[gelöst] signing subkey exportieren und wieder importieren

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

[gelöst] signing subkey exportieren und wieder importieren

Beitrag von reox » 04.04.2018 12:40:00

Ich versuche gerade von meinem GPG key einen subkey zu erstellen der nur signieren kann und diesen dann als private key auf einer anderen maschine zu importieren um dort zu signieren.
Allerdings taucht der private key nicht dort auf. Scheinbar hat sich auch viel geändert in den gpg versionen, daher stimmen wohl die meisten how2s nicht mehr.

Code: Alles auswählen

host $ gpg --version
gpg (GnuPG) 2.2.5
signingmachine $ gpg --version
gpg (GnuPG) 2.2.5
Den subkey habe ich erstellt und dann sollte man den mittels

Code: Alles auswählen

gpg --export-secret-subkeys FINGERPRINT! > signing.key
exportieren können. der FINGERPRINT ist der vom subkey (extra nochmal überprüft mitels gpg --list-secret-keys --with-subkey-fingerprint) Das Ausrufezeichen am Ende soll ja nur den subkey exportieren.
Dann noch den public key exportieren:

Code: Alles auswählen

gpg --export PUBKEYFINGERPRINT > public.key
Auf der signaturmaschine mache ich dann das hier:

Code: Alles auswählen

$ gpg --import public.key
[...]
gpg: Total number processed: 1
gpg:               imported: 1
gpg: no ultimately trusted keys found
soweit so gut, und dann:

Code: Alles auswählen

$ gpg --import signing.key
[...]
gpg: Total number processed: 1
gpg:              unchanged: 1
gpg:       secret keys read: 1
kling ja auch nicht schlecht - wobei es steht da ja unchanged und nicht imported... Wieso will er das nicht?
Der key ist also nicht im keyring. gpg --list-secret-keys ist leer und ein gpg --sign -u PUBKEYFINGERPRINT datei sagt mir nur "gpg: signing failed: No secret key"

Wo bin ich falsch abgebogen? Oder muss man da zuerst den kompletten key haben um dann die sachen die man nicht auf der maschine braucht wieder rauslöschen?

Sogar hier wird das so beschrieben: https://wiki.debian.org/GnuPG/AirgappedMasterKey
Was mach ich denn da bitte falsch?
Zuletzt geändert von reox am 06.04.2018 13:33:20, insgesamt 1-mal geändert.

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: signing subkey exportieren und wieder importieren

Beitrag von reox » 06.04.2018 13:33:06

Mhhh ok ich versteh nicht ganz was jetzt anders ist aber ein neustart hat geholfen. Ich hab das .gnupg verzeichnis gelöscht und die VM wo der Key hinsoll neu gestartet.
Dann konnte ich den secret key importieren und bekam die Aufforderung meine passphrase einzugeben.

jetzt zeigt er mir den key richtig an:

Code: Alles auswählen

$ gpg --list-secret-keys
sec#  rsa4096 2014-01-02 [SC]
      [...]
ssb#  rsa4096 2014-01-02 [E]
ssb   rsa4096 2018-04-04 [S]
schaut also gut aus.

Antworten