OpenPGP Card initialisieren
Ziel
Hier wird ein recht aufwendigerer Weg der Initialisierung beschrieben, welcher aber alle vorhandenen Möglichkeiten optimal zu nutzen versucht. Die Anleitung basiert weitestgehend auf der Beschreibung der fsfe. Es entsteht folgende Struktur:
| Hauptschlüssel | (offline, im Backup) | Signieren von Schlüsseln und wichtigen Dokumenten | |
|---|---|---|---|
| permanenter Verschlüsselungs-Schlüssel | (offline, im Backup) | Entschlüsseln auch bei verlorenem/abgelaufenen Verschlüsselungs-Schlüssel auf der Karte | |
| Signierungs-Schlüssel | auf der Karte | Signieren im täglichen Gebrauch (Mails) | |
| Verschlüsselungs-Schlüssel | auf der Karte | Verschlüsseln im täglichen Gebrauch | |
| Authentifizierungs-Schlüssel | auf der Karte |
Authentifizieren (z.B. SSH) |
|
Dabei ist natürlich auch der "permanente Verschlüsselungs-Schlüssel" bereits ein Unterschlüssel (Subkey).
Im Gegensatz zur Verwendung von z.B. "gpg --card-edit" und "generate" werden alle Schlüssel außerhalb der Karte angelegt. Das ist zwar eventuell weniger sicher, hat aber den Vorteil, daß ein Backup aller Schlüssel angelegt werden kann. Damit ist bei Defekt der Karte eine komplette Wiederherstellung möglich. Auch das Anlegen eine Zweitkarte ist so möglich. Alternativ würde natürlich auch nur ein Backup des Verschlüsselungs-Schlüssels genügen, um verschlüsselte Files bzw. Mails auch nach Defekt oder Verlust der Karte wiederherstellen zu können. Signatur- und Authentifizierungs-Schlüssel werden dann einfach durch neue ersetzt.
Voraussetzungen
Beschrieben wird die Einrichtung der Smartcard unter Linux (im konkreten Beispiel: Gentoo). Sinngemäß sollte alles auch auf andere Distributionen oder sogar Windows angewendet werden können. Folgende Punkte sollten bereits erfüllt/vorhanden sein:
- eine OpenPGP Card Version 2, ein Crypto Stick Version 1 (dieser enthält eine OpenPGP Card Version 2) oder ein YubiKey NEO mit OpenPGP Applet
- eingerichteter Kartenleser für die Crypto Card bzw. Hardware-Zugriff auf den Crypto Stick (i.A. genügt die Installation von ccid, pcsc-lite sowie GNUPG Version 2 mit Smartcard-Unterstützung)
- Installation von OpenSC. Dies wird zwar nicht direkt benötigt, einige enthaltene Tools sind aber nützlich und werden im Folgenden genutzt.
- GnuPG in Version 2.0.x wurde mit SmardCard-Support installiert. Der gpg-agent läuft.
Letzteres kann z.B. unter Gentoo mit KDE durch Aktivierung folgenden Eintrages in der Datei /etc/kde/startup/agent-startup.sh erreicht werden:
if [ -x /usr/bin/gpg-agent ]; then
eval "$(/usr/bin/gpg-agent --daemon)"
fi
Das Homeverzeichnis von GnuPG sollte jungfräulich sein. Ist das nicht der Fall, wird (evtl. nach Backup) dieses gelöscht und neu erstellt:
$ rm -rf /home/mmustermann/.gnupg
$ gpg -k
gpg: Verzeichnis `/home/mmustermann/.gnupg' erzeugt
gpg: Neue Konfigurationsdatei `/home/mmustermann/.gnupg/gpg.conf' erstellt
gpg: WARNUNG: Optionen in `/home/mmustermann/.gnupg/gpg.conf' sind während dieses Laufes noch nicht wirksam
gpg: Schlüsselbund `/home/mmustermann/.gnupg/pubring.gpg' erstellt
gpg: /home/mmustermann/.gnupg/trustdb.gpg: trust-db erzeugt
Danach am besten nochmal ab- und anmelden oder den Rechner komplett neu starten.
Sind die Voraussetzungen erfüllt, sollte die Abfrage des Kartenstatus möglich sein:
$ gpg --card-status
Application ID ...: F2760001240102000005000010B10000
Version ..........: 2.0
Manufacturer .....: ZeitControl
Serial number ....: 000010B1
Name of cardholder: [nicht gesetzt]
Language prefs ...: de
Sex ..............: unbestimmt
URL of public key : [nicht gesetzt]
Login data .......: [nicht gesetzt]
Signature PIN ....: zwingend
Key attributes ...: 2048R 2048R 2048R
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]
Das ist ein Beispiel für eine leere Karte. Sollte die Karte schon benutzt worden sein, kann sie mit folgendem Befehl gelöscht werden:
$ opensc-tool -s 00:20:00:81:08:40:40:40:40:40:40:40:40 \
-s 00:20:00:81:08:40:40:40:40:40:40:40:40 \
-s 00:20:00:81:08:40:40:40:40:40:40:40:40 \
-s 00:20:00:81:08:40:40:40:40:40:40:40:40 \
-s 00:20:00:83:08:40:40:40:40:40:40:40:40 \
-s 00:20:00:83:08:40:40:40:40:40:40:40:40 \
-s 00:20:00:83:08:40:40:40:40:40:40:40:40 \
-s 00:20:00:83:08:40:40:40:40:40:40:40:40 \
-s 00:e6:00:00 \
-s 00:44:00:00
Eventuell ist vorher noch ein Neustart des PCSC-Daemons nötig (/etc/init.d/pcscd restart). bei einem YubiKey NEO erfolgt das Löschen am besten durch erneutes Einspielen des OpenPGP-Applets.
Grundkonfiguration
An dieser Stelle passen wir die Konfigurationsdateien unter "~/.gnupg" an bzw. erstellen diese, wenn sie noch nicht vorhanden sind. Viele dieser Optionen sind für die Funktion nicht erforderlich, aber für verschiedene Dinge nützlich. Das soll an dieser Stelle nicht näher erläutert werden, stattdessen wird das Lesen der Man-Pages empfohlen.
