FAQ bei Anwendungsproblemen
Hier finden Sie Antworten auf häufig gestellte Fragen rund um typische Probleme in der Anwendung.
Weitere FAQ-Bereiche finden Sie hier:
Verschlüsselung mit öffentlichen Schlüsseln und Zertifikaten
Warum meldet Kleopatra „Kein geheimer Schlüssel“ beim Entschlüsseln?
Diese Fehlermeldung erscheint, wenn Kleopatra keinen passenden geheimen Schlüssel findet – also keinen, der zur Datei passt.
Häufige Ursachen:
- Die absendende Person hat vergessen, beim Verschlüsseln Ihr Zertifikat als Empfänger hinzuzufügen.
- Es wurde versehentlich ein falsches Zertifikat verwendet.
- Sie selbst haben ein neues OpenPGP-Schlüsselpaar erstellt, das alte aber nicht widerrufen – jetzt gibt es zwei Zertifikate mit derselben Benutzerkennung, aber nur das neue enthält einen geheimen Schlüssel.
Was tun?
Bitten Sie die absendende Person, die Datei erneut zu verschlüsseln – und dabei im Dialog zur Dateiverschlüsselung unter Für andere verschlüsseln Ihr aktuelles Zertifikat auszuwählen.
Wenn Sie unsicher sind, senden Sie der Gegenseite Ihr aktuelles Zertifikat einfach noch einmal – am besten gemeinsam mit eventuell vorhandenen älteren Versionen (abgelaufen oder widerrufen), die dieselbe Benutzerkennung tragen.
Wichtig: Für die Entschlüsselung zählt immer der Fingerabdruck des Zertifikats – nicht die Benutzerkennung. Es kann mehrere Zertifikate mit identischen Namen und E-Mail-Adressen geben, aber nur eines davon wird funktionieren.
Warum wird (m)ein Zertifikat nicht (mehr) als VS-NfD konform angezeigt?
In Kleopatra sehen Sie in der Zertifikatsliste manchmal den Hinweis, dass ein OpenPGP-Zertifikat nicht VS-NfD-konform ist (rosa hinterlegt). Das bedeutet: Der verwendete Algorithmus entspricht nicht den Anforderungen für Verschlusssachen – Nur für den Dienstgebrauch (VS-NfD).
Das passiert nur, wenn das Zertifikat nicht mit GnuPG VS-Desktop® erstellt wurde.
In vielen Fällen liegt es daran, dass das Zertifikat den Algorithmus RSA-2048 verwendet – dieser wurde Anfang 2024 aus der VS-NfD-Zulassung entfernt. Auch die von Gpg4win standardmäßig erzeugten ECC-Algorithmen Ed25519 und Curve25519 sind aktuell nicht vom BSI für VS-NfD freigegeben.
Wenn Sie stattdessen einen Schlüssel mit dem ECC-Algorithmus auf Basis der Brainpool-Kurve verwenden, sieht das anders aus: Diese Variante ist für VS-NfD zugelassen und kann direkt mit GnuPG VS-Desktop® erzeugt werden.
Wie finde ich den Algorithmus meines Zertifikats heraus?
Ob ein Zertifikat den Anforderungen für VS-NfD entspricht, hängt vom verwendeten Algorithmus ab. Den finden Sie ganz einfach selbst heraus.
Für OpenPGP-Zertifikate:
- Doppelklicken Sie in Kleopatra auf das betreffende Zertifikat.
- Wechseln Sie zum Reiter Unterschlüssel.
- In der Spalte Algorithmus sehen Sie z. B. RSA 2048, ECC (Ed25519) oder ECC (Cv25519). Wird das Zertifikat als nicht konform angezeigt, liegt es oft an genau diesen Einträgen.
Für S/MIME-Zertifikate:
- Doppelklicken Sie auf das Zertifikat.
- Öffnen Sie den Reiter Zertifikatsdetails.
