Re: ot: gpg private key auslesen zu leicht moeglich!?

To: Jochen Georges <gnugeo@gnugeo.de>
Cc: user@skolelinux.de
Subject: Re: ot: gpg private key auslesen zu leicht moeglich!?
From: Jan-Benedict Glaw <jbglaw@lug-owl.de>
Date: Wed, 10 Sep 2008 11:32:23 +0200
Message-id: <[🔎] 20080910093223.GL15719@lug-owl.de>
Mail-followup-to: Jochen Georges <gnugeo@gnugeo.de>, user@skolelinux.de
In-reply-to: <[🔎] 200809092027.08518.gnugeo@gnugeo.de>
References: <[🔎] 200809082340.05045.gnugeo@gnugeo.de> <[🔎] 200809091412.11296.gnugeo@gnugeo.de> <[🔎] 20080909133948.GI15719@lug-owl.de> <[🔎] 200809092027.08518.gnugeo@gnugeo.de>

On Tue, 2008-09-09 20:27:08 +0200, Jochen Georges <gnugeo@gnugeo.de> wrote:
> Am Dienstag 09 September 2008 15:39:49 schrieb Jan-Benedict Glaw:
> > On Tue, 2008-09-09 14:12:11 +0200, Jochen Georges <gnugeo@gnugeo.de> wrote:
> > > Am Dienstag 09 September 2008 12:45:20 schrieb Jan-Benedict Glaw:
> > > > On Mon, 2008-09-08 23:40:04 +0200, Jochen Georges <gnugeo@gnugeo.de> 
> wrote:
> > > > > ich habe eben ueberrascht festgestellt, dass
> > > > >
> > > > > gpg -a --export-secret-keys
> > > > >
> > > > > ohne weitere passwortabfrage den privaten schluessel ausgibt.
> > > >
> > > > Der ASCII-amored export ist immernoch durch Deine Passphrase
> > > > geschützt!

Dieser Satz wurde wohl tüchtig überlesen :)

> > > ?? die option -a steht doch fuer ascii-amored, oder?
> >
> > gpg(1) sagt:
> > ----------------------------------------------------------------------
> >        --armor
> >
> >        -a     Create ASCII armored output.   The  default  is  to  create 
> > the binary OpenPGP format.
> > ----------------------------------------------------------------------
> 
> ja genau, ...
> 
> jochen@t42:~$ gpg --armor --export-secret-keys >> armor.txt
> jochen@t42:~$ gpg -a --export-secret-keys >> a.txt
> jochen@t42:~$ diff armor.txt a.txt
> 
> also ist der ascii-amored export nicht durch die passphrase geschuetzt, oder 
> sehe ich gerade den wald vor lauter baeumen nicht?

Er *ist* geschützt! Wenn Du nur einen sec-key besitzt, ist das, was da
als a.txt bzw. armor.txt herauskommt, inhaltlich eine Kopie von
~/.gnupg/secring.gpg .  Und der secret key darin (sowohl in
secring.gpg, als auch im armor.txt) *ist* via passphrase geschützt!

Kopier' die armor.txt doch einfach mal auf einen anderen Rechner (oder
in einen anderen Account), importier' sie und versuch', den Key zu
benutzten. Du wirst weiterhin nach der Passphrase gefragt werden.

> aber egal, ich werde die privaten schluessel auf einen verschluesselten 
> usb-stick machen.

Das bringt nichts. Im Gegenteil: Genaugenommen verrätst Du dadurch nur
mehr.

MfG, JBG

-- 
      Jan-Benedict Glaw      jbglaw@lug-owl.de              +49-172-7608481
Signature of:            http://www.chiark.greenend.org.uk/~sgtatham/bugs.html
the second  :

Attachment: signature.asc
Description: Digital signature

Reply to:

Follow-Ups:
- Re: ot: gpg private key auslesen zu leicht moeglich!?
  - From: Andreas Schuldei <andreas@schuldei.org>
- Re: ot: gpg private key auslesen zu leicht moeglich!?
  - From: Jochen Georges <gnugeo@gnugeo.de>

References:
- ot: gpg private key auslesen zu leicht moeglich!?
  - From: Jochen Georges <gnugeo@gnugeo.de>
- Re: ot: gpg private key auslesen zu leicht moeglich!?
  - From: Jochen Georges <gnugeo@gnugeo.de>
- Re: ot: gpg private key auslesen zu leicht moeglich!?
  - From: Jan-Benedict Glaw <jbglaw@lug-owl.de>
- Re: ot: gpg private key auslesen zu leicht moeglich!?
  - From: Jochen Georges <gnugeo@gnugeo.de>

Prev by Date: was braucht ein Linuxrechner für 4.Klässler?
Next by Date: Re: was braucht ein Linuxrechner für 4.Klässler?
Previous by thread: Re: ot: gpg private key auslesen zu leicht moeglich!?
Next by thread: Re: ot: gpg private key auslesen zu leicht moeglich!?
Index(es):
- Date
- Thread