Tachtler's DokuWiki

Homepage | Kontakt | Rechtliche Informationen | Impressum

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
tachtler:gnupg

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
tachtler:gnupg [2013/09/22 23:09] – [Befehl zur Generierung] klaustachtler:gnupg [2019/05/11 05:59] (aktuell) – [Keyserver abfragen] klaus
Zeile 55: Zeile 55:
 :!: **__BITTE ENTSCHEIDEN SIE SELBST__** ! :!: **__BITTE ENTSCHEIDEN SIE SELBST__** !
  
-==== Befehl zur Generierung ====+==== Befehl zur Generierung: CentOS 5 ====
  
 Mit nachfolgendem Befehl, kann ein Schlüsselpaar generiert werden: Mit nachfolgendem Befehl, kann ein Schlüsselpaar generiert werden:
Zeile 166: Zeile 166:
 Die Schlüssel befinden sich jetzt im **''HOME''**-Verzeichnis des Benutzer unter dem die Schlüssel generiert wurden - hier z.B. /root/.gnupg - wessen Inhalt mit nachfolgendem Befehl angezeigt werden kann: Die Schlüssel befinden sich jetzt im **''HOME''**-Verzeichnis des Benutzer unter dem die Schlüssel generiert wurden - hier z.B. /root/.gnupg - wessen Inhalt mit nachfolgendem Befehl angezeigt werden kann:
 <code> <code>
-ll -la /root/.gnupg/+ls -la /root/.gnupg/
 total 52 total 52
 drwx------  2 root root 4096 Jun  3 14:23 . drwx------  2 root root 4096 Jun  3 14:23 .
Zeile 178: Zeile 178:
 </code> </code>
  