~/.gnupg/gpg.conf
# Options for GnuPG
require-cross-certification
default-preference-list AES,AES256,AES192,CAST5,3DES,SHA256,SHA512,SHA384,SHA224,RIPEMD160,SHA1,ZLIB,BZIP2,ZIP,Uncompressed
cert-digest-algo SHA256
personal-cipher-preferences AES,AES256,AES192,CAST5,3DES
personal-digest-preferences SHA256,SHA512,SHA384,SHA224,RIPEMD160,SHA1
personal-compress-preferences ZLIB,BZIP2,ZIP
default-keyserver-url hkp://eu.pool.sks-keyservers.net
keyserver hkp://eu.pool.sks-keyservers.net
keyserver-options no-honor-keyserver-url
set-policy-url http://www.musterfirma.bsp/ca/Policy_PGP_Musterfirma_CA_D1EF057A.txt
ask-cert-expire
verify-options no-show-photos,show-uid-validity
list-options no-show-photos,show-uid-validity
"set-policy-url" verweist auf die eigene Beglaubigungsrichtlinie. Der Dateiname enthält dabei am Ende (vor dem ".txt") die Schlüssel-Id. Im Beispiel handelt es sich hier um die Beglaubigungsrichtlinie der Zertifizierungsstelle einer fiktiven Firma, welche die Schlüssel zusätzlich signiert. Die Schlüssel-Id im Dateinamen ist demzufolge die des Schlüssels der Zertifizierungsstelle.
In der Regel wird keine Zertifizierungsstelle verwendet. Dann sollte hier (falls man überhaupt eine Beglaubigungsrichtlinie angeben will) die Id dies eigenen Schlüssels stehen. Da dieser aber erst noch erstellt wird, kann man diese Option erst nach der Schlüsselerstellung setzen, womit der Schlüssel aber keine Policy-URL enthält. Wie diese noch eingefügt wird, ist weiter unten beschrieben.
~/.gnupg/gpg-agent.conf
enable-ssh-support
allow-mark-trusted
default-cache-ttl 18000
max-cache-ttl 86400
ignore-cache-for-signing
Karte personalisieren
Zuerst sollten die PINs geändert werden:
$ gpg --change-pin
gpg: OpenPGP Karte Nr. D2760001240102000005000010B10000 erkannt
1 - change PIN
2 - unblock PIN
3 - change Admin PIN
4 - set the Reset Code
Q - quit
Ihre Auswahl? 3
PIN changed.
1 - change PIN
2 - unblock PIN
3 - change Admin PIN
4 - set the Reset Code
Q - quit
Ihre Auswahl? 1
PIN changed.
1 - change PIN
2 - unblock PIN
3 - change Admin PIN
4 - set the Reset Code
Q - quit
Ihre Auswahl? q
Dabei erfolgt die PIN-Eingabe (alte und neue) im sich jeweils öffnenden Pinentry-Fenster. Die PINs einer neu initialisierten Karte lauten:
PIN: 123456
Admin-PIN: 12345678
Nun können verschiedene Daten der Karte angepaßt werden:
$ gpg --card-edit
Application ID ...: D2760001240102000005000010B10000
Version ..........: 2.0
Manufacturer .....: ZeitControl
Serial number ....: 000010B1
Name of cardholder: [nicht gesetzt]
Language prefs ...: de
Sex ..............: unbestimmt
URL of public key : [nicht gesetzt]
Login data .......: [nicht gesetzt]
Signature PIN ....: zwingend
Key attributes ...: 2048R 2048R 2048R
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]
gpg/card> admin
Admin-Befehle sind erlaubt
gpg/card> ?
quit Menü verlassen
admin Zeige Admin-Befehle
help Diese Hilfe zeigen
list Alle vorhandenen Daten auflisten
name Kartenbesitzernamen ändern
url Schlüssel-holen-URL ändern
fetch Holen des Schlüssels mittels der URL auf der Karte
login Ändern der Logindaten
lang Ändern der Spracheinstellungen
sex Ändern des Geschlechts des Kartenbesitzers
cafpr Ändern des CA-Fingerabdrucks
forcesig Umschalten des "Signature-force-PIN"-Schalters
generate neue Schlüssel erzeugen
passwd Menü für Ändern oder Entsperren der PIN
verify überprüfe die PIN und liste alle Daten auf
unblock die PIN mit dem Rückstellcode wieder freigeben
gpg/card> name
Familienname des Kartenbesitzers:Mustermann
Vorname des Kartenbesitzers:Max
gpg/card> url
URL um den öffentlichen Schlüssel zu holen: http://www.unitas-network.de/unternehmen/mitarbeiter/schluessel/mmustermann-pgp.asc
gpg/card> login
Logindaten (Kontenname): mmustermann
gpg/card> lang
Spracheinstellungende
gpg/card> sex
Geschlecht: (Männlich (M), Weiblich (F) oder Leerzeichen): m
gpg/card> list
Application ID ...: D2760001240102000005000010B10000
Version ..........: 2.0
Manufacturer .....: ZeitControl
Serial number ....: 000010B1
Name of cardholder: Max Mustermann
Language prefs ...: de
Sex ..............: männlich
URL of public key : http://www.unitas-network.de/unternehmen/mitarbeiter/schluessel/mmustermann-pgp.asc
Login data .......: mmustermann
Signature PIN ....: zwingend
Key attributes ...: 2048R 2048R 2048R
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]
gpg/card> quit
Unter der URL wird der noch zu erzeugende öffentliche Schlüssel abgelegt. Dieser kann dann (z.B. auf einem anderen PC) mittels "fetch" (auch ein card-edit Befehl, s.o.) abgeholt werden.
GnuPG-Hauptschlüssel erstellen
Der Schlüssel wird nicht einfach auf der Karte erstellt, was zwar prinzipiell sicherer wäre, allerdings nicht die Möglichkeit bietet, von allen Schlüsseln ein Backup anzulegen. Deswegen wird der Schlüssel so erstellt, wie man es auch ohne Karte tun würde:
$ gpg --gen-key
gpg (GnuPG) 2.0.21; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
(1) RSA und RSA (voreingestellt)
(2) DSA und Elgamal
(3) DSA (nur signieren/beglaubigen)
(4) RSA (nur signieren/beglaubigen)
Ihre Auswahl? 1
RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein.
Welche Schlüssellänge wünschen Sie? (2048) 2048
Die verlangte Schlüssellänge beträgt 2048 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
0 = Schlüssel verfällt nie
<n> = Schlüssel verfällt nach n Tagen
<n>w = Schlüssel verfällt nach n Wochen
<n>m = Schlüssel verfällt nach n Monaten
<n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 0
Schlüssel verfällt nie
Ist dies richtig? (j/N) j
GnuPG erstellt eine User-ID um Ihren Schlüssel identifizierbar zu machen.
