/usr/share/doc/gnupg-doc/mini-HOWTO/de/GPGMiniHowto-3.html is in gnupg-doc 2003.04.06+dak1-1ubuntu1.
This file is owned by root:root, with mode 0o644.
The actual contents of the file can be viewed below.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 | <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
<META NAME="GENERATOR" CONTENT="LinuxDoc-Tools 0.9.69">
<TITLE>GNU Privacy Guard (GnuPG) Mini Howto : Umgang mit Schlüsseln</TITLE>
<LINK HREF="GPGMiniHowto-4.html" REL=next>
<LINK HREF="GPGMiniHowto-2.html" REL=previous>
<LINK HREF="GPGMiniHowto.html#toc3" REL=contents>
</HEAD>
<BODY>
<A HREF="GPGMiniHowto-4.html">Weiter</A>
<A HREF="GPGMiniHowto-2.html">Zurück</A>
<A HREF="GPGMiniHowto.html#toc3">Inhalt</A>
<HR>
<H2><A NAME="GPG-Minihowto-schluessel"></A> <A NAME="s3">3.</A> <A HREF="GPGMiniHowto.html#toc3">Umgang mit Schlüsseln</A></H2>
<H2><A NAME="ss3.1">3.1</A> <A HREF="GPGMiniHowto.html#toc3.1">Erzeugen</A>
</H2>
<P>Mit
<BLOCKQUOTE><CODE>
<PRE>
gpg --gen-key
</PRE>
</CODE></BLOCKQUOTE>
wird ein neues Schlüsselpaar erzeugt. Als Erstes wird man nach dem zu
verwendenden Algorithmen gefragt. Genaueres zu den Algorithmen steht
in der
<A HREF="http://www.hertreg.ac.uk/ss/pgpfaq.html">PGP DH vs. RSA FAQ</A> oder in
<A HREF="GPGMiniHowto-6.html#BSchneier">Applied Cryptography</A>.
Man kann (und sollte) einfach den default Wert (DSA/ ElGamal) nehmen.</P>
<P>Bei der Schlüssellänge muß man zwischen Sicherheit und
Rechenzeit abwägen. Je länger ein Schlüssel, desto
sicherer ist er, desto länger dauern aber auch Operationen mit
ihm. Bei der Rechenzeit muß man aber berücksichtigen, daß
der Schlüssel möglicherweise auch noch in einigen Jahren
benutzt werden soll, wenn die durchschnittliche Rechenleistung stark
angewachsen sein wird. GnuPG fragt ab einer
Schlüssellänge von mehr als 1536 Bits, ob ein so
großer Schlüssel wirklich nötig sei, andere Leute
empfehlen mindestens 2048 Bits. Für DSA ist 1024 Bits Standard.</P>
<P>Dann wird nach Namen, Kommentar und Email Adresse gefragt. Anhand
dieser Angaben wird der Schlüssel identifiziert. Man kann die
Angaben aber später noch ändern beziehungsweise
ergänzen. Siehe
<A HREF="#GPG-Minihowto-Sverwalten">Schlüsselbund verwalten</A> Man sollte eine länger gültige Email
Adresse wählen, da die komplette Benutzerkennung unterschrieben
wird. Wird dann etwas geändert, gelten die Unterschriften unter die
geänderten Angaben nicht mehr.</P>
<P>Als letztes wird nach dem Passwort (beziehungsweise Passsatz (in der
deutschen Übersetzung: Mantra) denn es können Leerzeichen vorkommen)
gefragt, mit dem der private Schlüssel gesichert werden
soll. <EM>Verwenden sie ein gutes Mantra</EM>. Ein gutes Mantra
ist
<UL>
<LI>nicht zu kurz,</LI>
<LI>enthält Sonderzeichen,</LI>
<LI>ist kein Name und</LI>
<LI>nicht mit Kenntnis des Benutzers leicht zu erraten (wie
Telefonnummer, Bankleitzahl, Name und Anzahl der Kinder, ...)</LI>
</UL>
Man kann durch willkürlich eingestreute GRoß/KlEinSchReibung und
Leerzeichen weitere Sicherheit erhalten.
