Discouraged [Update][2. Update]

gnupg2

Mein alter PGP-Schlüssel war abgelaufen. Ich habe einen neuen:

burks@burks.de (0x69152AA7DE1F513E) pub.asc – | ID DE1F513E | Fingerprint: 3D2A 0DFE D666 8237 5176 CD6B 6915 2AA7 DE1F 513E
(Vgl. auch das Impressum.)

Natürlich ging wieder alles schief, was schief gehen konnte, und ich habe den halben Vormittag verschwendet.

Thunderbird bzw. Enigmail für Linux ist nicht in der Lage, einen 4096-Bit-Schlüssel zu erzeugen. Das Feature gibt es gar nicht, man wird auch nicht gefragt. (Dazu gibt es eine passende Website, har har: class=“client-nojs“) Warum? Es weist auch nichts darauf hin.

Ich sprach so vor mich hin: Dann eben mit dem Terminal. Die Befehle weiß zwar niemand auswenig ausser Werner Koch, aber es gibt ja copy and paste.

gpg2 –full-gen-key
Das ist einfach, aber dann liest man:
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.

gnupg2

Wie lautet es denn jetzt, wenn man fünf Jahre will? Muss das n in eckigen Klammern mit dazu? Kommen Leerzeichen hinter und vor das Anführungszeichen? Braucht man es überhaupt? Ich habe lange gebraucht, bis ich ein Beispiel gefunden habe, weil alle meine Versuche scheitern. Wer kein Mathematiker ist, versteht doch das mit dem Buchstaben n gar nicht! Und ich denke auch nicht so. Warum macht sich niemand Gedanken darüber, dass es sinnvoll wäre, einfach zu schreiben: 5y bedeutet: Der Schlüssel wird nach fünf Jahren ungültig?! Bei SELFHTML wird das auch so gemacht.

Ich habe es irgendwann aufgegeben, da ich vermutete, es müsse auch ein grafisches Frontend geben. Man kann übrigens nur alle geheimen Schlüssel in eine Datei exportieren, das wollte ich nicht.

Wenn man sich aber eine Liste dazu ansieht, wird einem ganz schlecht. Dieses kann das nicht, und jenes kann dieses nicht. Ich habe dan Seahorse genommen, das hatte ich eh schon installiert.

Ein Schlüsselpaar zu erzeugen, ist immer einfach, aber da beginnt das Problem erst. Was ist, wenn ich schon Dutzende von Schlüsselpaaren habe – seit 1995? Ich denke mir doch nicht jedes Mal einen neuen Namen für mich selbst aus, um den Schlüssel von den Software identifizieren zu lassen? Die Schlüssel-ID des neuen Schlüssels wurde auch nach einem Dutzend Versuchen nicht erkannt, so dass ich schon fast in der Laune des HB-Männchens war.

Ich halte es auch für einen Bug, wenn das Menü von Seahorse anbietet, den geheimen Schlüssel zu exportieren, aber nicht verrät, wie man den öffentlichen Key in eine Datei bekommt (vgl. Screenshot unten). Irgendwann habe ich gemerkt, dass ich doch den gesamten Keyring exportiert hatte. Ein Anfänger hätte schon viel früher aufgegeben. So wird das nichts.

gnupg2

Update: Ein aufmerksamer Leser schickte mir einen Screenshot von Enigmail 2.1.2. Dort gibt es einen Tab mit der Option, auch 4096-Bit-Schlüssel zu erzeugen. In meinem Enigmail Version 2.0.8 gibt es den nicht. Ich frage mich, warum unter Ubuntu nicht die aktuellste Version angeboten wird?

[2. Update] Menschliches Versagen meinerseits, auf das mich ein aufmerksamer Leser hinwies. Wie man auf den Screenshots sieht, kann Thunderbird durchaus 4096-Bit-Schlüssel erzeugen. Das Feature ist nur sehr gut versteckt, warum auch immer – unter Ablaufdatum [sic! Sehr logisch!] und erweitert.

Kommentare

9 Kommentare zu “Discouraged [Update][2. Update]”

  1. ... der Trittbrettschreiber am August 29th, 2019 4:23 pm

    ;-)… Das passt mal wieder.
    Der erste Schlüssel müsste lauten:
    d=Schlüssel verfällt nach n Tagen.
    Und es fehlt auch h, weil manches schon nach Stunden wieder vorbei ist.
    Für mich gibts jedoch nur den Schlüssel J – der ist sicherer.

  2. ... der Trittbrettschreiber am August 29th, 2019 4:26 pm

    Das ging leider daneben. Das Kommentarfeld lässt keinen Quelltext zu. Lernen ist Leben.

  3. tom am August 29th, 2019 6:19 pm

    Burks, Du bist doch jetzt in dem gewissen Alter… kannst Du nicht einfach Deine Rente genießen – so wird das vllt. nichts.

  4. Martin Däniken am August 30th, 2019 9:46 am

    @Tom:
    das sind doch zerebrale Aerobics für unseren jungendlichen Gastgeber!
    Letzendlich isser stolz wenn er es doch gefummelt bekommen hat…
    und diesen den endkundennichtbedenkendenserviceunfreundlichen Software-Ingenieuren ne lange Neese gezeigt hat…
    solche Probleme zulösen ist wie das männliche Gegenstück zum Kinderkriegen,hihi.

  5. Jens T. am August 30th, 2019 11:03 am

    Beim Erstellen eines neuen Schlüsselpaares mit Enigmail (hier Version 2.1.2) kann direkt auf der ersten Seite die Gültigkeit (welche mit 5 Jahren vorbelegt ist) eingestellt werden. Im Tab „Erweitert…“ kann dann dort bei Bedarf auch RSA und die Schlüssellänge 4096 eingestellt werden. Wo ist das Problem?

  6. admin am August 30th, 2019 11:45 am
  7. blowfish am August 30th, 2019 1:54 pm

    Doch, siehe Screenshot.
    https://c.gmx.net/@327473210582892981/_y0CVi1iSfqFfswGj-MVtA
    Allerdings verhält sich das Fenster merkwürdig, mal sieht man nur die Auswahl der Schlüssellänge, mal die Laufzeit.
    Statt RSA sollte man vermutlich ECC nehmen, dürfte länger sicher sein.

  8. admin am August 30th, 2019 2:02 pm

    Bei mir sieht man das nicht.

  9. blowfish am August 30th, 2019 2:38 pm

    Stimmt, die Enigmail-Version im Ubuntu-Repository ist veraltet – also nimmt man besser das normale Thunderbird-Addon (vorher Enigmail über die Paketverwaltung deinstallieren).

Schreibe einen Kommentar