Ihr Name ("Vorname Nachname"): Max Mustermann
Email-Adresse:
Kommentar: born 1976-02-01 in Musterstadt, Germany
Sie haben diese User-ID gewählt:
"Max Mustermann (born 1976-02-01 in Musterstadt, Germany)"
Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(A)bbrechen? f
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu schützen.
Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.
Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.
gpg: Schlüssel 04990DF6 ist als uneingeschränkt vertrauenswürdig gekennzeichnet
Öffentlichen und geheimen Schlüssel erzeugt und signiert.
gpg: "Trust-DB" wird überprüft
gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
gpg: Tiefe: 0 gültig: 1 signiert: 0 Vertrauen: 0-, 0q, 0n, 0m, 0f, 1u
pub 2048R/04990DF6 2013-10-01
Schl.-Fingerabdruck = BF88 004C 50AE 8244 B357 4504 BA9E 4162 0499 0DF6
uid [ uneing.] Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
sub 2048R/BA3A9A1D 2013-10-01
Im Beispiel wurde der Hauptschlüssel mit der Id 04990DF6 und ein Unterschlüssel (Subkey) zum Verschlüsseln mit der Id BA3A9A1D erzeugt. Dieser Unterschlüssel ist bereits der gewünschte permanente Verschlüsselungs-Schlüssel. Die Id des Hauptschlüssels wird im Folgenden häufig als Parameter angegeben und muß dann durch die Id des eigenen hauptschlüssels ersetzt werden.
Zur Schlüsselerstellung wird dabei auch die gewünschte Passphrase zur Absicherung des Schlüssels im Pinentry-Fenster abgefragt.
Es wird ein 2048 Bit langer RSA-Schlüssel erstellt. Prinzipiell könnte auch ein anderes Format oder eine andere Länge gewählt werden. Das würde nur zu Schwierigkeiten führen, wenn Schlüssel doch einmal auf eine Smartcard kopiert werden soll (was eigentlich nicht geplant ist).
Eine Email-Adresse wurde nicht eingegeben, da die erzeugte Identität als Haupt-/Default-Identität nicht an eine (evtl. nicht permanente) Email-Adresse gebunden werden soll.
Hier nochmal die Auflistung mit allen Parametern:
$ gpg --list-sigs --list-options show-policy-urls,show-notations,show-keyserver-urls 04990DF6
pub 2048R/04990DF6 2013-10-01
uid [ uneing.] Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
sig 3 P 04990DF6 2013-10-01 Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
Beglaubigungsrichtlinie: http://www.musterfirma.bsp/ca/Policy_PGP_Musterfirma_CA_D1EF057A.txt
Bevorzugter Schlüsselserver:hkp://eu.pool.sks-keyservers.net
sub 2048R/BA3A9A1D 2013-10-01
sig P 04990DF6 2013-10-01 Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
Beglaubigungsrichtlinie: http://www.musterfirma.bsp/ca/Policy_PGP_Musterfirma_CA_D1EF057A.txt
Im Beispiel ist bereits die Beglaubigungsrichtlinie der Zertifizierungsstelle eingetragen (s. ~/.gnupg/gpg.conf). Soll die Beglaubigungsrichtlinie stattdessen die Id des gerade erstellten Schlüssels enthalten, trägt man nun erst den Parameter "set-policy-url" in die gpg.conf ein. Um dies dann auch an die Schlüssel anzufügen, geht man wie folgt vor:
$ gpg --edit-key 04990DF6
gpg (GnuPG) 2.0.21; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Geheimer Schlüssel ist vorhanden.
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
[ uneing.] (1). Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
gpg> uid *
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
[ uneing.] (1)* Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
gpg> delsig
uid Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
sig!3 P 04990DF6 2013-10-01 [Eigenbeglaubigung]
Diese korrekte Beglaubigung entfernen? (j/N/q)j
Eigenbeglaubigung wirklich entfernen? (j/N)j
1 Beglaubigungen entfernt.
gpg> sign
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
Haupt-Fingerabdruck = BF88 004C 50AE 8244 B357 4504 BA9E 4162 0499 0DF6
Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
Sind Sie wirklich sicher, daß Sie vorstehenden Schlüssel mit Ihrem
Schlüssel "Max Mustermann (born 1976-02-01 in Musterstadt, Germany)" (04990DF6) beglaubigen wollen
Dies wird eine Eigenbeglaubigung sein.
Wirklich signieren? (j/N) j
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Max Mustermann (born 1976-02-01 in Musterstadt, Germany)"
2048-Bit RSA Schlüssel, ID 04990DF6, erzeugt 2013-10-01
gpg> save
Damit wird die Eigensignatur aller vorhandenen Identitäten erst gelöscht und dann (inkl. URL der Beglaubigungsrichtlinie) wieder angefügt.
Zusätzliche Identitäten
Als Beispiel erstellen wir nun 2 weitere Identitäten - für die private und die Firmen-Email-Adresse:
$ gpg --edit-key 04990DF6
gpg (GnuPG) 2.0.21; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Geheimer Schlüssel ist vorhanden.
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
[ uneing.] (1). Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
gpg> adduid
Ihr Name ("Vorname Nachname"): Max Mustermann
Email-Adresse: mmustermann@unitas-network.de
Kommentar: Unitas Network
Sie haben diese User-ID gewählt:
"Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>"
Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(A)bbrechen? f
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Max Mustermann (born 1976-02-01 in Musterstadt, Germany)"
2048-Bit RSA Schlüssel, ID 04990DF6, erzeugt 2013-10-01
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
[ uneing.] (1) Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ unbek.] (2). Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
gpg> adduid
Ihr Name ("Vorname Nachname"): Max Mustermann
Email-Adresse: maxm@mustermann-privat.de
Kommentar: privat
Sie haben diese User-ID gewählt:
"Max Mustermann (privat) <maxm@mustermann-privat.de>"
Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(A)bbrechen? f
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Max Mustermann (born 1976-02-01 in Musterstadt, Germany)"
2048-Bit RSA Schlüssel, ID 04990DF6, erzeugt 2013-10-01
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
[ uneing.] (1) Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ unbek.] (2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
[ unbek.] (3). Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> uid 1
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
[ uneing.] (1)* Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ unbek.] (2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
[ unbek.] (3). Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> primary
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Max Mustermann (born 1976-02-01 in Musterstadt, Germany)"
2048-Bit RSA Schlüssel, ID 04990DF6, erzeugt 2013-10-01
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
[ uneing.] (1)* Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ unbek.] (2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
[ unbek.] (3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> save
Nach der Erstellung der beiden zusätzlichen User-IDs wurde die erste wieder als primäre markiert.
