Verwendung von PGP Subkeys

0

Bei der Erstellung eines PGP-Schlüssels werden immer ein öffentlicher und ein privater Schlüssel erstellt. Der öffentliche wird weitergegeben, damit Andere ihre Informationen verschlüsseln können, welche man nur mit seinem privaten Schlüssel wieder entschlüsseln kann.

Um den öffentlichen Schlüssel für andere einfach zugänglich zu machen, kann dieser über Key-Server veröffentlich werden. Damit andere Personen sich sicher sein können, dass ein Schlüssel auch wirklich die Person repräsentiert, welche er vorgibt zu sein, kann man seinen Schlüssel durch Dritte beglaubigen lassen. Heise hat hierzu im Jahr 1997 eine Krypto-Kampagne ins Leben gerufen. Um das Vertrauen anderer in den eigenen Schlüssel zu stärken, erfordert es also einiges an Zeit, um Beglaubigungen Dritter zu erlangen.
Wie im letzten Beitrag bereits erklärt, können einmal veröffentlichte Schlüssel nicht mehr gelöscht, sondern nur noch zurückgezogen werden. Das Unschöne im Zusammenhang mit Beglaubigungen ist, dass durch das Zurückziehen eines Schlüssels auch alle Beglaubigungen ungültig werden und ein neuer Schlüssel somit nicht das gleiche Vertrauen Dritter genießt wie der zurückgezogene.

Um dieses Problem zu umgehen, wird im Debian Wiki vorgeschlagen, Unterschlüssel (Subkeys) zu verwenden. Der Gedanke dabei ist, dass ein Primärschlüssel (grün) erstellt wird, welcher weder zur Verschlüsselung, Signierung oder Authentifizierung verwendet werden kann, sondern nur zu Beglaubigung weiterer Schlüssel. Anschließend kann man je nach Bedarf Unterschlüssel zum Verschlüsseln, Signieren oder Authentifizieren erstellen. Beglaubigungen Dritter erfolgen während der Lebenszeit des Schlüssels immer gegen den Primärschlüssen. Der Primärschlüssel kann somit auch als Laufzeit ewig gültig bleiben, während für die Unterschlüssel eine Laufzeit von einem Jahr empfohlen wird. Dies Laufzeit ist quasi der Totmannschalter der Unterschlüssel. Das Ablaufdatum lässt sich bei Erreichung der Laufzeit und auch darüber hinaus übrigens immer wieder verlängern, solange man im Besitz des privaten Schlüssels des Primärschlüssels ist.

pgp-subkey

Um das Schlüsselbund zu schützen, wird vom Primärschlüssel später der private Schlüssel entfernt, was das gesamte Schlüsselbund vor Veränderungen schützt. Sollte es später notwendig werden, den Schlüssel zum Verschlüssen, Signieren oder Authentifizieren zurückzuziehen, muss lediglich der entsprechende Unterschlüssel (in diesem Beispiel der rote Schlüssel) zurückgezogen werden. Anschließend kann ein neuer erstellt (gelber Schlüssel) erstellt werden. Der Primärschlüssel, welcher evtl. durch Dritte beglaubigt wurde, bleibt somit unangetastet.

pgp-subkey-revoke

Im Nachfolgende sind alle einzelnen Schritte zur Benutzung dieses Verfahrens erklärt. Ausgeführt wurden die Befehle auf der Windows-Kommandozeile bei installiertem pgp4win. Eingaben wurden zur besseren Lesbarkeit hervorgehoben.

Schlüsselbund erstellen

Primärschlüssel erstellen

C:>gpg2 --expert --gen-key
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
   (1) RSA und RSA (voreingestellt)
   (2) DSA und Elgamal
   (3) DSA (nur signieren/beglaubigen)
   (4) RSA (nur signieren/beglaubigen)
   (7) DSA (Leistungsfähigkeit selber einstellbar)
   (8) RSA (Leistungsfähigkeit selber einstellbar)
Ihre Auswahl? 8

Mögliche Vorgänge eines RSA-Schlüssels: Signieren Zertif. Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Signieren Zertif. Verschl.

   (U) Umschalten der Signaturfähigkeit
   (V) Umschalten der Verschlüsselungsfähigkeit
   (A) Umschalten der Authentisierungsfähigkeit
   (Q) Beenden

Ihre Auswahl? U

Mögliche Vorgänge eines RSA-Schlüssels: Signieren Zertif. Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Zertif. Verschl.

   (U) Umschalten der Signaturfähigkeit
   (V) Umschalten der Verschlüsselungsfähigkeit
   (A) Umschalten der Authentisierungsfähigkeit
   (Q) Beenden

Ihre Auswahl? V

Mögliche Vorgänge eines RSA-Schlüssels: Signieren Zertif. Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Zertif.

   (U) Umschalten der Signaturfähigkeit
   (V) Umschalten der Verschlüsselungsfähigkeit
   (A) Umschalten der Authentisierungsfähigkeit
   (Q) Beenden

Ihre Auswahl? Q
RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein.
Welche Schlüssellänge wünschen Sie? (2048) 4096
Die verlangte Schlüssellänge beträgt 4096 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
         0 = Schlüssel verfällt nie
      <n>  = Schlüssel verfällt nach n Tagen
      <n>w = Schlüssel verfällt nach n Wochen
      <n>m = Schlüssel verfällt nach n Monaten
      <n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 0
Schlüssel verfällt nie
Ist dies richtig? (j/N) j

GnuPG erstellt eine User-ID um Ihren Schlüssel identifizierbar zu machen.

Ihr Name ("Vorname Nachname"): Christian Scholz
Email-Adresse: email1@domain.tld
Kommentar:
Sie haben diese User-ID gewählt:
    "Christian Scholz <email1@domain.tld>"

Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(A)bbrechen? F
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu schützen.

Wir müssen eine ganze Menge Zufallswerte erzeugen.  Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.
gpg: Schlüssel 5E862A81 ist als uneingeschränkt vertrauenswürdig gekennzeichnet
Öffentlichen und geheimen Schlüssel erzeugt und signiert.

gpg: "Trust-DB" wird überprüft
gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
gpg: Tiefe: 0  gültig:   1  signiert:   0  Vertrauen: 0-, 0q, 0n, 0m, 0f, 1u
pub   4096R/5E862A81 2015-12-23
  Schl.-Fingerabdruck = 6A9F A29A 595F ADFD 0535  242D 1845 3B4E 5E86 2A81
uid       [ uneing.] Christian Scholz <email1@domain.tld>

Schlüssel härten

Bei der Bearbeitung eines vorhandenen Schlüssel sollte immer die Schlüssel-ID, in diesem Beispiel 5E862A81 verwendet werden, da die E-Mail Adresse bei mehreren Schlüsseln nicht eindeutig sein muss. Der Einfachheit halber wurde hier aber auf die E-Mail-Adresse zurückgegriffen.

Um die Anwendung aller nachfolgenden Befehle einfacher zu gestalten, wird der Key sowie das aktuelle Datum in eine Variable geschrieben wurde, welche später verwendet werden.

C:>set key=email1@domain.tld
C:>for /f "tokens=1,2,3 delims=. " %a in ('date /t') do (set curdate=%c-%b-%a)

C:>gpg2 --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Geheimer Schlüssel ist vorhanden.

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
[ uneing.] (1). Christian Scholz <email1@domain.tld>

gpg> setpref SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
     Setze die Liste der Voreinstellungen auf:
     Verschlü.: AES256, AES192, AES, CAST5, 3DES
     Digest: SHA512, SHA384, SHA256, SHA224, SHA1
     Komprimierung: ZLIB, BZIP2, ZIP, nicht komprimiert
     Eigenschaften: MDC, Keyserver no-modify
Die Voreinstellungen wirklich ändern? (j/N) j

Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Christian Scholz <email1@domain.tld>"
4096-Bit RSA Schlüssel, ID 5E862A81, erzeugt 2015-12-23

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
[ uneing.] (1). Christian Scholz <email1@domain.tld>

gpg> save

Unterschlüssel zum Signieren erstellen

C:>gpg2 --expert --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Geheimer Schlüssel ist vorhanden.

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
[ uneing.] (1). Christian Scholz <email1@domain.tld>

gpg> addkey
Schlüssel ist geschützt.

Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Christian Scholz <email1@domain.tld>"
4096-Bit RSA Schlüssel, ID 5E862A81, erzeugt 2015-12-23

Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
   (3) DSA (nur signieren/beglaubigen)
   (4) RSA (nur signieren/beglaubigen)
   (5) Elgamal (nur verschlüsseln)
   (6) RSA (nur verschlüsseln)
   (7) DSA (Leistungsfähigkeit selber einstellbar)
   (8) RSA (Leistungsfähigkeit selber einstellbar)
Ihre Auswahl? 8

Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Signieren Verschl.

   (U) Umschalten der Signaturfähigkeit
   (V) Umschalten der Verschlüsselungsfähigkeit
   (A) Umschalten der Authentisierungsfähigkeit
   (Q) Beenden

Ihre Auswahl? V

Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Signieren

   (U) Umschalten der Signaturfähigkeit
   (V) Umschalten der Verschlüsselungsfähigkeit
   (A) Umschalten der Authentisierungsfähigkeit
   (Q) Beenden

Ihre Auswahl? Q
RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein.
Welche Schlüssellänge wünschen Sie? (2048) 4096
Die verlangte Schlüssellänge beträgt 4096 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
         0 = Schlüssel verfällt nie
      <n>  = Schlüssel verfällt nach n Tagen
      <n>w = Schlüssel verfällt nach n Wochen
      <n>m = Schlüssel verfällt nach n Monaten
      <n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 1y
Key verfällt am 12/22/16 15:14:11 Mitteleuropõische Zeit
Ist dies richtig? (j/N) j
Wirklich erzeugen? (j/N) j
Wir müssen eine ganze Menge Zufallswerte erzeugen.  Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub  4096R/CB5FEB17  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: S
[ uneing.] (1). Christian Scholz <email1@domain.tld>

gpg> save

Unterschlüssel zum Verschlüsseln erstellen

C:>gpg2 --expert --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Geheimer Schlüssel ist vorhanden.

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub  4096R/CB5FEB17  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: S
[ uneing.] (1). Christian Scholz <email1@domain.tld>

gpg> addkey
Schlüssel ist geschützt.

Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Christian Scholz <email1@domain.tld>"
4096-Bit RSA Schlüssel, ID 5E862A81, erzeugt 2015-12-23

Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
   (3) DSA (nur signieren/beglaubigen)
   (4) RSA (nur signieren/beglaubigen)
   (5) Elgamal (nur verschlüsseln)
   (6) RSA (nur verschlüsseln)
   (7) DSA (Leistungsfähigkeit selber einstellbar)
   (8) RSA (Leistungsfähigkeit selber einstellbar)
Ihre Auswahl? 8

Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Signieren Verschl.

   (U) Umschalten der Signaturfähigkeit
   (V) Umschalten der Verschlüsselungsfähigkeit
   (A) Umschalten der Authentisierungsfähigkeit
   (Q) Beenden

Ihre Auswahl? U

Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Verschl.

   (U) Umschalten der Signaturfähigkeit
   (V) Umschalten der Verschlüsselungsfähigkeit
   (A) Umschalten der Authentisierungsfähigkeit
   (Q) Beenden

Ihre Auswahl? Q
RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein.
Welche Schlüssellänge wünschen Sie? (2048) 4096
Die verlangte Schlüssellänge beträgt 4096 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
         0 = Schlüssel verfällt nie
      <n>  = Schlüssel verfällt nach n Tagen
      <n>w = Schlüssel verfällt nach n Wochen
      <n>m = Schlüssel verfällt nach n Monaten
      <n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 1y
Key verfällt am 12/22/16 15:15:38 Mitteleuropõische Zeit
Ist dies richtig? (j/N) j
Wirklich erzeugen? (j/N) j
Wir müssen eine ganze Menge Zufallswerte erzeugen.  Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub  4096R/CB5FEB17  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: S
sub  4096R/5E535CFB  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: E
[ uneing.] (1). Christian Scholz <email1@domain.tld>

gpg> save

Widerrufsschlüssel erstellen

Das gesamte Schlüsselbund lässt sich solange auf den Schlüssel-Servern widerrufen, wie der private Schlüssel noch vorhanden ist oder aber eine Widerrufs-Schlüssel existiert.

