gpg governikus

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
jcw
Beiträge: 99
Registriert: 10.01.2016 17:11:46

gpg governikus

Beitrag von jcw » 23.09.2023 18:47:07

Hallo!

Ich habe ein Verständnisfrage. Mit gpg --full-gen-key habe ich mir ein Schlüsselpaar erzeugt und importiert. Mittels https://pgp.governikus.de/ habe ich mir den Schlüssel beglaubigen lassen. Nun meine Frage:
  • 1) Warum wurde nach der Beglaubigung mein öffentlicher Schlüssel verändert? Von "Governikus" erhielt ich einen neuen öffentlichen Schlüssel, den ich nun verwenden soll.
  • 2) Wie kann ein Empfänger sehen, dass mein Schlüsselpaar durch "Governikus" beglaubigt ist? Mit welchem Terminalbefehl kann ich mir ausgeben lassen, dass mein Schlüssel beglaubigt ist? Auch der Empfänger, dem ich etwas verschlüsselt etwas zusende, muss doch die Möglichkeit haben, die Beglaubigung abzufragen.
Ich stehe da etwas "auf dem Schlauch".

Danke für die Hinweise.

michaa7
Beiträge: 4443
Registriert: 12.12.2004 00:46:49
Lizenz eigener Beiträge: MIT Lizenz

Re: gpg governikus

Beitrag von michaa7 » 23.09.2023 19:29:46

[Vermutung]
Zu 1)
Wenn du ein Dokument beglaubigen läßt haut da eine dazu berechtigte Person nen entsprechenden Stempel drauf und seine Unterschrift. Dann schaut das Dokument auch anders aus.

zu 2)
Governikus stellt den Online-Dienst zur Beglaubigung Ihres OpenPGP-Schlüssels im Auftrag des Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Verfügung. Dieser Online-Dienst vergleicht den aus Ihrem Ausweis ausgelesenen Namen mit dem in Ihrem OpenPGP-Schlüssel angegebenen Namen. Bei Übereinstimmung der Namen wird Ihr öffentlicher Schlüssel von Governikus elektronisch signiert und damit die Übereinstimmung bestätigt. Zur Überprüfung der elektronischen Governikus-Signatur kann der öffentliche Schlüssel von Governikus verwendet werden.(meine hervorhebung)
[/Vermutung]
gruß

michaa7

-------------------------------
Menschen ändern gelegentlich ihre Ansichten, aber nur selten ihre Motive. (Oskar Negt)

miwie
Beiträge: 106
Registriert: 10.07.2002 08:59:23
Kontaktdaten:

Re: gpg governikus

Beitrag von miwie » 23.09.2023 19:31:35

Dein öffentlicher Schlüssel wird logischerweise vom Key Signer verändert, nur so können doch potentiell Empfänger deiner verschlüsselten Nachrichten sehen, wer deinen Schlüssel signiert hat (vorausgesetzt sei haben einen aktuellen öffentlichen Schlüssel von dir, über welchen Weg auch immer).

Code: Alles auswählen

gpg --list-sigs KEYID
listet (u.a.) alle Signaturen auf.

tobo
Beiträge: 1871
Registriert: 10.12.2008 10:51:41

Re: gpg governikus

Beitrag von tobo » 23.09.2023 19:33:30

jcw hat geschrieben: ↑ zum Beitrag ↑
23.09.2023 18:47:07
Mittels https://pgp.governikus.de/ habe ich mir den Schlüssel beglaubigen lassen. Nun meine Frage:
  • 1) Warum wurde nach der Beglaubigung mein öffentlicher Schlüssel verändert? Von "Governikus" erhielt ich einen neuen öffentlichen Schlüssel, den ich nun verwenden soll.
Es muss ja wohl einen Unterschied geben zwischen einem signierten und einem unsignierten Schlüssel. Dein öffentlicher Schlüssel wurde durch den privaten Schlüssel dieser Governikus-Instanz signiert. Diese Signatur wurde deinem öffentlichen Schlüssel hinzugefügt und damit wurde dieser verändert/erweitert.
  • 2) Wie kann ein Empfänger sehen, dass mein Schlüsselpaar durch "Governikus" beglaubigt ist? Mit welchem Terminalbefehl kann ich mir ausgeben lassen, dass mein Schlüssel beglaubigt ist? Auch der Empfänger, dem ich etwas verschlüsselt etwas zusende, muss doch die Möglichkeit haben, die Beglaubigung abzufragen.