Unterschlüssel für die Karte erstellen
Signatur-Schlüssel
$ gpg --edit-key 04990DF6 addkey
gpg (GnuPG) 2.0.21; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Geheimer Schlüssel ist vorhanden.
gpg: "Trust-DB" wird überprüft
gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
gpg: Tiefe: 0 gültig: 1 signiert: 0 Vertrauen: 0-, 0q, 0n, 0m, 0f, 1u
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
[ uneing.] (1). Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ uneing.] (2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
[ uneing.] (3) Max Mustermann (privat) <maxm@mustermann-privat.de>
Schlüssel ist geschützt.
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Max Mustermann (born 1976-02-01 in Musterstadt, Germany)"
2048-Bit RSA Schlüssel, ID 04990DF6, erzeugt 2013-10-01
Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
(3) DSA (nur signieren/beglaubigen)
(4) RSA (nur signieren/beglaubigen)
(5) Elgamal (nur verschlüsseln)
(6) RSA (nur verschlüsseln)
Ihre Auswahl? 4
RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein.
Welche Schlüssellänge wünschen Sie? (2048) 2048
Die verlangte Schlüssellänge beträgt 2048 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
0 = Schlüssel verfällt nie
<n> = Schlüssel verfällt nach n Tagen
<n>w = Schlüssel verfällt nach n Wochen
<n>m = Schlüssel verfällt nach n Monaten
<n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 2y
Key verfällt am Do 01 Okt 2015 19:14:40 CEST
Ist dies richtig? (j/N) j
Wirklich erzeugen? (j/N) j
Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
sub 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: S
[ uneing.] (1). Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ uneing.] (2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
[ uneing.] (3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> save
Es wurde also ein RSA-Schlüssel mit einer Länge von 2048 Bit und einer Gültigkeitsdauer von 2 Jahren erstellt.
Verschlüsselungs-Schlüssel
$ gpg --edit-key 04990DF6 addkey
gpg (GnuPG) 2.0.21; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Geheimer Schlüssel ist vorhanden.
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
sub 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: S
[ uneing.] (1). Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ uneing.] (2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
[ uneing.] (3) Max Mustermann (privat) <maxm@mustermann-privat.de>
Schlüssel ist geschützt.
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Max Mustermann (born 1976-02-01 in Musterstadt, Germany)"
2048-Bit RSA Schlüssel, ID 04990DF6, erzeugt 2013-10-01
Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
(3) DSA (nur signieren/beglaubigen)
(4) RSA (nur signieren/beglaubigen)
(5) Elgamal (nur verschlüsseln)
(6) RSA (nur verschlüsseln)
Ihre Auswahl? 6
RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein.
Welche Schlüssellänge wünschen Sie? (2048) 2048
Die verlangte Schlüssellänge beträgt 2048 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
0 = Schlüssel verfällt nie
<n> = Schlüssel verfällt nach n Tagen
<n>w = Schlüssel verfällt nach n Wochen
<n>m = Schlüssel verfällt nach n Monaten
<n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 2y
Key verfällt am Do 01 Okt 2015 19:21:05 CEST
Ist dies richtig? (j/N) j
Wirklich erzeugen? (j/N) j
Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
sub 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: S
sub 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: E
[ uneing.] (1). Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ uneing.] (2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
[ uneing.] (3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> save
Authentifizierungs-Schlüssel
Dafür muß der Expert-Mode genutzt werden, um die sogenannte Leistungsfähigkeit (besser Schlüsselfunktion) umschalten zu können:
$ gpg --expert --edit-key 04990DF6 addkey
gpg (GnuPG) 2.0.21; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Geheimer Schlüssel ist vorhanden.
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
sub 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: S
sub 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: E
[ uneing.] (1). Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ uneing.] (2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
[ uneing.] (3) Max Mustermann (privat) <maxm@mustermann-privat.de>
Schlüssel ist geschützt.
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Max Mustermann (born 1976-02-01 in Musterstadt, Germany)"
2048-Bit RSA Schlüssel, ID 04990DF6, erzeugt 2013-10-01
Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
(3) DSA (nur signieren/beglaubigen)
(4) RSA (nur signieren/beglaubigen)
(5) Elgamal (nur verschlüsseln)
(6) RSA (nur verschlüsseln)
(7) DSA (Leistungsfähigkeit selber einstellbar)
(8) RSA (Leistungsfähigkeit selber einstellbar)
Ihre Auswahl? 8
Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Signieren Verschl.
(U) Umschalten der Signaturfähigkeit
(V) Umschalten der Verschlüsselungsfähigkeit
(A) Umschalten der Authentisierungsfähigkeit
(Q) Beenden
Ihre Auswahl? u
Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Verschl.
(U) Umschalten der Signaturfähigkeit
(V) Umschalten der Verschlüsselungsfähigkeit
(A) Umschalten der Authentisierungsfähigkeit
(Q) Beenden
Ihre Auswahl? v
Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge:
(U) Umschalten der Signaturfähigkeit
(V) Umschalten der Verschlüsselungsfähigkeit
(A) Umschalten der Authentisierungsfähigkeit
(Q) Beenden
Ihre Auswahl? a
Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Authentisierung
(U) Umschalten der Signaturfähigkeit
(V) Umschalten der Verschlüsselungsfähigkeit
(A) Umschalten der Authentisierungsfähigkeit
(Q) Beenden
Ihre Auswahl? q
RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein.
Welche Schlüssellänge wünschen Sie? (2048) 2048
Die verlangte Schlüssellänge beträgt 2048 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
0 = Schlüssel verfällt nie
<n> = Schlüssel verfällt nach n Tagen
<n>w = Schlüssel verfällt nach n Wochen
<n>m = Schlüssel verfällt nach n Monaten
<n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 2y
Key verfällt am Do 01 Okt 2015 19:25:07 CEST
Ist dies richtig? (j/N) j
Wirklich erzeugen? (j/N) j
Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
sub 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: S
sub 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: E
sub 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: A
[ uneing.] (1). Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ uneing.] (2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
[ uneing.] (3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> save
Damit sind alle benötigten Schlüssel erzeugt (s. Funktion hinter "Aufruf:" in obiger Ausgabe):
- Hauptschlüssel (ID 04990DF6) zum Signieren wichtiger Dokumente und zur Beglaubigung von Schlüsseln
- Permanenter Verschlüsselungs-Schlüssel (ID BA3A9A1D) zum Entschlüsseln, falls der "normale" Verschlüsselungs-Schlüssel nicht verfügbar ist
- Signatur-Schlüssel (ID 8E45D356)
- Verschlüsselungs-Schlüssel (ID 6AC5AB96)
- Authentifizierungs-Schlüssel (ID DE07E3CE)
Alle Schlüssel befinden sich im lokalen Schlüsselbund (Keyring) auf der Festplatte des PC.
