Austauschen von Schlüsseln

Um mit anderen zu kommunizieren, müssen Sie untereinander Ihre öffentlichen Schlüssel austauschen. Zum Auflisten der Schlüssel in Ihrem öffentlichen Schlüsselbund verwenden Sie die Befehlszeilen-Option --list-keys.

alice$  gpg --list-keys
/users/alice/.gnupg/pubring.gpg
---------------------------------------
pub  1024D/FB5797A9 2000-06-06 Alice (Rechtsanwältin) <[email protected]>
sub  1024g/C8B3998F 2000-06-06

Exportieren eines öffentlichen Schlüssels

Um jemandem Ihren öffentlichen Schlüssel zu schicken, müssen Sie diesen zunächst exportieren. Hierzu benutzt man die Kommandozeilen-Option --export. Zur Indentifikation des zu exportierenden öffentlichen Schlüssels dient entweder die Schlüssel-ID oder irgendein Teil der Benutzer-ID.

alice$  gpg --output alice.gpg --export [email protected]

Der Schlüssel wird in einem binären Format exportiert, doch kann dies unerwünscht sein, wenn Sie den Schlüssel per E-Mail verschicken oder auf einer WWW-Seite veröffentlichen wollen. GnuPG unterstützt daher die Kommandozeilen-Option --armor[1] die bewirkt, daß der Output im ASCII-Format ausgegeben wird. (Im Allgemeinen kann jeder Output von GnuPG - beispielsweise Schlüssel, verschlüsselte Dokumente oder Unterschriften - im ASCII-Format dargestellt werden, indem man die --armor-Option hinzufügt.)

alice$  gpg --armor --export [email protected]
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.0.1 (GNU/Linux)
Comment: For info see http://www.gnupg.org

[...]
-----END PGP PUBLIC KEY BLOCK-----

Importieren eines öffentlichen Schlüssels

Ein öffentlicher Schlüssel kann zu Ihrem öffentlichen Schlüsselbund hinzugefügt werden, und zwar mit folgender Option: --import

alice$  gpg --import blake.gpg
gpg: Schlüssel B2690E6F: Öffentlicher Schlüssel importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg:            importiert: 1
alice$  gpg --list-keys
/users/alice/.gnupg/pubring.gpg
---------------------------------------
pub  1024D/FB5797A9 2000-06-06 Alice (Rechtsanwältin) <[email protected]>
sub  1024g/C8B3998F 2000-06-06

pub  1024D/B2690E6F 2000-06-06 Blake (Staatsanwalt) <[email protected]>
sub  1024g/F251B862 2000-06-06

Wenn ein Schlüssel einmal importiert ist, sollte er auf Authentizität überprüft werden. GnuPG arbeitet mit einem wirksamen und flexiblen Vertrauensmodell, bei dem Sie nicht jeden Schlüssel persönlich zu authentifizieren brauchen, den Sie importieren. Einige Schlüssel können dies jedoch erfordern. Ein Schlüssel wird dadurch authentifiziert, daß Sie den Fingerabdruck des Schlüssels überpüfen und dann den Schlüssel unterschreiben, um seine Gültigkeit zu bestätigen. Der Fingerabdruck eines Schlüssels kann schnell mit der Befehlszeilen-Option --fingerprint geprüft werden, um aber den Schlüssel zu bestätigen, müssen Sie ihn editieren.

alice$  gpg --edit-key [email protected]

pub  1024D/B2690E6F  created: 2000-06-06 expires: never      trust: -/q
sub  1024g/F251B862  created: 2000-06-06 expires: never     
(1)  Blake (Staatsanwalt) <[email protected]>

Befehl> fpr
pub  1024D/B2690E6F 2000-06-06 Blake (Staatsanwalt) <[email protected]>
             Fingerprint: 6A51 852C 7491 95B5 C5F0  731C 141F C008 B269 0E6F
Um den Fingerabdruck zu überprüfen, müssen Sie den Eigentümer des Schlüssels kontaktieren und die Fingerabdrücke vergleichen. Sie können persönlich oder per Telefon mit ihm sprechen oder auf beliebigem anderen Wege kommunizieren, solange nur garantiert ist, daß es sich um den rechtmäßigen Eigentümer handelt. Stimmen beide Fingerabdrücke überein, dann können Sie sicher sein, daß Sie eine echte Kopie des öffentlichen Schlüssels haben.

Nach dem Prüfen des Fingerabdrucks können Sie den Schlüssel unterschreiben, um ihn zu authentifizieren. Da die Schlüsselüberprüfung ein Schwachpunkt in der Kryptographie mit öffentlichem Schlüssel ist, sollten Sie äußerste Sorgfalt walten lassen und den Fingerabdruck eines Schlüssels immer gemeinsam mit dem Eigentümer prüfen, bevor Sie den Schlüssel unterschreiben.

Befehl> sign

pub  1024D/B2690E6F  created: 2000-06-06 expires: never      trust: -/q
             Fingerprint: 6A51 852C 7491 95B5 C5F0  731C 141F C008 B269 0E6F

     Blake (Staatsanwalt) <[email protected]>

Sind Sie wirklich sicher, daß Sie vorstehenden Schlüssel mit Ihrem
Schlüssel beglaubigen wollen: ``Alice (Rechtsanwältin) <[email protected]>''

Wirklich unterschreiben?

Sie können sich jederzeit vergewissern, welche Unterschrift Sie hinzugefügt haben. Jede Benutzer-ID auf dem Schlüssel hat dann sowohl eine oder mehrere Eigenbeglaubigungen als auch eine Unterschrift von jedem Benutzer, der den Schlüssel authentifiziert hat.

Befehl> check
uid  Blake (Staatsanwalt) <[email protected]>
sig!       B2690E6F 2000-06-06   [Eigenbeglaubigung]
sig!       FB5797A9 2000-06-06   Alice (Rechtsanwältin) <[email protected]>

Fußnoten

[1]

Viele Kommandozeilen-Optionen, die häufig benutzt werden, können auch in einer Konfigurationsdatei definiert werden.