Signieren und Verschlüsseln mit GnuPG

Posted on 2023-11-20

GnuPG ist ein Werkzeug zur Verschlüsselung mit symmetrischen Verfahren, sowie zur Signierung, Verschlüsselung, Authentifizierung und der Verwaltung von asymmetrischen Schlüsseln. Die Verwaltung der privaten und öffentlichen Schlüssel nutzt eine eigene Datenbank, einen sogenannten keyring (Schlüsselbund). Dieser Schlüsselbund ist normalerweise unter dem Homeverzeichnis im Unterverzeichnis .gnupg zu finden.

Du kannst die vorhandenen Zertifikate, oder öffentliche Schlüssel im Schlüsselbund mit dem Schalter list-keys ausgeben lassen. Optional kannst du einen Suchstring angeben um die Auswahl etwas einzuschränken.

gpg --list-keys [Suchstring]

Schlüsselerzeugung

Ein neues Schlüsselpaar wird (in einem Schritt) mit dem Schalter quick-gen-key erzeugt. Unterschlüssel werden mit dem Schalter quick-add-key an ein bestehendes, eigenes Schlüsselpaar angehängt.

gpg --quick-gen-key <userid> [algo [usage [expire]]]
gpg --quick-add-key <keyid> [algo [usage [expire]]]

Es ist üblich, dass die userid eine Emailadresse enthält. Üblich ist es einen Namen anzugeben, die Emailadresse in spitze Klammern zu setzen und gegebenenfalls noch einen Kommentar in runden Klammern dazwischen. Ein Beispiel ist "Lars Fischer (smartcard) <lars.fischer@hs-spamschutz-bremerhaven.de>", wobei der Kommentar andeuten kann, dass es sich um ein Schlüsselpaar handelt und der private Schlüssel auf einer Kryptokarte gespeichert ist.

Übliche Parameter für den Kryptoalgorithmus sind rsa4096, oder ed25519. “ED” ist ein “elliptic curve digital signature algorithm” und lässt sich deshalb nicht zu verschlüsseln nutzen. Die usage ist eine Liste von kommaseparierten Schlüsselworten: sign, encr, cert, oder auth. Mit expire wird das letzte Gültigkeitsdatum des Schlüssels in relativen oder absoluten werten angegeben. 1y für ein Jahr ist ebenso legal wie 2019-10-23.

Es ist angeraten Schlüssel nicht gleichzeitig für Signatur und Verschlüsselung freizugeben. Üblich ist es den Hauptschlüssel für die Signatur und die Zertifizierung zu nutzen und einen Unterschlüssel für die Verschlüsselung anzulegen.

gpg --quick-gen-key "Name (Comment) <email@hs-bremerhaven.de>" ed25519 sign 1y
gpg --quick-add-key <keyid/fingerprint> rsa4096 encr 1y

Schau dir nun das Zertifikat an, welches du gerade erzeugt hast.

Schlüsselexportieren

Meist ist es erstrebenswert, dass der eigenen öffentliche Schlüssel sehr weit verbreitet wird. Dabei kann man selbst ein wenig helfen, indem der eigene Schlüssel an alle Kommunikationspartner verschickt wird. Dazu kann es nötig sein dieses zunächst in eine Datei zu exportieren.

gpg --export --armor <keyid>

Zertifizierung/Signatur von Schlüsseln

Mit der Signatur eines Schlüssels A bestätigt eine Person B, dass Sie überprüft hat, dass die Halterin/den Halter des Schlüssels A unter der angegebenen Identität bekannt ist und im Besitz des angegebenen privaten Schlüssels. Handelt es sich bei der Identität um eine Email-Adresse, dann sollte dementsprechend geprüft worden sein, dass Person A diese Emailadresse kontrolliert, i.e. “Besitzerin ist”.

Ein Schlüssel mit Identität wird über das Kommando --sign-key <keyid> ausgeführt. Der Schalter --default-key spezifiziert mit welchem Schlüssel unterschrieben werden soll. Beide Schlüssel müssen im eigenen Schlüsselring vorhanden sein.

gpg --default-key <my_key_id> --sign-key <keyid>

Wird der Schlüssel von Person A nun wieder exportiert, dann hängt die Signatur von Person B am Schlüssel.

Es gibt zusätzlich die Möglichkeit einen Schlüssel nur lokal zu signieren. Mit --lsign-key wird eine Signatur als “nicht exportierbar” markiert.

Die Signaturen eines, oder aller Schlüssel im Schlüsselring, kann man sich mit dem Kommando --list-signatures ansehen.

gpg --list-signatures <searchstring>

Schlüsselnutzung

tbd.