Widerrufszertifikat erstellen - „Kein geheimer Schlüssel“

tag-icon tag-icon gnupg
Widerrufszertifikat erstellen - „Kein geheimer Schlüssel“

Ich habe einen GPG-Schlüssel, ich kann überprüfen, ob ich den geheimen Schlüssel habe und seinen Inhalt ausdrucken:

 $ gpg --list-secret-keys 
/home/user/.gnupg/pubring.kbx
------------------------------
sec#  rsa2048 2019-07-11 [SC]
      9EEBCEAD0915834DFCE24B11A738D3C1E6BFA616
uid           [ultimate] My Name <my.email@email>
ssb   rsa2048 2019-07-11 [E]

Ich kann dies ausdrucken mit

$ gpg --export-secret-keys -a
-----BEGIN PGP PRIVATE KEY BLOCK-----
....
-----END PGP PRIVATE KEY BLOCK-----

Beim Versuch, ein Widerrufszertifikat zu erstellen, erhalte ich jedoch:

$ gpg --gen-revoke 9EEBCEAD0915834DFCE24B11A738D3C1E6BFA616
gpg: secret keys "9EEBCEAD0915834DFCE24B11A738D3C1E6BFA616" not found: No secret key

Warum sollte das passieren? Das System hat doch sicher Zugriff auf einen geheimen Schlüssel, mit dem das Widerrufszertifikat generiert werden kann.

Antwort1

Ich kann bestätigen, dass ich den geheimen Schlüssel habe

Nein, das tust du nicht. Das #bedeutet, dass der private Teil des Hauptschlüssels fehlt. GnuPG zeigt den gesamten Eintrag trotzdem an, nur weil du private Teile einigerUnterschlüssel.

Jeder PGP-Schlüssel ist eigentlich ein Bündel aus mehreren unabhängigen RSA/DSA/EdDSA-Schlüsseln: ein Schlüsselpaar zum Signieren von Schlüsseln [C], manchmal ein separates Schlüsselpaar zum Signieren von Nachrichten [S] und immer ein separates Schlüsselpaar zum Entschlüsseln von Nachrichten [E].

Da diese Schlüsselpaare unterschiedliche Zwecke haben und unterschiedliche Sicherheitsstufen erfordern, exportieren manche Leute absichtlich einen Teil des PGP-Schlüssels auf weniger vertrauenswürdige Rechner. Wenn also jemand einen Laptop stiehlt, kann er zwar alte E-Mails lesen,würde nichtmithilfe von PGP Ihre Identität nachahmen können.

Hier fehlt Ihrem Computer auch der private Teil des [SC]-Schlüssels, was bedeutet, dass er empfangene E-Mails und Dateien entschlüsseln, aber überhaupt nichts signieren kann. Und da das Bearbeiten oder Widerrufen Ihres eigenen Schlüssels eine Signatur mit sich selbst erfordert, ist dies ohne den privaten [C]-Schlüssel ebenfalls unmöglich.

verwandte Informationen