Das Wiki wird seit Mai 2010 nicht mehr aktualisiert.

GnuPG_Schl%C3%BCssel

Inhaltsverzeichnis 1 Allgemeines 2 Terminal 2.1 Schlüssel erzeugen 2.2 Widerrufszertifikat erstellen 2.3 Abschlussarbeiten 2.4 Öffentlichen Schlüssel exportieren 2.5 Öffentlichen Schlüssel importieren 3 KGPG 4 Schlüsselverwaltung 5 Gpg4win 5.1 Inhalt 5.2 Installation 5.3 Schlüssel erzeugen mit GPA 5.4 Schlüssel erzeugen mit WinPT 5.5 Schlüssel exportieren

Auch wenn man seinen Schlüssel nicht im Terminal generieren will oder kein Linux im Einsatz hat, sollte man den Abschnitt Terminal zumindest überfliegen, da dort die Grundlagen der Schlüsselgenerierung beschrieben werden. Da alle genannten Programme auf dieser Methode basieren, erleichtert das Hintergrundwissen deren Bedienung.

1 Allgemeines

Dieser Artikel beschreibt die Erstellung und Verwaltung von GnuPG Schlüsseln

2 Terminal

2.1 Schlüssel erzeugen

gpg --gen-key

Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
    (1) DSA and Elgamal (default)
    (2) DSA (nur signieren/beglaubigen)
    (5) RSA (nur signieren/beglaubigen)
Ihre Auswahl? 1

Die Länge des Schlüssels ist ausschlaggebend für dessen Sicherheit:

Das DSA-Schlüsselpaar wird 1024 Bit haben.
ELG-E Schlüssel können zwischen 1024 und 4096 Bits lang sein.
Welche Schlüssellänge wünschen Sie? (2048) 4096
Die verlangte Schlüssellänge beträgt 4096 Bit

Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
      0 = Schlüssel verfällt nie
     <n>  = Schlüssel verfällt nach n Tagen
     <n>w = Schlüssel verfällt nach n Wochen
     <n>m = Schlüssel verfällt nach n Monaten
     <n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 0
Schlüssel verfällt nie
Ist dies richtig? (j/N) j

Ihr Name (”Vorname Nachname”): vorname name
Email-Adresse: email@adresse.de
Kommentar: kommentar 
Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden? f 
Geben Sie die Passphrase ein: ich bin ein passphrase und beim eintippen unsichtbar.

Nach der doppelten Eingabe der Passphrase, fordert das Programm, dass Tastatur und Maus ausgiebig genutzt werden, damit es Zufallswerte erzeugen kann. Nach der erfolgreichen Erzeugung des Schlüssels gibt das Programm folgende Meldung aus:

gpg: /home/sven/.gnupg/trustdb.gpg: trust-db erzeugt
gpg: Schlüssel xxxxxxxx ist als uneingeschränkt vertrauenswürdig gekennzeichnet
Öffentlichen und geheimen Schlüssel erzeugt und signiert.

gpg: “Trust-DB” wird überprüft
gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
gpg: Tiefe: 0 gültig: 1 signiert: 0 Vertrauen: 0-, 0q, 0n, 0m, 0f, 1u
pub xxxxx/xxxxxxxx 2007-12-26
Schl.-Fingerabdruck = yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy
uid vorname name (kommentar) <email@adresse.de>
sub zzzzzzzzzzzzzzzzzzzzzzzzz

• pub xxx = öffentlicher Schlüssel
• Schl.-Fingerabdruck = yyy = Fingerabdruck
• sub zzz = privater Schlüssel

2.2 Widerrufszertifikat erstellen

Falls mal irgendwann die Notwendigkeit auftreten sollte, den öffentlichen Schlüssel zu widerrufen, benötigt man dafür ein Zertifikat, das direkt nach Schlüsselgenerierung erzeugt werden sollte.

gpg --gen-revoke email@adresse.de

Die E-Mailadresse fungiert hier als Key-ID, man kann auch seinen Namen, den Schlüssel an sich einsetzen.

