Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
public:gnupg:gnupg-card-howto [2017/09/12 15:43] – [Nicht oder nicht vollständig unterstützte Kartenleser] jankow@datenkollektiv.netpublic:gnupg:gnupg-card-howto [2024/07/29 11:40] (aktuell) – [Hauptkey mit Subkeys] jankow@datenkollektiv.net
Zeile 2: Zeile 2:
  
 <WRAP center round box> <WRAP center round box>
 +
 ===== Andere Anleitungen ===== ===== Andere Anleitungen =====
  
Zeile 8: Zeile 9:
   * [[http://wiki.fsfe.org/Card_howtos/Card_with_subkeys_using_backups#Create_a_GnuPG_secret_key|Anleitung der Free Software Foundation Europe]]   * [[http://wiki.fsfe.org/Card_howtos/Card_with_subkeys_using_backups#Create_a_GnuPG_secret_key|Anleitung der Free Software Foundation Europe]]
   * [[http://spin.atomicobject.com/2013/09/25/gpg-gnu-privacy-guard/|Anleitung von spin.atimoicobject.com]]   * [[http://spin.atomicobject.com/2013/09/25/gpg-gnu-privacy-guard/|Anleitung von spin.atimoicobject.com]]
-  * +  * 
 ==== Best Practice (Nutzung von Haupt- und Subkeys) für gnupg ==== ==== Best Practice (Nutzung von Haupt- und Subkeys) für gnupg ====
  
-  * http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/ +  * [[http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/|http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/]] 
-  * http://www.openpgp-schulungen.de/inhalte/ +  * [[http://www.openpgp-schulungen.de/inhalte/|http://www.openpgp-schulungen.de/inhalte/]] 
-  * http://www.hauke-laging.de/sicherheit/openpgp.html +  * [[http://www.hauke-laging.de/sicherheit/openpgp.html|http://www.hauke-laging.de/sicherheit/openpgp.html]] 
-  * http://blog.andreas-haerter.com/2010/04/12/gnupg-schluesselhierarchie-passender-algorithmus-fuer-jede-aufgabe-schluesselaustausch-ohne-verlust-des-web-of-trust#fn__8 +  * [[http://blog.andreas-haerter.com/2010/04/12/gnupg-schluesselhierarchie-passender-algorithmus-fuer-jede-aufgabe-schluesselaustausch-ohne-verlust-des-web-of-trust#fn__8|http://blog.andreas-haerter.com/2010/04/12/gnupg-schluesselhierarchie-passender-algorithmus-fuer-jede-aufgabe-schluesselaustausch-ohne-verlust-des-web-of-trust#fn__8]] 
-  * https://alexcabal.com/creating-the-perfect-gpg-keypair/ +  * [[https://alexcabal.com/creating-the-perfect-gpg-keypair/|https://alexcabal.com/creating-the-perfect-gpg-keypair/]] 
-  * http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/+  * [[http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/|http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/]] 
 </WRAP> </WRAP>
  
 ===== Nutzung der Gnupg Card ===== ===== Nutzung der Gnupg Card =====
  
-  * Die verschiedenen [[gnupg-card-usage|Möglichkeiten zum Einsatz der Karte]]+  * Die verschiedenen [[:public:gnupg:gnupg-card-usage|Möglichkeiten zum Einsatz der Karte]]
  
 ===== Grundsätzliche Infos über Smart Cards ===== ===== Grundsätzliche Infos über Smart Cards =====
Zeile 29: Zeile 32:
 Es gibt zwei unterschiedliche Konzepte: Es gibt zwei unterschiedliche Konzepte:
  
-  * Die "pki cards" (PKCS#11), siehe hier: [[https://wiki.debian.org/Smartcards]] +  * Die "pki cards" (PKCS#11), siehe hier: [[https://wiki.debian.org/Smartcards|https://wiki.debian.org/Smartcards]] 
-  * und die vor allem unter Linux sehr gut nutzbaren Gnupg-Cards [[https://wiki.debian.org/Smartcards/OpenPGP]]+  * und die vor allem unter Linux sehr gut nutzbaren Gnupg-Cards [[https://wiki.debian.org/Smartcards/OpenPGP|https://wiki.debian.org/Smartcards/OpenPGP]]
  
