Bei der Erstellung eines PGP-Schlüssels werden immer ein öffentlicher und ein privater Schlüssel erstellt. Der öffentliche wird weitergegeben, damit Andere ihre Informationen verschlüsseln können, welche man nur mit seinem privaten Schlüssel wieder entschlüsseln kann.
Um den öffentlichen Schlüssel für andere einfach zugänglich zu machen, kann dieser über Key-Server veröffentlich werden. Damit andere Personen sich sicher sein können, dass ein Schlüssel auch wirklich die Person repräsentiert, welche er vorgibt zu sein, kann man seinen Schlüssel durch Dritte beglaubigen lassen. Heise hat hierzu im Jahr 1997 eine Krypto-Kampagne ins Leben gerufen. Um das Vertrauen anderer in den eigenen Schlüssel zu stärken, erfordert es also einiges an Zeit, um Beglaubigungen Dritter zu erlangen.
Wie im letzten Beitrag bereits erklärt, können einmal veröffentlichte Schlüssel nicht mehr gelöscht, sondern nur noch zurückgezogen werden. Das Unschöne im Zusammenhang mit Beglaubigungen ist, dass durch das Zurückziehen eines Schlüssels auch alle Beglaubigungen ungültig werden und ein neuer Schlüssel somit nicht das gleiche Vertrauen Dritter genießt wie der zurückgezogene.
Um dieses Problem zu umgehen, wird im Debian Wiki vorgeschlagen, Unterschlüssel (Subkeys) zu verwenden. Der Gedanke dabei ist, dass ein Primärschlüssel (grün) erstellt wird, welcher weder zur Verschlüsselung, Signierung oder Authentifizierung verwendet werden kann, sondern nur zu Beglaubigung weiterer Schlüssel. Anschließend kann man je nach Bedarf Unterschlüssel zum Verschlüsseln, Signieren oder Authentifizieren erstellen. Beglaubigungen Dritter erfolgen während der Lebenszeit des Schlüssels immer gegen den Primärschlüssen. Der Primärschlüssel kann somit auch als Laufzeit ewig gültig bleiben, während für die Unterschlüssel eine Laufzeit von einem Jahr empfohlen wird. Dies Laufzeit ist quasi der Totmannschalter der Unterschlüssel. Das Ablaufdatum lässt sich bei Erreichung der Laufzeit und auch darüber hinaus übrigens immer wieder verlängern, solange man im Besitz des privaten Schlüssels des Primärschlüssels ist.
Um das Schlüsselbund zu schützen, wird vom Primärschlüssel später der private Schlüssel entfernt, was das gesamte Schlüsselbund vor Veränderungen schützt. Sollte es später notwendig werden, den Schlüssel zum Verschlüssen, Signieren oder Authentifizieren zurückzuziehen, muss lediglich der entsprechende Unterschlüssel (in diesem Beispiel der rote Schlüssel) zurückgezogen werden. Anschließend kann ein neuer erstellt (gelber Schlüssel) erstellt werden. Der Primärschlüssel, welcher evtl. durch Dritte beglaubigt wurde, bleibt somit unangetastet.
Im Nachfolgende sind alle einzelnen Schritte zur Benutzung dieses Verfahrens erklärt. Ausgeführt wurden die Befehle auf der Windows-Kommandozeile bei installiertem pgp4win. Eingaben wurden zur besseren Lesbarkeit hervorgehoben.
Schlüsselbund erstellen
Primärschlüssel erstellen
C:>gpg2 --expert --gen-key
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
(1) RSA und RSA (voreingestellt)
(2) DSA und Elgamal
(3) DSA (nur signieren/beglaubigen)
(4) RSA (nur signieren/beglaubigen)
(7) DSA (Leistungsfähigkeit selber einstellbar)
(8) RSA (Leistungsfähigkeit selber einstellbar)
Ihre Auswahl? 8
Mögliche Vorgänge eines RSA-Schlüssels: Signieren Zertif. Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Signieren Zertif. Verschl.
