GPG Schlüssel auf ein weiteres System einspielen

Aus BraLUG-Wiki

Wechseln zu: Navigation, Suche


Um nicht mit immer neuen persönlichen PGP Schlüsseln arbeiten zu müssen, sollten einmal diese erzeugt und dann auf allen persönlichen Rechnern zur Verfügung stehen. Der Artikel beschreibt, wie die eigenen Schlüssel exportiert und in ein anderes System mit gpg eingepflegt werden können. Das exportieren der Schlüssel hat den Vorteil, dass man auch gleich ein Backup angelegt hat. Dieses ist an einem sicheren Ort aufzubewahren!!

Zuerst zeigen wir uns alle verfügbaren "public" Schlüssel an: gpg --list-public-keys

und dann die geheimen/"secret" Schlüssel: gpg --list-secret-keys

Nun der eigentliche Export des "public" Schlüssel: gpg --armor --export mail@adresse.benutzer > mailadresse_publ.asc

Die E-mail Adresse ist natürlich anzupassen. Der Schlüssel wird in einem ASCII-konformen Format in der Datei mailadresse_publ.asc abgelegt und kann ohne Probleme zum Beispiel via Mail verbreitet werden. (Dieser Teil wird auch an alle Kommunikationspartner verteilt.)

Der Export des "secret" Keys geschieht ähnlich: gpg --armor --export-secret-keys mail@adresse.benutzer > mailadresse_secr.asc

Achtung: Dieser Schlüssel ist wie der Augapfel zu schützen und sollte nicht einfach via Mail oder ähnlichem verbreitet werden.

Beide Schlüssel müssen nun auf den neuen Rechner transportiert werden (Floppy, USB-Stick). Das Backup kommt in den Tresor (oder "unter den großen Stein" siehe: Vortrag "Sichere E-Mail Kommunikation" vom 14.05.03 Jan Tobias Mühlberg)

Auf dem neuen System müssen die Schlüssel jetzt eingepflegt werden. Der Import des öffentlichen Schlüssels geschieht via: gpg --import mailadresse_pub.asc

und im zweiten Schritt der geheime/"secret" Schlüssel: gpg --import mailaddresse_sec.asc

Den Erfolg der Aktion können wir über das Auflisten der Schlüssel begutachten (siehe oben).

Nun muß noch das Vertrauen des importierten Schlüsselpaares gesetzt werden. Dies geschieht über die gpg-Shell die folgendermaßen aufgerufen wird: gpg --edit-key mail@adresse.benutzer

Diese interaktive Shell gibt mit "help" die verfügbaren Kommandos aus. Wir benötigen das Kommando "trust". Der folgenden Dialog erfragt die vertrauens- würdigkeit des Schlüssels. Wenn wir uns sicher sind, nehmen wir Punkt 5 "Ich vertraue ihm absolut". Beenden wird die Shell mit "save" oder "quit".

Nun kann testweise ein Dokument auf dem Ausgangssystem verschlüsseln werden und auf dem neuen System entschlüsselt.

Kleine Gedächtnisstütze
Verschlüsseln: gpg -a -r meine@mail.adresse -se datei
Entschlüsseln: gpg datei.asc

Kommentare, andere Meinungen bitte an mich m-i.kuerschner( at)gmx .de , in dieses Forum oder die BraLUG-Mailling-Liste. Mehr Informationen

Kommentare:

Jan Tobias Muehlberg Datum unbekannt
Wenn man jedoch sowieso alle Schluessel auf mehreren benutzten Rechnern zur Verfuegung haben moechte, kann man auch einfach die entsprechenden Dateien kopieren. Diese finden sich alle in '$HOME/.gnupg'. Wichtig sind 'secring.gpg' -- der private Schluesselring, mit dem man nicht leichtsinnig sein sollte, 'pubring.gpg' -- der oeffentliche Schluesselring, sowie 'trustdb.gpg' und 'trustedkeys.gpg' -- die Vertrauensdaten.
Marc Datum unbekannt
Danke für den hervorragenden Artikel!!

Viele Grüße aus Potsdam, Marc

'Persönliche Werkzeuge