 Während erstere den Quasi-Standard für x509 Zertfikate und eine [[http://de.wikipedia.org/wiki/Public-Key-Infrastruktur|Public-Key-Infrastructure]] darstellen scheint die gnupg Variante unter Linux einfacher einzurichten und besser unterstützt zu sein. Während erstere den Quasi-Standard für x509 Zertfikate und eine [[http://de.wikipedia.org/wiki/Public-Key-Infrastruktur|Public-Key-Infrastructure]] darstellen scheint die gnupg Variante unter Linux einfacher einzurichten und besser unterstützt zu sein.
Zeile 36: Zeile 39:
 Ähnliche Konzpete verfolgen auch Ähnliche Konzpete verfolgen auch
  
-  * der [[http://finninday.net/wiki/index.php/Yubikey|Yubikey]] - eine Mischung aus USB-smartcard und One-Time-Password Generator+  * der [[http://finninday.net/wiki/index.php/Yubikey|Yubikey]] 
 + - eine Mischung aus USB-smartcard und One-Time-Password Generator
   * und der [[https://www.nitrokey.com/de/einleitung|Cryptostick]] der Privacy-Foundation.   * und der [[https://www.nitrokey.com/de/einleitung|Cryptostick]] der Privacy-Foundation.
  
Zeile 45: Zeile 49:
 Unterschiede der verschiedenen Systeme: Unterschiede der verschiedenen Systeme:
  
-| **System** | **Vorteile** | **Nachteile**| +|**System** |**Vorteile** |**Nachteile** | 
-| Gnupg Card | Karten leicher erhältlich und preiswerter. Unterstützung unter Linux einfacher | Authentifizierung mit Clients wie Thunderbird etc. nicht so einfach \\ +|Gnupg Card|Karten leicher erhältlich und preiswerter. Unterstützung unter Linux einfacher|Authentifizierung mit Clients wie Thunderbird etc. nicht so einfach| 
-| PKCS#11 | De Facto Standard | komplizierter in der Einrichtung, Karten teurer?, Beschaffung komplizierter, Kompatibilität nicht immer gegeben |+|PKCS#11|De Facto Standard|komplizierter in der Einrichtung, Karten teurer?, Beschaffung komplizierter, Kompatibilität nicht immer gegeben|
  
-Vor- und Nachteile sind z.B. hier diskutiert worden: http://lists.gnupg.org/pipermail/gnupg-users/2006-February/027936.html+Vor- und Nachteile sind z.B. hier diskutiert worden: [[http://lists.gnupg.org/pipermail/gnupg-users/2006-February/027936.html|http://lists.gnupg.org/pipermail/gnupg-users/2006-February/027936.html]]
  
 </WRAP> </WRAP>
Zeile 62: Zeile 66:
   * einen kompatiblen [[https://wiki.debian.org/Smartcards|Cardreader]]   * einen kompatiblen [[https://wiki.debian.org/Smartcards|Cardreader]]
  
-Beides ist am einfachsten über den Shop von [[http://shop.kernelconcepts.de/|Kernel Concepts]] zu erhalten. Eine Gnupg-Card erhält auch, wer der [[https://fsfe.org/fellowship/|Free Software Foundation Europe]] beitritt. +Beides ist am einfachsten im [[https://www.floss-shop.de/|FLOSS Shop]] zu erhalten. Eine Gnupg-Card erhält auch, wer der [[https://fsfe.org/fellowship/|Free Software Foundation Europe]] beitritt.
  
 ===== Software installieren ===== ===== Software installieren =====
Zeile 69: Zeile 72:
 Als erstes installieren wir die Software. Wichtig: die gnupg-card funktioniert nur mit gnupg Version 2. Als erstes installieren wir die Software. Wichtig: die gnupg-card funktioniert nur mit gnupg Version 2.
  
