[Gpg4win-users-de] Zurückgezogene Subkeys beim Import vom Key-Server überspringen

Andre Heinecke aheinecke at gnupg.org
Do Feb 21 08:38:34 CET 2019


Hi,

On Wednesday, February 20, 2019 5:02:00 PM CET Lilo // GwenDragon wrote:
> ich benutze GnuPG schon seit über 10 Jahren auf Windows-PCs und
> Linux-Servern/PCs, die gpg.conf habe ich auch schon oftmals anpassen
> müssen, bin also keine grüne Userin mehr. ;)

Cool :-)

> Zu meinem Problem. Ich weiß nicht ob das überhaupt technisch mit den
> Schlüsseln geht. 
> Ich möchte Schlüssel vom Server importieren, aber nicht deren revokte
> Subkeys.
> Durchs Web habe ich mich auch schon gesucht, aber nichts gefunden.

Ich glaube dir könnten "import / export filter" helfen. Soweit ich weiß gibt es 
aber keinen import-filter um subkeys fallen zu lassen. Das geht nur beim 
export. 

Schau mal nach "export-filter" unter:
http://manpages.ubuntu.com/manpages/cosmic/man1/gpg.1.html

> Bislang ist es in Kleopatra so, wenn ich mal Schlüssel über den
> Menüpunkt Extras → OpenPGP-Zertifikate aktualisieren… erneuere, werden
> auch zurückgezogene Subkeys meiner eigenen lokalen Schlüssel
> importiert. 

> Das verhindert dann aber, dass sie lokal vertrauenswürdig als VS-NfD
> sind. 

Das verstehe ich nicht ganz. Ich glaube das ist das Hauptproblem hier, expired 
oder revokte subkeys / userids sollten überhaupt nicht stören und du hättest 
das Problem gar nicht erst.

Kannst du uns da ein Beispiel geben? Das ist dann vielleicht eher ein Fehler 
in der VS-NfD berechnung den wir beheben sollten.

> Dann muss ich in GPG dann diese revoketen Subkeys (uids) aus den
> Schlüssen wieder löschen. 

Meinst du mit subkey wirklich subkey oder "User ID" also eine Benutzerkennung. 
Subkeys kann man in Kleopatra Details -> Mehr Details sehen.
User IDs sind die Name / EMail Adresse.

> Gibt es eine Lösung oder ist das ein fehlendes Feature in GnuPG bzw.
> Kleopatra oder gar nicht technisch möglich.

Die einzige Lösung die mir einfällt wäre temporär den key zu importieren. Dann 
mit dem "drop-subkeys" filter zu exportieren und in den richtigen keyring zu 
importieren,... Recht kompliziert.
Unter Linux ginge das so:

tmphome=$(mktemp -d)
gpg --homedir $tmphome --keyserver 37.191.231.105 --recv-key 3C43F4C8EFF5D42A
gpg --homedir $tmphome --export-options export-clean \
    --export-filter drop-subkey="expired -t" --export \
    3C43F4C8EFF5D42A | \
gpg --import

-- 
GnuPG e.V., Rochusstr. 44, D-40479 Düsseldorf.  VR 11482 Düsseldorf
Vorstand: W.Koch, M.Gollowitzer, A.Heinecke.    Mail: board at gnupg.org
Finanzamt D-Altstadt, St-Nr: 103/5923/1779.   Tel: +49-2104-4938799
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 228 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.wald.intevation.org/pipermail/gpg4win-users-de/attachments/20190221/784d9753/attachment.asc>


Mehr Informationen über die Mailingliste Gpg4win-users-de