(U) Umschalten der Signaturfähigkeit
(V) Umschalten der Verschlüsselungsfähigkeit
(A) Umschalten der Authentisierungsfähigkeit
(Q) Beenden
Ihre Auswahl? U
Mögliche Vorgänge eines RSA-Schlüssels: Signieren Zertif. Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Zertif. Verschl.
(U) Umschalten der Signaturfähigkeit
(V) Umschalten der Verschlüsselungsfähigkeit
(A) Umschalten der Authentisierungsfähigkeit
(Q) Beenden
Ihre Auswahl? V
Mögliche Vorgänge eines RSA-Schlüssels: Signieren Zertif. Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Zertif.
(U) Umschalten der Signaturfähigkeit
(V) Umschalten der Verschlüsselungsfähigkeit
(A) Umschalten der Authentisierungsfähigkeit
(Q) Beenden
Ihre Auswahl? Q
RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein.
Welche Schlüssellänge wünschen Sie? (2048) 4096
Die verlangte Schlüssellänge beträgt 4096 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
0 = Schlüssel verfällt nie
<n> = Schlüssel verfällt nach n Tagen
<n>w = Schlüssel verfällt nach n Wochen
<n>m = Schlüssel verfällt nach n Monaten
<n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 0
Schlüssel verfällt nie
Ist dies richtig? (j/N) j
GnuPG erstellt eine User-ID um Ihren Schlüssel identifizierbar zu machen.
Ihr Name ("Vorname Nachname"): Christian Scholz
Email-Adresse: email1@domain.tld
Kommentar:
Sie haben diese User-ID gewählt:
"Christian Scholz <email1@domain.tld>"
Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(A)bbrechen? F
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu schützen.
Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.
gpg: Schlüssel 5E862A81 ist als uneingeschränkt vertrauenswürdig gekennzeichnet
Öffentlichen und geheimen Schlüssel erzeugt und signiert.
gpg: "Trust-DB" wird überprüft
gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
gpg: Tiefe: 0 gültig: 1 signiert: 0 Vertrauen: 0-, 0q, 0n, 0m, 0f, 1u
pub 4096R/5E862A81 2015-12-23
Schl.-Fingerabdruck = 6A9F A29A 595F ADFD 0535 242D 1845 3B4E 5E86 2A81
uid [ uneing.] Christian Scholz <email1@domain.tld>
Schlüssel härten
Bei der Bearbeitung eines vorhandenen Schlüssel sollte immer die Schlüssel-ID, in diesem Beispiel 5E862A81 verwendet werden, da die E-Mail Adresse bei mehreren Schlüsseln nicht eindeutig sein muss. Der Einfachheit halber wurde hier aber auf die E-Mail-Adresse zurückgegriffen.
Um die Anwendung aller nachfolgenden Befehle einfacher zu gestalten, wird der Key sowie das aktuelle Datum in eine Variable geschrieben wurde, welche später verwendet werden.
C:>set key=email1@domain.tld
C:>for /f "tokens=1,2,3 delims=. " %a in ('date /t') do (set curdate=%c-%b-%a)
C:>gpg2 --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Geheimer Schlüssel ist vorhanden.
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
[ uneing.] (1). Christian Scholz <email1@domain.tld>
gpg> setpref SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
Setze die Liste der Voreinstellungen auf:
Verschlü.: AES256, AES192, AES, CAST5, 3DES
Digest: SHA512, SHA384, SHA256, SHA224, SHA1
Komprimierung: ZLIB, BZIP2, ZIP, nicht komprimiert
Eigenschaften: MDC, Keyserver no-modify
Die Voreinstellungen wirklich ändern? (j/N) j
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Christian Scholz <email1@domain.tld>"
4096-Bit RSA Schlüssel, ID 5E862A81, erzeugt 2015-12-23
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
[ uneing.] (1). Christian Scholz <email1@domain.tld>
gpg> save
Unterschlüssel zum Signieren erstellen
C:>gpg2 --expert --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Geheimer Schlüssel ist vorhanden.
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
[ uneing.] (1). Christian Scholz <email1@domain.tld>
gpg> addkey
Schlüssel ist geschützt.
