Revocation GPG key ohne zertifikat?

Internet Internet Sicherheit
#1

Hallo Sicherheitsexperten!

ich habe vor laaanger Zeit einen GPG Schlüssel generiert und öffentlich hinterlegt. Inzwischen ist durch einen Plattencrash mein gesamter Keyring und sämtliche Schlüsseldaten verloren gegangen. An die Passphrase kann ich mich ohnehin nicht mehr erinnern.

Leider ist die Diskette, auf der mein „revocation certificate“ gespeichert war, inzwischen auch nicht mehr lesbar. Hätte ich wohl öfter mal frisch kopieren sollen.

Wie auch immer: Gibt es wirklich keine Möglichkeit, einen ungültigen Schlüssel auch ohne revocation cert. wieder loszuwerden? Der Schlüssel ist nämlich mit meiner email verbandelt und ich möchte nur sehr ungerne meine Adresse ändern.

Könnte man nicht z.B. persönlich und mit Personalausweis bei einem Trustcenter vorbeimarschieren und von dort offiziell beglaubigt einen Rückruf starten?

Bei meinem neuen Schlüsselpaar habe ich erstens eine begrenzte Haltbarkeit eingetragen und das revocation cert. auf Papier ausgedruckt. Das ist auch in 50 Jahren noch lesbar!

Gruß

Fritze

#2

Hallo,

Wie auch immer: Gibt es wirklich keine Möglichkeit, einen
ungültigen Schlüssel auch ohne revocation cert. wieder
loszuwerden? Der Schlüssel ist nämlich mit meiner email
verbandelt und ich möchte nur sehr ungerne meine Adresse
ändern.

Nein. Aber solange der Schlüssel von niemanden signiert ist wird ihn eh kaum jemand benutzen.

Könnte man nicht z.B. persönlich und mit Personalausweis bei
einem Trustcenter vorbeimarschieren und von dort offiziell
beglaubigt einen Rückruf starten?

Trustcenter haben mit den pgp-Keyservern nichts zu tun.

Bei meinem neuen Schlüsselpaar habe ich erstens eine begrenzte
Haltbarkeit eingetragen und das revocation cert. auf Papier
ausgedruckt. Das ist auch in 50 Jahren noch lesbar!

Wenn es säurefreies Papier ist vielleicht…

Grüße,
Moritz

#3

Hallo,

Wie auch immer: Gibt es wirklich keine Möglichkeit, einen
ungültigen Schlüssel auch ohne revocation cert. wieder
loszuwerden? Der Schlüssel ist nämlich mit meiner email
verbandelt und ich möchte nur sehr ungerne meine Adresse
ändern.

Nein. Aber solange der Schlüssel von niemanden signiert ist
wird ihn eh kaum jemand benutzen.

Fein fein. Aber es ist nervig, dass es derzeit *zwei* Schlüssel mit dem gleichen Namen und der gleichen email Adresse gibt. Es *hat* nämlich jemand den falschen Schlüssel benutzt :smile:

Könnte man nicht z.B. persönlich und mit Personalausweis bei
einem Trustcenter vorbeimarschieren und von dort offiziell
beglaubigt einen Rückruf starten?

Trustcenter haben mit den pgp-Keyservern nichts zu tun.

Schon klar. Aber sie sind vertrauenswürdig und könnten so die Identität desjenigen bestätigen, der ohne revocation cert einen Schlüssel entfernt haben möchte.

Eine Lösung für das Problem wäre sicher sinnvoll, weil es zig tausende von solchen Geisterschlüsseln auf den öffentlichen keyservern gibt. Es wäre also auch schon aus technischen Gründen sinnvoll, diese mal auszusortieren.

Wenn es säurefreies Papier ist vielleicht…

Ich habe hier olle Aufzeichnungen von meinem Großvater rumfliegen, die sind erheblich älter und auf recht üblem Papier geschrieben. Ist schon reichlich gilb, aber noch wunderbar lesbar. Natürlich kein revocation certifiacte :smile:

Gruß

Fritze

#4

Hy,

Nein. Aber solange der Schlüssel von niemanden signiert ist
wird ihn eh kaum jemand benutzen.

Fein fein. Aber es ist nervig, dass es derzeit *zwei*
Schlüssel mit dem gleichen Namen und der gleichen email
Adresse gibt. Es *hat* nämlich jemand den falschen Schlüssel
benutzt :smile:

Aeh, ja…und?! Dann hast Du im schlimmsten Fall eine Mail bekommen, die Du nicht öffnen kannst, weil der falsche Schlüssel verwendet wurde. Also teilst Du am einfachsten Deinem „Partner“ den richtigen mit. Wäre am einfachsten, oder ?!
Bei GnuPG würde das glaub ich mit ‚–gen-revoke‘ gehen. Bei PGP selber bin ich mir garnicht sicher… Müsste man mal im handbuch nachschauen.
Vielleicht hilft auch http://sunfje.rz.uni-saarland.de/CA/PGP/revoke.html

Könnte man nicht z.B. persönlich und mit Personalausweis bei
einem Trustcenter vorbeimarschieren und von dort offiziell
beglaubigt einen Rückruf starten?

Trustcenter haben mit den pgp-Keyservern nichts zu tun.

Schon klar. Aber sie sind vertrauenswürdig und könnten so die
Identität desjenigen bestätigen, der ohne revocation cert
einen Schlüssel entfernt haben möchte.

Ja. Genau das können die. Nicht mehr! Die können bestätigen und somit Deinen Key, den Du ja aber zurückziehen willst, im besten fall zertifizieren.

Eine Lösung für das Problem wäre sicher sinnvoll, weil es zig
tausende von solchen Geisterschlüsseln auf den öffentlichen
keyservern gibt. Es wäre also auch schon aus technischen
Gründen sinnvoll, diese mal auszusortieren.

