Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- public:gnupg:gnupg-card-howto [2017/11/09 11:42] – merbd
+++ public:gnupg:gnupg-card-howto [2024/07/29 11:40] (aktuell) – [Hauptkey mit Subkeys] jankow@datenkollektiv.net
@@ Zeile 66: / Zeile 66: @@
   * einen kompatiblen [[https://wiki.debian.org/Smartcards|Cardreader]]
-Beides ist am einfachsten über den Shop von [[http://shop.kernelconcepts.de/|Kernel Concepts]] zu erhalten. Eine Gnupg-Card erhält auch, wer der [[https://fsfe.org/fellowship/|Free Software Foundation Europe]] beitritt.
+Beides ist am einfachsten im [[https://www.floss-shop.de/|FLOSS Shop]] zu erhalten. Eine Gnupg-Card erhält auch, wer der [[https://fsfe.org/fellowship/|Free Software Foundation Europe]] beitritt.
 ===== Software installieren =====
@@ Zeile 127: / Zeile 127: @@
   * vertrauensvolle Hardware
-  * Live-System möglichst ohne Netzwerkverbindungen
+  * Live-System möglichst ohne Netzwerkverbindungen (wir empfehlen [[https://tails.net/|Tails]])
-Ein angepasstes Live-System mit aller nötigen Software sowohl zum Erzeugen der Keys als auch für die Verwendung der Gnupg-Karte kann beim [[kontakt@datenkollektiv.net|Datenkollektiv]] bestellt werden.
-Ihr erhaltet einen Bootbaren USB-Stick mit
-  * angepasstem xfce4 Desktop und allen nötigen Crypto-Tools
-  * einer zusätzlichen LUKS-verschlüsselten Partition, die z.B. für die Backups der privaten Schlüssel dienen kann.
 === Hauptschlüssel-Paar generieren: ===
@@ Zeile 143: / Zeile 136: @@
 <code>
-gpg2 --gen-key
+gpg --full-generate-key
 </code>
@@ Zeile 268: / Zeile 261: @@
 <code>
 gpg2 --secret-keyring .gnupg/secring.gpg --card-status
+</code>
+in manchen Fällen funktioniert dies jedoch nur über den internen Befehl ''fetch''
+<code>
+$ gpg2 --card-edit
+...
+gpg/card> fetch
+...
+gpg: Total number processed: 1
+gpg:               imported: 1 (RSA: 1)
+$ gpg2 --card-status
+...
 </code>
@@ Zeile 277: / Zeile 283: @@
   - Die Keys müssen analog der Anleitung auf die neue Karte kopiert werden
-  - der Verweis auf den privaten Schlüssel (also nur der Rest des privaten Schlüssels) muss auf den Rechnern, auf denen die Karte zum Einsatz kommt gelöscht werden. Ein ''gpg –delete-secret-keys KEYID''  erledigt das. **Sicher stellen, dass es der Schlüsselbund mit den Verweisen ist, der bearbeitet nicht - und nicht z.B. der mit den Originalschlüsseln**.
+<del>  - der Verweis auf den privaten Schlüssel (also nur der Rest des privaten Schlüssels) muss auf den Rechnern, auf denen die Karte zum Einsatz kommt gelöscht werden. Ein ''gpg –delete-secret-keys KEYID''  erledigt das. **Sicher stellen, dass es der Schlüsselbund mit den Verweisen ist, der bearbeitet nicht - und nicht z.B. der mit den Originalschlüsseln**.</del>
+  - seit [[https://www.gnupg.org/faq/whats-new-in-2.1.html|gnpg2.1]] werden die secret Keys nicht mehr in secring.pgp gespeichert - sondern unter ''.gnupg/private-keys-v1.d/''
+  - Die zu den privaten Keys der Karte passenden Verweise müssen aus ''.gnupg/private-keys-v1.d/'' gelöscht werden.
   - Danach müssen die Verweise auf die neue Karte wieder erstellt werden: ''gpg2 –secret-keyring .gnupg/secring.gpg –card-status''
-  - Evtl. müssen die keys des Schlüsselspeichers d. gnupg-agents unter ''~/.gnupg/private-keys-v1.d/''  gelöscht werden. Sonst kommt beim Versuch eine SSH-Verbindung aufzubauen, der Fehler, dass die alte Karte eingelegt werden soll.
+**Anzeigen der zur gnupg-Karte passenden Dateien unter ''.gnupg/private-keys-v1.d/'':**
+Das ist hier von Werner beschrieben: https://lists.gnupg.org/pipermail/gnupg-users/2016-April/055766.html
+  gpg --with-keygrip -k KEYID
+Die ausgegebenen Keygrips beziehen sich auf die Dateien unter: ''.gnupg/private-keys-v1.d/''
+  rm ''.gnupg/private-keys-v1.d/KEYGRIP.key''
+**Achtung: immer Backup des .gnupg-Verzeichnisses machen, damit nicht aus Versehen andere secret Keys gelöscht werden.**
 ===== Stolperstellen =====