oliology.diary

Nervenkitzel 1: Ich habe seit ein paar Monaten einen neuen GPG-Key auf einer SmartCard, so dass ich den Key ohne Sicherheitsprobleme auf mehreren Rechnern benutzen kann und mitnehmen kann, wenn ich den Rechner länger unbeaufsichtigt lasse.

Statt der üblichen GPG-Passphrase hat man bei einer OpenPGP-Card eine PIN (die man maximal dreimal falsch eingeben darf, danach ist die Karte gesperrt) und zusätzlich eine Admin-PIN (vergleichbar mit einer PUK beim Handy), mit der man die Karte wieder entsperren kann. Wenn man die Admin-PIN dreimal falsch eingibt, wird die Karte nicht gesperrt. Stattdessen wird sie zerstört. So im Sinne von kaputt, nie wieder zu gebrauchen, musst dir eine neue kaufen und einen neuen GPG-Schlüssel erzeugen und so. Fehlt nur noch, dass es dann *puff!* macht und ein kleines Rauchwölkchen auftsteigt.

Aber ich schweife ab.

Jedenfall tat es eines Tages die Karte nicht mehr: Ich bekam immer nur die Meldung Falsche PIN, selbst mit einem anderen CardReader oder einem anderen Rechner. Ein Blick auf die Karte (mit gpg --card-status) offenbarte:

PIN retry counter : 0 3 3

Ich hatte also meine PIN zu oft falsch eingegeben. (Zugegeben, bei meiner PIN vertippt man sich leicht mal.) Also brauchte ich die Admin-PIN. Allerdings habe ich alter Paranoiker weder die PIN noch die Admin-PIN irgendwo notiert oder gespeichert.

Erster Versuch: Die PIN selbst. Hätte ja sein können, war aber nichts.

Zweiter Versuch: Ein Passwort, dass ich bei einigen wenigen, sehr sicherheitssensitiven Dingen benutze. War auch nichts.

Blieb noch ein Versuch. Wenn der auch fehlschlug, würde es mir die Karte braten, und ich dürfte herausfinden, ob ich die beim Erzeugen angelegte Sicherheitskopie des Schlüssels auf eine neue Karte übertragen kann und ob alle seitdem angelegten zusätzlichen User-IDs dann noch dabei sind.

Also gut überlegen. Ich musste mir damals etwas dabei gedacht haben, dass ich es nicht für nötig hielt, die Admin-PID irgendwo zu notieren oder in meinem Passwort-Safe zu speichern.

Also letzter Versuch. Zögern. Herzklopfen.

Diesmal war die Admin-PID korrekt:

PIN retry counter : 3 3 3

Nervenkitzel 2: Es ging um die Datenbank der wahrscheinlich weltweit größten DirectMail-Installation (DirectMail ist ein Newsletter-System für TYPO3). Zur Wartung hatte ich die TYPO3-Extension Direct Mail Companion geschrieben, mit der man doppelte Einträge finden und entfernen kann, ungültige Einträge löschen kann und so.

Nun ging es darum, Einträge zu löschen, die einem bestimmten Kriterium entsprachen. Das waren über 7000 Adressen, die auf Nimmerwiedersehen verschwinden würden. Also nicht nur als deleted markieren, sondern komplett aus der Datenbank löschen (das war in diesem Fall ausnahmsweise nötig). Keine der üblichen Wartungsarbeiten, sondern eine sehr destruktive Einmal-Bereinigung.

Der Trockenlauf zeigte keine Probleme. Also noch ein letztes Backup, und dann tatsächlich ausführen ausgewählt.

Ein ungutes Gefühl hatte ich danach trotzdem. Ich glaube, das ist von der Evolution nicht vorgesehen, dass man mit ganz wenig Aufwand ganz viel ganz schnell kaputtmachen kann.