Außerdem muß man es sich merken können, da der geheime Schlüssel ohne
Mantra wertlos ist. Es kann in diesem Zusammenhang ein guter Gedanke
sein, gleich ein Rückrufzertifikat zu erstellen. Siehe
<A HREF="#GPG-Minihowto-Swiderrufen">Widerrufen</A>.</P>
<H2><A NAME="ss3.2">3.2</A> <A HREF="GPGMiniHowto.html#toc3.2">Exportieren</A>
</H2>
<P>Mit
<BLOCKQUOTE><CODE>
<PRE>
gpg --export [UID]
</PRE>
</CODE></BLOCKQUOTE>
wird der Schlüssel mit der User ID UID exportiert. Wird keine UID
angegeben, so wird der ganze Schlüsselbund exportiert. Voreingestellt
ist Ausgabe auf <CODE>stdout</CODE>, man kann aber mit der Option <CODE>-o
[Datei]</CODE> in eine Datei ausgeben. Es empfiehlt sich noch, mit der
Option <CODE>-a</CODE> (<CODE>--armor</CODE>) zu arbeiten, da ich andernfalls
Probleme hatte. Mit dieser Option werden die Schlüssel nicht im
Binärformat ausgegeben, sondern als ASCII (7 Bit) Dateien.</P>
<P>Den exportierten Schlüssel kann man dann in der
Welt verbreiten, wahlweise auf der Homepage, via
finger, über Keyserver, ... . </P>
<H2><A NAME="ss3.3">3.3</A> <A HREF="GPGMiniHowto.html#toc3.3">Importieren</A>
</H2>
<P>Wenn man von irgendwoher einen öffentlichen Schlüssel bekommen hat,
sollte man ihn in sein Schlüsselbund aufnehmen. Das wird mit
<BLOCKQUOTE><CODE>
<PRE>
gpg --import [Datei]
</PRE>
</CODE></BLOCKQUOTE>
erreicht. Wenn man den Dateinamen weglässt, wird von
<CODE>stdin</CODE> gelesen.</P>
<H2><A NAME="GPG-Minihowto-Swiderrufen"></A> <A NAME="ss3.4">3.4</A> <A HREF="GPGMiniHowto.html#toc3.4">Widerrufen</A>
</H2>
<P>Es gibt verschiedene Gründe, einen alten Schlüssel zu
widerrufen: Er könnte in fremde Hände geraten sein, die UID
stimmt nicht mehr oder er ist einfach zu klein geworden. In all diesen
Fällen ist der Befehl der Wahl
<BLOCKQUOTE><CODE>
<PRE>
gpg --gen-revoke
</PRE>
</CODE></BLOCKQUOTE>
Damit wird ein Schlüsselwiderruf-Zertifikat
erzeugt. <EM>Dafür braucht man den privaten
Schlüssel</EM>, denn sonst könnten solche Zertifikate auch
von Fremden erzeugt werden. Das hat aber einen Nachteil: Ein
Schlüssel, dessen Mantra ich nicht weiß, ist offensichtlich
nutzlos. Aber weil ich das Mantra nicht weiß, kann ich ihn nicht
widerrufen. Deshalb ist es geschickt, sich gleich bei der Erzeugung
des Schlüssels ein Widerruf-Zertifikat zu erzeugen. Das sollte
dann aber sicher verwahrt werden, am besten auf Diskette und auf
Papier, damit es nicht in falsche Hände gerät. </P>
<H2><A NAME="GPG-Minihowto-Sverwalten"></A> <A NAME="ss3.5">3.5</A> <A HREF="GPGMiniHowto.html#toc3.5">Schlüsselbund verwalten</A>
</H2>
<P>Der Schlüsselbund ist eine Datei, in der alle Schlüssel mit
den dazugehörigen Informationen (bis auf die Ownertrust Werte, was das
ist steht in
<A HREF="#GPG-Minihowto-Ssignieren">Schlüssel signieren</A>) gespeichert werden. Mit
<BLOCKQUOTE><CODE>
<PRE>
gpg --list-keys
</PRE>
</CODE></BLOCKQUOTE>
können alle Schlüssel des öffentlichen Schlüsselbundes angezeigt
werden. Mit
<BLOCKQUOTE><CODE>
<PRE>
gpg --list-sigs
</PRE>
</CODE></BLOCKQUOTE>
werden zusätzlich noch die Signaturen angezeigt (siehe
<A HREF="#GPG-Minihowto-Ssignieren">Schlüssel signieren</A>). Mit
<BLOCKQUOTE><CODE>
<PRE>
gpg --fingerprint
</PRE>
</CODE></BLOCKQUOTE>
werden die Schlüssel mit ihren "Fingerabdrücken"
aufgelistet. Das sind (verhältnismäßig) kurze Zahlenfolgen, an denen
sich der Schlüssel identifizieren läßt. Das kann praktisch sein, um
sich über Telefon zu vergewissern, daß ein öffentlicher Schlüssel vom
Gesprächspartner stammt. Fingerabdrücke im Abspann von Email oder
Usenet Artikeln zu verschicken ist übrigens nicht sinnvoll.
