Folgendes Szenario: Ich habe drei Yubikeys, die als GPG Card fungieren. Jeder der Yubikeys hat eigene RSA-Signatur und Authentication-Keys drauf, alle drei teilen sich den Encrytionkey. Und hier beginnt das Problem, hier ist GPG mehr als benutzerunfreundlich:
- Der Encryption-Key muss weggesichert werden (export des private keys), denn man kann einen GPG Schlüssel auf ein Karte nur verschieben (was dazu führt, dass der Schlüssel weg ist), nicht kopieren! Sprich: Karte rein, movetocard, Karte Raus, key wieder importieren...
- Wenn nun ein Yubikey benutzt wurde und durch einen anderen Key ersetzt wird, so wird der Encryption-Key (obwohl identisch(!) nicht akzeptiert, weil gpg in seiner unendlichen Weisheit nämlich die Karten-ID intern speichert und verlangt dann den alten Key.
- Um das Problem zu lösen hole man sich den „keygrip“ des Encryption-Key (
gpg --with-keygrip --list-key). Dann suche man sich in .gnupg/private-keys-v1.d/ die Datei mit besagtem Keygrip.key heraus und lösche sie. Oh, und nicht vergessen gpg-agent neuzustarten, sonst kommt der auch durcheinander. Danach wird die Karten-ID der aktuell eingesteckten Karte übernommen
Ehrlich: Wundert sich jemand dass gnupg kaum benutzt wird, wenn so ein Usecase (mehrere Karten/Yubikeys) nur durch solche extremen und unintuitiven Verrrenkungen machbar sind?
#
gnupg #
rant