Deshalb hatte die PGP Corp. vor kuezem eine mail an alle Keybesitzer geschickt um diese Keys ggf upzudaten. Ansonsten werden die demnächst so wie die sich das darstellt demnächst halt mal „aufgeräumt“
http://www.heise.de/newsticker/result.xhtml?url=/new…

Gruß
h.

1 Like
#5

Czescz,

Aeh, ja…und?! Dann hast Du im schlimmsten Fall eine Mail
bekommen, die Du nicht öffnen kannst, weil der falsche
Schlüssel verwendet wurde. Also teilst Du am einfachsten
Deinem „Partner“ den richtigen mit. Wäre am einfachsten, oder
?!

Mei, es geht hier nicht um eine einzelne Nachricht, bei der das in der Tat kein Problem ist. Vielmehr habe ich mir generell Gedanken gemacht, wie man die Keyserver für GnuPG entrümpeln könnte, obwohl sicher noch erheblich mehr Nutzer ihr revocation cert verbummelt haben.

Bei GnuPG würde das glaub ich mit ‚–gen-revoke‘ gehen.

Ja. Aber das Ergebinis muss man im Falle eines Falles parat haben. Das ist gerade *nicht* der Fall.

Schon klar. Aber sie sind vertrauenswürdig und könnten so die
Identität desjenigen bestätigen, der ohne revocation cert
einen Schlüssel entfernt haben möchte.

Ja. Genau das können die. Nicht mehr! Die können bestätigen
und somit Deinen Key, den Du ja aber zurückziehen willst, im
besten fall zertifizieren.

Wieso können die das nicht? Doch wohl eher, weil sie es nicht wollen. Das Problem mit dem annullieren von Schlüsseln ist ja lediglich, die korrekte Identität des Besitzers feststellen zu müssen. Daher das Zertifikat. Da man persönlich durch geignete Dokumente ja diese Identität überprüfen kann, wären Trustcenter für diese Aufgabe ganz außerordentlich gut geignet. Sie könnten es ja gegen eine Bezahlung als Service anbieten.

Das setzt aber natürlich vorraus, dass eine entsprechende Bestätigung von den Betreibern der Key Server akzeptiert bzw. technisch überhaupt ermöglicht wird. Nochmal: mir ging es jetzt über mein persönliches Problem hinaus um eine generelle Lösung.

Deshalb hatte die PGP Corp. vor kuezem eine mail an alle
Keybesitzer geschickt um diese Keys ggf upzudaten. Ansonsten
werden die demnächst so wie die sich das darstellt demnächst
halt mal „aufgeräumt“
http://www.heise.de/newsticker/result.xhtml?url=/new…

Ja. Aber es liegt nicht daran, dass sie die „Leichen“ beseitigen wollen, sondern sie wechseln die Server-Infrastruktur. Es ist ein gewünschter Nebeneffekt. Und scheinbar soll das ja auch regelmäßig halbjährlich passieren. Eine gute Sache, die man alternativ auch bei den GnuPG Servern einführen sollte. Das würde allerdings einen gewissen Aufwand bei *allen* Nutzern bedeuten, während eine Rückname via Trustcenter lediglich einem Nutzer Arbeit macht (und natürlich den Serverbetreibern, die eine entsprechende Schnittstelle schaffen müssten).

Gruß

Fritze

#6

Hi,

Wieso können die das nicht? Doch wohl eher, weil sie es nicht
wollen. Das Problem mit dem annullieren von Schlüsseln ist ja
lediglich, die korrekte Identität des Besitzers feststellen zu
müssen. Daher das Zertifikat. Da man persönlich durch geignete
Dokumente ja diese Identität überprüfen kann, wären
Trustcenter für diese Aufgabe ganz außerordentlich gut
geignet. Sie könnten es ja gegen eine Bezahlung als Service
anbieten.

Das funzt aber nur dann, wenn auch der Schlüssel schon zertifiziert wurde. Ansonsten kann zwar im Nachhinein Deine Identität irgendwie zertifiziert werden, aber nicht, daß der verlorene Schlüssel auch wirklich zu Dir gehört hat.

Gruß,

Malte.

#7

Hallo,

Das funzt aber nur dann, wenn auch der Schlüssel schon
zertifiziert wurde. Ansonsten kann zwar im Nachhinein Deine
Identität irgendwie zertifiziert werden, aber nicht, daß der
verlorene Schlüssel auch wirklich zu Dir gehört hat.

Ja, das klappt nur, wenn auch die email Adresse auf einen festen Namen eingetragen ist. Das ist z.B. bei web.de der Fall.

Am einfachsten wäre es, wenn die Schlüssel einfach periodisch entweder bestätigt werden müssten oder aber einfach entfernt würden. Sozusagen ein automatisches Verfallsdatum.

Gruß

Fritze

#8

Hi,

Am einfachsten wäre es, wenn die Schlüssel einfach periodisch
entweder bestätigt werden müssten oder aber einfach entfernt
würden. Sozusagen ein automatisches Verfallsdatum.

Gibt es doch - Du musst das nur bei der Erstellung des Schlüssels so einrichten (jaja ich weiß - ich hab auch ein, zwei solcher Leichen…)
It’s your choice!

Gruß,

Malte.

#9

Hallo,

Gibt es doch - Du musst das nur bei der Erstellung des
Schlüssels so einrichten (jaja ich weiß - ich hab auch ein,
zwei solcher Leichen…)
It’s your choice!

Ist mir bekannt. Ich nenne es „manuelles Verfallsdatum“ :smile: Ich bin jetzt ein großer Fan dieses Verfahrens.

Gruß

Fritze