C:>gpg2 --output %key%.gpg-revocation-certificate.asc --gen-revoke %key%

sec  4096R/5E862A81 2015-12-23 Christian Scholz <email1@domain.tld>

Ein Widerrufszertifikat für diesen Schlüssel erzeugen? (j/N) j
Grund für den Widerruf:
  0 = Kein Grund angegeben
  1 = Hinweis: Dieser Schlüssel ist nicht mehr sicher
  2 = Schlüssel ist überholt
  3 = Schlüssel wird nicht mehr benutzt
  Q = Abbruch
(Wahrscheinlich möchten Sie hier 1 auswählen)
Ihre Auswahl? 0
Geben Sie eine optionale Beschreibung ein. Beenden mit einer leeren Zeile:
>
Grund für Widerruf: Kein Grund angegeben
(Keine Beschreibung angegeben)
Ist das OK? (j/N) j

Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Christian Scholz <email1@domain.tld>"
4096-Bit RSA Schlüssel, ID 5E862A81, erzeugt 2015-12-23

Ausgabe mit ASCII Hülle erzwungen
Widerrufszertifikat wurde erzeugt.

Bitte speichern Sie es auf einem Medium, welches Sie wegschließen
können; falls Mallory (ein Angreifer) Zugang zu diesem Zertifikat
erhält, kann er Ihren Schlüssel unbrauchbar machen.  Es wäre klug,
dieses Widerrufszertifikat auch auszudrucken und sicher aufzubewahren,
falls das ursprüngliche Medium nicht mehr lesbar ist.  Aber Obacht: Das
Drucksystem kann unter Umständen anderen Nutzern eine Kopie zugänglich
machen.

Schlüsselbund sichern

C:>gpg2 --armor --export %key% > "%curdate% - %key%.asc"
C:>gpg2 --armor --export-secret-keys %key% > "%curdate% - %key%_secret.asc"
C:>gpg2 --armor --export-secret-subkeys %key% > "%curdate% - %key%_subkeys.asc"

Privaten Schlüssel des pimären Schlüssels entfernen

Um den privaten Schlüssel des Primärschlüssels zu entfernen, muss die im vorangegangenen Schritt beschriebene Sicherung erfolgt sein! Denn es werden alle privaten Schlüssel entfernt und anschließend nur der Unterschlüssel wieder importiert.

C:>gpg2 --delete-secret-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

sec  4096R/5E862A81 2015-12-23 Christian Scholz <email1@domain.tld>

Diesen Schlüssel aus dem Schlüsselbund löschen? (j/N) j
Dies ist ein privater Schlüssel! - Wirklich löschen? (j/N) j

Private Schlüssel der Unterschlüssel importieren

C:>gpg2 --import "%curdate% - %key%_subkeys.asc"
gpg: Schlüssel 5E862A81: geheimer Schlüssel importiert
gpg: Schlüssel 5E862A81: "Christian Scholz <email1@domain.tld>" 1 neue Signatur
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg:                         neue Signaturen: 1
gpg:              gelesene geheime Schlüssel: 1
gpg:            geheime Schlüssel importiert: 1

Schlüsselbund prüfen

C:>gpg2 --list-secret-keys %key%
sec#  4096R/5E862A81 2015-12-23
uid                  Christian Scholz <email1@domain.tld>
ssb   4096R/CB5FEB17 2015-12-23 [verfällt: 2016-12-22]
ssb   4096R/5E535CFB 2015-12-23 [verfällt: 2016-12-22]

"sec#" bedeutet, dass für diesen Schlüssel (Primärschlüssel) der private Schlüssel – wie gewünscht – fehlt.

Schlüssel veröffentlichen

C:>gpg2 --keyserver <keyserver> --send-key 5E862A81

Änderungen am Schlüsselbund durchführen

Schlüsselbund öffnen

Um Änderungen am Schlüsselbund durchführen zu können, muss der private Schlüssel des Primärschlüssels aus der Sicherung wiederhergestellt werden. Dazu werden zuerst alle privaten Schlüssel gelöscht und dann alle privaten Schlüssel inkl. dem des Primärschlüssels wiederhergestellt.

Private Unterschlüssel löschen

C:>gpg2 --delete-secret-keys %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

sec  4096R/5E862A81 2015-12-23 Christian Scholz <email1@domain.tld>

Diesen Schlüssel aus dem Schlüsselbund löschen? (j/N) j
Dies ist ein privater Schlüssel! - Wirklich löschen? (j/N) j

Alle privaten Schlüssel wiederherstellen

C:>gpg2 --import %key%_secret.asc

Unterschlüssel zurückziehen

Unterschlüssel zurückziehen

Nach der Auswahl eines Schlüssels (key 1) wird der entsprechende Schlüssel mit einem Sternchen markiert.

