Schlüsselerstellung bei GnuPG unter Linux / Ubuntu

In allen Standardlinuxdistributionen, wie zB Ubuntu ist GnuPG vorinstalliert, deswegen werde ich auf die Installation hier nicht eingehen.

Schlüsselerstellung:

Zuerst muss man sich für eine Schlüssellänge entscheiden, 1024 gilt hier als Minimum, soll aber auch frühestens 2020 mit vertretbarem Aufwand faktorisiert(=”geknackt”) werden können. Ein Schlüssel mit 1024/1024 würde also prinzipiell wohl ausreichen. Dennoch gibt es keine Gründe, die gegen einen stärkeren Schlüssel sprechen! Zumindest nicht beim Schlüssel x, der der Verschlüsselung dient(1024/x). Beim Hauptschlüssel, der der Signierung dient(ist eine Nachricht signiert, so kann der Empfänger überprüfen, ob sie tatsächlich vom Absender stammt und ob etwas daran verändert wurde) liegt die Sache etwas anders, dazu aber später mehr.

Anleitung:

Erstmal muss die Konsole geöffnet werden, unter Ubuntu uner Anwendungen-Zubehör-Terminal zu finden, in anderen Distributionen an ähnlichen Orten, dort heißt sie unter Umständen Bash oder einfach nur Konsole oder wie bei Ubuntu Terminal.

Dort gibt man gpg –gen-key ein und bestätigt mit “Enter”

Daraufhin musste dieser oder ein ähnlicher Text(Unterschiede in der Versionsnummer,…) erscheinen:

gpg (GnuPG) 1.4.6; Copyright (C) 2006 Free Software Foundation, Inc.

This program comes with ABSOLUTELY NO WARRANTY.

This is free software, and you are welcome to redistribute it

under certain conditions. See the file COPYING for details.

Von der “Keine-Garantie-Aussage” sollte man sich nicht abschrecken lassen, sie steht bei den meisten Linuxprogrammen irgendwo, trotzdem funktionieren sie eigentlich immer perfekt, gerade auch GnuPG!

Direkt unter diesemText steht dann:

Bitte wählen Sie, welche Art von Schlüssel Sie möchten:

(1) DSA and Elgamal (default)

(2) DSA (nur signieren/beglaubigen)

(5) RSA (nur signieren/beglaubigen)

Ihre Auswahl?

Wir wählen 1 und bestätigen wieder, es folgt:

Das DSA-Schlüsselpaar wird 1024 Bit haben.

ELG-E Schlüssel können zwischen 1024 und 4096 Bits lang sein.

Welche Schlüssellänge wünschen Sie? (2048)

[[Wir sehen, dass das DSA-Schlüsselpaar automatisch und unveränderlich auf 1024 Bit steht, ab GnuPG 1.4.4 ist es möglich größere DSA-Schlüssel zu erzeugen, dazu geben sie bitte zu Beginn statt gpg –gen-key folgendes ein: gpg –gen-key –enable-dsa2 Dadurch ändert sich die Schlüsselerstellung etwas ab, verläuft aber im Prinzip gleich. Da ältere Versionen und andere Programme damit aber noch ihre Probleme hagpg –list-keys

ben, würde ich vorerst davon abraten!!!]]

Hier können sie ohne Bedenken 4096 eingeben, moderne PCs bewältigen diese Schlüsselgröße bei E-mail-Verschlüsselung,… inzwischenvöllig ohne Probleme. Aber auch 2048 sind völlig ausreichend und ja auch bereits voreingestellt, es gibt nur keine Gründe, die gegen einen 4096-bit-Schlüssel sprechen.

Welche Schlüssellänge wünschen Sie? (2048) 4096

Die verlangte Schlüssellänge beträgt 4096 Bit

Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.

0 = Schlüssel verfällt nie

<n> = Schlüssel verfällt nach n Tagen

<n>w = Schlüssel verfällt nach n Wochen

<n>m = Schlüssel verfällt nach n Monaten

<n>y = Schlüssel verfällt nach n Jahren

Wie lange bleibt der Schlüssel gültig? (0)

Wir haben also 4096 oder eine andere Zahl eingegeben und werden jetzt gefragt, wie lange der Schlüssel gültig sein soll, tippen sie 0 ein, so läuft er nie aus. Die Entscheidung liegt bei ihnen, geben sie einen Zeitraum von 5-12 Jahren(bis 2020), so können sie mit hoher Sicherheit davon ausgehen, dass ihr Signierschlüssel bis zum Ablauf sicher ist und dann nicht mehr verwendet werden kann.

Nach einer kurzen Bestätigungsfrage geht es weiter:

Ihr Name (“Vorname Nachname”): Max Mustermann

Email-Adresse: max.mustermann@kkkkk.de

Kommentar: Kein Kommentar

Sie haben diese User-ID gewählt:

“Max Mustermann (Kein Kommentar) <max.mustermann@gmx.de>”

Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden?

Fülle sie die Angaben korrekt aus und bestätigen sie dann mit F,bzw. ändern sie eventuelle falsche Eingaben.

Danach werden sie nach einer Passphrase = einem Passwort gefragt. Dieses Passwort schützt ihren geheimen Schlüssel( ich gehe in dieser Anleitung davon aus, dass sie sich schon etwas mit Kryptographie auskennen, ansonsten hilft Wikipedia) . Daher sollte die Passphraselang, sicher und leicht zu merken sein.Hier hilft zB das Verfahren die Anfangsbuchstaben der Worte eines unsinnigen Satzes zu nehmen.

Bsp: 23 Bären gingen im Klammeraufwald spazieren als sie 11 Habichte trafen und mit diesen dann 4 Stunden im Dollarzeichenwald redeten.

daraus ergibt sich: 23Bgi(wsas11Htumdd4Si$wr

Dieses Passwort kann als sehr sicher gelten!!! Denken sie sich auch einen solchen Satz aus oder erschaffen sie auf andere Weise ein sicheres Passwort(der Name ihrer Tochter ist kein sicheres Passwort!!!😉 )

Es folgt der letzte Schritt und fertig ist der Schlüssel:

Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies

unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas

tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.

Also öffnen sie noch ein Terminal und hacken wie verückt geworden auf die Tastatur ein! Danach meldet GnuPg irgendwann die Fertigstellung des Schlüssels.

Mit gpg –list-keys könne sie sich alle vorhandenen Schlüssel anzeigen lassen, gpg –list-keys –fingerprint listet alle Schlüssel samt Fingerprint auf, gpg –list-keys –fingerprint “Vorname Nachname” einen oder mehrere bestimmte Keys. Bei unserem Beispiel:

philipp@philipp-desktop:~$ gpg –list-keys –fingerprint “Max Mustermann”

pub 1024D/E71191E6 2007-06-03

Schl.-Fingerabdruck = 95C4 E3B7 5D01 FDAD 86DD 8AA2 AC48 3978 E711 91E6

uid Max Mustermann (Kein Kommentar) <max.mustermann@gmx.de>

sub 4096g/61E2559C 2007-06-03

Fertig! Zumindest mit der Schlüsselerstellung!

One Response to Schlüsselerstellung bei GnuPG unter Linux / Ubuntu

  1. Ralf says:

    hi, nette und wichtige anleitung – aber es geht auch ohne konsole (jedenfalls mit Kgpg unter KDE). Für einen Kollegen suche ich eine entsprechende Anleitung…

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: