gpg

Ihr kennt das vielleicht, für Dein Projekt-Team wird eine neue Verteiler-Email-Adresse angelegt, einhergehend wird damit auch ein neues GnuPG-Schlüsselpaar erstellt.

Natürlich erfolgt, erfolgt die Kommunikation verschlüsselt via GNUPG, also bekommt ihr seperat den öffentlichen, den privaten Schlüssel und die Passphrase für den privaten Schlüssel, die Charakteristika eines guten Passworts ist erfüllt und zudem noch sehr gut gemeint lang.
Tippen und mühselig und kann einige Anläufen dauern, und Pinentry (QT4) kann leider kein Copy 'n' Paste...so geht es trotzdem ohne abtippen.

GnuPG verwendet das sog. Public-Key-Verschlüsselungsverfahren1, dass heißt, das es 2 Arten von Schlüssel gibt, Öffentliche- (Public Keys)2 und Private Schlüssel (private Keys)3.

  • 1. https://de.wikipedia.org/wiki/Public-Key-Verschl%C3%BCsselungsverfahren
  • 2. https://de.wikipedia.org/wiki/%C3%96ffentlicher_Schl%C3%BCssel
  • 3. https://de.wikipedia.org/wiki/Geheimer_Schl%C3%BCssel
pinentry-program /usr/bin/pinentry-qt
no-grab
default-cache-ttl 1800

debug-level basic
log-file socket:///home/florian/.gnupg/log-socket

to be continued.

Konfiguration von GnuPG, hier gpg und gpg-agent.

Puclic-Key auf Keyserver hochladen

Damit unser öffentlicher Schlüssel jedem zur Verfügung stehen kann, exportieren wir ihn auf den Schlüsselserver.

gpg --send-key 269B69D1

Bei dem Zusammenspiel von GnuPG und Schlüsselservern(keyserver) kann man den Keyserver spezifizieren,

Operationen mit den Public-Keys

Public-Keys auflisten

Erzeugt eine Auflistung aller Public-Keys im Keyring.

gpg --list-keys

Es erscheint unser frisch erzeugter Schlüssel

Fingerprint ausgeben

Analog zur Ausgabe wie mit --list-keys lässt zusätzlich noch der Fingerprint anzeigen.

gpg --fingerprint

Es gibt Falle, in dem du deinen Schlüssel auf den Keyservern widerrufen möchtest, wie z.B. eine mittlerweile unzureichenede Stärke des Schlüssels, Schlüssel oder Rechner sind korrumpiert worden.
Einen Widerrufungsschlüssels solltest du unbedingt erstellen und sicher aufbewahren.

Erstellung des Revoke-Keys

Nutzer-ID kann EMail oder die Key-ID sein.

 

Mehrere Email Adressen mit einem GPG-Key nutzen

Statt der Erstellung einer neuen ID je verwendeter Emailadresse,
besteht die Möglichkeit Unterschlüssel(subkeys) zu erstellen, die sich dann im gleichen Schlüsselbund befinden und das selbe Passwort für den privaten Schlüssel verwenden.

Der Aufruf von gpg kann auch über die ID als Parameter vollzogen werden.
 

~/.gnupg/options

Unter Debian und Ubuntu heißt die zuständige Konfigurationsdatei options, diese befindet in unserem Heimatverzeichnis im Verzeichnis .gnupg.

Bei default-key wird die Schlüssel-ID unseres Hauptschlüssels angegeben,
die Direktive keyserver ist für die Interaktion mit den Keyservern im Internet zuständig.

Eine Kurzreferenz von GnuPG-Optionen die öfter mal benutzt werden.