gpg governikus

[jcw]

Hallo!

Ich habe ein Verständnisfrage. Mit gpg --full-gen-key habe ich mir ein Schlüsselpaar erzeugt und importiert. Mittels https://pgp.governikus.de/ habe ich mir den Schlüssel beglaubigen lassen. Nun meine Frage:

• 1) Warum wurde nach der Beglaubigung mein öffentlicher Schlüssel verändert? Von "Governikus" erhielt ich einen neuen öffentlichen Schlüssel, den ich nun verwenden soll.

• 2) Wie kann ein Empfänger sehen, dass mein Schlüsselpaar durch "Governikus" beglaubigt ist? Mit welchem Terminalbefehl kann ich mir ausgeben lassen, dass mein Schlüssel beglaubigt ist? Auch der Empfänger, dem ich etwas verschlüsselt etwas zusende, muss doch die Möglichkeit haben, die Beglaubigung abzufragen.

Ich stehe da etwas "auf dem Schlauch".

Danke für die Hinweise.

[michaa7]

[Vermutung]
Zu 1)
Wenn du ein Dokument beglaubigen läßt haut da eine dazu berechtigte Person nen entsprechenden Stempel drauf und seine Unterschrift. Dann schaut das Dokument auch anders aus.

zu 2)

Governikus stellt den Online-Dienst zur Beglaubigung Ihres OpenPGP-Schlüssels im Auftrag des Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Verfügung. Dieser Online-Dienst vergleicht den aus Ihrem Ausweis ausgelesenen Namen mit dem in Ihrem OpenPGP-Schlüssel angegebenen Namen. Bei Übereinstimmung der Namen wird Ihr öffentlicher Schlüssel von Governikus elektronisch signiert und damit die Übereinstimmung bestätigt. Zur Überprüfung der elektronischen Governikus-Signatur kann der öffentliche Schlüssel von Governikus verwendet werden.(meine hervorhebung)

[/Vermutung]

[miwie]

Dein öffentlicher Schlüssel wird logischerweise vom Key Signer verändert, nur so können doch potentiell Empfänger deiner verschlüsselten Nachrichten sehen, wer deinen Schlüssel signiert hat (vorausgesetzt sei haben einen aktuellen öffentlichen Schlüssel von dir, über welchen Weg auch immer).

Code: Alles auswählen

gpg --list-sigs KEYID

listet (u.a.) alle Signaturen auf.

[tobo]

Mittels https://pgp.governikus.de/ habe ich mir den Schlüssel beglaubigen lassen. Nun meine Frage:

• 1) Warum wurde nach der Beglaubigung mein öffentlicher Schlüssel verändert? Von "Governikus" erhielt ich einen neuen öffentlichen Schlüssel, den ich nun verwenden soll.

Es muss ja wohl einen Unterschied geben zwischen einem signierten und einem unsignierten Schlüssel. Dein öffentlicher Schlüssel wurde durch den privaten Schlüssel dieser Governikus-Instanz signiert. Diese Signatur wurde deinem öffentlichen Schlüssel hinzugefügt und damit wurde dieser verändert/erweitert.

• 2) Wie kann ein Empfänger sehen, dass mein Schlüsselpaar durch "Governikus" beglaubigt ist? Mit welchem Terminalbefehl kann ich mir ausgeben lassen, dass mein Schlüssel beglaubigt ist? Auch der Empfänger, dem ich etwas verschlüsselt etwas zusende, muss doch die Möglichkeit haben, die Beglaubigung abzufragen.

Code: Alles auswählen

gpg --list-keys  
gpg --list-signatures  KEY_ID

[jcw]

Mittels https://pgp.governikus.de/ habe ich mir den Schlüssel beglaubigen lassen. Nun meine Frage:

• 1) Warum wurde nach der Beglaubigung mein öffentlicher Schlüssel verändert? Von "Governikus" erhielt ich einen neuen öffentlichen Schlüssel, den ich nun verwenden soll.

Es muss ja wohl einen Unterschied geben zwischen einem signierten und einem unsignierten Schlüssel. Dein öffentlicher Schlüssel wurde durch den privaten Schlüssel dieser Governikus-Instanz signiert. Diese Signatur wurde deinem öffentlichen Schlüssel hinzugefügt und damit wurde dieser verändert/erweitert.

• 2) Wie kann ein Empfänger sehen, dass mein Schlüsselpaar durch "Governikus" beglaubigt ist? Mit welchem Terminalbefehl kann ich mir ausgeben lassen, dass mein Schlüssel beglaubigt ist? Auch der Empfänger, dem ich etwas verschlüsselt etwas zusende, muss doch die Möglichkeit haben, die Beglaubigung abzufragen.

Code: Alles auswählen

gpg --list-keys  
gpg --list-signatures  KEY_ID

Danke. Den Befehl

Code: Alles auswählen

gpg --list-signatures  KEY_ID

habe ich gesucht. Nun kann ich sehen, von wem die Signatur stammt! Um es aber vollständig zu verstehen: Ich habe noch den öffentlichen Schlüssel von "Governikus" importiert. Sollte ich mit diesem noch die 'Beglaubigung' prüfen. Also, dass die Signierung meines Schlüssels wirklich von "Governikus" durchgeführt wurde? Und wie sollte ich das machen? Also mit welchem Befehl?

Danke.

[tobo]

Also, dass die Signierung meines Schlüssels wirklich von "Governikus" durchgeführt wurde? Und wie sollte ich das machen? Also mit welchem Befehl?

Da deren öffentlicher Schlüssel ja bei dir importiert ist, kannst du deinen Schlüssel überprüfen:

Code: Alles auswählen

gpg --check-sigs deine_KEY_ID

--check-signatures
--check-sigs
Same as --list-keys, but the key signatures are verified and listed too. Note that for performance reasons the revocation status of a signing key is not shown. This command has the same effect as using --list-keys with --with-sig-check.

The status of the verification is indicated by a flag directly following the "sig" tag (and thus before the flags described below. A "!" indicates that the signature has been successfully verified, a "-" denotes a bad signature and a "%" is used if an error occurred while checking the signature (e.g. a non supported algorithm). Signatures where the public key is not available are not listed; to see their keyids the command --list-sigs can be used.

For each signature listed, there are several flags in between the signature status flag and keyid. These flags give additional information about each key signature. From left to right, they are the numbers 1-3 for certificate check level (see --ask-cert-level), "L" for a local or non-exportable signature (see -- lsign-key), "R" for a nonRevocable signature (see the --edit-key command "nrsign"), "P" for a signature that contains a policy URL (see --cert-policy-url), "N" for a signature that contains a notation (see --cert-notation), "X" for an eXpired signature (see --ask-cert-expire), and the numbers 1-9 or "T" for 10 and above to indicate trust signature levels (see the --edit-key command "tsign").

Wenn du dem Übertagungsweg, auf welchem du die öffentlichen Schlüssel erhalten hast, vertraust und gpg die Gültigkeit bestätigt, dann sollte das ausreichend sein.

[jcw]

Danke für die Hinweise. Wieder was gelernt!