Gestern bekam ich eine verschlüsslete E-Mail, die mir mein E-Mail-Programm nicht entschlüsseln wollte:
Zunächst dachte ich an eine defekte Enigmail-Konfiguration durch ein Update. Andere verschlüsselte E-Mail ließen sich aber problemlos im Klartext anzeigen. Also habe ich mir die Fehlermeldung von Engimail genauer angesehen:
Da ich mir bestimmte Zahlenmuster gut merken kann, habe ich gleich geahnt, dass das nicht mein PGP-Schlüssel ist. Ein Aufruf von gpg -K zum Auflisten der privaten Schlüssel bestätigte die Vermutung:
sec dsa1024 2002-01-27 [SC]
B9DEA6206CAA4B3C14020E3E8D2C56E7CC8BC5D8
uid [uneingeschränkt] Jesper Zedlitz <jesper@zedlitz.de>
uid [uneingeschränkt] Jesper Zedlitz <jesper@zedlitz.net>
ssb elg1024 2002-01-27 [E]
Um der Sache nachzugehen, habe ich mir den in der E-Mail verwendeten Schlüssel heruntergeladen und angesehen:
$ gpg --recv-keys 0xB2E494BE9F7AAC9B
gpg: Schlüssel 5F67F4BEAFEE3FC7: Öffentlicher Schlüssel "Jesper Zedlitz <jesper@zedlitz.de>" importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: importiert: 1
$ gpg --fingerprint 0xB2E494BE9F7AAC9B
pub rsa3072 2019-03-05 [SC] [verfallen: 2020-03-04]
B5C4 9611 9FE3 F75F 72B5 39CC 5F67 F4BE AFEE 3FC7
uid [ verfallen] Jesper Zedlitz <jesper@zedlitz.de>
Der Schlüssel ist tatsächlich auf meine E-Mail-Adresse ausgestellt, ist aber bereits abgelaufen. Vermutlich stammt der falsche Schlüssel aus dem Evil 32 Experiment, mit dem jemand Schabernack getrieben hat. Dummerweise liefern Keyserver bei der Frage nach jesper@zedlitz.de den gefälschten Schlüssel (obwohl er abgelaufen ist!) zuerst aus. Mein E-Mail-Partner hat offenbar ohne zu prüfen zugegriffen und so den falschen Schlüssel erwischt.
Wer mir eine verschlüsselte E-Mail schreiben möchte, sollte nur den im Impressum verlinkten PGP-Schlüsel verwenden.