-  apt-get install gnupg2 scdaemon gpgsm pcscd+<code> 
 +apt-get install gnupg2 scdaemon gpgsm pcscd 
 +</code> 
 <WRAP center round box> <WRAP center round box>
  
 Wenn der [[http://www.scute.org/|PKCS#11-Support]] verwendet werden soll evtl. auch: Wenn der [[http://www.scute.org/|PKCS#11-Support]] verwendet werden soll evtl. auch:
  
-  apt-get install gnupg-pkcs11-scd+<code> 
 +apt-get install gnupg-pkcs11-scd 
 +</code> 
 </WRAP> </WRAP>
  
 ===== Card-Reader einrichten ===== ===== Card-Reader einrichten =====
- 
  
 In der [[https://www.gnupg.org/howtos/card-howto/en/ch02s03.html|Anleitung der Free Software Foundation Europe]] wird beschrieben, wie der Card-Reader so eingerichtet wird, dass das USB-Device die richtigen Rechte und Gruppenzugehörigkeit erhält. In der [[https://www.gnupg.org/howtos/card-howto/en/ch02s03.html|Anleitung der Free Software Foundation Europe]] wird beschrieben, wie der Card-Reader so eingerichtet wird, dass das USB-Device die richtigen Rechte und Gruppenzugehörigkeit erhält.
  
-<WRAP center round info> +<WRAP center round info> Unter Debian Wheezy war das für den Gemalteo Shell Token nicht nötig. Der Card-Reader funktionierte nach der Installation der Software "Out of the Box". Das liegt möglicherweise daran, dass die ccid-library noch mal anders funktioniert als die gnupg built in ccid. </WRAP>
-Unter Debian Wheezy war das für den Gemalteo Shell Token nicht nötig. Der Card-Reader funktionierte nach der Installation der Software "Out of the Box". Das liegt möglicherweise daran, dass die ccid-library noch mal anders funktioniert als die gnupg built in ccid. +
-</WRAP>+
  
 Das Device des Card-Readers muss die richtigen Dateirechte erhalten, damit die User darauf zugreifen können. Das erfolgt mittels udev und wird [[http://wiki.fsfe.org/Card_howtos/Card_reader_setup_%28udev%29|hier beschrieben]] Das Device des Card-Readers muss die richtigen Dateirechte erhalten, damit die User darauf zugreifen können. Das erfolgt mittels udev und wird [[http://wiki.fsfe.org/Card_howtos/Card_reader_setup_%28udev%29|hier beschrieben]]
Zeile 90: Zeile 96:
 Als schneller Workaroundzum Testen oder zur Nutzung innerhalb von Live-Systemen (zur sicheren Generierung der Schlüssel) kann das folgendermaßen getan werden Als schneller Workaroundzum Testen oder zur Nutzung innerhalb von Live-Systemen (zur sicheren Generierung der Schlüssel) kann das folgendermaßen getan werden
  
-  lsusb +<code> 
-  Bus 001 Device 008: ID ... Card-Reader .... +lsusb 
-  +Bus 001 Device 008: ID ... Card-Reader .... 
 +</code> 
 damit wissen wir die Bus und Device ID: damit wissen wir die Bus und Device ID:
  
-  ls -l /dev/bus/usb/001/008 +<code> 
-   +ls -l /dev/bus/usb/001/008 
-als temporärer Workaround: +</code>
  
-  chmod 666 /dev/bus/usb/001/008+als temporärer Workaround: 
 + 
 +<code> 
 +chmod 666 /dev/bus/usb/001/008 
 +</code>
  
 ===== Schlüssel erzeugen und auf Karte transferrieren ===== ===== Schlüssel erzeugen und auf Karte transferrieren =====
Zeile 110: Zeile 122:
 ==== Hauptkey mit Subkeys ==== ==== Hauptkey mit Subkeys ====
  
-  * Eine ausführlichere Anleitung (incl. Backup der keys findet sich hier: http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/)+  * Eine ausführlichere Anleitung (incl. Backup der keys findet sich hier: [[http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/|http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/]])
  
-Das Generieren der Schlüsselpaare findet vorzugsweise auf einem [[http://live.debian.net/|Live-System]] statt, damit sicher gestellt werden kann, dass die Schlüssel nicht bereits bei der Erstellung von Dritten gelesen werden können. Ist der geheime Schlüssel einmal auf der Karte, kann er, so zumindest die Theorie, diese nicht mehr verlassen. Alle Operationen finden auf der Karte statt. Daher lohnt es sich, bei der Erstellung der Schlüssel wirklich sehr sorgfältig vorzugehen: +Das Generieren der Schlüsselpaare findet vorzugsweise auf einem [[http://live.debian.net/|Live-System]] statt, damit sicher gestellt werden kann, dass die Schlüssel nicht bereits bei der Erstellung von Dritten gelesen werden können. Ist der geheime Schlüssel einmal auf der Karte, kann er, so zumindest die Theorie, diese nicht mehr verlassen. Alle Operationen finden auf der Karte statt. Daher lohnt es sich, bei der Erstellung der Schlüssel wirklich sehr sorgfältig vorzugehen:
  
   * vertrauensvolle Hardware   * vertrauensvolle Hardware
-  * Live-System möglichst ohne Netzwerkverbindungen +  * Live-System möglichst ohne Netzwerkverbindungen (wir empfehlen [[https://tails.net/|Tails]])
- +
-Ein angepasstes Live-System mit aller nötigen Software sowohl zum Erzeugen der Keys als auch für die Verwendung der Gnupg-Karte kann beim [[kontakt@datenkollektiv.net|Datenkollektiv]] bestellt werden. +
- +
-Ihr erhaltet einen Bootbaren USB-Stick mit +
- +
-  * angepasstem xfce4 Desktop und allen nötigen Crypto-Tools +
-  * einer zusätzlichen LUKS-verschlüsselten Partition, die z.B. für die Backups der privaten Schlüssel dienen kann.+
  
 === Hauptschlüssel-Paar generieren: === === Hauptschlüssel-Paar generieren: ===
Zeile 130: Zeile 135:
 Als erstes wird der Hauptschlüssel erstellt, der nur zum Signieren der Unterschlüssel dient: Als erstes wird der Hauptschlüssel erstellt, der nur zum Signieren der Unterschlüssel dient:
  
-  gpg2 --gen-key +<code> 
-  +gpg --full-generate-key 
 +</code> 
 Bei der Auswahl: Bei der Auswahl:
-  RSA (sign only)+ 
 +<code> 
 +RSA (sign only) 
 +</code>
  
   * ggf. unbegrenzte Haltbarkeit   * ggf. unbegrenzte Haltbarkeit
Zeile 141: Zeile 151:
 Mit Mit
  
-  gpg --list-keys+<code> 
 +gpg --list-keys 
 +</code>
  
 finden wir unsere neue Key-ID heraus. Diese nutzen wir nun zum Editieren des Schlüssels: finden wir unsere neue Key-ID heraus. Diese nutzen wir nun zum Editieren des Schlüssels:
  
-  gpg --expert --edit-key KEYIDXYZ+<code> 
 +gpg --expert --edit-key KEYIDXYZ 
 +</code>
  
 Im Anschluss generieren wir drei Subkeys für folgende Zwecke: Im Anschluss generieren wir drei Subkeys für folgende Zwecke:
Zeile 153: Zeile 167:
   - Authentifizieren   - Authentifizieren
  
-  gpg>  addkey+<code> 
 +gpg>  addkey 
 +</code>
  
-legt einen neuen Subschlüssel an. Wir müssen jetzt je einen zum Signieren, Verschlüsseln und Authentifizieren anlegen, d.h. die folgende Prozedur wird **dreimal** wiederholt.+legt einen neuen Subschlüssel an. Wir müssen jetzt je einen zum Signieren, Verschlüsseln und Authentifizieren anlegen, d.h. die folgende Prozedur wird **dreimal**  wiederholt.
  
 Bei der folgenden Auswahl: Bei der folgenden Auswahl:
Zeile 174: Zeile 190:
 Jetzt kann mit den angegebenen Buchstaben jeweils eine Fähigkeit zu- oder abgeschaltet werden. Jetzt kann mit den angegebenen Buchstaben jeweils eine Fähigkeit zu- oder abgeschaltet werden.
  