- Suchen Sie den Eintrag keyType. Hier steht etwa rsa4096 (konform) oder rsa2048 (nicht konform).
Und was bedeutet das für die Anzeige in Kleopatra? Zertifikate mit einem VS-NfD-konformen Algorithmus werden hellgrün hinterlegt und tragen den Status VS-NfD konform. Alle anderen sind zwar ggf. beglaubigt, aber nicht konform – sie erscheinen rosa hinterlegt mit dem Status beglaubigt.
Wurzelzertifikate, denen vertraut wird, erscheinen in Kleopatra immer in Blau – unabhängig davon, ob sie VS-NfD-konforme Algorithmen verwenden oder nicht. In der Spalte Status steht dann entweder VS-NfD konform oder beglaubigt.
Wenn stattdessen nicht beglaubigt angezeigt wird, bedeutet das: Dem Zertifikat wird nicht vertraut. Um ein solches Wurzelzertifikat vollständig nutzen zu können, muss es von einer Administratorin oder einem Administrator installiert und als vertrauenswürdig eingestuft werden.
Für die Anzeige der VS-NfD-Konformität gelten bei S/MIME-Zertifikaten dieselben Regeln wie bei OpenPGP – ausschlaggebend ist auch hier der verwendete Algorithmus.
Warum wird mein eigenes Zertifikat als „nicht beglaubigt“ angezeigt?
Wenn bei Ihrem eigenen OpenPGP-Zertifikat in Kleopatra der Status nicht beglaubigt erscheint, liegt das meist an einer Kleinigkeit: Beim Import eines Backups haben Sie nicht bestätigt, dass es sich um Ihr eigenes Zertifikat handelt.
Das lässt sich ganz einfach nachholen: Klicken Sie mit der rechten Maustaste auf den Eintrag und wählen Sie den Eintrag Beglaubigungsvertrauen ändern.
Zum besseren Verständnis: Eigene öffentliche Schlüssel (Zertifikate), zu denen auch ein geheimer Schlüssel vorhanden ist, zeigt Kleopatra in fetter Schrift an. ##hier!
Warum schlägt das Verschlüsseln fehl? („Unbrauchbarer öffentlicher Schlüssel“)
Diese Fehlermeldung taucht auf, wenn Sie an eine Kleopatra-Gruppe verschlüsseln wollen, in der mindestens ein Zertifikat nicht korrekt verlängert wurde.
Typischer Fall: Das Zertifikat war abgelaufen und wurde mit Kleopatra (bis einschließlich GnuPG VS-Desktop® 3.1.26) verlängert – aber nur teilweise. In der Oberfläche wirkt alles okay: Das Zertifikat wird als gültig angezeigt. Intern fehlt dem Unterschlüssel für die Verschlüsselung aber die neue Gültigkeit – und damit ist er unbrauchbar. (Ticket T6473)
Lösung: Die Person, deren Zertifikat betroffen ist, muss den Unterschlüssel manuell verlängern.
So geht's:
1. Öffnen Sie in Kleopatra die Zertifikatsliste und doppelklicken Sie auf Ihr Zertifikat.
2. Klicken Sie im neuen Fenster unten links auf Weitere Details.
3. In der Detailansicht sehen Sie jetzt zwei Zeilen: In der ersten (für den Signatur-Unterschlüssel) steht korrekt, in der zweiten (für den Verschlüsselungs-Unterschlüssel) steht abgelaufen.
4. Klicken Sie mit der rechten Maustaste auf die zweite Zeile und wählen Sie Ablaufdatum ändern aus dem Kontextmenü.
5. Wählen Sie nun als neues Ablaufdatum denselben Wert wie in der ersten Zeile und bestätigen Sie mit OK.
6. Damit haben beide Unterschlüssel das gleiche Ablaufdatum – das Zertifikat ist wieder vollständig nutzbar, und alles funktioniert wieder wie gewohnt.
