====== GPG ====== ===== Prinzip ===== bla blubb ===== Benutzung ===== ==== Signieren und Signaturen prüfen ==== Mit dem Befehl $ gpg -s (oder --sign) [Datei] unterschreibt man eine Datei mit seinem privaten Schlüssel. Sie wird dabei gleichzeitig komprimiert, ist dann also nicht mehr ohne weiteres lesbar. Mit $ gpg --clearsign [Datei] belässt man die Datei lesbar, mit $ gpg -b (oder --detach-sign) [Datei] erzeugt man eine Unterschrift in einer separaten Datei. Letzteres ist insbesondere zum signieren von Binärdateien wie Archiven zu empfehlen. Auch bei diesen Befehlen kann die Option --armor (keine binäre Kodierung) nützlich sein. Üblicherweise wird sowohl signiert als auch verschlüsselt, der Befehl lautet dann vollständig $ gpg [-u Sender] [-r Empfänger] [--armor] --sign --encrypt [Datei] Die Optionen -u (--local-user) und -r (--recipient) funktionieren wie oben erläutert. Wenn eine verschlüsselte Datei signiert ist, so wird beim Entschlüsseln die Signatur mitgeprüft. Die Signatur einer unverschlüsselten Datei prüft man mit $ gpg [--verify] [Datei] immer natürlich vorausgesetzt, dass man im Besitz des entsprechenden öffentlichen Schlüssels ist. ==== Verschlüsseln ==== Falls man mehrere private Schlüssel hat, kann man mit der Option -u UID oder --local-user UID einen (oder mehrere) Schlüssel nach seiner UID auswählen. Diese Auswahl ersetzt den im Konfigurationsfile mit dem Befehl default-key KeyID einen Schlüssel standardmäßig ausgewählten Schlüssel. Mit -r UID oder --recipient UID kann man den Empfänger in der Kommandozeile auswählen. Das Kommando zum Verschlüsseln lautet # gpg -e Empfänger [Datei] oder # gpg --encrypt Empfänger [Datei] ==== Entschlüsseln ==== Das Kommando zum Entschlüsseln lautet # gpg [-d] [Datei] oder # gpg [--decrypt] [Datei] Auch hier gilt: Voreingestellt ist Ausgabe auf stdout, man kann aber mit der Option -o [Datei] in eine Datei ausgeben. ===== Verwaltung ===== ==== GPG-Schlüssel suchen ==== Ein Schlüssel kann (hier z. B. über den Schlüsselserver pgpkeys.pca.dfn.de) schnell gesucht werden. Praktischerweise wird gleich ein Import angeboten. $ gpg --keyserver hkp://pgpkeys.pca.dfn.de --keyserver-options verbose --search-keys "Suchstring" "Suchstring" ist entweder die Key-ID oder bekannte Bestandteile der User-ID. ==== GPG-Schlüssel importieren ==== * Schlüssel holen: $ gpg --keyserver wwwkeys.eu.pgp.net --recv-keys bzw. gpg --import ==== GPG-Schlüssel exportieren ==== * Öffentlichen Schlüssel in Datei exportieren: $ gpg -ao Key-IDpubkey.asc --export * Privaten Schlüssel in Datei exportieren. Den privaten Schlüssel auf KEINEN Fall an Dritte weitergeben! $ gpg -o Key-IDpubkey.asc --export * Upload auf Schlüsselserver $ gpg --keyserver hkp://pgpkeys.pca.dfn.de --keyserver-options verbose --send-keys ==== GPG-Schlüssel signieren ==== Zunächst wird der Fingerprint des Schlüssels geholt geholt: $ gpg --fingerprint Dieser wird mit dem angeben Fingerprint des Besitzers verglichen und dessen Identität sichergestellt. Anschließend kann der Schlüssel signiert werden: $ gpg --sign-key * Vertrauenswürdigkeit managen: $ gpg --edit-key Als Befehl Befehl> help eintippen und wählen: quit Menü verlassen save speichern und Menü verlassen help Diese Hilfe zeigen fpr Fingerabdruck des Schlüssels anzeigen list Schlüssel und User-IDs auflisten uid User-ID N auswählen key Unterschlüssel N auswählen check Signaturen prüfen sign die ausgewählten User-IDs beglaubigen [* für verwandte Befehle s.u.] lsign Die ausgewählte User-ID nur für diesen Rechner beglaubigen tsign Die ausgewählte User-ID mit einer "Trust"-Unterschrift beglaubigen nrsign die ausgewählten User-ID unwiderrufbar beglaubigen deluid ausgewählte User-IDs entfernen delkey ausgewählte Unterschlüssel entfernen delsig Beglaubigungen der ausgewählten User-IDs entfernen pref Liste der Voreinstellungen (für Experten) showpref Liste der Voreinstellungen (ausführlich) trust Den "Owner trust" ändern revsig Beglaubigungen der ausgewählten User-IDs widerrufen enable Schlüssel anschalten disable Schlüssel abschalten showphoto ausgewählte Foto-IDs anzeigen clean unbrauchbare User-IDs verkleinern und unbrauchbare Unterschrifen aus dem Schlüssel entfernen minimize unbrauchbare User-IDs verkleinern und alle Unterschrifen aus dem Schlüssel entfernen ==== Widerrufszertifikat herstellen ==== $ gpg --output Widerruf_.asc --gen-revoke