GPG: Nyckelgenerering misslyckas

[PureW]

Hejsan, med anledning av allt ståhej runt FRA och att jag läst deckarna om Lisbeth Salander så tänkte jag pröva
på att kryptera min epost.

Följer den officiella guiden https://help.ubuntu.com/community/GnuPrivacyGuardHowto men det är inte
helt enkelt.

För det första funkar inte

gpg --gen-key

utan sudo, vilket iochförsig inte är så jättekonstigt. ~/.gnupg ägs nämligen av root.

Däremot får jag meddelandet att

Du behöver en lösenfras för att skydda din hemliga nyckel

gpg: kunde inte få tillgång till GPG-Agent i denna session
Ange lösenfras:

Vet ej vad detta betyder, har installerat GPG-agent och startat om datorn.

Försöker nu trots ovan meddelande, får se var jag landar...

[andol]

Om ~/.gnupg ägs utav root så är det något fel som är trasigt. Åtminstone givet att du syftar på /home/foo/.gnupg och inte /root/.gnupg förstås. Har du inte börjat använda din gpg-nyckel så är det nog nästan lättast att använda sudo för att radera din ~/.gnupg och börja om från början.

Problemet med gnupg-agent beror gissningsvis på att du kör gnupg med sudo, och sålunda i terminalläge. Har för mig att det inte går riktigt bra ihop med pinentry-gtk2, vilken aktuell guide förslog att du skulle installera. Kör du däremot gnupg som normal användare så torde det inte vara några problem.

[PureW]

Okej, det gick bra iallafall. Men nu förstår jag inte hur jag börjar kryptera mail i Thunderbird.
Får googla lite.

[PureW]

Thunderbird klagar på att Enigmail inte har åtkomst till ~/.gnupg.

Känns inte så bra att behöva ändra rättigheterna på gnupg, jag antar att det finns
skäl till att root äger den mappen..

[PureW]

Om ~/.gnupg ägs utav root så är det något fel som är trasigt. Åtminstone givet att du syftar på /home/foo/.gnupg och inte /root/.gnupg förstås. Har du inte börjat använda din gpg-nyckel så är det nog nästan lättast att använda sudo för att radera din ~/.gnupg och börja om från början.

Jag laddade upp min nyckel till ubuntu's nyckelserver med

gpg --send-keys --keyserver keyserver.ubuntu.com <KEY-ID>

Kan jag ändå börja om?

[andol]

Tja, visst går det fortfarande att börja om även om du laddat upp en publik nyckel. Däremot blir det förstås lite lagom osnyggt. Kan du slippa göra om är det sålunda bra och trevligt.

Till en början med kan du ju se till så att din användare, med grupp, äger mappen /home/foo/.gnupg

Det finns ingen som helst anledning till att root ska äga en lokal användes gpg-mapp.

[PureW]

Bytte ägare på alla filer till mig men nu har jag nog klantat mig rejält.

Jag hade två nycklar inne i Seahorse:

En med både för- och efternamn. Det var nog den första jag skapade,
innan jag skapade denna tråden.

Och ytterligare en, som bara innehöll förnamn, trots att jag skrev både för-
och efternamn under nyckelgenereringen.

Trodde efternamnet inte syntes för att det redan låg en äldre nyckel med för- och efternamn, så den
äldre tog jag bort efter att ha säkerhetkopierat den. Men det hjälpte inte.

Det är den andra, med bara förnamn som jag laddade upp till Ubuntu's nyckelserver.

Hur löser jag detta enklast?
Kan jag se om mitt efternamn finns associerat med den nyckel jag laddade upp?
Isåfall är det nog inga problem.

Om det bara är förnamnet som är associerat med nyckeln jag laddade upp,
då kanske det är enklast att bara skapa en ny nyckel?

[andol]

Vet egentligen inte riktigt om jag hängde med på vilken som vad var där :)

Oavsett vad så är varesig namn eller mailadress unika värden i en nyckel. Det som identifierar en nyckel är, typ, dess ID i stil med till exempel 0xFAF2463A.

Det är alltså inga problem om du raderar hela din ~/.gnupg och börjar om från början. Det möjligtvis osnygga kommer när någon söker på din mailadress och hittar flera olika nycklar. Fast givet att de på annat håll fått bekräftat vilken nyckel som verkligen är din, vilket förövrigt är så det ska vara, så är det inga problem.

Vill du vara duktig så kan du alltid första generera revokeringscertifikat för dina gamla nycklar. Alternativt så säkerhetskopierar du bara dem nu, och tar tag i revokerandet när du känner dig lite varmare i gpg-kläderna.

[PureW]

Okej, tack. Säkerhetskopierade nycklarna från Seahorse och fick då zipfiler som innehöll två filer: pubring.gpg och secring.gpg

Nu när jag har dessa kan jag alltså radera gnupg-mappen och börja om från början?

Tack för att du står ut med dessa frågor

[andol]

Japp.

[PureW]

Hur lägger jag till de tidigare säkerhetskopierade nycklarna?
EDIT: Drog dem till Seahorse och då importerades de.

[PureW]

FireGPG fungerade direkt.
Thunderbird krånglar lite. Jag får ingen fråga om min passphrase när jag ska
skicka ett krypterat mail utan ett felmeddelande:

[PureW]

Thunderbird ger detta felmeddelande:
"gpg kan inte fråga om lösenfras i satsläge"

Detta med kryptering var inte det enklaste.

OpenPGP Security Info

Error - decryption failed

gpg command line and output:
/usr/bin/gpg --charset utf8 --batch --no-tty --status-fd 2 -d --use-agent
gpg: problem med agenten - inaktiverar användning av agent
gpg: kan inte fråga om lösenfras i satsläge
gpg: Ogiltig lösenfras; försök igen ...
gpg: kan inte fråga om lösenfras i satsläge
gpg: Ogiltig lösenfras; försök igen ...
gpg: kan inte fråga om lösenfras i satsläge
gpg: krypterad med 4096-bitars ELG-E-nyckel, id ****, skapad 2008-07-07
"*****"
gpg: dekryptering med publik nyckel misslyckades: felaktig lösenfras
gpg: dekrypteringen misslyckades: hemliga nyckeln är inte tillgänglig