Direkt nach Installation und Start kommt “Das von Kleopatra verwendete GnuPG-System ist nicht VS-NfD-konform”.
Und ich frage mich: warum nicht? Was spricht dagegen, eine konforme Version mit in die Installationsdatei zu packen, um dem Anwender wenigstens einmal eine Fehlermeldung zu ersparen?
Guten Morgen,
ist es für Sie notwendig/wichtig, eine VS-NfD-konforme Anwendung zu verwenden. Wenn ja, dann ist GnuPG VS-Desktop die richtige Anlaufstelle für Sie: https://gnupg.com/index.de.html
Wenn das nicht der Fall ist, können Sie in Gpg4win das Profil verändern, was auch hier erklärt wird (auf Englisch):
https://wiki.gnupg.org/TroubleShooting#Possible_Reason:_Activated_VS-NfD_mode
Viele Grüße
Christoph Klassen
Hallo Alan,
| Was spricht dagegen, eine konforme Version mit in die Installationsdatei zu packen,
soweit mir bekannt, möchte das BSI, dass für VS-NfD Kommunikation nur Software eingesetzt wird, für die es einen Pflegevertrag mit dem Software-Hersteller gibt.
Gpg4win enthält die gleiche Krypto-Software wie die GnuPG VS-Desktop Version, technisch ist also eine Kommunikation voll möglich. Allerdings kommt nur GnuPG VS-Desktop mit dem geforderten Support und Pflegevertrag. (GnuPG VS-Desktop wird etwas konservativer gefahren, und leicht anders paketiert und ausgeliefert, soweit ich weiß. Da passt besser auf die Organisationen, welche das einsetzen. Gleichzeitig dauert eine Überprüfung von neuen Major-Versionen bei der Kryptographie beim BSI länger.)
Einerseits erscheint das erst wie ein Nachteil für Nutzer:innen, die selten Kryptographie
für VS-NfD brauchen oder nicht so hohe Anforderungen haben. Andererseits ist die Anforderung
des BSIs verständlich und sichert die Software-Entwicklung von GnuPG und Gpg4win finanziell
ab (siehe auch https://gnupg.org/blog/20220102-a-new-future-for-gnupg.html). Davon profitieren
alle Nutzende.
Viele Grüße
Bernhard
“möchte das BSI”
Was das BSI “möchte” (abgesehen davon, daß eine Behörde keine Wünsche zu äußern hat, sie hat Aufgaben zu erfüllen), kann man auch anders formulieren:
Das BSI möchte leicht feststellen können, wer genau die sichere Variante von GPG verwendet. Anonym soll man nur die frei zugängliche GPG4Win-Installation nutzen können.
Das läßt natürlich Schlüsse auf die Sicherheit dieser Jedermann-Variante zu. Das BSI hält GPG4Win offensichtlich für ungefährlich genug, daß jeder sie benutzen darf. Na danke.
Hallo Alan,
das BSI ist die zuständige Behörde für die Zulassung der Software welche für VS-NfD
(Verschlusssache nur für den Dienstgebrauch) zuständig ist. Da das eine Einstufung des Sicherheitsbedarf für Behörden ist, finde ich es schon sinnvoll, dass das auch eine Behörde definiert. Dabei hat sie Spielraum.
Wie gesagt: Die Krypto-Software selbst ist dieselbe. Nur wenn Du konform mit den
Ansprüchen an VS-NfD sein möchtest, dann musst Du die erforderlichen organisatorischen Maßnahmen umsetzen und eine Software haben, welche kostenpflichtigen Herstellersupport hat.
(Als Behörde oder Organisation kannst Du natürlich im Rahmen Deine eigene bedingte Einsatzempfehlung abgeben, eher als Ausnahme.)
Die Situation ist für “jedermann” viel besser geworden: Das BSI steckt einen Teil seiner Arbeit
eben in die Überprüfung der korrekten und sicheren Implementation der Krypto-Engine von GnuPG VS-Desktop und Gpg4win und damit profitiert jeder davon, nicht nur die Organisationen, welche verpflichtet sind VS-NfD konform zu kommunizieren. Vorher ging Geld und Arbeit in Chiasmus, eine proprietäre Software, welche nicht frei bezogen werden konnte.
GnuPG und Gpg4win sind und werden weltweit eingesetzt und als Freie Software sind die unabhängig überprüfbar, das wird auch immer wieder getan, weil es dann Fehlerberichte von verschiedener Seite gibt.
Viele Grüße
Bernhard
Hallo.
“Die Krypto-Software selbst ist dieselbe. Nur wenn Du konform mit den
Ansprüchen an VS-NfD sein möchtest, dann musst Du die erforderlichen organisatorischen Maßnahmen umsetzen und eine Software haben, welche kostenpflichtigen Herstellersupport hat.”
Aber das kann ja nicht alles sein. Dann müßte GPG4Win ja keinen VS-NfD-Modus haben, in dem das Signieren/Verschlüsseln nicht möglich ist. Das scheinen ja dann andere - nicht eingebaute - Algorithmen zu sein.
HI Alan,
der VS-NfD-Modus ist dafür da, um aus den bestehenden Algorithmen, diejenigen fest einzustellen, welche dafür freigegeben sind. Der Grund ist, dass Gpg4win beides kann VS-NfD kommunizieren und mit anderen (aus Sicht des BSI weniger empfehlenswerten) Verfahren kommunizieren. Das muss den Nutzenden, welche manchmal mit VS-NfD umgehen müssen, angezeigt werden.
Von Version 3 auf Version 4 von Gpg4win hat sich die Änderung ergeben, dass für offiziellen VS-NfD-Support es eine supportete Version sein muss, und dass die 2.3.x Linie von GnuPG beim BSI noch nicht voll durchuntersucht ist. (Das kann sehr lange dauern, manchmal Jahre.)
In den https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html kannst Du nachlesen, welche Verfahren das BSI empfiehlt.
Gruß
Bernhard
Sorry, aber meine GPG4Win-Installation 4.0.4 kann im VS-Modus keins von beidem: Signieren mit bisherigen Schlüsselpaaren (immerhin 3072bit) ist nicht möglich, weil nicht VS-konform. Erstellen neuer, konformer Schlüsselpaare scheitert, weil “verboten”.
Nennen Sie mich konservativ, aber meine Meinung ist, eine Software, die einen bestimmten einstellbaren Modus hat, sollte in diesem Modus auch funktionieren. Wozu einen VS-Modus, wenn man in ihm nichts machen kann?
Hallo Alan,
bitte die Einstellung umstellen, siehe https://wiki.gnupg.org/TroubleShooting#Possible_Reason:_Activated_VS-NfD_mode (wie Christoph schon schrieb).
Der Übergang von 3 zu 4 hat hier leider nicht so gut funktioniert, wie es sollte, das tut uns leid.
Viele Grüße
Bernhard
Ja, wie man den VS-Modus komplett ausschaltet, weiß ich.
Ganz andere Frage: Kann man den GnuPG VS-Desktop, der ja aus Open-Source-Software besteht und keinen Lizenzschlüssel braucht, irgendwo herunterladen?
Hallo Alan,
den Modus gibt es im Code, weil es der gleiche Code für alle Versionen ist.
Der Modus gehört bei Gpg4win 4.0.4 nur ausgeschaltet.
Ich weiß nicht, wo es eine öffentlich bekannte URL für das Herunterladen
von GnuPG VS-Desktop Versionen gibt.
Gruß
Bernhard