09 Jan 2021

Alter GPG Kram

GnuPG

Was muss ich nicht alles (erneut) tun, wenn ich meinen Rechner neu installiert habe. Beispielsweise einige öffentliche GPG-Schlüssel neu signieren, damit ich sie weiter ordentlich anwenden kann. Nun habe ich aber ein neues System und die Werkzeuge sind ebenfalls neu. Und was passiert?

gpg --sign-key <irgendeine-email-adresse>
[…]
Wirklich signieren? (j/N) j
gpg: Hinweis: Beglaubigungen von Dritten basierend auf dem SHA1 Algorithmus werden zurückgewiesen.
gpg: Beglaubigung fehlgeschlagen: Ungültige Hashmethode
gpg: Beglaubigung fehlgeschlagen: Ungültige Hashmethode

Tja, aus die Maus - dachte ich. Da habe ich so einen schönen abgehangenen Schlüssel und den will das neue gpg-Werkzeug nicht mehr. Weil SHA1 sowas von alt und unsicher sei. Sicher, der Hauptschlüssel ist schon älter, aber ich habe immer wieder neue Unterschlüssel hinzugefügt, weil ich die älteren regelmäßig habe ablaufen lassen.

Was tun? Suchen im Netz hilft auch hier und den gefundenen Anleitungen folgen. Die manipulieren alle den Schlüssel, um dann anschl. alte Signaturen raus zu werfen. Und eine Anleitung empfiehlt die Konfiguration so anzupassen, dass das gpg-Werkzeug auf keinen Fall mehr SHA1 verwendet. Die Anleitung empfiehlt die folgenden Zeilen in die ~/.gnupg/gpg.conf aufzunehmen:

default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
personal-cipher-preferences AES256 AES192 AES CAST5
personal-digest-preferences SHA512 SHA256 SHA384 SHA224
cert-digest-algo SHA512

Zum Testen habe ich alle Änderungen an dem alten Schlüssel wieder rückgängig gemacht und nochmal angefangen. Ich hatte aber vorher die - wie zuvor dargestellt - angepasste gpg.conf nicht wieder auf den alten Stand gebracht. Und somit lief anschl. der erste Signierungsversuch mit dem alten Schlüssel (der definitiv (immer) noch eine SHA1-Signatur enthält) einfach so durch. Kein Gemecker, keine Zurückweisung. Offenbar ignoriert gpg jetzt enthaltene SHA1-Signaturen und arbeitet mit dem Rest glücklich weiter.

Manchmal geht es auch einfacher als gedacht.

Dank an Diane290 für ihr Bild und dass ich es hier als Titelbild verwenden darf.

« Schlechtes Timing Neuanfang, Teil 2 »