FAQ bei Anwendungsproblemen

Dies ist eine Liste häufig von Benutzer:innen gestellter Fragen bei Problemen in der Anwendung.

Darüber hinaus gibt es weitere FAQs:

Zur Nutzungs-FAQ Zur Admin-FAQ

Verschlüsselung mit öffentlichen Schlüsseln bzw. Zertifikaten

Entschlüsseln fehlgeschlagen: Kein geheimer Schlüssel

Diese Fehlermeldung erhält man z.B. dann, wenn die Person, die die Datei verschlüsselt hat, dabei vergaß, einen Empfänger hinzuzufügen. Oder auch, wenn die Gegenseite nicht das korrekte Zertifikat für die Verschlüsselung an Sie ausgewählt hat. Evtl. haben Sie ein neues OpenPGP Schlüsselpaar erstellt, ohne dass ihr altes abgelaufen war oder widerrufen wurde?

Bitten Sie den Absender, die Datei erneut zu verschlüsseln und diesmal im Dateiverschlüsselungs-Dialog in der Zeile "Für andere verschlüsseln" ihr Zertifikat (= ihren öffentlichen Schlüssel) auszuwählen.

Lassen Sie im Zweifelsfall ihr aktuelles Zertifikat der Gegenseite (erneut) zukommen, zusammen mit etwaigen abgelaufenen oder widerrufenen Zertifikaten mit der gleichen Benutzerkennung. Letztlich ist immer der Fingerabdruck eines Zertifikates entscheidend, es kann beliebig viele verschiedene Zertifikate mit identischen Benutzerkennungen geben.

Warum wird (m)ein Zertifikat nicht (mehr) als VS-NfD konform angezeigt?

Wenn in der Zertifikatsliste von Kleopatra für OpenPGP Schlüssel / Zertifikate "Nicht VS-NfD-konform" anzeigt werden, liegt dies daran, dass sie auf einem nicht VS-NfD konformen Algorithmus beruhen.
Dies kann nur der Fall sein, wenn sie nicht mit GnuPG VS-Desktop erstellt wurden.

Da der Algorithmus RSA-2048 erst seit Anfang 2024 nicht mehr VS-NfD konform ist, ist dieser die Ursache, wenn ein betroffenes Zertifikat zuvor als VS-NfD konform angezeigt wurde. Aber auch die von Gpg4win standardmäßig bei der Erzeugung von neuen Schlüsseln verwendeten ECC Algorithmen sind aktuell nicht vom BSI für VS-NfD zugelassen.

Um zu prüfen, auf welchem Algorithmus ein Zertifikat bzw. Schlüssel beruht, schaut man auf dessen Details. Doppelklicken sie hierzu auf das Zertifikat und wählen dann links unten "weitere Details" aus. Hier sieht man die Spalten "Typ" und "Stärke". Falls Typ = "RSA" und Stärke = "2048" ist, handelt es sich um einen nicht VS-NfD-konformen RSA-2048 Schlüssel.

Warum wird mein eigenes Zertifikat als "nicht beglaubigt" angezeigt?

Wenn in der Zertifikatsliste von Kleopatra für einen eigenen OpenPGP Schlüssel "nicht beglaubigt" statt "VS-NfD konform" anzeigt wird, liegt dies daran, dass der geheime Schlüssel aus einem Backup importiert wurde, ohne auf die Frage "Ist dies ihr eigenes Zertifikat" mit "Ja" zu antworten. Um dies nachträglich zu ändern können Sie nach Recktsklick -> "Beglaubigungsvertrauen ändern" die Frage erneut beantworten.

Eigene öffentliche Schlüssel (Zertifikate), für die der geheime Schlüssel lokal vorhanden ist, kann man in der Liste daran erkennen, dass sie in fetter Schrift angezeigt werden.

Verschlüsseln fehlgeschlagen: Unbrauchbarer öffentlicher Schlüssel

Diese Meldung erscheint bei der versuchten Verschlüsselung an eine Gruppe, wenn mindestens ein darin enthaltenes Zertifikat nur zum Teil verlängert wurde. Das tritt auf, wenn ein bereits abgelaufenes Zertifikat mit Kleopatra aus GnuPG VS-Desktop bis einschließlich 3.1.26 verlängert wurde (siehe auch Entwicklerticket https://dev.gnupg.org/T6473).

In der Zertifikatsliste wird das Zertifikat als gültig angezeigt, da der Unterschlüssel für die Verschlüsselung aber nicht verlängert wurde, ist es dafür aber nicht verwendbar.