-Zuletzt sichert ein +Zuletzt sichert ein
  
-  gpg> save+<code> 
 +gpg> save 
 +</code>
  
 unsere Änderungen. unsere Änderungen.
- 
  
 ==== Backup ==== ==== Backup ====
  
-Dieser Schritt muss unbedingt vorgenommen werden, **bevor** die Subkeys auf die Karte transferriert werden, da das Kommando ''keytocard'' die Schlüssel aus dem Schlüsselbund auf die Karte verschiebt. Im Secring auf der Platte bleiben nur Stubs.+Dieser Schritt muss unbedingt vorgenommen werden, **bevor**  die Subkeys auf die Karte transferriert werden, da das Kommando ''keytocard''  die Schlüssel aus dem Schlüsselbund auf die Karte verschiebt. Im Secring auf der Platte bleiben nur Stubs.
  
   * Der gesamte Keyring (Unterverzeichnis .gnupg) sollte nach der Prozedur auf ein verschlüsseltes Medium bzw. in einem Container gesichert werden.   * Der gesamte Keyring (Unterverzeichnis .gnupg) sollte nach der Prozedur auf ein verschlüsseltes Medium bzw. in einem Container gesichert werden.
  
-  * eine weitere Variante zum Backup von Keys ist [[http://schnouki.net/posts/2010/03/22/howto-backup-your-gnupg-secret-key-on-paper/|paperkey]] - ein Programm um ausdruckbare Daten zu erhalten und den key auf Papier auszudrucken. +  * eine weitere Variante zum Backup von Keys ist [[http://schnouki.net/posts/2010/03/22/howto-backup-your-gnupg-secret-key-on-paper/|paperkey]] 
 + - ein Programm um ausdruckbare Daten zu erhalten und den key auf Papier auszudrucken.
  
 ==== Schlüssel auf die Gnupg-Karte kopieren ==== ==== Schlüssel auf die Gnupg-Karte kopieren ====
  
-<WRAP center round important> +<WRAP center round important> Achtung: Bitte sicher stellen, dass vor dem Kopieren auf die Karte ein Backup mit allen Subkeys auf einem sicheren Medium erstellt wurde. Die folgenden Kommandos löschen die Subkeys aus dem Schlüsselbund und verschieben sie auf die Karte, von der sie zwar benutzt - aber nicht wieder hergestellt werden können. </WRAP>
-Achtung: Bitte sicher stellen, dass vor dem Kopieren auf die Karte ein Backup mit allen Subkeys auf einem sicheren Medium erstellt wurde. Die folgenden Kommandos löschen die Subkeys aus dem Schlüsselbund und verschieben sie auf die Karte, von der sie zwar benutzt - aber nicht wieder hergestellt werden können. +
-</WRAP> +
  
 Im nächsten Schritt kopieren wir unsere Subkeys auf die gnupg-Karte. Hierfür benötigen wir das Passwort für den geheimen Hauptschlüssel und die Admin-Pin für die Karte. Im nächsten Schritt kopieren wir unsere Subkeys auf die gnupg-Karte. Hierfür benötigen wir das Passwort für den geheimen Hauptschlüssel und die Admin-Pin für die Karte.
  
-  gpg --expert --edit-key KEYIDXYZ+<code> 
 +gpg --expert --edit-key KEYIDXYZ 
 +</code>
  
 Ein Ein
  
-  gpg> toggle+<code> 
 +gpg> toggle 
 +</code>
  
 schaltet in die Ansicht der privaten Schlüssel um. schaltet in die Ansicht der privaten Schlüssel um.
Zeile 209: Zeile 227:
 Jetzt markieren wir der Reihe nach unsere Subkeys: Jetzt markieren wir der Reihe nach unsere Subkeys:
  
-  gpg> key 1+<code> 
 +gpg> key 1 
 +</code>
  
 und kopieren sie auf die Karte: und kopieren sie auf die Karte:
  
-  gpg> keytocard+<code> 
 +gpg> keytocard 
 +</code>
  
 Das wiederholen wir jetzt mit Schlüssel 2 u. 3. (Die Schlüssel müssen jeweils wieder entsperrt werden.) Das wiederholen wir jetzt mit Schlüssel 2 u. 3. (Die Schlüssel müssen jeweils wieder entsperrt werden.)
Zeile 221: Zeile 243:
 Den öffentlichen Schlüssel (der nicht auf der Karte gespeichert ist) exportieren wir auf ein zugängliches Medium oder zu einem Keyserver. Wir brauchen diesen später. Den öffentlichen Schlüssel (der nicht auf der Karte gespeichert ist) exportieren wir auf ein zugängliches Medium oder zu einem Keyserver. Wir brauchen diesen später.
  
