From bernhard at intevation.de Tue Oct 19 16:10:53 2021 From: bernhard at intevation.de (Bernhard Reiter) Date: Tue, 19 Oct 2021 16:10:53 +0200 Subject: [Gpg4win-users-de] GnuPG-2.2.32 installieren, um Zugang zu WKD und Keyservern zu reparieren Message-ID: <202110191611.07979.bernhard@intevation.de> Hallo, sofern Sie aktuelle Probleme haben auf Keyserver zuzugreifen, oder Sie sich öffentliche Schlüssel per WKD holen, dann sollten ein neues GnuPG installieren. Damit aktualisieren Sie den Krypto-Kern Ihres Gpg4win-3.1.16 und beheben ein Problem mit den Let's Encrypt TLS-Zertifikaten, welche für die Verbindungen mit vielen Keyservern oder WKD-Diensten verwendet werden. Am einfachsten ist es, das folgende Installationsprogramm laufen zu lassen: https://gnupg.org/ftp/gcrypt/binary/gnupg-w32-2.2.32_20211006.exe Im Zweifelsfall raten wir zur Installation. == Details Hier ist die zugehörige OpenPGP Signatur: (normalerweise unnötig, siehe https://www.gpg4win.org/package-integrity.html) https://gnupg.org/ftp/gcrypt/binary/gnupg-w32-2.2.32_20211006.exe.sig Sie können alternativ die neue GnuPG 2.3 Serie testen, da die Version 2.3.3 die Verbesserung ebenfalls enthält. === Welches Problem wird behoben? Let's Encrypt (LE) ermöglicht es, TLS-Zertifikate zu erhalten, die Verbindungen zu vielen Servern absichern. Darunter sind auch viele Keyserver und Email-Anbieter mit WKD. (Das Thema Keyserver ist aus anderen Gründen in Bewegung, zum Beispiel zeigt https://spider.pgpkeys.eu/ eine Liste neuer, sich-abgleichender, dezentraler Keyserver.) Ende September lief ein Wurzelzertifikat aus, welche die LE-Zertifikate gestützt hat und LE hat nun zu einem Trick gegriffen, um ältere Android Geräte weiterhin zu unterstützen. Geräte, bei denen es nach meinem Verständnis nicht einfach möglich ist, neue Wurzelzertifikate einzuspielen. Gleichwohl ignorieren dieses alten Android-Version, das manche Zertifikate abgelaufen sind. LE hat sich deshalb ein Zwischenzertifikat besorgt, was auf der eigentlich abgelaufenen Wurzel aufbaut. Einfach gesagt, gibt es dadurch nun zwei Prüfwege für die LE-Zertifikate, einer ist gültig, der andere nicht. Die Logik von GnuPG musste angepasst werden, um immer den gültigen zu wählen. Eine andere Idee war, das abgelaufene Wurzelzertifikat aus dem Speicher des eigenen Systems zu entferenen, aber das funktioniert nicht, da manche Betriebssystemhersteller oder Server-Betreiber das abgelaufene Zertifikat weiterhin ausliefern. Hintergrundinfos (Englisch): https://www.openssl.org/blog/blog/2021/09/13/LetsEncryptRootCertExpire/ https://letsencrypt.org/2020/12/21/extending-android-compatibility.html === Warum dann keine neue Gpg4win-Version? Zu Zeit bereiten wir die Gpg4win 4.0 Ausgabe vor, allerdings braucht das noch ein paar Tage. GnuPG direkt zu aktualisieren ist der schnellste und risikoärmste Weg denjenigen eine Lösung zugänglich zu machen, welche sie brauchen. Es ist uns klar, dass die zusätzliche Installation Ihnen ein wenig mehr Arbeit macht, als sonst und wir hoffen, dass Sie uns das nachsehen. Wir haben diesen Weg gewählt, um Ihnen sowohl die Verbesserung als auch Gpg4win 4.0 so schnell, wie möglich zur Verfügung stellen zu können. Mit besten Grüßen, Bernhard Reiter -- www.intevation.de/~bernhard   +49 541 33 508 3-3 Intevation GmbH, Osnabrück, DE; Amtsgericht Osnabrück, HRB 18998 Geschäftsführer Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 659 bytes Beschreibung: This is a digitally signed message part. URL :