[Gpg4win-users-de] Gültige Zertifikate? Oder doch nicht?

Thomas Schweikle tschweikle at bfs.de
Mo Jul 24 09:43:30 CEST 2023 


Am Sa., 22.Juli.2023 um 11:00:38 schrieb Klaus Krönert:
> Hallo,
> 
> Zertifiksate mit mehreren Verwendungszwecken, sind nicht ungewöhnlich. > Ungewöhnlich wird es dann, wenn diese mit unterschiedlichen Ablaufdaten
> ausgesattet sind. Eigentlich mahct man das nicht und daher würde ich
> mich eher fragen, warum das Zertifikat für die verschiedenen Verwendungen,
> überhaupt unterschiedliche Ablaufdaten hat.

Weil Kleopatra, wenn du ein neues Zertifikat anlegst automatisch zwei 
Zertifikate anlegt: eins für Verschlüsselung, ein zweites für 
Beglaubigung, Authentifizierung und Signieren.

Normalerweise haben beide Zertifikate das gleiche Ablaufdatum (sofern 
eines festgelegt wurde). Ändertest du jetzt das Ablaufdatum, zum 
beispiel von vier auf zwei Jahre, änderte Kleopatra nur das Ablaufdatum 
des Zertifikats, das für Verschlüsselung getaggt war. Beim zweiten 
Zertifikat, getaggt für Signaturen, Beglaubigungen und ev. 
Authorisierung wurde nichts geändert.

Der Fehler war bekannt und wurde behoben. Er scheint aber wieder da zu 
sein (regression?).

Das hat dazu geführt, dass viele Zertifikate mit unterschiedlichen 
Ablaufdaten haben. I.d.R. läuft das Verschlüsseln-Zertifikat schneller 
ab, als das für Beglaubigung, Signieren, Authentifizieren. Weil viele 
Ihre Zertifikate zuerst ohne Ablaufdatum angelegt haben, und dann ein 
Ablaufdatum eintrugen, bevor sie es veröffentlichten.

Das die Zertifikate unterschiedliche Ablaufdaten haben zeigt Kleopatra 
aber nur an, wenn du in die Zertifikate hineingehst und dir die 
Unterzertifikate anzeigen lässt.

Bisher gibt es anscheinend auch keinen einfachen Weg, selber mit 
Kleopatra neue Unterzertifikate getrennt zu erzeugen (oder ich habe den 
Weg noch nicht gefunden).

> Grüße
> Klaus
> 
> 
> -----Ursprüngliche Nachricht-----
> Von: Gpg4win-users-de <gpg4win-users-de-bounces at wald.intevation.org> Im Auftrag von Ingo Klöcker
> Gesendet: Freitag, 21. Juli 2023 23:12
> An: gpg4win-users-de at wald.intevation.org
> Betreff: Re: [Gpg4win-users-de] Gültige Zertifikate? Oder doch nicht?
> 
> On Freitag, 21. Juli 2023 20:41:50 EEST Thomas Schweikle via Gpg4win-users-de
> wrote:
>> Folgende Beobachtung: ein öffentlicher Schlüssel enthält zwei
>> Unterschlüssel. Der eine ist für beglaubigen, signieren und
>> authorisieren markiert, der zweite ist für verschlüsseln.
>> Der erste Unterschlüssel wird als gültig mit Ablaufdatum in 2024
>> angezeigt. Der zweite Unterschlüssel als abgelaufen in 2022.
>>
>> In Kleopatra wird der Schlüssel insgesamt als gültig, mit Ablaufdatum
>> in
>> 2024 angezeigt. Versuche ich jetzt aber mit diesem Schlüssel eine Mail
>> zu verschlüsseln, scheitere ich, weil GnuPG jetzt feststellt, dass der
>> Schlüssel für verschlüsseln abgelaufen ist.
>>
>> Müsste dieser Schlüssel nicht irgendwie als mindestens teilweise
>> abgelaufen in Kleopatra angezeigt werden? Zum verschlüsseln taugt er
>> ja nicht mehr, wenn die Einstellungen equivalent zu VS-NfD vorgenommen
>> wurden (oder gleich GnuPG-VS-Desktop eingesetzt wird ;-) )
> 
> Ja, sollte er, wird er aber derzeit nicht. Es gibt dazu schon ein Ticket auf dev.gnupg.org (https://dev.gnupg.org/T6109), in dem auch einige Ideen zur Darstellung erwähnt werden. Weitere Ideen als Kommentar zu dem Ticket sind willkommen.
> 
> Generell besteht ein Konflikt zwischen "Kleopatra soll einfach zu verwenden sein" und "Kleopatra soll auch fortgeschrittene Features wie Zertifikate mit verschiedenen Ablaufdaten unterstützen". Letzteres dürfte viele Nutzer komplett überfordern. Daher würde ich solche Zertifikate nur für die Kommunikation mit Experten verwenden. Im VS-NfD-Umfeld würde ich solche Zertifikate vermeiden.
> 
> Die anderen Kommentare lasse ich andere Personen beantworten.
> 
> Viele Grüße
> Ingo
> _______________________________________________
> Gpg4win-users-de mailing list
> Gpg4win-users-de at wald.intevation.org
> https://lists.wald.intevation.org/cgi-bin/mailman/listinfo/gpg4win-users-de

-- 
Thomas

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : OpenPGP_0x27AE2304B4974851.asc
Dateityp    : application/pgp-keys
Dateigröße  : 2480 bytes
Beschreibung: OpenPGP public key
URL         : <http://lists.wald.intevation.org/pipermail/gpg4win-users-de/attachments/20230724/b5e01098/attachment.key>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : OpenPGP_signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 321 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.wald.intevation.org/pipermail/gpg4win-users-de/attachments/20230724/b5e01098/attachment.sig>

Mehr Informationen über die Mailingliste Gpg4win-users-de