-  gpg --export --armor KEYID > public_key.asc+<code> 
 +gpg --export --armor KEYID> public_key.asc 
 +</code>
  
 ==== Geheimen Schlüsselbund auf den Nutzer_innen Rechnern erstellen ==== ==== Geheimen Schlüsselbund auf den Nutzer_innen Rechnern erstellen ====
Zeile 227: Zeile 251:
 Auch wenn die geheimen Schlüssel nun auf der Karte sind - und nicht auf den jeweiligen Computern: dennoch muss ein Schlüsselbund mit den Verweisen auf die geheimen Schlüsseln auf die Karte erstellt werden. Auch wenn die geheimen Schlüssel nun auf der Karte sind - und nicht auf den jeweiligen Computern: dennoch muss ein Schlüsselbund mit den Verweisen auf die geheimen Schlüsseln auf die Karte erstellt werden.
  
-Während bei Smartcards, die von ''gnupg 1'' unterstützt werden ein einfacher Aufruf von +Während bei Smartcards, die von ''gnupg 1''  unterstützt werden ein einfacher Aufruf von
  
-  gpg --card-status+<code> 
 +gpg --card-status 
 +</code>
  
-reicht, um Verweise auf die Karte zu generieren, muss bei ''gnupg 2'' folgender Aufruf erfolgen:+reicht, um Verweise auf die Karte zu generieren, muss bei ''gnupg 2''  folgender Aufruf erfolgen:
  
-  gpg2 --secret-keyring .gnupg/secring.gpg --card-status+<code> 
 +gpg2 --secret-keyring .gnupg/secring.gpg --card-status 
 +</code>
  
-<WRAP center round tip 60%> +in manchen Fällen funktioniert dies jedoch nur über den internen Befehl ''fetch'' 
-Übrigens bei einer Erweiterung des öffentlichen Schlüssels mit neuen Schlüsseln, deren neue geheime Gegenstücke auf einer neuen Karte sind, müssen erst alle Verweise auf die alte Karte gelöscht werden. + 
-</WRAP>+<code> 
 +$ gpg2 --card-edit 
 +... 
 +gpg/card> fetch 
 +... 
 +gpg: Total number processed: 1 
 +gpg:               imported: 1 (RSA: 1) 
 +$ gpg2 --card-status 
 +... 
 +</code> 
 + 
 +<WRAP center round tip 60%> Übrigens bei einer Erweiterung des öffentlichen Schlüssels mit neuen Schlüsseln, deren neue geheime Gegenstücke auf einer neuen Karte sind, müssen erst alle Verweise auf die alte Karte gelöscht werden. </WRAP>
  
 ==== Karte wechseln ==== ==== Karte wechseln ====
Zeile 244: Zeile 283:
  
   - Die Keys müssen analog der Anleitung auf die neue Karte kopiert werden   - Die Keys müssen analog der Anleitung auf die neue Karte kopiert werden
-  - der Verweis auf den privaten Schlüssel (also nur der Rest des privaten Schlüssels) muss auf den Rechnern, auf denen die Karte zum Einsatz kommt gelöscht werden. Ein ''gpg --delete-secret-keys KEYID'' erledigt das. **Sicher stellen, dass es der Schlüsselbund mit den Verweisen ist, der bearbeitet nicht - und nicht z.B. der mit den Originalschlüsseln**. +<del>  - der Verweis auf den privaten Schlüssel (also nur der Rest des privaten Schlüssels) muss auf den Rechnern, auf denen die Karte zum Einsatz kommt gelöscht werden. Ein ''gpg delete-secret-keys KEYID''  erledigt das. **Sicher stellen, dass es der Schlüsselbund mit den Verweisen ist, der bearbeitet nicht - und nicht z.B. der mit den Originalschlüsseln**.</del> 
-  - Danach müssen die Verweise auf die neue Karte wieder erstellt werden''gpg2 --secret-keyring .gnupg/secring.gpg --card-status'' +  - seit [[https://www.gnupg.org/faq/whats-new-in-2.1.html|gnpg2.1]] werden die secret Keys nicht mehr in secring.pgp gespeichert sondern unter ''.gnupg/private-keys-v1.d/'' 
-  - Evtl. müssen die keys des Schlüsselspeichers d. gnupg-agents unter ''~/.gnupg/private-keys-v1.d/'' gelöscht werden. Sonst kommt beim Versuch eine SSH-Verbindung aufzubauen, der Fehler, dass die alte Karte eingelegt werden soll.+  - Die zu den privaten Keys der Karte passenden Verweise müssen aus ''.gnupg/private-keys-v1.d/'' gelöscht werden. 
 +  Danach müssen die Verweise auf die neue Karte wieder erstellt werden: ''gpg2 –secret-keyring .gnupg/secring.gpg –card-status''
  
