Key-Unterschied!?!

Gpg4win help-de
1

Hallo!

Nachdem ich bemerkt habe, dass der in meinen Signaturen seit Jahren verwendete Keyserver offenbar nicht mehr mit Firefox und IE richtig nutzbar ist (http://wwwkeys.de.pgp.net/pks/lookup?search=0x…), habe ich nach einem anderen gesucht und diese nun gewaehlt:
http://pgpkey.org:11371/

Ich habe fuer mich in einer Textdatei (E-Mail-Entwurf) die aktuelle berufliche und die private Signatur sowie den jeweiligen Key hinterlegt.
Aus Interesse habe ich nun einmal den von mir in dieser Datei hinterlegte Kopie meines beruflichen Schluessels in Notepad++ vergleichen lassen - und muss erschreckt feststellen, dass es hier Unterschiede gibt, die ich nicht verstehe:
Der ‘alte’ beginnt mit
Public Key Server – Get ``0x816e…‘’

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: SKS 1.1.0

der neue dagegen mit

Public Key Server – Get “0x816e…”

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: SKS 1.1.5
Comment: Hostname: pgpkey.org

Da kann ich mir noch vorstellen, dass das nicht unbedingt ein Problem sein muss - doch nach 10 Zeilen unterscheidet sich der eigentliche Schluessel?!
Der Eintrag nach ‘Get’ ist in beiden Faellen gleich.

Anschliessend habe ich dann aus Kleopatra meine beiden aktuellen Schluessel kopiert und diese mit dem Suchergebnis von pgpkey.org verglichen - und erneut gibt es Unterschiede:

Anfang:
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2

Auch hier vermute ich keine Auswirkung - doch dann werden noch viel mehr Unterschiede als mit dem zuvor verwendeten Schluessel angezeigt!?! Hier fehlt allerdings auch die ‘Get’-Angabe (0x816e…), was den Vergleich weniger leicht macht.

Daraufhin habe ich den gerade exportierten Key mit der in einer Textdatei hinterlegten alten Kopie verglichen - und es werden wieder (andere) Unterschiede angezeigt!?!

Muss ich davon ausgehen, dass bei der Replikation meiner Schluessel zwischen dem Server, auf welche ich diese vor Jahren hochgeladen habe und weiteren Keyservern Fehler aufgetreten sind!?!
Der Schluessel muesste m. E. doch auch nach Jahren unveraendert vorliegen, oder ergeben sich diese Unterschiede aus der Weiterentwicklung der verwendeten Programme (derzeit: GPG4Win 2.2.4)?

Vielen Dank!

Bernd Leutenecker

2

Moin Bernd,

das öffentliche Zertifikat besteht bei OpenPGP aus mehreren Teilen
mit Schlüsselmaterial, Metadaten und Unterschriften von Dir und von Anderen.
Gleichzeitig wird es in einer Speicherstruktur gehalten.

Wichtig ist, dass das Schlüsselmaterial immer dasselbe ist. Die
Anzahl der Unterschriften kann sich ja ändern, auch die Speicherstruktur könnte sich ändern. Deine Unterschrift auf Schlüsselmaterial und Metadaten stellt aber sicher, dass Du immer prüfen kannst, ob noch alles stimmt. Wenn Du also das Zertifikat von einem Schlüsselserver importierst, dann wird die Krypto-Engine Deine Unterschrift
auf dem Zertifikat prüfen und die Vertrauenswürdigkeit nach dem “Web of Trust”-Modell errechnen. Dabei wird dann auffallen, wenn etwas nicht mehr stimmt.

Natürlich sind Software-Defekte nicht immer auszuschließen, aber zumindest deutlich unwahrscheinlicher in Deinem geschilderten Fall. (Wenn es wirklich im Detail interessiert, dann ließen sich die Unterschiede in den öffentlichen Zertifikaten analysieren, das Format von OpenPGP ist ja bekannt. Das macht aber auch etwas Arbeit, dass kann ich nicht mal eben zwischendurch machen.)