 +==== Befehl zur Generierung: CentOS 6 ====
  
 Ab [[http://www.centos.org|CentOS]] **Version 6.x**: Ab [[http://www.centos.org|CentOS]] **Version 6.x**:
Zeile 329: Zeile 330:
 Die Schlüssel befinden sich jetzt im **''HOME''**-Verzeichnis des Benutzer unter dem die Schlüssel generiert wurden - hier z.B. /klaus/.gnupg - wessen Inhalt mit nachfolgendem Befehl angezeigt werden kann: Die Schlüssel befinden sich jetzt im **''HOME''**-Verzeichnis des Benutzer unter dem die Schlüssel generiert wurden - hier z.B. /klaus/.gnupg - wessen Inhalt mit nachfolgendem Befehl angezeigt werden kann:
 <code> <code>
-ll -la /klaus/.gnupg/+ls -la ~/.gnupg/
 total 44 total 44
 drwx------   3 klaus klaus 4096 Sep 22 22:39 . drwx------   3 klaus klaus 4096 Sep 22 22:39 .
Zeile 341: Zeile 342:
 -rw-------   1 klaus klaus 1280 Sep 22 22:39 trustdb.gpg -rw-------   1 klaus klaus 1280 Sep 22 22:39 trustdb.gpg
 </code> </code>
 +
 +==== Befehl zur Generierung: CentOS 7 ====
 +
 +Ab [[http://www.centos.org|CentOS]] **Version 7.x**:
 +
 +Bevor mit der Generierung begonnen werden kann, sollte um die **spätere** Eingabe eines Passwortes in einer grafischen Eingabe durchführen zu können, **zuerst** nachfolgende **Umgebungsvariable** gesetzte werden, was mit nachfolgendem Befehl durchgeführt werden kann:
 +<code>
 +# export PINENTRY_BINARY="/usr/bin/pinentry-curses"
 +</code>
 +
 +Ob die **Umgebungsvariable** korrekt gesetzt wurde, kann mit nachfolgendem Befehl überprüft werden:
 +<code>
 +# echo $PINENTRY_BINARY
 +/usr/bin/pinentry-curses
 +</code>
 +
 +:!: **HINWEIS** - Dies bewirkt, das auch in Umgebungen in denen keine **X-Server**, oder in denen nur eine ''ssh''-Verbindung besteht, ebenfalls die Eingabe und Verifizierung eines **Passwortes** für die **Passphrase**, durchgeführt werden kann! 
 +
 +Mit nachfolgendem Befehl, kann ein Schlüsselpaar generiert werden:
 +<code>
 +$ gpg --gen-key
 +gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
 +This is free software: you are free to change and redistribute it.
 +There is NO WARRANTY, to the extent permitted by law.
 +
 +gpg: directory `/home/klaus/.gnupg' created
 +gpg: new configuration file `/home/klaus/.gnupg/gpg.conf' created
 +gpg: WARNING: options in `/home/klaus/.gnupg/gpg.conf' are not yet active during this run
 +gpg: keyring `/home/klaus/.gnupg/secring.gpg' created
 +gpg: keyring `/home/klaus/.gnupg/pubring.gpg' created
 +Please select what kind of key you want:
 +   (1) RSA and RSA (default)
 +   (2) DSA and Elgamal
 +   (3) DSA (sign only)
 +   (4) RSA (sign only)
 +Your selection? 1
 +RSA keys may be between 1024 and 4096 bits long.
 +What keysize do you want? (2048) 4096
 +Requested keysize is 4096 bits
 +Please specify how long the key should be valid.
 +         0 = key does not expire
 +      <n>  = key expires in n days
 +      <n>w = key expires in n weeks
 +      <n>m = key expires in n months
 +      <n>y = key expires in n years
 +Key is valid for? (0) 0
 +Key does not expire at all
 +Is this correct? (y/N) y
 +
 +GnuPG needs to construct a user ID to identify your key.
 +
 +Real name: Klaus Tachtler
 +Email address: klaus@tachtler.net
 +Comment: klaus
 +You selected this USER-ID:
 +    "Klaus Tachtler (klaus) <klaus@tachtler.net>"
 +
 +Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
 +You need a Passphrase to protect your secret key.
 +
 +We need to generate a lot of random bytes. It is a good idea to perform
 +some other action (type on the keyboard, move the mouse, utilize the
 +disks) during the prime generation; this gives the random number
 +generator a better chance to gain enough entropy.
 +We need to generate a lot of random bytes. It is a good idea to perform
 +some other action (type on the keyboard, move the mouse, utilize the
 +disks) during the prime generation; this gives the random number
 +generator a better chance to gain enough entropy.
 +gpg: /home/klaus/.gnupg/trustdb.gpg: trustdb created
 +gpg: key EDB9DA12 marked as ultimately trusted
 +public and secret key created and signed.
 +
 +gpg: checking the trustdb
 +gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
 +gpg: depth: 0  valid:    signed:    trust: 0-, 0q, 0n, 0m, 0f, 1u
 +pub   4096R/EDB9DA12 2014-09-27
 +      Key fingerprint = 7ABD C6A1 8EB1 AAE4 A2AC  CC31 DF40 E5EC EDB9 DA12
 +uid                  Klaus Tachtler (klaus) <klaus@tachtler.net>
 +sub   4096R/1683B321 2014-09-27
 +
 +</code>
 +
 +1. //Die Angabe der Option **1** bewirkt, dass der //RSA// zum signieren und //RSA// als **asymmetrischer Chiffrierung** zum Einsatz kommt//\\
 +2. //Die Angabe der Schlüssellänge **4096** ist das Maximum. Wobei auch 2048 noch ausreichend wäre//\\
 +3. //Die Angabe der Gültigkeit **0** lässt den Schlüssel **nie** ablaufen//\\
 +4. //Die Angebe der **unbegrenzten Gültigkeit** mit **0** muss explicit noch einmal mit **y** bestätigt werden!//\\
 +5. //Es folgt der **reale Name** - ''Klaus Tachtler''//\\
 +6. //Es folgt die **e-Mail-Adresse** - ''klaus@tachtler.net''//\\
