestätigen lassen?
Noch einen schönen Tag!
Liebe Grüße
Hugo