Verschlüsselung

Ihr kennt das vielleicht, für Dein Projekt-Team wird eine neue Verteiler-Email-Adresse angelegt, einhergehend wird damit auch ein neues GnuPG-Schlüsselpaar erstellt.

Natürlich erfolgt, erfolgt die Kommunikation verschlüsselt via GNUPG, also bekommt ihr seperat den öffentlichen, den privaten Schlüssel und die Passphrase für den privaten Schlüssel, die Charakteristika eines guten Passworts ist erfüllt und zudem noch sehr gut gemeint lang.
Tippen und mühselig und kann einige Anläufen dauern, und Pinentry (QT4) kann leider kein Copy 'n' Paste...so geht es trotzdem ohne abtippen.

Nach dem Wochenende habe ich bemerkt, daß die Ubuntu-Updates, die ich am Freitag davor durchgeführt habe wohl etwas "verschlimmbessert" haben.

So begrüßt mich am darauffolgenden Montag, direkt eine Kernel-Panic.

Alles im Grunde nichts gravierendes, aber...

  1. Root-Partition ist verschlüsselt
  2. Home-Verzeichnis ebenfalls verschlüsselt

Nunja...

Nach einer Woche HOND am Laptop und ziemlich zeitintensiver Suche, hier der zusammengetragene, komplette Lösungsweg.

Es gibt Falle, in dem du deinen Schlüssel auf den Keyservern widerrufen möchtest, wie z.B. eine mittlerweile unzureichenede Stärke des Schlüssels, Schlüssel oder Rechner sind korrumpiert worden.
Einen Widerrufungsschlüssels solltest du unbedingt erstellen und sicher aufbewahren.

Erstellung des Revoke-Keys

Nutzer-ID kann EMail oder die Key-ID sein.

 

Mehrere Email Adressen mit einem GPG-Key nutzen

Statt der Erstellung einer neuen ID je verwendeter Emailadresse,
besteht die Möglichkeit Unterschlüssel(subkeys) zu erstellen, die sich dann im gleichen Schlüsselbund befinden und das selbe Passwort für den privaten Schlüssel verwenden.

Der Aufruf von gpg kann auch über die ID als Parameter vollzogen werden.
 

Eine Kurzreferenz von GnuPG-Optionen die öfter mal benutzt werden.

Sichern der Private-Keys

Für eine Sicherheitskopie oder das Arbeiten auf mehreren Maschinen exportieren wir den Geheimen Schlüssel (Private Key).
Dieser sollte auf einem externen Datenträger gespeichert und an einem sicheren Ort aufbewahrt werden.
Um den den Schlüssel auf einen anderen Rechner zu transferieren sollte eine verschlüsselte Verbindung benutzt werden.

Den Revoke-Key importieren

Um den Revoke-Key nutzen zu können, muß dieser in unseren Keyring importiert werden.

gpg --import 269B69D1-revoke-key.asc

Schlüssel auf Server widerrufen

Wir senden unseren Keyring, in dem sich jetzt unser Revoke-Key befindet zum Keyserver, um ihn dort zu widerufen.

Zur Erstellung eines GnuPG Schlüsselpaares ist der folgende Befehl ist unter der Benutzer-ID des Hauptbenutzers auszuführen. (Andernfalls muss der Ort durch --homedir /home/foobar/.gnupg angeglichen werden).

gpg --gen-key

GnuPG LogoInstallation, Konfiguration und Nutzung von GnuPG unter Linux und Windows auf der Kommandozeile.

Verwendet wurde Debian Etch
mit gpg 1.4.6
und pinentry 0.7.2.

Getestet wurden:

  • Ubuntu 8.04 mit gpg 1.4.6 und pinentry 0.7.4
  • openSuSE 11 mit gpg2 2.0.9-22.1 und pinentry 0.7.5-5.1
  • Windows Vista mit gnupg-w32cli-1.4.9.exe

Key-ID

269B69D1

Fingerprint

B043 7BFD 2D37 E901 4F88 2463 7681 46CD 269B 69D1

Public key

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.6 (GNU/Linux)

mQGiBEZWxzQRBACnX9y6GodbkPxpYf7IK+MG8G9f376DLcsUNY/SBA2s5q1u/X7z
LdFzPenUUQ36Jo8DfcxPbiWcTWNH3A3o0nQUiHFB0qrON+qi/SVzPNobQ7R+5MZV