 +7. //Es folgt ein **Kommentar** - ''klaus'' - (nur als Beispiel)//\\
 +8. //Die Angaben werden mit **O** (großgeschrieben) bestätigt//\\
 +9. //Die **zweimalige** Angabe der **Passphrase** sollte mit einem nicht zu kurzem Kennwort beantwortet werden...//\\
 +
 +Es erscheint nachfolgendes Eingabefenster
 +
 +<code>
 +            ┌─────────────────────────────────────────────────────┐
 +            │ Enter passphrase                                    │
 +            │                                                     │
 +            │                                                     │
 +            │ Passphrase ________________________________________ │
 +            │                                                     │
 +            │       <OK>                             <Cancel>     │
 +            └─────────────────────────────────────────────────────┘
 +</code>
 +
 +Und zur Bestätigung der "Passphrase" nochmals nachfolgendes Eingabefenster.
 +
 +<code>
 +            ┌─────────────────────────────────────────────────────┐
 +            │ Please re-enter this passphrase                     │
 +            │                                                     │
 +            │ Passphrase ________________________________________ │
 +            │                                                     │
 +            │       <OK>                             <Cancel>     │
 +            └─────────────────────────────────────────────────────┘
 +</code>
 +
 +10. //:!: **HINWEIS** - Um mehr **"Entropien"** zur **Beschleunigung** der Generierung des **GPG-Schlüssels** zur Verfügung zu haben, kann die Erzeugung der Zufallszahlen durch das Starten von Systemaktivitäten positiv beeinflusst werden. Nachfolgender Befehl, in einer **zweiten ''shell''** auf dem selben Rechner aufgerufen,  **kopiert ** dazu den Inhalt einer Festplatte, hier **''/dev/sda''** nach **''/dev/null''** (Null Device).//
 +<code>
 +# dd if=/dev/vda of=/dev/null
 +20480000+0 records in
 +20480000+0 records out
 +10485760000 bytes (10 GB) copied, 53.8159 s, 195 MB/s
 +</code>
 +
 +Am Ende gibt [[http://www.gnupg.org/|GnuPG]] die Schlüssel-ID des neuen Schlüssel aus:
 +
 +<code>
 +We need to generate a lot of random bytes. It is a good idea to perform
 +some other action (type on the keyboard, move the mouse, utilize the
 +disks) during the prime generation; this gives the random number
 +generator a better chance to gain enough entropy.
 +We need to generate a lot of random bytes. It is a good idea to perform
 +some other action (type on the keyboard, move the mouse, utilize the
 +disks) during the prime generation; this gives the random number
 +generator a better chance to gain enough entropy.
 +gpg: /home/klaus/.gnupg/trustdb.gpg: trustdb created
 +gpg: key EDB9DA12 marked as ultimately trusted
 +public and secret key created and signed.
 +
 +gpg: checking the trustdb
 +gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
 +gpg: depth: 0  valid:    signed:    trust: 0-, 0q, 0n, 0m, 0f, 1u
 +pub   4096R/EDB9DA12 2014-09-27
 +      Key fingerprint = 7ABD C6A1 8EB1 AAE4 A2AC  CC31 DF40 E5EC EDB9 DA12
 +uid                  Klaus Tachtler (klaus) <klaus@tachtler.net>
 +sub   4096R/1683B321 2014-09-27
 +
 +</code>
 +
 +:!: **HINWEIS** - Nachfolgend einige Erklärungen zur Ausgabe der Schlüssel-ID des neuen Schlüssel:
 +
 +Folgende Zeile bezeichnet den **4096 Bit** langen **//RSA//-Schlüssel**, welcher auch der **"Hauptschlüssel"** genannt wird
 +<code>
 +pub   4096R/EDB9DA12 2014-09-27
 +</code>
 +Folgende Zeile bezeichnet den **//Fingerabdruck (fingerprint)//**
 +<code>
 +      Key fingerprint = 7ABD C6A1 8EB1 AAE4 A2AC  CC31 DF40 E5EC EDB9 DA12
 +</code>
 +Folgende Zeile bezeichnet den verwendete **//primäre ID// (primary uid)**
 +<code>
 +uid                  Klaus Tachtler (klaus) <klaus@tachtler.net>
 +</code>
 +Abschließend folgt dann der **//Unterschlüssel (subkey)//** mit der **ID 1683B321**, ein **4096 Bit** langer //RSA//-Schlüssel, welcher zur Ver- und Entschlüsselung verwendet wird
 +<code>
 +sub   4096R/1683B321 2014-09-27
 +</code>
 +
 +Die Schlüssel befinden sich jetzt im **''HOME''**-Verzeichnis des Benutzer unter dem die Schlüssel generiert wurden - hier z.B. /klaus/.gnupg - wessen Inhalt mit nachfolgendem Befehl angezeigt werden kann:
 +<code>
 +$ ll -la ~/.gnupg/
 +total 36
 +drwx------  3 klaus klaus  154 Sep 27 06:47 .
 +drwx------. 4 klaus klaus 4096 Sep 27 06:42 ..
 +-rw-------  1 klaus klaus 7680 Sep 27 06:42 gpg.conf
 +drwx------  2 klaus klaus    6 Sep 27 06:44 private-keys-v1.d
 +-rw-------  1 klaus klaus 2227 Sep 27 06:47 pubring.gpg
 +-rw-------  1 klaus klaus 2227 Sep 27 06:47 pubring.gpg~
 +-rw-------  1 klaus klaus  600 Sep 27 06:47 random_seed
 +-rw-------  1 klaus klaus 4885 Sep 27 06:47 secring.gpg
 +srwxrwxr-x  1 klaus klaus    0 Sep 27 06:46 S.gpg-agent
 +-rw-------  1 klaus klaus 1280 Sep 27 06:47 trustdb.gpg
 +</code>
 +
 ===== Schlüsselpaar ===== ===== Schlüsselpaar =====
  
