Verschlüsselung

Ihr kennt das vielleicht, für Dein Projekt-Team wird eine neue Verteiler-Email-Adresse angelegt, einhergehend wird damit auch ein neues GnuPG-Schlüsselpaar erstellt.

Natürlich erfolgt, erfolgt die Kommunikation verschlüsselt via GNUPG, also bekommt ihr seperat den öffentlichen, den privaten Schlüssel und die Passphrase für den privaten Schlüssel, die Charakteristika eines guten Passworts ist erfüllt und zudem noch sehr gut gemeint lang.
Tippen und mühselig und kann einige Anläufen dauern, und Pinentry (QT4) kann leider kein Copy 'n' Paste...so geht es trotzdem ohne abtippen.

Nach dem Wochenende habe ich bemerkt, daß die Ubuntu-Updates, die ich am Freitag davor durchgeführt habe wohl etwas "verschlimmbessert" haben.

So begrüßt mich am darauffolgenden Montag, direkt eine Kernel-Panic.

Alles im Grunde nichts gravierendes, aber...

  1. Root-Partition ist verschlüsselt
  2. Home-Verzeichnis ebenfalls verschlüsselt

Nunja...

Nach einer Woche HOND am Laptop und ziemlich zeitintensiver Suche, hier der zusammengetragene, komplette Lösungsweg.

Für den Fall das Schlüssel oder Rechner korrumpiert worden sind, sollte der Schlüssel auf den Keyservern widerrufen werden.
Einen Widerrufungsschlüssels sollte man unbedingt erstellen.

Erstellung des Revoke-Keys

Nutzer-ID kann EMail oder die Key-ID sein.

gpg --gen-revoke 269B69D1 > 269B69D1-revoke-key.asc

Mehrere Email Adressen mit einem GPG-Key nutzen

Statt der Erstellung einer neuen ID je verwendeter Emailadresse,
besteht die Möglichkeit Unterschlüssel(subkeys) zu erstellen, die sich dann im gleichen Schlüsselbund befinden und das selbe Passwort für den privaten Schlüssel verwenden.

Der Aufruf von gpg kann auch über die ID als Parameter vollzogen werden.
 

Eine Kurzreferenz von GnuPG-Optionen die öfter mal benutzt werden.

Sichern der Private-Keys

Für eine Sicherheitskopie oder das Arbeiten auf mehreren Maschinen exportieren wir den Geheimen Schlüssel (Private Key). Dieser sollte auf einem externen Datenträger gespeichert und an einem sicheren Ort aufbewahrt werden.
Um den den Schlüssel auf einen anderen Rechner zu transferieren sollte eine verschlüsselte Verbindung benutzt werden.

Den Revoke-Key importieren

Um den Revoke-Key nutzen zu können, muß dieser in unseren Keyring importiert werden.

gpg --import 269B69D1-revoke-key.asc

Schlüssel auf Server widerrufen

Wir senden unseren Keyring, in dem sich jetzt unser Revoke-Key befindet zum Keyserver, um ihn dort zu widerufen.

Der folgende Befehl ist unter der Benutzer-ID des Hauptbenutzers auszuführen.
Andernfalls muss der Ort durch --homedir /home/foobar/.gnupg angeglichen werden.

gpg --gen-key

Verschüsselungsalgorithmus wählen

gpg (GnuPG) 1.4.6; Copyright (C) 2006 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
GnuPG LogoInstallation, Konfiguration und Nutzung von GnuPG unter Linux und Windows auf der Kommandozeile.

Verwendet wurde Debian Etch
mit gpg 1.4.6
und pinentry 0.7.2.

Getestet wurden:

  • Ubuntu 8.04 mit gpg 1.4.6 und pinentry 0.7.4
  • openSuSE 11 mit gpg2 2.0.9-22.1 und pinentry 0.7.5-5.1
  • Windows Vista mit gnupg-w32cli-1.4.9.exe

Key-ID

269B69D1

Fingerprint

B043 7BFD 2D37 E901 4F88 2463 7681 46CD 269B 69D1

Public key

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.6 (GNU/Linux)

mQGiBEZWxzQRBACnX9y6GodbkPxpYf7IK+MG8G9f376DLcsUNY/SBA2s5q1u/X7z
LdFzPenUUQ36Jo8DfcxPbiWcTWNH3A3o0nQUiHFB0qrON+qi/SVzPNobQ7R+5MZV