7. Testen Sie es kurz: Verschlüsseln Sie eine Datei oder Nachricht an sich selbst. Wenn das funktioniert, ist alles in Ordnung.
8. Zum Schluss sollten Sie das aktualisierte Zertifikat exportieren und an Ihre Kommunikationspartner weitergeben – damit auch sie die neue Gültigkeit sehen und verwenden können.
Warum wird mein Zertifikat nach der Verlängerung nicht mehr zum Verschlüsseln angeboten?
Das Zertifikat wirkt auf den ersten Blick völlig in Ordnung – in der Zertifikatsliste wird es als gültig angezeigt. Trotzdem erscheint es weder im Dialog zur Dateiverschlüsselung noch in Outlook zur Auswahl.
Dieses Verhalten tritt auf, wenn ein abgelaufenes Zertifikat mit Kleopatra aus GnuPG VS-Desktop® (bis Version 3.1.26) verlängert wurde – und dabei nicht vollständig.
Warum kann ich keinen Empfänger für die Dateiverschlüsselung auswählen?
Wenn Sie im Dialog zur Dateiverschlüsselung keine Empfänger auswählen können, liegt das meist an einer Einstellung in Kleopatra: Das Eingabefeld ist dann ausgegraut, weil Kleopatra nur symmetrisch verschlüsseln soll.
Schauen Sie in den Einstellungen unter Kryptografie-Aktionen nach, ob dort ist die Option Nur symmetrische Verschlüsselung verwenden aktiv ist.
Entfernen Sie den Haken, um wieder Empfänger auswählen zu können.
Passwortbasierte Verschlüsselung
Warum schlägt das Entschlüsseln mit der Meldung „Falsches Passwort“ fehl?
Sie haben ein falsches Passwort eingegeben – oder versehentlich ein zusätzliches Zeichen wie ein Leerzeichen mitkopiert. Bitte prüfen Sie die Eingabe sorgfältig und achten Sie auf Groß- und Kleinschreibung.
Falls das Passwort von GnuPG VS-Desktop® generiert wurde,
besteht es aus genau 30 Zeichen aus folgendem Zeichensatz:
13456789abcdefghijkmnopqrstuwxyz
(Zur besseren Lesbarkeit sind die
Zeichen 0
, 2
, l
und v
nicht enthalten.)
Wichtig: In der Darstellung können Leerzeichen auftauchen – diese dienen nur der besseren Lesbarkeit und gehören nicht zur Passphrase. Bitte geben Sie das Passwort ohne Leerzeichen ein.
GpgOL-Fragen
Was bedeutet die Meldung „Nicht alle Anhänge können angezeigt werden“?
Beim Öffnen verschlüsselter E-Mails kann es vorkommen, dass GpgOL meldet Nicht alle Anhänge können angezeigt werden. Ursache ist in der Regel die interne Arbeitsweise des Add-ons: Beim Entschlüsseln bleibt die verschlüsselte Originalnachricht erhalten, zusätzlich wird die entschlüsselte Version an das Mailobjekt angehängt. Dadurch verdoppelt sich die Größe der E-Mail temporär.
Wird dabei die maximale E-Mail-Größe überschritten (wie sie im Exchange-Server konfiguriert ist), zeigt GpgOL nur so viele Anhänge an, wie technisch möglich ist. Der Rest wird unterdrückt, und die genannte Meldung erscheint.
Relevant ist dabei auch das verwendete Verschlüsselungsverfahren:
- S/MIME-Nachrichten werden nicht komprimiert, wodurch sie schneller das Limit erreichen.
- OpenPGP-Nachrichten nutzen Kompression und bleiben in der Regel kleiner.
Workaround: Speichern Sie die betroffene E-Mail per Drag & Drop lokal und öffnen sie über den Explorer. So lässt sich die Nachricht außerhalb von Outlook vollständig entschlüsseln.
Falls dieses Verhalten regelmäßig auftritt, kann das Größenlimit auf dem Exchange-Server angepasst werden.