Damit Sie GnuPG zum Verschlüsseln, Entschlüsseln oder Signieren
einsetzen können, benötigen Sie ein Schlüsselpaar, das aus einem
geheimen und einem öffentlichen Schlüssel besteht. Mit der
Kommandozeilen-Option--gen-key können Sie ein neues primäres
Schlüsselpaar erzeugen:
user@linux ~$ gpg --gen-key
gpg (GnuPG) 1.0.1; Copyright (C) 1999 Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details.
Bitte wählen Sie, welche Art von Schlüssel Sie möchten: (1) DSA und ElGamal (voreingestellt) (2) DSA (nur signieren/beglaubigen) (4) ElGamal (signieren/beglaubigen und verschlüsseln) Ihre Auswahl?
|
Mit GnuPG können Sie verschiedene Typen von Schlüsselpaaren
erzeugen, doch muß der primäre Schlüssel Unterschriften liefern
können. Es gibt daher nur drei Optionen. Option 1 erzeugt wirklich
zwei Schlüsselpaare, nämlich ein DSA-Schlüsselpaar, das nur zum
Unterschreiben geeignet ist, und außerdem noch ein untergeordnetes
ElGamal-Schlüsselpaar für die Verschlüsselung. Option 2 erzeugt
nur das DSA-Schlüsselpaar. Option 4 [1] erzeugt ein einzelnes
ElGamal-Schlüsselpaar, das sowohl zum Unterzeichnen als auch zum
Verschlüsseln verwendbar ist. In allen Fällen ist es möglich,
später noch weitere Unterschlüssel für die Verschlüsselung und
Unterzeichnung hinzuzufügen. In der Regel sollten Sie hier die
Standardoption auswählen.
Als nächstes wählen Sie die Schlüsselgröße. Bei einem
DSA-Schlüssel muß diese zwischen 512 und 1024 Bits liegen, ein
ElGamal-Schlüssel dagegen kann - zumindest theoretisch - eine
beliebige Größe haben. Der GnuPG erfordert es allerdings, dass die
Schlüssel nicht kleiner als 768 Bits sind. Wenn Option 1 mit einer
Schlüsselgröße von mehr als 1024 Bit gewählt wurde, hat der
ElGamal-Schlüssel die verlangte Größe, doch der DSA-Schlüssel wird
maximal 1024 Bits haben.
Der DSA Schlüssel wird 1024 Bits haben. Es wird ein neues ELG-E Schlüsselpaar erzeugt. kleinste Schlüssellänge ist 768 Bit standard Schlüssellänge ist 1024 Bit größte sinnvolle Schlüssellänge ist 2048 Bit Welche Schlüssellänge wünschen Sie? (1024)
|
Je größer der Schlüssel ist, desto sicherer ist er gegen
Brute-Force-Angriffe, doch sollte für die meisten Zwecke die
Standard-Schlüsselgröße ausreichend sein, da es einfacher wäre,
die Verschlüsselung zu umgehen, als sie zu knacken. Außerdem wird
mit zunehmender Schlüsselgröße die Ver- und Entschlüsselung
langsamer, und auch die Unterschrift wird länger. Einmal
festgelegt, kann die Schlüsselgröße nicht nachträglich geändert
werden.
Schließlich müssen Sie noch ein Verfallsdatum wählen. Wenn Option
1 gewählt wurde, gilt dieses Verfallsdatum sowohl für die ElGamal-
als auch die DSA-Schlüsselpaare.
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll. 0 = Schlüssel verfällt nie <n> = Schlüssel verfällt nach n Tagen <n>w = Schlüssel verfällt nach n Wochen <n>m = Schlüssel verfällt nach n Monaten <n>y = Schlüssel verfällt nach n Jahren Der Schlüssel bleibt wie lange gültig? (0)
|
Für die meisten Fälle reicht ein Schlüssel ohne Verfallsdatum
völlig aus. Allerdings sollte man das Verfallsdatum immer
sorgfältig auswählen; denn, obwohl es sich auch noch nachträglich
ändern läßt, kann es umständlich sein, das geänderte Verfallsdatum
allen Ihren Kommunikationspartnern mitzuteilen.
Im nächsten Schritt müssen Sie eine Benutzer-ID (Benutzer-Kennung)
angeben. Das dient dazu, den soeben erzeugten Schlüssel einer
realen Person zuzuordnen.
Sie benötigen eine User-ID, um Ihren Schlüssel eindeutig zu machen; das Programm baut diese User-ID aus Ihrem echten Namen, einem Kommentar und Ihrer E-Mail-Adresse in dieser Form auf: "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>''
Ihr Name ("Vorname Nachname"):
|
Es wird zunächst nur eine Benutzer-ID erzeugt, doch können Sie
später weitere Benutzer-IDs hinzufügen, wenn Sie den Schlüssel in
verschiedenen Situationen benutzen wollen, also beispielsweise bei
der Arbeit in Ihrer Firma oder für Ihre politische Arbeit.