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Christian Scholz <email1@domain.tld>"
4096-Bit RSA Schlüssel, ID 5E862A81, erzeugt 2015-12-23
Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
(3) DSA (nur signieren/beglaubigen)
(4) RSA (nur signieren/beglaubigen)
(5) Elgamal (nur verschlüsseln)
(6) RSA (nur verschlüsseln)
(7) DSA (Leistungsfähigkeit selber einstellbar)
(8) RSA (Leistungsfähigkeit selber einstellbar)
Ihre Auswahl? 8
Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Signieren Verschl.
(U) Umschalten der Signaturfähigkeit
(V) Umschalten der Verschlüsselungsfähigkeit
(A) Umschalten der Authentisierungsfähigkeit
(Q) Beenden
Ihre Auswahl? V
Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Signieren
(U) Umschalten der Signaturfähigkeit
(V) Umschalten der Verschlüsselungsfähigkeit
(A) Umschalten der Authentisierungsfähigkeit
(Q) Beenden
Ihre Auswahl? Q
RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein.
Welche Schlüssellänge wünschen Sie? (2048) 4096
Die verlangte Schlüssellänge beträgt 4096 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
0 = Schlüssel verfällt nie
<n> = Schlüssel verfällt nach n Tagen
<n>w = Schlüssel verfällt nach n Wochen
<n>m = Schlüssel verfällt nach n Monaten
<n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 1y
Key verfällt am 12/22/16 15:14:11 Mitteleuropõische Zeit
Ist dies richtig? (j/N) j
Wirklich erzeugen? (j/N) j
Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 4096R/CB5FEB17 erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: S
[ uneing.] (1). Christian Scholz <email1@domain.tld>
gpg> save
Unterschlüssel zum Verschlüsseln erstellen
C:>gpg2 --expert --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Geheimer Schlüssel ist vorhanden.
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 4096R/CB5FEB17 erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: S
[ uneing.] (1). Christian Scholz <email1@domain.tld>
gpg> addkey
Schlüssel ist geschützt.
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Christian Scholz <email1@domain.tld>"
4096-Bit RSA Schlüssel, ID 5E862A81, erzeugt 2015-12-23
Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
(3) DSA (nur signieren/beglaubigen)
(4) RSA (nur signieren/beglaubigen)
(5) Elgamal (nur verschlüsseln)
(6) RSA (nur verschlüsseln)
(7) DSA (Leistungsfähigkeit selber einstellbar)
(8) RSA (Leistungsfähigkeit selber einstellbar)
Ihre Auswahl? 8
Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Signieren Verschl.
(U) Umschalten der Signaturfähigkeit
(V) Umschalten der Verschlüsselungsfähigkeit
(A) Umschalten der Authentisierungsfähigkeit
(Q) Beenden
Ihre Auswahl? U
Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Verschl.
(U) Umschalten der Signaturfähigkeit
(V) Umschalten der Verschlüsselungsfähigkeit
(A) Umschalten der Authentisierungsfähigkeit
(Q) Beenden
Ihre Auswahl? Q
RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein.
Welche Schlüssellänge wünschen Sie? (2048) 4096
Die verlangte Schlüssellänge beträgt 4096 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
0 = Schlüssel verfällt nie
<n> = Schlüssel verfällt nach n Tagen
<n>w = Schlüssel verfällt nach n Wochen
<n>m = Schlüssel verfällt nach n Monaten
<n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 1y
Key verfällt am 12/22/16 15:15:38 Mitteleuropõische Zeit
Ist dies richtig? (j/N) j
Wirklich erzeugen? (j/N) j
Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 4096R/CB5FEB17 erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: S
sub 4096R/5E535CFB erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: E
[ uneing.] (1). Christian Scholz <email1@domain.tld>
gpg> save
Widerrufsschlüssel erstellen
Das gesamte Schlüsselbund lässt sich solange auf den Schlüssel-Servern widerrufen, wie der private Schlüssel noch vorhanden ist oder aber eine Widerrufs-Schlüssel existiert.