C:>gpg2 --expert --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Geheimer Schlüssel ist vorhanden.

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: unbekannt     Gültigkeit: unbekannt
sub  4096R/CB5FEB17  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: S
sub  4096R/5E535CFB  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: E
[  unbek.] (1). Christian Scholz <email1@domain.tld>

gpg> key 1

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: unbekannt     Gültigkeit: unbekannt
sub* 4096R/CB5FEB17  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: S
sub  4096R/5E535CFB  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: E
[  unbek.] (1). Christian Scholz <email1@domain.tld>

gpg> revkey
Möchten Sie diesen Schlüssel wirklich widerrufen? (j/N) j
Grund für den Widerruf:
  0 = Kein Grund angegeben
  1 = Hinweis: Dieser Schlüssel ist nicht mehr sicher
  2 = Schlüssel ist überholt
  3 = Schlüssel wird nicht mehr benutzt
  Q = Abbruch
Ihre Auswahl? 0
Geben Sie eine optionale Beschreibung ein. Beenden mit einer leeren Zeile:
>
Grund für Widerruf: Kein Grund angegeben
(Keine Beschreibung angegeben)
Ist das OK? (j/N) j

Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Christian Scholz <email1@domain.tld>"
4096-Bit RSA Schlüssel, ID 5E862A81, erzeugt 2015-12-23

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: unbekannt     Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email1@domain.tld> widerrufen
sub  4096R/CB5FEB17  erzeugt: 2015-12-23  widerrufen: 2015-12-23  Aufruf: S
sub  4096R/5E535CFB  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: E
[  unbek.] (1). Christian Scholz <email1@domain.tld>

gpg> save

Neuen Unterschlüssel erstellen

C:>gpg2 --expert --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Geheimer Schlüssel ist vorhanden.

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: unbekannt     Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email1@domain.tld> widerrufen
sub  4096R/CB5FEB17  erzeugt: 2015-12-23  widerrufen: 2015-12-23  Aufruf: S
sub  4096R/5E535CFB  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: E
[  unbek.] (1). Christian Scholz <email1@domain.tld>

gpg> addkey
Schlüssel ist geschützt.

Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Christian Scholz <email1@domain.tld>"
4096-Bit RSA Schlüssel, ID 5E862A81, erzeugt 2015-12-23

Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
   (3) DSA (nur signieren/beglaubigen)
   (4) RSA (nur signieren/beglaubigen)
   (5) Elgamal (nur verschlüsseln)
   (6) RSA (nur verschlüsseln)
   (7) DSA (Leistungsfähigkeit selber einstellbar)
   (8) RSA (Leistungsfähigkeit selber einstellbar)
Ihre Auswahl? 8

Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Signieren Verschl.

   (U) Umschalten der Signaturfähigkeit
   (V) Umschalten der Verschlüsselungsfähigkeit
   (A) Umschalten der Authentisierungsfähigkeit
   (Q) Beenden

Ihre Auswahl? V

Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Signieren

   (U) Umschalten der Signaturfähigkeit
   (V) Umschalten der Verschlüsselungsfähigkeit
   (A) Umschalten der Authentisierungsfähigkeit
   (Q) Beenden

Ihre Auswahl? Q
RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein.
Welche Schlüssellänge wünschen Sie? (2048) 4096
Die verlangte Schlüssellänge beträgt 4096 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
         0 = Schlüssel verfällt nie
      <n>  = Schlüssel verfällt nach n Tagen
      <n>w = Schlüssel verfällt nach n Wochen
      <n>m = Schlüssel verfällt nach n Monaten
      <n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 1y
Key verfällt am 12/22/16 15:31:23 Mitteleuropõische Zeit
Ist dies richtig? (j/N) j
Wirklich erzeugen? (j/N) j
Wir müssen eine ganze Menge Zufallswerte erzeugen.  Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: unbekannt     Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email1@domain.tld> widerrufen
sub  4096R/CB5FEB17  erzeugt: 2015-12-23  widerrufen: 2015-12-23  Aufruf: S
sub  4096R/5E535CFB  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: E
sub  4096R/E927B726  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: S
[  unbek.] (1). Christian Scholz <email1@domain.tld>

gpg> save

Ablaufdatum eines Schlüssels verlängern

Da dies eine Änderung des Schlüsselbundes ist, muss der private Schlüssel für den Primärschlüssel vor der Änderung importiert und nach der Änderung wieder entfernt werden.