Die Benutzer-ID sollten Sie mit aller Sorgfalt wählen, da
Sie sie später nicht mehr ändern können.
Damit Ihr geheimer Schlüssel nicht von anderen mißbraucht werden
kann, wird er von GnuPG mit einem symmetrischen Verfahren
verschlüsselt. Dazu geben Sie ein sogenanntes Mantra
(einen Paßwort-Satz) ein, das Sie wiederum jedesmal benötigen,
wenn Sie auf Ihren geheimen Schlüssel zugreifen.
Sie benötigen ein Mantra, um den geheimen Schlüssel zu schützen. Geben Sie das Mantra ein:
|
Die Länge des Mantra ist theoretisch unbegrenzt. Sie sollten es
mit Sorgfalt auswählen. Unter dem Gesichtspunkt der Sicherheit ist
das Mantra einer der schwächsten Punkte im GnuPG (wie auch in
anderen Verschlüsselungssystemen mit öffentlichen Schlüsseln), da
es Ihr einziger Schutz ist, falls jemand in den Besitz Ihres
privaten Schlüssels kommt.
Man sollte für das Mantra keine Wörter aus einem Wörterbuch oder
Lexikon nehmen und nicht nur die Buchstaben des Alphabets, sondern
auch Sonderzeichen verwenden. Je länger das Mantra ist, desto
sicherer ist es, aber andererseits sollten Sie sich das Mantra
auch gut merken können; nichts ist fataler als das Mantra auf
einem Zettel oder in einer Datei zu notieren. Ein gut gewähltes
Mantra ist entscheidend für Ihre Datensicherheit.
Es ist beispielsweise keine gute Idee, einen bekannten Ausspruch
oder ein Zitat einer bekannten Persönlichkeit als Mantra zu
nehmen. Das würde die Chance erhöhen, das Mantra zu erraten: ein
Angreifer könnte einfach den Computer eine Zitatenliste
durchprobieren lassen. Am besten denkt man sich einen unsinnigen
Satz wie z.B: Die Currywurst schmeckt nach Zimt und
Zucker oder Helmut Kohl ist bekanntermaßen
Vegetarier aus. Ihrer Phantasie sind hierbei keine Grenzen
gesetzt. Wenn Sie auch noch ein paar Rechtschreibfehler und
Sonderzeichen einbauen, ist ein Wörterbuchangriff praktisch
unmöglich: Dat Körriwurst schmöckt nach #imt und
#ucker. Benutzen Sie auch auf keinen Fall eines der
soeben aufgeführten Beispiele!!.
Nach dem Erzeugen Ihres Schlüsselpaars sollten Sie sofort mit der
Option--gen-revoke eine Widerrufurkunde für
Ihre Schlüssel erzeugen. Wenn Sie
Ihr Mantra vergessen oder wenn Ihr privater Schlüssel
kompromittiert oder verloren gegangen ist, können Sie mit dieser
Widerrufurkunde andere davon in Kenntnis setzen, dass der
dazugehörige öffentliche Schlüssel nicht mehr benutzt werden
sollte. Ein zurückgerufener öffentlicher Schlüssel kann noch
benutzt werden, um Unterschriften zu prüfen, die Sie vor dem
Widerruf abgegeben haben, er kann jedoch nicht benutzt werden, um
künftige Mitteilungen an Sie zu verschlüsseln. Vorausgesetzt, Sie
haben noch Zugang zu Ihrem widerrufenen geheimen Schlüssel, so
können Sie selbstverständlich noch Daten entschlüsseln, die vor
dem Widerruf für Sie verschlüsselt worden sind.
user@linux ~$
gpg --output revoke.asc --gen-revoke mykey
[...]
|
wobei mykey entweder die Schlüssel-ID Ihres
ersten Schlüsselpaares oder irgendein Teil einer dazugehörigen
Benutzer-ID ist. Die erzeugte Widerrufurkunde wird in die Datei
revoke.asc, bzw., wenn man die Option--output
wegläßt, auf die Standard-Ausgabe geschrieben. Da die
Widerrufurkunde kurz ist, ist es kein Problem, eine ausgedruckte
Kopie der Widerrufurkunde irgendwo sicher aufzubewahren, z.B. in
Ihrem Bankschließfach. Die Widerrufurkunde sollten Sie aber auf
keinen Fall an Stellen aufbewahren, zu denen andere Personen
Zugang haben, da im Prinzip jeder die Widerrufurkunde
veröffentlichen und so den entsprechenden Schlüssel nutzlos
machen könnte.
|
|