Backup
Nun werden Backups des Schlüsselbundes mit allen Schlüsseln angelegt. Zuerst eine Kopie zur späteren Verwendung in dieser Anleitung (wird dann wieder gelöscht):
$ cp ~/.gnupg/secring.gpg ~/.gnupg/secring.gpg.backup
$ cp ~/.gnupg/pubring.gpg ~/.gnupg/pubring.gpg.backup
Nun noch die Kopie auf ein sicheres Offline-Medium (z.B. USB-Stick):
$ cp ~/.gnupg/secring.gpg /Pfad/zum/USB/Stick
$ cp ~/.gnupg/pubring.gpg /Pfad/zum/USB/Stick
Das Backup-Medium sollte nun sicher aufbewahrt werden. Bei einem Verlust können neben der Kompromittierung der privaten Schlüssel keine Änderungen (Unterschlüssel austauschen, neue identität eintragen, Schlüssel zurückziehen) mehr vorgenommen werden. Evtl. ist ein Zweit-Backup sinnvoll.
Ein Ausdruck auf Papier ist auch sinnvoll, z.B. mit PaperKey:
$ paperkey --secret-key=~/.gnupg/secring.gpg --output-width=157
Schlüssel auf die Karte verschieben
Nun werden die dafür vorgesehenen Unterschlüssel auf die Karte verschoben. Zuerst der Signatur-, dann der Verschlüsselungs und zuletzt der Authentisierungs-Schlüssel.
Bitte im Folgenden nicht blind den Befehl zur Schlüsselauswahl (z.B. "key 2") kopieren, sondern an Hand der Id und z.B. "Aufruf" und "verfällt" den korrekten Schlüssel wählen!
$ gpg --edit-key 04990DF6
gpg (GnuPG) 2.0.21; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Geheimer Schlüssel ist vorhanden.
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
sub 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: S
sub 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: E
sub 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: A
[ uneing.] (1). Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ uneing.] (2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
[ uneing.] (3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> toggle
sec 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: niemals
(1) Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
(2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
(3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> key 2
sec 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals
ssb* 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: niemals
(1) Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
(2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
(3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> keytocard
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
Wählen Sie den Speicherort für den Schlüssel:
(1) Signatur-Schlüssel
(3) Authentisierungs-Schlüssel
Ihre Auswahl? 1
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Max Mustermann (born 1976-02-01 in Musterstadt, Germany)"
2048-Bit RSA Schlüssel, ID 8E45D356, erzeugt 2013-10-01
sec 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals
ssb* 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: niemals
Kartennummer:0005 000010B1
ssb 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: niemals
(1) Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
(2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
(3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> key 2
sec 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: niemals
Kartennummer:0005 000010B1
ssb 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: niemals
(1) Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
(2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
(3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> key 3
sec 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: niemals
Kartennummer:0005 000010B1
ssb* 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: niemals
(1) Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
(2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
(3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> keytocard
Signature key ....: 9C19 A6BE 5236 FA38 1BBA DF43 2457 8A16 8E45 D356
Encryption key....: [none]
Authentication key: [none]
Wählen Sie den Speicherort für den Schlüssel:
(2) Verschlüsselungs-Schlüssel
Ihre Auswahl? 2
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Max Mustermann (born 1976-02-01 in Musterstadt, Germany)"
2048-Bit RSA Schlüssel, ID 6AC5AB96, erzeugt 2013-10-01
sec 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: niemals
Kartennummer:0005 000010B1
ssb* 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: niemals
Kartennummer:0005 000010B1
ssb 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: niemals
(1) Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
(2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
(3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> key 3
sec 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: niemals
Kartennummer:0005 000010B1
ssb 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: niemals
Kartennummer:0005 000010B1
ssb 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: niemals
(1) Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
(2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
(3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> key 4
sec 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: niemals
Kartennummer:0005 000010B1
ssb 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: niemals
Kartennummer:0005 000010B1
ssb* 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: niemals
(1) Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
(2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
(3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> keytocard
Signature key ....: 9C19 A6BE 5236 FA38 1BBA DF43 2457 8A16 8E45 D356
Encryption key....: 7D27 D9E9 8A9B 367D 5FC5 980D 2FDF 5FFA 6AC5 AB96
Authentication key: [none]
Wählen Sie den Speicherort für den Schlüssel:
(3) Authentisierungs-Schlüssel
Ihre Auswahl? 3
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Max Mustermann (born 1976-02-01 in Musterstadt, Germany)"
2048-Bit RSA Schlüssel, ID DE07E3CE, erzeugt 2013-10-01
sec 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals
ssb 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: niemals
Kartennummer:0005 000010B1
ssb 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: niemals
Kartennummer:0005 000010B1
ssb* 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: niemals
Kartennummer:0005 000010B1
(1) Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
(2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
(3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> save
Hauptschlüssel aus Schlüsselbund entfernen
Momentan befinden sich die 3 Unterschlüssel auf der Karte, der Hauptschlüssel sowie der permanente Verschlüsselungs-Schlüssel befinden sich noch im lokalen Schlüsselbund. Die beiden letzteren werden nun gelöscht, da sie für die tägliche Arbeit nicht benötigt werden. Bei Bedarf erfolgt eine Wiederherstellung aus dem Backup.
Permanenter Verschlüsselungsschlüssel
$ gpg --edit-key 04990DF6
gpg (GnuPG) 2.0.21; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Geheimer Schlüssel ist vorhanden.
