Fehler: Tails Zertifikat abgelaufen in Gpg4win 2.3.4 obwohl noch gültig.

engine

Captain
Registriert
Apr. 2007
Beiträge
3.940
Ich habe da ein Problem mit dem Tails Zertifikat in Gpg4win 2.3.4.
Ich bekomme die Fehlermeldung 3., wenn ich versuche für mich das Zertifikat zu beglaubigen - Zertifikat abgelaufen.
Dabei sind alle Zertifikate, meine und die von Tails, noch gültig.
Was mache ich falsch?

Es geht um die Prüfung eines iso-images mit einer Datei "Tails 3.0.1 OpenPGP signature", wo es dann heißt, ungenügende Informationen bezüglich des Zertifikats "Tails signing key" von der Seite:
https://tails.boum.org/install/download/openpgp/index.en.html

Da heißt es dann:
If the following warning appears:

Not enough information to check the signature validity.
Signed on ... by tails@boum.org (Key ID: 0x58ACD84F
The validity of the signature cannot be verified.

Then the ISO image is still correct according to the signing key that you downloaded. To remove this warning you need to authenticate the signing key through the OpenPGP Web of Trust.

tails-signing.JPG
 
Zuletzt bearbeitet:
Ich bekomme die selbe Fehlermeldung.
Das liegt anscheinend an Kleo, mit GPG kann ich das vertrauen ändern.
 
Systemzeit stimmt.
Ok, thx, dann weiß ich wenigstens Bescheid.

Ach ja, bei so einer Änderung, wenn sie dann funktioniert, den Fingerabdruck zuverlässig prüfen, am besten telefonisch mit dem Eigentümer, aber zur Not tut es hier auch die Angabe des Fingerabdrucks auf der Webseite.

So sieht es jetzt aus, alles okay :) thx!
tails-signing2.JPG
nach dem Befehl
C:\Users\xyz>gpg --edit-key "Tails developers (offline long-term identity key) <tails@boum.org>" trust
gpg (GnuPG) 2.0.30; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


pub 4096R/58ACD84F erzeugt: 2015-01-18 verfällt: 2018-01-11 Aufruf: C
Vertrauen: unbekannt Gültigkeit: unbekannt
sub 4096R/752A3DB6 erzeugt: 2015-01-18 verfällt: 2018-01-11 Aufruf: S
sub 4096R/2F699C56 erzeugt: 2015-01-18 verfällt: 2018-01-11 Aufruf: S
Der folgende Schlüssel wurde am 2015-10-29 von RSA Schlüssel 58ACD84F Tails developers (offline long-term identity key) <tails@boum.org> widerrufen
sub 4096R/56987A65 erzeugt: 2015-01-18 widerrufen: 2015-10-29 Aufruf: S
sub 4096R/A0EDAA41 erzeugt: 2016-08-30 verfällt: 2018-01-11 Aufruf: S
[ unbek.] (1). Tails developers (offline long-term identity key) <tails@boum.org>
[ unbek.] (2) Tails developers <tails@boum.org>

pub 4096R/58ACD84F erzeugt: 2015-01-18 verfällt: 2018-01-11 Aufruf: C
Vertrauen: unbekannt Gültigkeit: unbekannt
sub 4096R/752A3DB6 erzeugt: 2015-01-18 verfällt: 2018-01-11 Aufruf: S
sub 4096R/2F699C56 erzeugt: 2015-01-18 verfällt: 2018-01-11 Aufruf: S
Der folgende Schlüssel wurde am 2015-10-29 von RSA Schlüssel 58ACD84F Tails developers (offline long-term identity key) <tails@boum.org> widerrufen
sub 4096R/56987A65 erzeugt: 2015-01-18 widerrufen: 2015-10-29 Aufruf: S
sub 4096R/A0EDAA41 erzeugt: 2016-08-30 verfällt: 2018-01-11 Aufruf: S
[ unbek.] (1). Tails developers (offline long-term identity key) <tails@boum.org>
[ unbek.] (2) Tails developers <tails@boum.org>

Bitte entscheiden Sie, in wieweit Sie diesem User zutrauen,
Schlüssel anderer User korrekt zu prüfen (durch Vergleich
mit Lichtbildausweisen, Vergleich der Fingerabdrücke aus
unterschiedlichen Quellen ...)?