<BLOCKQUOTE><CODE>
<PRE>
gpg --list-secret-keys
</PRE>
</CODE></BLOCKQUOTE>
listet die Schlüssel des privaten Schlüsselbundes auf. Unterschriften
und Fingerabdrücke von privaten Schlüsseln haben keinen
Informationswert.</P>
<P>Mit dem Befehl
<BLOCKQUOTE><CODE>
<PRE>
gpg --delete-key UID bzw. gpg --delete-secret-key
</PRE>
</CODE></BLOCKQUOTE>
kann man Schlüssel aus dem entsprechenden Schlüsselbund
löschen.</P>
<P>Der letzte wichtige Befehl für den Umgang mit Schlüsseln
lautet
<BLOCKQUOTE><CODE>
<PRE>
gpg --edit-key UID
</PRE>
</CODE></BLOCKQUOTE>
In dem dann folgenden Menü kann man unter anderem das Mantra
und das Verfallsdatum ändern, Fingerabdrücke anzeigen lassen
und Schlüssel signieren, womit wir beim nächsten Abschnitt
wären. </P>
<H2><A NAME="GPG-Minihowto-Ssignieren"></A> <A NAME="ss3.6">3.6</A> <A HREF="GPGMiniHowto.html#toc3.6">Schlüssel signieren</A>
</H2>
<P>Wie in der Einleitung erwähnt, ist die Echtheit eines
öffentlichen Schlüssels die Achillesferse des
Systems. Deshalb gibt es die Möglichkeit, Schlüssel zu
unterschreiben. Damit bestätigt der Unterzeichnende, daß der in der
User ID angegeben User tatsächlich der Besitzer des Schlüssels ist.</P>
<P>Nachdem man mit <CODE>gpg --edit-key UID</CODE> den zu unterzeichnenden
Schlüssel ausgewählt hat, kann man ihn mit dem Kommando <CODE>sign</CODE>
unterschreiben. </P>
<P><EM>Unterschreiben Sie nur Schlüssel von deren Echtheit sie sich überzeugt
haben.</EM> Das kann geschehen, in dem man entweder den Schlüssel persönlich
bekommen hat (zum Beispiel auf einer Keysigning Party), oder man über Telefon
den Fingerprint vergleicht. Man sollte keinen Schlüssel nur deshalb
unterschreiben, weil man den anderen Unterschriften vertraut.</P>
<P>Anhand der Unterschriften und des "ownertrusts"
ermittelt GnuPG die Gültigkeit des Schlüssels. Der Ownertrust ist ein
Wert mit dem der Benutzer festlegt, in welchem Maße er dem
Schlüsselinhaber zutraut, andere Schlüssel verläßlich zu
unterzeichnen. Die möglichen Abstufungen sind "gar
nicht", "weiß nicht", "teilweise"
und "vollständig". Wenn der Benutzer also einem anderem
nicht traut, kann er GnuPG über diesen Mechanismus anweisen, dessen
Unterschrift zu ignorieren. Der Ownertrust wird nicht im Schlüsselbund
gespeichert, sondern in einer separaten Datei.</P>
<HR>
<A HREF="GPGMiniHowto-4.html">Weiter</A>
<A HREF="GPGMiniHowto-2.html">Zurück</A>
<A HREF="GPGMiniHowto.html#toc3">Inhalt</A>
</BODY>
</HTML>
|