C:>gpg2 --output %key%.gpg-revocation-certificate.asc --gen-revoke %key% sec 4096R/5E862A81 2015-12-23 Christian Scholz <email1@domain.tld> Ein Widerrufszertifikat für diesen Schlüssel erzeugen? (j/N) j Grund für den Widerruf: 0 = Kein Grund angegeben 1 = Hinweis: Dieser Schlüssel ist nicht mehr sicher 2 = Schlüssel ist überholt 3 = Schlüssel wird nicht mehr benutzt Q = Abbruch (Wahrscheinlich möchten Sie hier 1 auswählen) Ihre Auswahl? 0 Geben Sie eine optionale Beschreibung ein. Beenden mit einer leeren Zeile: > Grund für Widerruf: Kein Grund angegeben (Keine Beschreibung angegeben) Ist das OK? (j/N) j Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren. Benutzer: "Christian Scholz <email1@domain.tld>" 4096-Bit RSA Schlüssel, ID 5E862A81, erzeugt 2015-12-23 Ausgabe mit ASCII Hülle erzwungen Widerrufszertifikat wurde erzeugt. Bitte speichern Sie es auf einem Medium, welches Sie wegschließen können; falls Mallory (ein Angreifer) Zugang zu diesem Zertifikat erhält, kann er Ihren Schlüssel unbrauchbar machen. Es wäre klug, dieses Widerrufszertifikat auch auszudrucken und sicher aufzubewahren, falls das ursprüngliche Medium nicht mehr lesbar ist. Aber Obacht: Das Drucksystem kann unter Umständen anderen Nutzern eine Kopie zugänglich machen.
Schlüsselbund sichern
C:>gpg2 --armor --export %key% > "%curdate% - %key%.asc" C:>gpg2 --armor --export-secret-keys %key% > "%curdate% - %key%_secret.asc" C:>gpg2 --armor --export-secret-subkeys %key% > "%curdate% - %key%_subkeys.asc"
Privaten Schlüssel des pimären Schlüssels entfernen
Um den privaten Schlüssel des Primärschlüssels zu entfernen, muss die im vorangegangenen Schritt beschriebene Sicherung erfolgt sein! Denn es werden alle privaten Schlüssel entfernt und anschließend nur der Unterschlüssel wieder importiert.
C:>gpg2 --delete-secret-key %key% gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc. This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. sec 4096R/5E862A81 2015-12-23 Christian Scholz <email1@domain.tld> Diesen Schlüssel aus dem Schlüsselbund löschen? (j/N) j Dies ist ein privater Schlüssel! - Wirklich löschen? (j/N) j
Private Schlüssel der Unterschlüssel importieren
C:>gpg2 --import "%curdate% - %key%_subkeys.asc" gpg: Schlüssel 5E862A81: geheimer Schlüssel importiert gpg: Schlüssel 5E862A81: "Christian Scholz <email1@domain.tld>" 1 neue Signatur gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1 gpg: neue Signaturen: 1 gpg: gelesene geheime Schlüssel: 1 gpg: geheime Schlüssel importiert: 1
Schlüsselbund prüfen
C:>gpg2 --list-secret-keys %key% sec# 4096R/5E862A81 2015-12-23 uid Christian Scholz <email1@domain.tld> ssb 4096R/CB5FEB17 2015-12-23 [verfällt: 2016-12-22] ssb 4096R/5E535CFB 2015-12-23 [verfällt: 2016-12-22]
„sec#“ bedeutet, dass für diesen Schlüssel (Primärschlüssel) der private Schlüssel – wie gewünscht – fehlt.
Schlüssel veröffentlichen
C:>gpg2 --keyserver <keyserver> --send-key 5E862A81
Änderungen am Schlüsselbund durchführen
Schlüsselbund öffnen
Um Änderungen am Schlüsselbund durchführen zu können, muss der private Schlüssel des Primärschlüssels aus der Sicherung wiederhergestellt werden. Dazu werden zuerst alle privaten Schlüssel gelöscht und dann alle privaten Schlüssel inkl. dem des Primärschlüssels wiederhergestellt.
Private Unterschlüssel löschen
C:>gpg2 --delete-secret-keys %key% gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc. This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. sec 4096R/5E862A81 2015-12-23 Christian Scholz <email1@domain.tld> Diesen Schlüssel aus dem Schlüsselbund löschen? (j/N) j Dies ist ein privater Schlüssel! - Wirklich löschen? (j/N) j
Alle privaten Schlüssel wiederherstellen
C:>gpg2 --import %key%_secret.asc
Unterschlüssel zurückziehen
Nach der Auswahl eines Schlüssels (key 1) wird der entsprechende Schlüssel mit einem Sternchen markiert.
C:>gpg2 --expert --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Geheimer Schlüssel ist vorhanden.
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: unbekannt Gültigkeit: unbekannt
sub 4096R/CB5FEB17 erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: S
sub 4096R/5E535CFB erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: E
[ unbek.] (1). Christian Scholz <email1@domain.tld>
gpg> key 1
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: unbekannt Gültigkeit: unbekannt
sub* 4096R/CB5FEB17 erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: S
sub 4096R/5E535CFB erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: E
[ unbek.] (1). Christian Scholz <email1@domain.tld>
gpg> revkey
Möchten Sie diesen Schlüssel wirklich widerrufen? (j/N) j
Grund für den Widerruf:
0 = Kein Grund angegeben
1 = Hinweis: Dieser Schlüssel ist nicht mehr sicher
2 = Schlüssel ist überholt
3 = Schlüssel wird nicht mehr benutzt
Q = Abbruch
Ihre Auswahl? 0
Geben Sie eine optionale Beschreibung ein. Beenden mit einer leeren Zeile:
>
Grund für Widerruf: Kein Grund angegeben
(Keine Beschreibung angegeben)
Ist das OK? (j/N) j
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Christian Scholz <email1@domain.tld>"
4096-Bit RSA Schlüssel, ID 5E862A81, erzeugt 2015-12-23
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: unbekannt Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email1@domain.tld> widerrufen
sub 4096R/CB5FEB17 erzeugt: 2015-12-23 widerrufen: 2015-12-23 Aufruf: S
sub 4096R/5E535CFB erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: E
[ unbek.] (1). Christian Scholz <email1@domain.tld>
gpg> save
Neuen Unterschlüssel erstellen
C:>gpg2 --expert --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Geheimer Schlüssel ist vorhanden.
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: unbekannt Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email1@domain.tld> widerrufen
sub 4096R/CB5FEB17 erzeugt: 2015-12-23 widerrufen: 2015-12-23 Aufruf: S
sub 4096R/5E535CFB erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: E
[ unbek.] (1). Christian Scholz <email1@domain.tld>
gpg> addkey
Schlüssel ist geschützt.
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Christian Scholz <email1@domain.tld>"
4096-Bit RSA Schlüssel, ID 5E862A81, erzeugt 2015-12-23
Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
(3) DSA (nur signieren/beglaubigen)
(4) RSA (nur signieren/beglaubigen)
(5) Elgamal (nur verschlüsseln)
(6) RSA (nur verschlüsseln)
(7) DSA (Leistungsfähigkeit selber einstellbar)
(8) RSA (Leistungsfähigkeit selber einstellbar)
Ihre Auswahl? 8
Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Signieren Verschl.
(U) Umschalten der Signaturfähigkeit
(V) Umschalten der Verschlüsselungsfähigkeit
(A) Umschalten der Authentisierungsfähigkeit
(Q) Beenden
Ihre Auswahl? V
Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Signieren
(U) Umschalten der Signaturfähigkeit
(V) Umschalten der Verschlüsselungsfähigkeit
(A) Umschalten der Authentisierungsfähigkeit
(Q) Beenden
Ihre Auswahl? Q
RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein.