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
sub 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: S
sub 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: E
sub 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: A
[ uneing.] (1). Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ uneing.] (2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
[ uneing.] (3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> key 1pub
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub* 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
sub 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: S
sub 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: E
sub 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: A
[ uneing.] (1). Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ uneing.] (2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
[ uneing.] (3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> delkey
Möchten Sie diesen Schlüssel wirklich entfernen? (j/N) j
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: S
sub 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: E
sub 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: A
[ uneing.] (1). Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ uneing.] (2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
[ uneing.] (3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> save
Hauptschlüssel
Aktuell befinden sich im lokalen Schlüsselring noch der Hauptschlüssel sowie je ein Verweis (Stub) auf die Unterschlüssel der Karte. Letzteres speichern wir:
$ gpg --export-secret-subkeys 04990DF6 >sub.secring
Nun wird der geheime Hauptschlüssel gelöscht:
$ gpg --delete-secret-keys 04990DF6
gpg (GnuPG) 2.0.21; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
sec 2048R/04990DF6 2013-10-01 Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
Diesen Schlüssel aus dem Schlüsselbund löschen? (j/N) j
Dies ist ein privater Schlüssel! - Wirklich löschen? (j/N) j
Damit ist der geheime Schüsselbund leer, da auch die Unterschlüssel (bzw. deren Verweis auf die Karte) mit gelöscht werden. Diese Verweise werden nun wiederhergestellt:
$ gpg --import < sub.secring
gpg: Schlüssel 04990DF6: geheimer Schlüssel importiert
gpg: Schlüssel 04990DF6: "Max Mustermann (born 1976-02-01 in Musterstadt, Germany)" 1 neue Signatur
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: neue Signaturen: 1
gpg: gelesene geheime Schlüssel: 1
gpg: geheime Schlüssel importiert: 1
Jetzt wird noch der komplette öffentliche Schlüsselring wiederhergestellt (nach dem Löschen fehlen daraus noch der Haupt-und der permanente Verschlüsselungs-Schlüssel):
$ gpg --import < .gnupg/pubring.gpg.backup
gpg: Schlüssel 04990DF6: "Max Mustermann (born 1976-02-01 in Musterstadt, Germany)" 1 neue Signatur
gpg: Schlüssel 04990DF6: "Max Mustermann (born 1976-02-01 in Musterstadt, Germany)" 1 neuer Unterschlüssel
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: neue Unterschlüssel: 1
gpg: neue Signaturen: 1
Zum Schluß werden die temporären Backups gelöscht:
$ rm sub.secring
$ rm ~/.gnupg/*.backup
Entgültiger Schlüsselring
Das Ziel ist nun erreicht, wir haben die gewünschte Struktur der Schlüsselringe:
$ gpg --list-secret-keys
/home/mmustermann/.gnupg/secring.gpg
-------------------------------
sec# 2048R/04990DF6 2013-10-01
uid Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
uid Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
uid Max Mustermann (privat) <maxm@mustermann-privat.de>
ssb> 2048R/8E45D356 2013-10-01
ssb> 2048R/6AC5AB96 2013-10-01
ssb> 2048R/DE07E3CE 2013-10-01
An der Raute hinter "sec" erkennt man, daß der geheime Teil des Hauptschlüssels nicht vorhanden ist (den haben wir im Backup). Das gilt auch für den permanenten Verschlüsselungs-Schlüssel, nicht vorhandene Unterschlüssel werden allerdings gar nicht angezeigt. Das "größer als" hinter "ssb" zeigt, daß sich diese Unterschlüssel auf der Smartcard befinden.
Im öffentlichen Schlüsselring sehen wir auch den permanenten Verschlüsselungs-Schlüssel (ganz unten):
$ gpg --list-keys
/home/mmustermann/.gnupg/pubring.gpg
-------------------------------
pub 2048R/04990DF6 2013-10-01
uid [ uneing.] Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
uid [ uneing.] Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
uid [ uneing.] Max Mustermann (privat) <maxm@mustermann-privat.de>
sub 2048R/8E45D356 2013-10-01 [verfällt: 2015-10-01]
sub 2048R/6AC5AB96 2013-10-01 [verfällt: 2015-10-01]
sub 2048R/DE07E3CE 2013-10-01 [verfällt: 2015-10-01]
sub 2048R/BA3A9A1D 2013-10-01
Anpassen Konfiguration
Durch Hinzufügen der folgenden Einträge wird sichergestellt, daß alle von uns verschlüsselten Daten zusätzlich zum öffentlichen Schlüssel des Empfängers auch mit dem eigenen Verschlüsselungsschlüssel und dem permanenten Verschlüsselungsschlüssel verschlüsselt werden. Damit können die verschlüsselten Daten auch selbst wieder entschlüsselt werden, sowohl mit dem Verschlüsselungs-Schlüssel auf der Karte, als auch (z.B.nach dessen Ablauf) mit dem permanenten Verschlüsselungs-Schlüssel (welcher im Backup liegt).
~/.gnupg/gpg.conf
hidden-encrypt-to 0x6AC5AB96!
hidden-encrypt-to 0xBA3A9A1D!
default-recipient 0x6AC5AB96!
default-recipient 0xBA3A9A1D!
Test
Ver- und Entschlüsseln
Wir erstellen eine Testdatei:
$ echo "Das ist ein Test" > ~/Test.txt
und verschlüsseln diese an uns selbst. Die dabei entstandene ASCII-Datei zeigen wir uns an:
$ gpg -a -e ~/Test.txt
gpg: übersprungen: öffentlicher Schlüssel bereits als Standardempfänger gesetzt
$ cat ~/Test.txt.asc
-----BEGIN PGP MESSAGE-----
Version: GnuPG v2.0.21 (GNU/Linux)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=P84s
-----END PGP MESSAGE-----
Nun wird wieder entschlüsselt:
$ gpg -d ~/Test.txt.asc
gpg: Ungenannter Empfänger; Versuch mit geheimen Schlüssel 8E45D356 ...
gpg: Ungenannter Empfänger; Versuch mit geheimen Schlüssel 6AC5AB96 ...
gpg: Alles klar, wir sind der ungenannte Empfänger.
gpg: verschlüsselt mit RSA Schlüssel, ID 00000000
gpg: verschlüsselt mit RSA Schlüssel, ID 00000000
Das ist ein Test
Dabei sollte nach der PIN der Karte gefragt werden. Es werden die verschiedenen Schlüssel durchprobiert und bei Erfolg der unverschlüsselte Inhalt der Datei ausgegeben. Das Entschlüsseln sollte nun nochmal ohne eingelegte Karte getestet werden, das darf dann nicht funktionieren.