Ein Widerrufszertifikat für diesen Schlüssel erzeugen? (y/N) y 
Grund für den Widerruf:
    0 = Kein Grund angegeben
    1 = Hinweis: Dieser Schlüssel ist nicht mehr sicher
    2 = Schlüssel ist überholt
    3 = Schlüssel wird nicht mehr benutzt
    Q = Abbruch
(Wahrscheinlich möchten Sie hier 1 auswählen)
Ihre Auswahl? 1
Geben Sie eine optionale Beschreibung ein. Beenden mit einer leeren Zeile: ich muss hier nicht stehen
Ist das richtig? (y/N) y

2.3 Abschlussarbeiten

Im Anschluss sollte die Zugriffsberechtigung für den GnuPG-Ordner für andere Benutzer entzogen werden.

Im /home-Verzeichnis

chmod 700 .gnupg

Für den Fall eines Falles sollte dann vom .gnupg-Verzeichnis eine Sicherungskopie auf ein Medium erzeugt werden, dass einem Zugriff Dritter entzogen werden sollte.

2.4 Öffentlichen Schlüssel exportieren

Um den öffentlichen Schlüssel auch den Gesprächspartnern zugänglich zu machen, muss er in eine Textdatei exportiert werden:

gpg --export --armor schluessel_name > schluessel.asc

Als Schlüsselname kann z.B. die verwendete E-Mail-Adresse eingetragen werden.

2.5 Öffentlichen Schlüssel importieren

Den Schlüssel des Gesprächspartners muss man natürlich auch in sein Schlüsselbund integrieren:

gpg --import schluessel_name.asc

3 KGPG

Dieses Tool für den KDE lässt sich aus den Paketquellen installieren:

sudo apt-get install kgpg

Das Programm ist nach Lektüre des bisherigen Artikels selbsterklärend.

4 Schlüsselverwaltung

Das Schlüsselbund wird per Default im /home-Verzeichnis des Benutzers angelegt. Dort werden alle Schlüssel abgelegt.

Zum Verwalten der Schlüssel eignet sich das GUI-Tool

sudo apt-get install gpgkeys

5 Gpg4win

Gpg4win ist ein All-Inclusive-Paket für GnuPG-Verschlüsselung unter Windows.

5.1 Inhalt

• GnuPG das Verschlüsselungsprogramm
• WinPT Schlüsselmanager
• GPA noch ein Schlüsselmanager
• GPGol Plugin zur E-Mailverschlüsselung
• GPGee Plugin zur Dateiverschlüsselung
• Claws Mail E-Mail-Client mit integriertem Verschlüsselungsmodul

5.2 Installation

Das Paket kann von der Projektseite heruntergeladen und installiert werden.

5.3 Schlüssel erzeugen mit GPA

Beim ersten Start von GPA fragt das Programm nach, ob man sofort einen Schlüssel erzeugen will. Dem stimmt man zu.

1. Namen eingeben
2. E-Mail-Adresse eingeben, die mit dem Schlüssel verschlüsselt werden soll
3. Passwortsatz eingeben, den man später zum Ver- und Entschlüsseln benötigt. Je komplizierter, desto besser.
4. Sicherheitskopie sofort auf einen externen Datenträger ablegen oder später
5. Programm erzeugt Schlüssel

Programm erzeugt so nur einen 1024-Bit-Schlüssel

5.4 Schlüssel erzeugen mit WinPT

Diese Methode ist zu bevorzugen, da man die Schlüssel-Eigenschaften konfigurieren kann.

Schlüssel-Erzeugung starten

• Schlüssel » Neu » Experte

Schlüsselerzeugung

• Schlüsseltyp: DSA und ELG (Standard)
• Schlüsselgröße in 4096
  • die länge des Schlüssels ist ausschlaggebend für dessen Sicherheit
• Ihr Name Namen eingeben
• Kommentar optional
• E-Mail-Adresse E-Mail-Adresse eingeben, die mit dem Schlüssel verschlüsselt werden soll
• Ablaufdatum niemals

Nach dem Start, wird noch mal nagefragt, ob der Schlüssel wirklich so lang sein soll - soll er. Es folgt die wiederholte Eingabe des Passwortsatzes, den man später zum Ver- und Entschlüsseln benötigt. Und wieder - je komplizierter, desto besser.

5.5 Schlüssel exportieren

Um dem Gesprächspartner den öffentlichen Schlüssel zukommen zu lassen, muss dieser als schluessel_name.asc exportiert werden.

• Schlüssel » Exportieren

Wichtig ist das Verwenden des Formate asc. Dies ist ein reines Textformat, dass in jedem Editor geöffnet werden kann und von jedem Programm mit Verschlüsselungsmodul verstanden wird.