 +**Anzeigen der zur gnupg-Karte passenden Dateien unter ''.gnupg/private-keys-v1.d/'':**
  
 +Das ist hier von Werner beschrieben: https://lists.gnupg.org/pipermail/gnupg-users/2016-April/055766.html
  
 +  gpg --with-keygrip -k KEYID
 +
 +Die ausgegebenen Keygrips beziehen sich auf die Dateien unter: ''.gnupg/private-keys-v1.d/''
 +
 +  rm ''.gnupg/private-keys-v1.d/KEYGRIP.key''
 +
 +**Achtung: immer Backup des .gnupg-Verzeichnisses machen, damit nicht aus Versehen andere secret Keys gelöscht werden.**
 ===== Stolperstellen ===== ===== Stolperstellen =====
  
 gnupg sollte aus [[https://wiki.gnupg.org/GnomeKeyring|diversen Gründen]] nicht mit dem gnome keyring genutzt werden. Dazu sollten zum einen die Autostart-Einträge der Desktop-Umgebung angepasst werden: gnupg sollte aus [[https://wiki.gnupg.org/GnomeKeyring|diversen Gründen]] nicht mit dem gnome keyring genutzt werden. Dazu sollten zum einen die Autostart-Einträge der Desktop-Umgebung angepasst werden:
  
-  mv /etc/xdg/autostart/gnome-keyring-gpg.desktop /etc/xdg/autostart/gnome-keyring-gpg.desktop.inactive+<code> 
 +mv /etc/xdg/autostart/gnome-keyring-gpg.desktop /etc/xdg/autostart/gnome-keyring-gpg.desktop.inactive 
 +</code>
  
 beim Aufruf von beim Aufruf von
  
-  gpg2 --card-status +<code> 
-  +gpg2 --card-status 
 +</code> 
 gibts ggf. Beschwerden: gibts ggf. Beschwerden:
  
-  gpg: selecting openpgp failed: Nicht unterstütztes Zertifikat +<code> 
-  gpg: OpenPGP Karte ist nicht vorhanden: Nicht unterstütztes Zertifikat +gpg: selecting openpgp failed: Nicht unterstütztes Zertifikat 
- +gpg: OpenPGP Karte ist nicht vorhanden: Nicht unterstütztes Zertifikat 
 +</code> 
 Grund: Die Umgebungsvariable GPG_AGENT_INFO ist gesetzt. Erst ab Version 2.1 ignoriert gpg2 diese. Ein Grund: Die Umgebungsvariable GPG_AGENT_INFO ist gesetzt. Erst ab Version 2.1 ignoriert gpg2 diese. Ein
  
-  unset GPG_AGENT_INFO +<code> 
-  +unset GPG_AGENT_INFO 
 +</code> 
 verschafft Linderung und sollte ggf in den Startscripten untergebracht werden. verschafft Linderung und sollte ggf in den Startscripten untergebracht werden.
  
