digitalcourage.social is one of the many independent Mastodon servers you can use to participate in the fediverse.
Diese Instanz wird betrieben von Digitalcourage e.V. für die Allgemeinheit. Damit wir das nachhaltig tun können, erheben wir einen jährlichen Vorausbeitrag von 1€/Monat per SEPA-Lastschrifteinzug.

Server stats:

825
active users

#gnupg

0 posts0 participants0 posts today

New blog article: "Using a second #OpenPGP card for my primary key"

openpgp.foo/posts/2025-07-a-se

This is a rather niche article, but I hope it will still contain some bits of interest, for at least some readers 🤓.

In it, I import my primary OpenPGP key onto a second OpenPGP card hardware device, and use the device to issue a third-party certification with rsop-oct.

I also outline some background and tradeoffs around different OpenPGP card setup.

I just released version 0.1.3 of rsop-oct, a stateless #OpenPGP ("SOP") CLI tool for use with OpenPGP card hardware devices:

crates.io/crates/rsop-oct/

Like its sibling project #rsop, rsop-oct is based on @rpgp

This update adds support for the SOP command 'certify-userid'.

This allows issuing certifications (aka "third-party signatures") over identities in other people's OpenPGP certificates, directly with an OpenPGP card device.

For more on #SOP, see datatracker.ietf.org/doc/draft

crates.iocrates.io: Rust Package Registry

Wollte grad (nach Jahren) mal wieder ne #PGP-Verschlüsselung für meine Mails einrichten. Nun hat #Thunderbird ja inzwischen #GNUPG und das sieht ja auch alles ganz toll aus, aber was mich als alter #Enigmail User irritiert, ist das Ding mit der (fehlenden) Passphrase. Also wie ich das verstehe wird die ja (für alle Mailaccounts!?) ersetzt durch das Thunderbird-Masterpasswort. So weit so naja... Aber würde die Mails auch weiterhin gern auffm Handy abrufen (#K9). Da gibts dann n Addon, soweit hab ich das schon gesehen, aber ist dann das Masterpasswort auch da meine Passphrase? Danke schonmal für Tipps...

Would anyone with ample #GnuPG or #OpenPGP knowledge know if changing the expiry date of an Authrntication subkey has any effect on the #SSH-pubkey gpg-agent published for that subkey?

I’m trying to decide if I want to have my subkeys - which are stored on a hardware key - expire or not…

Continued thread

Oh and with #encryption I mean the gritty #DIY stuff. So don’t rely on the encrypted backup option baked in your favorite app or (mobile) OS.

If you don’t own it, you are being owned.

#GPG (or #GnuPG) using elliptic curve factorization is your friend!

In the (hopefully near) future post-quantum encryption #pqe will be available in some form. Although this tech was anticipated to arrive years ago… so what’s keeping it.

github.com/open-quantum-safe/l

GitHubGitHub - open-quantum-safe/liboqs: C library for prototyping and experimenting with quantum-resistant cryptographyC library for prototyping and experimenting with quantum-resistant cryptography - open-quantum-safe/liboqs

I just learned that when encrypting email with PGP, the subject line of the email is NOT encrypted. Two things about this fascinate me:

- what a glaring oversight. How did anyone ever think that not encrypting the subject line was a good idea

- why is this not more commonly known? i feel like every guide how to use PGP for email should be screaming from the rooftops: "TAKE NOTE THAT THE SUBJECT LINE OF YOUR EMAILS IS NOT ENCRYPTED". Instead, I just found it deep in the details of one such guide. Many guides (yes I checked several) don't include this information at all.

#OpenPGP#PGP#GPG

I'm trying to use #GnuPG and it's so bad that I just have to rant about it. I usually try not to rant because it isn't constructive but I have to let it out.

First try, the default method to generate keys fails, because some mysterious gnupg agent isn't running. Googling. Okay gotta start this agent. Ah, agent starting fails because some config option in the .gnupg folder is wrong. Manually delete the .gnupg folder. Ok now the agent seems to start but creating keys still fails "no such file or directory". Manually creating the .gnupg folder. Now it fails again. Figure out that now the gnupg agent is unhappy. Restart agent. Finally manage to create keys. Try to import my key to thunderbird, but how many keys are there in my private key folder? 2! Why? Who the hell knows.

Replied in thread
Ob man Perfect Forward Secrecy (PFS) haben möchte oder nicht, hängt sehr stark vom Anwendungsfall ab.

Ich stelle mir beispielsweise E-Mail-Verschlüsselung mit PFS sehr unschön vor. Besonders dann, wenn auch noch mehrere Personen Zugriff auf das Postfach haben.

Wie stellt ihr euch denn die Umsetzung von einer E2EE mit PFS vor, wenn man ein E-Mail-Postfach hat, auf dem 3 Personen zugreifen können?

#XMPP kann beispielsweise mit und ohne PFS verwendet werden. Im Client #Gajim kann man auch pro Account seinen bevorzugte Verschlüsselungsmethode verwenden. Finde ich super.

Aber mal ganz abgesehen,... wir sprechen bei #OpenPGP ( #GnuPG ) von einem offenen Standard und Freier Software. Wenn man dann Dinge hört wie "muss verschwinden" oder "nicht verwenden" finde ich dies sehr unhöflich gegenüber denen Menschen, die sich versuchen dafür einzusetzen. Solche Aussagen fördern kein Stück die Verwendung von E2EE, ganz im Gegenteil!

CC: @fasnix@iceshrimp.de @Tutanota@mastodon.social @mailbox_org@social.mailbox.org @delta@chaos.social @lennybacon@infosec.exchange
Replied in thread

@ber @fasnix @Tutanota @mailbox_org @delta @lennybacon

#OpenPGP darf nicht verschwinden. Ich werde aber zu #SequoiaPGP wechseln, sobald es von Haus aus Smartcards unterstützt.

Bei #GnuPG fühle ich mich nach LibrePGP&RFC9580 nicht mehr wohl.

Auch mag ich das Vorgehen vom GnuPGP bzgl. DANE nicht. Denn es wurde eine RFC (auch wenn es experimentell ist) nicht komplett umsetzt. Dann soll man erst garnicht mit der Implementierung von DANE in GnuPG anfangen oder zumindest die Implementierung in der Manpage als unvollständig hervorheben:

The DNS answer MUST pass DNSSEC validation; if DNSSEC validation reaches any state other than "Secure" (as specified in [RFC4035]), the DNSSEC validation MUST be treated as a failure.

Quelle: datatracker.ietf.org/doc/html/

Sequoia PGP hat zumindest DANE nicht halbgar implementiert:
gitlab.com/sequoia-pgp/sequoia

dev.gnupg.org⚓ T4618 DANE OpenPGP certificate retrieval does not verify DNSSEC signatures