Signieren
Nun signieren wir die Testdatei mit dem privaten Schlüssel und lassen uns das Ergebnis anzeigen:
$ gpg --clearsign ~/Test.txt
Datei '/home/mmustermann/Test.txt.asc' existiert bereits. Überschreiben (j/N)? j
$ cat ~/Test.txt.asc
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Das ist ein Test
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.21 (GNU/Linux)
iQFiBAEBCABMBQJSUR5QRRpodHRwOi8vd3d3Lm11c3RlcmZpcm1hLmJzcC9jYS9Q
b2xpY3lfUEdQX011c3RlcmZpcm1hX0NBX0QxRUYwNTdBLnR4dAAKCRAkV4oWjkXT
Vu5HB/0cOdeSD6w2Rndy2ulKC6O2iISsmqLtYvrEgncHnIWoch+UPsqD73JG6gtZ
HZmRyt+q1bHyqcWWWUgiaoaIbcfYqrtFqmJediVJxBxyFhgD18pE2b7GgCOCxNGw
hJTFcz2VRDEs6KfKfyxBVs4p3Wj8WdrSo4m9hOrp3JWhoBaX1US9v5v85XW7nyK9
Zc8MgRYb8ckT6bvclaSlBMpd346L7y2js94C16Do68XwPbQjDlOs8ZLeVI28v2Vh
mkZk0eQZ67Cv4ZXbLdCNtbHQWRdtaU+5cxKJtzeqaeUGruAFRxoy7cEoN69fdhci
W7MEJZzDDUQ0ac93eUjLW++DT7vo
=RgYA
-----END PGP SIGNATURE-----
Dabei sollte wieder nach der Karten-PIN gefragt werden. Zur Kontrolle auch diesen Test ohne Karte wiederholen.
Zuletzt wird die korrekte Signatur überprüft:
$ gpg --verify ~/Test.txt.asc
gpg: Signatur vom So 06 Okt 2013 10:24:48 CEST mittels RSA-Schlüssel ID 8E45D356
gpg: Korrekte Signatur von "Max Mustermann (born 1976-02-01 in Musterstadt, Germany)" [uneingeschränkt]
gpg: alias "Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>" [uneingeschränkt]
gpg: alias "Max Mustermann (privat) <maxm@mustermann-privat.de>" [uneingeschränkt]
gpg: Beglaubigungsrichtlinie: http://www.musterfirma.bsp/ca/Policy_PGP_Musterfirma_CA_D1EF057A.txt
Nutzung des Backups des Schlüsselbundes
Für die tägliche Arbeit verfügen wir also uber einen Schlüsselbund mit den Verweisen auf die Schlüssel, welche auf der Karte gespeichert sind. Hauptschlüssel und permanenter Verschlüsselungsschlüssel befinden sich nur im Backup. Für verschiedene Aufgaben muß auf dieses Backup zurückgegriffen werden, z.B.:
- Verlust der Karte: Dann müssen die auf der Karte vorhandenen Unterschlüssel widerrufen und eine neue Karte mit neuen Unterschlüsseln erstellt werden.
- Defekt der Karte: In diesem Fall werden die im Backup vorhandenen Subkeys entsprechend dieser Anleitung auf die neue Karte verschoben.
Achtung! Hierfür darf nicht, wie weiter unten beschrieben, das Backup direkt genutzt werden, da die Unterschlüssel auf die Karte verschoben werden und dann nicht mehr im Backup vorhanden wären. Stattdessen sollte das Backup (secring.gpg) direkt nach ~/.gnupg/ kopiert werden. - Unterzeichnen anderer Schlüssel: das geht nur mit dem Hauptschlüssel
- Entschlüsseln einer Datei mit dem permanenten Verschlüsselungs-Schlüssel
In diesen Fällen wird das Backup (z.B. auf einem USB-Stick wie im Folgenden beschrieben genutzt.
Einbinden des Backup-Schlüsselbundes
Zuerst wird der aktuelle geheime Schlüsselbund gesichert:
$ mv ~/.gnupg/secring.gpg ~/.gnupg/secring.gpg.clean
Nun wird das Backup-Medium gemountet (evtl. read-only) und ein Symlink erstellt:
$ ln -s <Pfad zu gemountetem Backup-Medium>/secring.gpg ~/.gnupg/secring.gpg
Nun sollten alle Schlüssel wieder lokal vorhanden sein:
$ gpg --list-secret-keys
/home/mmustermann/.gnupg/secring.gpg
-------------------------------
sec 2048R/04990DF6 2013-10-01
uid Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
uid Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
uid Max Mustermann (privat) <maxm@mustermann-privat.de>
ssb 2048R/8E45D356 2013-10-01
ssb 2048R/6AC5AB96 2013-10-01
ssb 2048R/DE07E3CE 2013-10-01
Hauptschlüsssel verwenden
Nun können die Tätigkeiten ausgeführt werden, welche den geheimen Hauptschlüssel bzw. permanenten Verschlüsselungsschlüssel erfordern (z.B. Schlüssel nach einer Keyparty signieren, eine mit dem permanenten verschlüsselungsschlüssel verschlüsselte datei entschlüsseln...).
Backup-Schlüsselbund wieder entfernen
Nun muß der Ausgangszustand wiederhergestellt werden:
$ rm ~/.gnupg/secring.gpg
$ mv ~/.gnupg/secring.gpg.clean ~/.gnupg/secring.gpg
$ gpg --list-secret-keys
/home/mmustermann/.gnupg/secring.gpg
-------------------------------
sec# 2048R/04990DF6 2013-10-01
uid Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
uid Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
uid Max Mustermann (privat) <maxm@mustermann-privat.de>
ssb> 2048R/8E45D356 2013-10-01
ssb> 2048R/6AC5AB96 2013-10-01
ssb> 2048R/DE07E3CE 2013-10-01
In der Auflistung der Schlüssel erkennt man am "#", daß der geheime Hauptschlüssel wieder entfernt ist und an den ">", daß sich die Unterschlüssel auf der Karte befinden.
Tips & Tricks
Karte auf anderem Computer verwenden
Soll die Karte auf einem weiteren PC genutzt werden, erstellt man auf diesem zuerst, wie oben beschrieben, die Voraussetzungen und die Grundkonfiguration bzw. paßt die vorhandene Umgebung entsprechend an.
Dann wird die Karte bekanntgegeben. Zuerst wird der öffentliche Schlüssel geholt:
$ gpg --card-edit
Application ID ...: D2760001240102000005000010B10000
Version ..........: 2.0
Manufacturer .....: ZeitControl
Serial number ....: 000010B1
Name of cardholder: Max Mustermann
Language prefs ...: de
Sex ..............: männlich
URL of public key : http://www.unitas-network.de/unternehmen/mitarbeiter/schluessel/mmustermann-pgp.asc
Login data .......: mmustermann
Signature PIN ....: zwingend
Key attributes ...: 2048R 2048R 2048R
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 1
Signature key ....: 9C19 A6BE 5236 FA38 1BBA DF43 2457 8A16 8E45 D356
created ....: 2013-10-01 17:14:07
Encryption key....: 7D27 D9E9 8A9B 367D 5FC5 980D 2FDF 5FFA 6AC5 AB96
created ....: 2013-10-01 17:20:54
Authentication key: 0049 1657 B197 54DA C3E0 D5FF 0EF2 A6B9 DE07 E3CE
created ....: 2013-10-01 17:24:11
General key info..: [none]
gpg/card> fetch
gpg: fordere Schlüssel 8E45D356 von http-Server www.unitas-network.de an
gpg: Schlüssel 04990DF6: Öffentlicher Schlüssel "Max Mustermann (born 1976-02-01 in Musterstadt, Germany)" importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: importiert: 1 (RSA: 1)
gpg/card> quit
Alternativ kann der öffentliche Schlüssel auch von einem Schlüsselserver oder dem anderen Computer kopiert werden.