Welche Schlüssellänge wünschen Sie? (2048) 4096
Die verlangte Schlüssellänge beträgt 4096 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
0 = Schlüssel verfällt nie
<n> = Schlüssel verfällt nach n Tagen
<n>w = Schlüssel verfällt nach n Wochen
<n>m = Schlüssel verfällt nach n Monaten
<n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 1y
Key verfällt am 12/22/16 15:31:23 Mitteleuropõische Zeit
Ist dies richtig? (j/N) j
Wirklich erzeugen? (j/N) j
Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: unbekannt Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email1@domain.tld> widerrufen
sub 4096R/CB5FEB17 erzeugt: 2015-12-23 widerrufen: 2015-12-23 Aufruf: S
sub 4096R/5E535CFB erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: E
sub 4096R/E927B726 erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: S
[ unbek.] (1). Christian Scholz <email1@domain.tld>
gpg> save
Ablaufdatum eines Schlüssels verlängern
Da dies eine Änderung des Schlüsselbundes ist, muss der private Schlüssel für den Primärschlüssel vor der Änderung importiert und nach der Änderung wieder entfernt werden.
C:>gpg2 --expert --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Geheimer Schlüssel ist vorhanden.
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: unbekannt Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email1@domain.tld> widerrufen
sub 4096R/CB5FEB17 erzeugt: 2015-12-23 widerrufen: 2015-12-23 Aufruf: S
sub 4096R/5E535CFB erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: E
sub 4096R/E14ED806 erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: S
[ unbek.] (1). Christian Scholz <email1@domain.tld>
gpg> key 2
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: unbekannt Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email1@domain.tld> widerrufen
sub 4096R/CB5FEB17 erzeugt: 2015-12-23 widerrufen: 2015-12-23 Aufruf: S
sub* 4096R/5E535CFB erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: E
sub 4096R/E14ED806 erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: S
[ unbek.] (1). Christian Scholz <email1@domain.tld>
gpg> expire
Ändern des Verfallsdatums des Unterschlüssels.
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
0 = Schlüssel verfällt nie
<n> = Schlüssel verfällt nach n Tagen
<n>w = Schlüssel verfällt nach n Wochen
<n>m = Schlüssel verfällt nach n Monaten
<n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 2y
Key verfällt am 12/22/17 16:29:42 Mitteleuropõische Zeit
Ist dies richtig? (j/N) j
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Christian Scholz <email1@domain.tld>"
4096-Bit RSA Schlüssel, ID 5E862A81, erzeugt 2015-12-23
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: unbekannt Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email1@domain.tld> widerrufen
sub 4096R/CB5FEB17 erzeugt: 2015-12-23 widerrufen: 2015-12-23 Aufruf: S
sub* 4096R/5E535CFB erzeugt: 2015-12-23 verfällt: 2017-12-22 Aufruf: E
sub 4096R/E14ED806 erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: S
[ unbek.] (1). Christian Scholz <email1@domain.tld>
gpg> save
E-Mail Adresse hinzufügen (UID)
Da dies eine Änderung des Schlüsselbundes ist, muss der private Schlüssel für den Primärschlüssel vor der Änderung importiert und nach der Änderung wieder entfernt werden.
C:>gpg2 --expert --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
gpg: "Trust-DB" wird überprüft
gpg: keine uneingeschränkt vertrauenswürdigen Schlüssel gefunden
Geheimer Schlüssel ist vorhanden.
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: unbekannt Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email1@domain.tld> widerrufen
sub 4096R/CB5FEB17 erzeugt: 2015-12-23 widerrufen: 2015-12-23 Aufruf: S
sub 4096R/5E535CFB erzeugt: 2015-12-23 verfällt: 2017-12-22 Aufruf: E
sub 4096R/E14ED806 erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: S
[ unbek.] (1). Christian Scholz <email1@domain.tld>
gpg> adduid
Ihr Name ("Vorname Nachname"): Christian Scholz
Email-Adresse: email2@domain.tld
Kommentar:
Sie haben diese User-ID gewählt:
"Christian Scholz <email2@domain.tld>"
Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(A)bbrechen? F
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Christian Scholz <email1@domain.tld>"
4096-Bit RSA Schlüssel, ID 5E862A81, erzeugt 2015-12-23
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: unbekannt Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email1@domain.tld> widerrufen
sub 4096R/CB5FEB17 erzeugt: 2015-12-23 widerrufen: 2015-12-23 Aufruf: S
sub 4096R/5E535CFB erzeugt: 2015-12-23 verfällt: 2017-12-22 Aufruf: E
sub 4096R/E14ED806 erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: S
[ unbek.] (1) Christian Scholz <email1@domain.tld>
[ unbek.] (2). Christian Scholz <email2@domain.tld>
gpg> save
Sobald mehrere UIDs existieren, kann festgelegt werden, welche als primäre UID verwendet werden soll. Dies geschieht nach der Auswahl der uid (uid 1) durch den Befehl primary.