-<WRAP center round tip 60%> +<WRAP center round tip 60%> Update für Debian Stretch: 
-Update für Debian Stretch:+ 
 +Seit Debian Stretch wird der gpg-agent vom systemd in der user-Session gestartet. Das deaktivieren des gnome-keyring-daemons sollte hier nicht mehr nötig sein. </WRAP>
  
-Seit Debian Stretch wird der gpg-agent vom systemd in der user-Session gestartet. Das deaktivieren des gnome-keyring-daemons sollte hier nicht mehr nötig sein. 
-</WRAP> 
 ===== Erfahrungen mit Kartenlesegeräten ===== ===== Erfahrungen mit Kartenlesegeräten =====
  
 Übersicht über unterstützte Kartenlesegeräte: Übersicht über unterstützte Kartenlesegeräte:
  
-http://pcsclite.alioth.debian.org/ccid/supported.html+[[http://pcsclite.alioth.debian.org/ccid/supported.html|http://pcsclite.alioth.debian.org/ccid/supported.html]]
  
 Bei der Wahl eines Kartenlesegerätes [[http://ludovicrousseau.blogspot.de/2011/05/extended-apdu-status-per-reader.html|sollte eines mit der Unterstützung]] sogenannter [[http://de.wikipedia.org/wiki/Application_Protocol_Data_Unit|"extended APDU"]] gewählt werden. Bei der Wahl eines Kartenlesegerätes [[http://ludovicrousseau.blogspot.de/2011/05/extended-apdu-status-per-reader.html|sollte eines mit der Unterstützung]] sogenannter [[http://de.wikipedia.org/wiki/Application_Protocol_Data_Unit|"extended APDU"]] gewählt werden.
Zeile 294: Zeile 350:
   * funktioniert out of the box mit dem pcscd   * funktioniert out of the box mit dem pcscd
  
-**http://pcsclite.alioth.debian.org/ccid/supported.html#0x046A0x003E**+**[[http://pcsclite.alioth.debian.org/ccid/supported.html#0x046A0x003E|http://pcsclite.alioth.debian.org/ccid/supported.html#0x046A0x003E]]**
  
 Ein USB-Kartenleser mit Pinpad Ein USB-Kartenleser mit Pinpad
Zeile 302: Zeile 358:
 ==== Nicht oder nicht vollständig unterstützte Kartenleser ==== ==== Nicht oder nicht vollständig unterstützte Kartenleser ====
  
-** [[https://www.reiner-sct.com/support/support-anfrage/?product=77304824&productGroup=77304735#choice3|ReinerSCT Secoder]]**+**[[https://www.reiner-sct.com/support/support-anfrage/?product=77304824&productGroup=77304735#choice3|ReinerSCT Secoder]]**
  
 Für diesen Kartenleser sind zusätzliche Treiber nötig, die sich in den folgenden Debian-Paketen finden: Für diesen Kartenleser sind zusätzliche Treiber nötig, die sich in den folgenden Debian-Paketen finden:
  
-  apt-get install fxcyberjack libifd-cyberjack6+<code> 
 +apt-get install fxcyberjack libifd-cyberjack6 
 +</code>
  
 bzw. für Stretch: bzw. für Stretch:
  
-  apt-get install libifd-cyberjack6+<code> 
 +apt-get install libifd-cyberjack6 
 +</code>
  
-Allerdings scheint trotzdem das Pinpad nicht unterstützt zu werden: https://blogs.fsfe.org/jzarl/2013/08/20/card-reader-reinersct-cyberjack-pinpad/+Allerdings scheint trotzdem das Pinpad nicht unterstützt zu werden: [[https://blogs.fsfe.org/jzarl/2013/08/20/card-reader-reinersct-cyberjack-pinpad/|https://blogs.fsfe.org/jzarl/2013/08/20/card-reader-reinersct-cyberjack-pinpad/]]
  
 **[[http://pcsclite.alioth.debian.org/ccid/shouldwork.html#0x076B0x6622|Omnikey CardMan 6121]]** **[[http://pcsclite.alioth.debian.org/ccid/shouldwork.html#0x076B0x6622|Omnikey CardMan 6121]]**
Zeile 338: Zeile 398:
  
 Gleiche Ursache: Extended APDU sind nicht unterstützt. Das Pinpad wird wohl auch nicht unterstützt. Gleiche Ursache: Extended APDU sind nicht unterstützt. Das Pinpad wird wohl auch nicht unterstützt.
 +
 +\\