Vor einem Jahr habe ich mich einen Abend lang hingesetzt, mich an dieser Anleitung entlanggehangelt und mir damit ein solides GPG/PGP-Setup gebastelt: Auf einem air-gapped Rechner ohne beschreibbaren Festspeicher wurden in reinster Geheimagentenmanier die Schlüssel erzeugt. Der Hauptschlüssel liegt als Backup offline auf einer verschlüsselten SD-Karte, die Unterschlüssel zum authentifizieren, signieren und verschlüsseln liegen ziemlich sicher auf einem Yubikey, der sich dem Rechner als Smartcard präsentiert. Somit bekommt dieser die privaten Schlüssel nie zu Gesicht, sämtliches Voodoo passiert auf dem USB-Key. Eigentlich ziemlich cool, wenn da nicht die Probleme wären.
Damals, meine Hauptsysteme liefen unter Ubuntu 20.04, hatte ich gerade die Smartcardfunktionalität schnell in Betrieb genommen: Thunderbird fragte beim Ver- und Entschlüsseln brav nach dem PIN des angesteckten Yubikeys, das Hantieren mit Dateien per gpg im Terminal funktionierte wie gewünscht. Die Wiesen waren saftig grün und der Himmel blau.
Irgendwann kam ich urplötzlich – vielleicht hat mir jemand etwas in den Drink gemischt – auf die Idee, überall Fedora Silverblue zu installieren. Dort brauchte es schon einen ganzen Abend um die Chose zum Laufen zu bekommen. Letztendlich schienen GPG und der Yubikey jedes Mal eine Münze zu werfen, ob sie diesmal wieder miteinander reden sollten. Argh!
Auch, aber nicht nur deswegen führte mich mein Weg, mit einem kurzen Abstecher über Standard-Fedora, letztendlich zurück zu Ubuntu. Blöd nur, dass sich Dinge in Versoin 22.04 wieder so geändert haben, dass auch hier wildes Gebastel notwendig wurde. Naja, so oft brauche ich GPG auch nicht, da kann ich mich ja drum kümmern wenn es soweit ist.
Vorspulen auf heute: Mein Kalender meldet sich, die Subkeys laufen heute ab. Ich mache mich munter ans Werk und schlage die Anleitung wieder auf, arbeite alle Punkte ab. An der kritischen Stelle, nämlich wenn ich meinen gesicherten Hauptschlüssel auf meinem flüchtigen System importieren muss, passiert es also: Die Passphrase ist falsch. Hä? Wie jetzt?
Ich probiere durch, durchsuche meine Unterlagen und Passwortmanager, denke nach – keine Chance. Entweder habe ich dieses eine wichtige Passwort in dem Durcheinander beim Erstellen nicht oder falsch notiert. Damit kann ich die Gültigkeit der Subkeys nicht verlängern und alles ist für den Eimer. Klar kann man die Schlüssel trotzdem noch benutzen, aber dass sie so jetzt auf öffentlichen Keyservern zu finden sind ist schon blöd.
Mir bleibt jetzt nur, das Widerrufszertifikat hochzuladen und damit öffentlich bekannt zu geben, dass ich Trottel nicht auf mein Zeug aufpassen kann. Nicht dass es jemanden interessiert, aber trotzdem. Nun muss also ein neuer Schlüssel her – moment, wirklich? In den letzten 365 Tagen habe ich diesen ganzen Klimbim nur zwei Mal benutzt, nämlich um Dateien an mich selbst zu verschlüsseln. Das ginge auch anders, einfacher.
So cool Mailverschlüsselung theoretisch auch ist, in meinem Alltag kommt sie seit Jahren nicht mehr vor. Wer heutzutage verschlüsselt mit mir kommunizieren möchte, tut dies ohnehin via Messenger. Lasse ich es also erstmal bleiben und folge meinem eigenen Rat: Darum kann ich mich noch kümmern, wenn es soweit ist und ich es doch mal wieder brauche.