C:>gpg2 --expert --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Geheimer Schlüssel ist vorhanden.

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: unbekannt     Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email1@domain.tld> widerrufen
sub  4096R/CB5FEB17  erzeugt: 2015-12-23  widerrufen: 2015-12-23  Aufruf: S
sub  4096R/5E535CFB  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: E
sub  4096R/E14ED806  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: S
[  unbek.] (1). Christian Scholz <email1@domain.tld>

gpg> key 2

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: unbekannt     Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email1@domain.tld> widerrufen
sub  4096R/CB5FEB17  erzeugt: 2015-12-23  widerrufen: 2015-12-23  Aufruf: S
sub* 4096R/5E535CFB  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: E
sub  4096R/E14ED806  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: S
[  unbek.] (1). Christian Scholz <email1@domain.tld>

gpg> expire
Ändern des Verfallsdatums des Unterschlüssels.
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
         0 = Schlüssel verfällt nie
      <n>  = Schlüssel verfällt nach n Tagen
      <n>w = Schlüssel verfällt nach n Wochen
      <n>m = Schlüssel verfällt nach n Monaten
      <n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 2y
Key verfällt am 12/22/17 16:29:42 Mitteleuropõische Zeit
Ist dies richtig? (j/N) j

Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Christian Scholz <email1@domain.tld>"
4096-Bit RSA Schlüssel, ID 5E862A81, erzeugt 2015-12-23

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: unbekannt     Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email1@domain.tld> widerrufen
sub  4096R/CB5FEB17  erzeugt: 2015-12-23  widerrufen: 2015-12-23  Aufruf: S
sub* 4096R/5E535CFB  erzeugt: 2015-12-23  verfällt: 2017-12-22  Aufruf: E
sub  4096R/E14ED806  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: S
[  unbek.] (1). Christian Scholz <email1@domain.tld>

gpg> save

E-Mail Adresse hinzufügen (UID)

Da dies eine Änderung des Schlüsselbundes ist, muss der private Schlüssel für den Primärschlüssel vor der Änderung importiert und nach der Änderung wieder entfernt werden.

C:>gpg2 --expert --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

gpg: "Trust-DB" wird überprüft
gpg: keine uneingeschränkt vertrauenswürdigen Schlüssel gefunden
Geheimer Schlüssel ist vorhanden.

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: unbekannt     Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email1@domain.tld> widerrufen
sub  4096R/CB5FEB17  erzeugt: 2015-12-23  widerrufen: 2015-12-23  Aufruf: S
sub  4096R/5E535CFB  erzeugt: 2015-12-23  verfällt: 2017-12-22  Aufruf: E
sub  4096R/E14ED806  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: S
[  unbek.] (1). Christian Scholz <email1@domain.tld>

gpg> adduid
Ihr Name ("Vorname Nachname"): Christian Scholz
Email-Adresse: email2@domain.tld
Kommentar:
Sie haben diese User-ID gewählt:
    "Christian Scholz <email2@domain.tld>"

Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(A)bbrechen? F

Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Christian Scholz <email1@domain.tld>"
4096-Bit RSA Schlüssel, ID 5E862A81, erzeugt 2015-12-23

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: unbekannt     Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email1@domain.tld> widerrufen
sub  4096R/CB5FEB17  erzeugt: 2015-12-23  widerrufen: 2015-12-23  Aufruf: S
sub  4096R/5E535CFB  erzeugt: 2015-12-23  verfällt: 2017-12-22  Aufruf: E
sub  4096R/E14ED806  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: S
[  unbek.] (1)  Christian Scholz <email1@domain.tld>
[  unbek.] (2). Christian Scholz <email2@domain.tld>

gpg> save

Sobald mehrere UIDs existieren, kann festgelegt werden, welche als primäre UID verwendet werden soll. Dies geschieht nach der Auswahl der uid (uid 1) durch den Befehl primary.

Password ändern

C:>gpg2 --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

[...]

gpg> passwd
Schlüssel ist geschützt.

[...]