Code: Alles auswählen

gpg --list-keys  
gpg --list-signatures  KEY_ID

jcw
Beiträge: 99
Registriert: 10.01.2016 17:11:46

Re: gpg governikus

Beitrag von jcw » 23.09.2023 20:43:46

tobo hat geschrieben: ↑ zum Beitrag ↑
23.09.2023 19:33:30
jcw hat geschrieben: ↑ zum Beitrag ↑
23.09.2023 18:47:07
Mittels https://pgp.governikus.de/ habe ich mir den Schlüssel beglaubigen lassen. Nun meine Frage:
  • 1) Warum wurde nach der Beglaubigung mein öffentlicher Schlüssel verändert? Von "Governikus" erhielt ich einen neuen öffentlichen Schlüssel, den ich nun verwenden soll.
Es muss ja wohl einen Unterschied geben zwischen einem signierten und einem unsignierten Schlüssel. Dein öffentlicher Schlüssel wurde durch den privaten Schlüssel dieser Governikus-Instanz signiert. Diese Signatur wurde deinem öffentlichen Schlüssel hinzugefügt und damit wurde dieser verändert/erweitert.
  • 2) Wie kann ein Empfänger sehen, dass mein Schlüsselpaar durch "Governikus" beglaubigt ist? Mit welchem Terminalbefehl kann ich mir ausgeben lassen, dass mein Schlüssel beglaubigt ist? Auch der Empfänger, dem ich etwas verschlüsselt etwas zusende, muss doch die Möglichkeit haben, die Beglaubigung abzufragen.

Code: Alles auswählen

gpg --list-keys  
gpg --list-signatures  KEY_ID
Danke. Den Befehl

Code: Alles auswählen

gpg --list-signatures  KEY_ID
habe ich gesucht. Nun kann ich sehen, von wem die Signatur stammt! Um es aber vollständig zu verstehen: Ich habe noch den öffentlichen Schlüssel von "Governikus" importiert. Sollte ich mit diesem noch die 'Beglaubigung' prüfen. Also, dass die Signierung meines Schlüssels wirklich von "Governikus" durchgeführt wurde? Und wie sollte ich das machen? Also mit welchem Befehl?

Danke.

tobo
Beiträge: 1871
Registriert: 10.12.2008 10:51:41

Re: gpg governikus

Beitrag von tobo » 23.09.2023 22:58:21

jcw hat geschrieben: ↑ zum Beitrag ↑
23.09.2023 20:43:46
Also, dass die Signierung meines Schlüssels wirklich von "Governikus" durchgeführt wurde? Und wie sollte ich das machen? Also mit welchem Befehl?
Da deren öffentlicher Schlüssel ja bei dir importiert ist, kannst du deinen Schlüssel überprüfen:

Code: Alles auswählen

gpg --check-sigs deine_KEY_ID
man gpg hat geschrieben: --check-signatures
--check-sigs
Same as --list-keys, but the key signatures are verified and listed too. Note that for performance reasons the revocation status of a signing key is not shown. This command has the same effect as using --list-keys with --with-sig-check.

The status of the verification is indicated by a flag directly following the "sig" tag (and thus before the flags described below. A "!" indicates that the signature has been successfully verified, a "-" denotes a bad signature and a "%" is used if an error occurred while checking the signature (e.g. a non supported algorithm). Signatures where the public key is not available are not listed; to see their keyids the command --list-sigs can be used.

For each signature listed, there are several flags in between the signature status flag and keyid. These flags give additional information about each key signature. From left to right, they are the numbers 1-3 for certificate check level (see --ask-cert-level), "L" for a local or non-exportable signature (see -- lsign-key), "R" for a nonRevocable signature (see the --edit-key command "nrsign"), "P" for a signature that contains a policy URL (see --cert-policy-url), "N" for a signature that contains a notation (see --cert-notation), "X" for an eXpired signature (see --ask-cert-expire), and the numbers 1-9 or "T" for 10 and above to indicate trust signature levels (see the --edit-key command "tsign").
Wenn du dem Übertagungsweg, auf welchem du die öffentlichen Schlüssel erhalten hast, vertraust und gpg die Gültigkeit bestätigt, dann sollte das ausreichend sein.

jcw
Beiträge: 99
Registriert: 10.01.2016 17:11:46

Re: gpg governikus

Beitrag von jcw » 26.09.2023 20:50:57

Danke für die Hinweise. Wieder was gelernt!

Antworten