Password ändern
C:>gpg2 --edit-key %key% gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc. This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. [...] gpg> passwd Schlüssel ist geschützt. [...] Geben Sie die neue Passphrase für diesen geheimen Schlüssel ein. Sie wollen keine Passphrase - dies ist *nicht* zu empfehlen! Möchten Sie dies wirklich tun? (j/N) j gpg> save
E-Mail Adresse löschen (UID)
Da dies eine Änderung des Schlüsselbundes ist, muss der private Schlüssel für den Primärschlüssel vor der Änderung importiert und nach der Änderung wieder entfernt werden.
Wird eine E-Mail Adresse entfernt, nachdem ein Schlüssel bereits veröffenticht wurde, so kann dies nicht rückgängig gemacht werden. Die Key-Server fügen neue Adressen einem Schlüssel hinzu, entfernen aber keine. Auch dann nicht, wenn diese im erneut veröffentlichten Schlüssel nicht mehr existiert.
C:>gpg2 --expert --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
gpg: "Trust-DB" wird überprüft
gpg: keine uneingeschränkt vertrauenswürdigen Schlüssel gefunden
Geheimer Schlüssel ist vorhanden.
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: unbekannt Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email2@domain.tld> widerrufen
sub 4096R/CB5FEB17 erzeugt: 2015-12-23 widerrufen: 2015-12-23 Aufruf: S
sub 4096R/5E535CFB erzeugt: 2015-12-23 verfällt: 2017-12-22 Aufruf: E
sub 4096R/E14ED806 erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: S
[ unbek.] (1). Christian Scholz <email2@domain.tld>
[ unbek.] (2) Christian Scholz <email1@domain.tld>
gpg> uid
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: unbekannt Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email2@domain.tld> widerrufen
sub 4096R/CB5FEB17 erzeugt: 2015-12-23 widerrufen: 2015-12-23 Aufruf: S
sub 4096R/5E535CFB erzeugt: 2015-12-23 verfällt: 2017-12-22 Aufruf: E
sub 4096R/E14ED806 erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: S
[ unbek.] (1). Christian Scholz <email2@domain.tld>
[ unbek.] (2) Christian Scholz <email1@domain.tld>
gpg> 1
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: unbekannt Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email2@domain.tld> widerrufen
sub 4096R/CB5FEB17 erzeugt: 2015-12-23 widerrufen: 2015-12-23 Aufruf: S
sub 4096R/5E535CFB erzeugt: 2015-12-23 verfällt: 2017-12-22 Aufruf: E
sub 4096R/E14ED806 erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: S
[ unbek.] (1)* Christian Scholz <email2@domain.tld>
[ unbek.] (2) Christian Scholz <email1@domain.tld>
gpg> deluid
Diese User-ID wirklich entfernen? (j/N) j
pub 4096R/5E862A81 erzeugt: 2015-12-23 verfällt: niemals Aufruf: C
Vertrauen: unbekannt Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email2@domain.tld> widerrufen
sub 4096R/CB5FEB17 erzeugt: 2015-12-23 widerrufen: 2015-12-23 Aufruf: S
sub 4096R/5E535CFB erzeugt: 2015-12-23 verfällt: 2017-12-22 Aufruf: E
sub 4096R/E14ED806 erzeugt: 2015-12-23 verfällt: 2016-12-22 Aufruf: S
[ unbek.] (1) Christian Scholz <email1@domain.tld>
gpg> save
Schutz des Schlüsselbund durch Entfernen des privaten Primärschlüssels wiederherstellen
Nach jeder Änderung des Schlüsselbundes muss:
- das Schlüsselbund erneut gesichert werden,
- der private Schlüssel des primären Schlüssels entfernt und
- der Schlüssel erneut veröffentlicht werden.