Geben Sie die neue Passphrase für diesen geheimen Schlüssel ein.

Sie wollen keine Passphrase - dies ist *nicht* zu empfehlen!

Möchten Sie dies wirklich tun? (j/N) j

gpg> save

E-Mail Adresse löschen (UID)

Da dies eine Änderung des Schlüsselbundes ist, muss der private Schlüssel für den Primärschlüssel vor der Änderung importiert und nach der Änderung wieder entfernt werden.

Wird eine E-Mail Adresse entfernt, nachdem ein Schlüssel bereits veröffenticht wurde, so kann dies nicht rückgängig gemacht werden. Die Key-Server fügen neue Adressen einem Schlüssel hinzu, entfernen aber keine. Auch dann nicht, wenn diese im erneut veröffentlichten Schlüssel nicht mehr existiert.

C:>gpg2 --expert --edit-key %key%
gpg (GnuPG) 2.0.29; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

gpg: "Trust-DB" wird überprüft
gpg: keine uneingeschränkt vertrauenswürdigen Schlüssel gefunden
Geheimer Schlüssel ist vorhanden.

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: unbekannt     Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email2@domain.tld> widerrufen
sub  4096R/CB5FEB17  erzeugt: 2015-12-23  widerrufen: 2015-12-23  Aufruf: S
sub  4096R/5E535CFB  erzeugt: 2015-12-23  verfällt: 2017-12-22  Aufruf: E
sub  4096R/E14ED806  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: S
[  unbek.] (1). Christian Scholz <email2@domain.tld>
[  unbek.] (2)  Christian Scholz <email1@domain.tld>

gpg> uid

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: unbekannt     Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email2@domain.tld> widerrufen
sub  4096R/CB5FEB17  erzeugt: 2015-12-23  widerrufen: 2015-12-23  Aufruf: S
sub  4096R/5E535CFB  erzeugt: 2015-12-23  verfällt: 2017-12-22  Aufruf: E
sub  4096R/E14ED806  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: S
[  unbek.] (1). Christian Scholz <email2@domain.tld>
[  unbek.] (2)  Christian Scholz <email1@domain.tld>

gpg> 1

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: unbekannt     Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email2@domain.tld> widerrufen
sub  4096R/CB5FEB17  erzeugt: 2015-12-23  widerrufen: 2015-12-23  Aufruf: S
sub  4096R/5E535CFB  erzeugt: 2015-12-23  verfällt: 2017-12-22  Aufruf: E
sub  4096R/E14ED806  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: S
[  unbek.] (1)* Christian Scholz <email2@domain.tld>
[  unbek.] (2)  Christian Scholz <email1@domain.tld>

gpg> deluid
Diese User-ID wirklich entfernen? (j/N) j

pub  4096R/5E862A81  erzeugt: 2015-12-23  verfällt: niemals     Aufruf: C
                     Vertrauen: unbekannt     Gültigkeit: unbekannt
Der folgende Schlüssel wurde am 2015-12-23 von RSA Schlüssel
5E862A81 Christian Scholz <email2@domain.tld> widerrufen
sub  4096R/CB5FEB17  erzeugt: 2015-12-23  widerrufen: 2015-12-23  Aufruf: S
sub  4096R/5E535CFB  erzeugt: 2015-12-23  verfällt: 2017-12-22  Aufruf: E
sub  4096R/E14ED806  erzeugt: 2015-12-23  verfällt: 2016-12-22  Aufruf: S
[  unbek.] (1)  Christian Scholz <email1@domain.tld>

gpg> save

Schutz des Schlüsselbund durch Entfernen des privaten Primärschlüssels wiederherstellen

Nach jeder Änderung des Schlüsselbundes muss:

Links

Teilen.

Über den Autor

Seit der Ausbildung zum Fachinformatiker Systemintegration (2002-2005) bei der DaimlerChrysler AG, beruflich im Bereich der E-Mail Kommunikation (Exchange, Linux) sowie des ActiveDirectory, mit entsprechenden Zertifizierungen (MCSE 2003, MCITP Ent.-Admin 2008, MCSE 2012, LPIC 1-3) tätig. Abgeschlossenes Studium zum Master of Science der IT-Management an der FOM sowie zertifizierter Datenschutzbeauftragter. Aktuell im Projektmanagement tätig.

Antworten