Nach dem folgenden Kommando weiß der neue Computer dann auch, welche geheimen Schlüssel sich auf der Karte befinden:
$ gpg --card-status
Application ID ...: D2760001240102000005000010B10000
Version ..........: 2.0
Manufacturer .....: ZeitControl
Serial number ....: 000010B1
Name of cardholder: Max Mustermann
Language prefs ...: de
Sex ..............: männlich
URL of public key : http://www.unitas-network.de/unternehmen/mitarbeiter/schluessel/mmustermann-pgp.asc
Login data .......: mmustermann
Signature PIN ....: zwingend
Key attributes ...: 2048R 2048R 2048R
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 1
Signature key ....: 9C19 A6BE 5236 FA38 1BBA DF43 2457 8A16 8E45 D356
created ....: 2013-10-01 17:14:07
Encryption key....: 7D27 D9E9 8A9B 367D 5FC5 980D 2FDF 5FFA 6AC5 AB96
created ....: 2013-10-01 17:20:54
Authentication key: 0049 1657 B197 54DA C3E0 D5FF 0EF2 A6B9 DE07 E3CE
created ....: 2013-10-01 17:24:11
General key info..: pub 2048R/8E45D356 2013-10-01 Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
sec# 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals
ssb> 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: 2015-10-01
Kartennummer:0005 000010B1
ssb> 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: 2015-10-01
Kartennummer:0005 000010B1
ssb> 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: 2015-10-01
Kartennummer:0005 000010B1
ssb# 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals
Dem neuen Schlüssel sollten wir uneingeschränkt vertrauen:
$ gpg --edit-key 04990DF6
gpg (GnuPG) 2.0.21; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Geheimer Schlüssel ist vorhanden.
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: unbekannt Gültigkeit: unbekannt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
sub 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: S
sub 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: E
sub 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: A
[ uneing.] (1). Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ uneing.] (2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
[ uneing.] (3) Max Mustermann (privat) <maxm@mustermann-privat.de>
gpg> trust
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: unbekannt Gültigkeit: unbekannt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
sub 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: S
sub 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: E
sub 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: A
[ uneing.] (1). Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ uneing.] (2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
[ uneing.] (3) Max Mustermann (privat) <maxm@mustermann-privat.de>
Bitte entscheiden Sie, in wieweit Sie diesem User zutrauen,
Schlüssel anderer User korrekt zu prüfen (durch Vergleich
mit Lichtbildausweisen, Vergleich der Fingerabdrücke aus
unterschiedlichen Quellen ...)?
1 = Weiß nicht so recht
2 = Nein, ihm traue ich NICHT
3 = Ich vertraue ihm marginal
4 = Ich vertraue ihm vollständig
5 = Ich vertraue ihm absolut
m = Zurück zum Menü
Ihre Auswahl? 5
Wollen Sie diesem Schlüssel wirklich uneingeschränkt vertrauen? (j/N) j
pub 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals Aufruf: SC
Vertrauen: unbekannt Gültigkeit: unbekannt
sub 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals Aufruf: E
sub 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: S
sub 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: E
sub 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: 2015-10-01 Aufruf: A
[ uneing.] (1). Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
[ uneing.] (2) Max Mustermann (Unitas Network) <mmustermann@unitas-network.de>
[ uneing.] (3) Max Mustermann (privat) <maxm@mustermann-privat.de>
Bitte beachten Sie, daß ohne einen Programmneustart die angezeigte
Schlüsselgültigkeit nicht notwendigerweise korrekt ist.
gpg> quit
Damit sollte die Karte auch auf diesem PC normal genutzt werden können.
Neue Karte mit alten Schlüsseln
Nach einem Tausch der Karte (z.B. nach Defekt) muß GnuPG wissen, daß sich die Schlüssel nun auf einer anderen Karte befinden. Sonst wird bei jeder Aktion mit den geheimen Schlüsseln nach der alten Karte verlangt. Dazu löscht man einfach den geheimen Schlüsselbund. Aber nur, wenn sich darin keine anderen geheimen Schlüssel befinden! Ansonsten nur den einzelnen Hauptschlüssel der Karte löschen. Anschließend liest man die Karte neu ein:
$ rm .gnupg/secring.gpg
$ gpg --card-status
Application ID ...: D2760001240102000005000010B10000
Version ..........: 2.0
Manufacturer .....: ZeitControl
Serial number ....: 000010B1
Name of cardholder: Max Mustermann
Language prefs ...: de
Sex ..............: männlich
URL of public key : http://www.unitas-network.de/unternehmen/mitarbeiter/schluessel/mmustermann-pgp.asc
Login data .......: mmustermann
Signature PIN ....: zwingend
Key attributes ...: 2048R 2048R 2048R
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 1
Signature key ....: 9C19 A6BE 5236 FA38 1BBA DF43 2457 8A16 8E45 D356
created ....: 2013-10-01 17:14:07
Encryption key....: 7D27 D9E9 8A9B 367D 5FC5 980D 2FDF 5FFA 6AC5 AB96
created ....: 2013-10-01 17:20:54
Authentication key: 0049 1657 B197 54DA C3E0 D5FF 0EF2 A6B9 DE07 E3CE
created ....: 2013-10-01 17:24:11
General key info..: pub 2048R/8E45D356 2013-10-01 Max Mustermann (born 1976-02-01 in Musterstadt, Germany)
sec# 2048R/04990DF6 erzeugt: 2013-10-01 verfällt: niemals
ssb> 2048R/8E45D356 erzeugt: 2013-10-01 verfällt: 2015-10-01
Kartennummer:0005 000010B1
ssb> 2048R/6AC5AB96 erzeugt: 2013-10-01 verfällt: 2015-10-01
Kartennummer:0005 000010B1
ssb> 2048R/DE07E3CE erzeugt: 2013-10-01 verfällt: 2015-10-01
Kartennummer:0005 000010B1
ssb# 2048R/BA3A9A1D erzeugt: 2013-10-01 verfällt: niemals
Artikelaktionen