Gruß,
Bernhard

Gruß,
Bernhard
ps.: Gefällt Dir meine Antwort?
→ Wirf ein paar Cent für Gpg4win ein: https://flattr.com/thing/2053326
→ Hilf Anderen mehr über Gpg4win zu lernen.
Danke!

3

Hallo Bernhard,

OK, wenn ich es also richtig verstanden habe, muesste ich nur die
jeweiligen Keys in die Zwischenablage kopieren und mit Kleopatra
pruefen, im Ergebnis muesste dann mitgeteilt werden, dass es sich
um meinen privaten bzw. beruflichen Key handelt, auch wenn die
ins Clipboard kopierten ASCII-Zeichenketten nicht identisch sind?

Das mit den Signaturen von Schluesseln habe ich in der Tat nicht
bedacht; das waere eine gute Erklaerung fuer Unterschiede - solange
dann auf obige Weise die Korrektheit, die Integritaet des Schluessels
zuverlaessig geprueft werden kann.

Da zeigt sich aktuell ein seit vielen Versionen immer wieder laestiges
Problem mit Kleopatra:
Ich kann Text ins Clipboard kopieren (und von dort in einen Editor
einfuegen), doch in Kleopatra bleibt die Kontextmenue-Option
‘Zwischenablage - Entschluesseln/Ueberpruefen …’ (bzw. der analoge
Menuepunkt) ausgegraut (nur diese Option, der Rest ist aktiv).

Auch nach dem Neustart von Kleopatra hat sich nichts geaendert
(irgendwann / bei anderen Inhalten im Clipboard) klappt es dann
ploetzlich wiedern, eine Regel habe ich bisher nie erkennen koennen
(Win 7 x64, GPG4Win 2.2.4) Ich habe also noch keine Pruefung auf
die oben beschriebene Weise vornehmen koennen.

Gruesse

Bernd

4

Hallo Bernhard,

zwei Nachtraege:

  1. Gibt es Empfehlungen, welche Schluesselserver zu verwenden
    sind?
    Im Laufe der Jahre habe ich die entsprechenden Hyperlinks in
    meinen E-Mail-Signaturen mehrfach korrigieren muessen.
    Ausserdem stellt sich natuerlich auch die Frage nach der
    Vertrauenswuerdigkeit der Serverbetreiber, oder?
    Ist es z. B. am sinnvollsten, den in Kleopatra eingetragenen Server
    keys.gnupg.net’ zu verwenden?

  2. Zum Kleopatra-Problem: Ich habe unter ‘Einstellungen - Selbsttest
    durchfuehren’ die Option bereits aktiviert, dass dieser Test bei jedem
    Programmstart ausgefuehrt werden soll - und auch jetzt wird alles
    gruen angezeigt.

Gruesse

Bernd

5

Hallo Bernd,
ja, wenn Du den Schlüssel importierst, solltest Du sehen, dass
sich nichts verändert hat.

Zu Deinem Problem dass ind er Zwischenablage was ausgegraut ist:
Früher ging auch ein Import aus einer Datei, also Zertifikat in Datei schreiben,
von Datei importieren. (Kann ich gerade nicht ausprobieren.)
Zu dem technischen Problem: Am besten mal schauen/suchen, ob es dazu schon einen
Problembericht gibt, ansonsten einen anlegen. Das hilft den Entwickelnden am meisten.

Zu den Zertservern:
keys.gnupg.org ist, aus meiner Sicht, eine gute Wahl, dieser Dienst wählt per DNS aus einer Liste von Zertservern aus.
Verweis auf die Originaldokumentation:
https://gnupg.org/faq/gnupg-faq.html#new_user_default_keyserver
https://www.gnupg.org/documentation/manuals/gnupg/GPG-Configuration-Options.html (nach “keys.gnupg” suchen)

Gruß,
Bernhard
ps.: Gefällt Dir meine Antwort?
→ Wirf ein paar Cent für Gpg4win ein: https://flattr.com/thing/2053326
→ Hilf Anderen mehr über Gpg4win zu lernen.
Danke!