Der Inhaber des betroffenen Zertifikats muss wie folgt vorgehen, um es zu verlängern:

Doppelklicken Sie in der Zertifikatsliste von Kleopatra auf Ihren Schlüssel und klicken Sie danach im neuen Fenster auf "weitere Details" links unten. In dieser Detailansicht sollte in Ihrem Fall in der ersten Zeile in der Spalte Status "korrekt" stehen und in der zweiten Zeile "abgelaufen".

Dann bitte Rechtsklick auf die 2. Zeile und "Ablaufdatum ändern" wählen.

FAQ-expired-subkey-1-v3-1-26.png

Nun als Ablaufdatum das Gleiche auswählen, was auch in der ersten Zeile steht und OK klicken.

FAQ-expired-subkey-2-v3-1-26.png

Jetzt haben beide Unterschlüssel das gleiche Ablaufdatum und alles funktioniert wieder wie gewohnt.

FAQ-expired-subkey-3-v3-1-26.png

Sie können dies testen, indem Sie eine Nachricht an sich selber verschlüsseln.

Zum Abschluss müssen Sie das Zertifikat exportieren und Ihren Kommunikationspartnern zukommen zu lassen.

Zertifikat wird nach Verlängerung nicht mehr für Verschlüsselung angeboten

Das betroffene Zertifikat wird in der Zertifikatslisten als gültig angezeigt, wird aber weder bei der Dateiverschlüsselung noch in Outlook zur Auswahl angezeigt. Das Problem tritt nach erfolgter Verlängerung mit Kleopatra aus GnuPG VS-Desktop bis einschließlich 3.1.26 auf.

Für die Lösung siehe "Verschlüsseln fehlgeschlagen: Unbrauchbarer öffentlicher Schlüssel", es handelt sich um die gleiche Ursache.

Kein Empfänger für Dateiverschlüsselung auswählbar

FAQ-symmetric-only-1.png

Falls bei Ihnen im Dialog für die Dateiverschlüsselung kein Empfänger ausgewählt werden kann, da das Feld ausgegraut ist, liegt das daran, dass dies in den Einstellungen von Kleopatra deaktiviert ist. Im Tab Kryptografie-Aktionen der Einstellungen ist die Option "Nur symmetrische Verschlüsselung verwenden" aktiviert:

FAQ-symmetric-only-2.png

Entfernen Sie den Haken, damit Sie wieder Empfänger auswählen können.

Passwort basierte Verschlüsselung

Entschlüsseln fehlgeschlagen: Falsche Passphrase

Sie haben das Passwort (Passphrase ist nur ein anderes Wort dafür) falsch eingegeben. Bitte kontrollieren Sie es noch einmal. Vielleicht haben Sie beim Kopieren des Passwortes versehentlich ein Leerzeichen mit kopiert? Achten Sie auch auf Klein- und Großschreibung.

Falls es sich um ein durch GnuPG VS-Desktop generiertes Passwort handelt, so besteht es aus 30 Zeichen aus diesem Zeichensatz:
"13456789abcdefghijkmnopqrstuwxyz"
(Die 0, die 2, das l und das v sind also nicht enthalten)

Angezeigte Leerzeichen bei von GnuPG VS-Desktop generierten Passwörtern dienen nur der besseren Darstellung; diese sind nicht mit einzugeben.

GpgOL Fragen

"Nicht alle Anhänge können angezeigt werden" - Meldung

Die Arbeitsweise von GpgOL bewirkt, dass sich die Größe einer Mail temporär in etwa verdoppelt. (Sowohl die ver- als auch die entschlüsselte Version sind dann gleichzeitig an das Mailobjekt gebunden.)

Wenn die eingestellte maximale Mailgröße überschritten wird, zeigt GpgOL so viele Anhänge an wie möglich und informiert den Nutzer mit der oben genannte Meldung.

Ab wann dies auftritt, hängt von der Einstellung des Exchange Servers für die Mailgröße und von der Kompression der Mailverschlüsselung ab. Da S/MIME verschlüsselte Nachrichten nicht komprimiert werden, ist bei diesen die Größe, ab der das Problem auftritt, geringer als bei OpenPGP Verschlüsselung.

Als Workaround empfehlen wir, die Mail per Drag+Drop ins Dateisystem zu speichern und dort mittels Doppelklick zu öffnen und entschlüsseln. Wenn dies häufiger auftritt, können Sie auch das Größenlimit in Exchange anpassen.

Sofern nicht anderweitig angemerkt, sind diese Seiten: Copyright 2024 g10 Code GmbH. Die Erstellung und Verbreitung wortgetreuer Kopien auf beliebigen Medien ist erlaubt, sofern auch diese Genehmigung erhalten bleibt. Weitere Details im Impressum & Datenschutzerklärung. Diese Seite wurde zuletzt geändert am: 2024-09-24.