1 = Weiß nicht so recht
2 = Nein, ihm traue ich NICHT
3 = Ich vertraue ihm marginal
4 = Ich vertraue ihm vollständig
5 = Ich vertraue ihm absolut
m = Zurück zum Menü

Ihre Auswahl? 5
Wollen Sie diesem Schlüssel wirklich uneingeschränkt vertrauen? (j/N) j

pub 4096R/58ACD84F erzeugt: 2015-01-18 verfällt: 2018-01-11 Aufruf: C
Vertrauen: uneingeschränkt Gültigkeit: unbekannt
sub 4096R/752A3DB6 erzeugt: 2015-01-18 verfällt: 2018-01-11 Aufruf: S
sub 4096R/2F699C56 erzeugt: 2015-01-18 verfällt: 2018-01-11 Aufruf: S
Der folgende Schlüssel wurde am 2015-10-29 von RSA Schlüssel 58ACD84F Tails developers (offline long-term identity key) <tails@boum.org> widerrufen
sub 4096R/56987A65 erzeugt: 2015-01-18 widerrufen: 2015-10-29 Aufruf: S
sub 4096R/A0EDAA41 erzeugt: 2016-08-30 verfällt: 2018-01-11 Aufruf: S
[ unbek.] (1). Tails developers (offline long-term identity key) <tails@boum.org>
[ unbek.] (2) Tails developers <tails@boum.org>
Bitte beachten Sie, daß ohne einen Programmneustart die angezeigte
Schlüsselgültigkeit nicht notwendigerweise korrekt ist.

gpg>

Nachtrag:
ich glaube jetzt, dass mit Kleopatro so einiges nicht stimmt, löschen eines Zertifikats funktioniert auch nicht einfach.

Nachtrag:
woher kommt jetzt im 2. Bild oben "... mit unbekanntem Zertifikat ..."?

Der output von gpg sollte sein:

gpg --keyid-format 0xlong --verify tails-amd64-3.0.1.iso.sig tails-amd64-3.0.1.iso

gpg: Signature made Tue 04 Jul 2017 04:41:53 PM CEST
gpg: using RSA key BA2C222F44AC00ED9899389398FEC6BC752A3DB6
gpg: please do a --check-trustdb
gpg: Good signature from "Tails developers (offline long-term identity key) <tails@boum.org>" [full]
gpg: aka "Tails developers <tails@boum.org>" [full]
Primary key fingerprint: A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F
Subkey fingerprint: BA2C 222F 44AC 00ED 9899 3893 98FE C6BC 752A 3DB6
Warum also "mit unbekanntem Zertifikat"?
 
Zuletzt bearbeitet:
Ich benutzte zusätzlich noch GPGshell, das wird aber anscheinend nicht mehr weiterentwickelt.
 
Konkret kommt bei der Überprüfung der iso über gpg bei mir folgendes raus:
gpg --keyid-format 0xlong --verify tails-amd64-3.0.1.iso.sig tails-amd64-3.0.1.iso

gpg: Signatur vom 07/04/17 16:41:53 Mitteleuropõische Sommerzeit
gpg: mittels RSA-Schlüssel 0x98FEC6BC752A3DB6
gpg: Korrekte Signatur von "Tails developers (offline long-term identity key) <tails@boum.org>" [uneingeschränkt]
gpg: alias "Tails developers <tails@boum.org>" [uneingeschränkt]
Also alles okay!

Oben im 2. Bild ist das unbekannte Zertifikat offensichtlich "Tails developers <tails@boum.org>" mit dem
Subkey fingerprint: BA2C 222F 44AC 00ED 9899 3893 98FE C6BC 752A 3DB6.
Aber genau diesem habe ich ja volles Vertrauen ausgesprochen.

Das ist für Anfänger irritierend, wenn schon eine Software (Kleo) falsche Infos gibt.
Also heißt es, in die Eingabeaufforderung oder das alte GPGshell verwenden (lasse ich aber erst mal).

Für alle, die sich damit beschäftigen, ist vielleicht diese Seite gut: http://www.hauke-laging.de/sicherheit/openpgp.html#warnung
 
Zuletzt bearbeitet:
Ich kenne das eigentlich auch nur so, das man den Schlüssel importiert, die IDs prüft und den Schlüssel dann mit seinen eigenen Schlüssel Signiert und so bestätigt das alles ok ist.

Alle schlüssel sind noch gültig, einer wurde zurückgezogen. Wo genau ist jetzt das Problem ? Oo
 
Das im 2. Bild (#4) oben steht "... mit unbekanntem Zertifikat ...".

Und mit dem Befehl gpg --keyid-format 0xlong --verify tails-amd64-3.0.1.iso.sig tails-amd64-3.0.1.iso
alles korrekt zu sein scheint mit dem Subkey fingerprint: BA2C 222F 44AC 00ED 9899 3893 98FE C6BC 752A 3DB6.

Das irritiert etwas.
 
Zurück
Oben