Zeile 452: Zeile 638:
 :!: **HINWEIS** - Für den Rückruf des Schlüssel wird dann nur noch der //**öffentliche**// Schlüssel benötigt! :!: **HINWEIS** - Für den Rückruf des Schlüssel wird dann nur noch der //**öffentliche**// Schlüssel benötigt!
  
-==== Befehl zur Generierung ====+==== Befehl zur Generierung: CentOS 5 ====
  
 Zuerst werden mit folgender Befehl die //**öffentlichen**// Schlüssel aus dem **''pubring.gpg''** aufgelistet: Zuerst werden mit folgender Befehl die //**öffentlichen**// Schlüssel aus dem **''pubring.gpg''** aufgelistet:
Zeile 530: Zeile 716:
 </code> </code>
  
 +==== Befehl zur Generierung: CentOS 6 ====
  
 Ab [[http://www.centos.org|CentOS]] **Version 6.x** Ab [[http://www.centos.org|CentOS]] **Version 6.x**
Zeile 577: Zeile 764:
 {{:tachtler:gnupg:pinentry-revoke.png|Pinentry - Revoke}} {{:tachtler:gnupg:pinentry-revoke.png|Pinentry - Revoke}}
  
-</code>+<code>
 Revocation certificate created. Revocation certificate created.
  
Zeile 633: Zeile 820:
 vYa1X0GSAUohFjH5BAKHWL5F vYa1X0GSAUohFjH5BAKHWL5F
 =ccVb =ccVb
 +-----END PGP PUBLIC KEY BLOCK-----
 +</code>
 +
 +==== Befehl zur Generierung: CentOS 7 ====
 +
 +Ab [[http://www.centos.org|CentOS]] **Version 7.x**
 +
 +Zuerst werden mit folgender Befehl die //**öffentlichen**// Schlüssel aus dem **''pubring.gpg''** aufgelistet:
 +<code>
 +$ gpg --list-keys
 +/home/klaus/.gnupg/pubring.gpg
 +------------------------------
 +pub   4096R/EDB9DA12 2014-09-27
 +uid                  Klaus Tachtler (klaus) <klaus@tachtler.net>
 +sub   4096R/1683B321 2014-09-27
 +
 +</code>
 +
 +Nachfolgender Befehl generiert dann ein sogenanntes //Rückrufzertifikat **(revocation certificate)**// für den "Hauptschlüssel":
 +<code>
 +$ gpg --gen-revoke EDB9DA12
 +
 +sec  4096R/EDB9DA12 2014-09-27 Klaus Tachtler (klaus) <klaus@tachtler.net>
 +
 +Create a revocation certificate for this key? (y/N) y
 +Please select the reason for the revocation:
 +  0 = No reason specified
 +  1 = Key has been compromised
 +  2 = Key is superseded
 +  3 = Key is no longer used
 +  Q = Cancel
 +(Probably you want to select 1 here)
 +Your decision? 3
 +Enter an optional description; end it with an empty line:
 +>
 +Reason for revocation: Key is no longer used
 +(No description given)
 +Is this okay? (y/N) y
 +
 +You need a passphrase to unlock the secret key for
 +user: "Klaus Tachtler (klaus) <klaus@tachtler.net>"
 +4096-bit RSA key, ID EDB9DA12, created 2014-09-27
 +
 +ASCII armored output forced.
 +</code>
 +
 +An dieser Stelle erscheint nun nachfolgendes Eingabefenster
 +
 +<code>
 +   ┌───────────────────────────────────────────────────────────────────────┐
 +   │ Please enter the passphrase to unlock the secret key for the OpenPGP 
 +   │ certificate:                                                          │
 +   │ "Klaus Tachtler (klaus) <klaus@tachtler.net>"                         │
 +   │ 4096-bit RSA key, ID EDB9DA12,                                        │
 +   │ created 2014-09-27.                                                   │
 +   │                                                                       │
 +   │                                                                       │
 +   │ Passphrase __________________________________________________________ │
 +   │                                                                       │
 +   │          <OK>                                         <Cancel>        │
 +   └───────────────────────────────────────────────────────────────────────┘
 +</code>
 +
 +<code>
 +Revocation certificate created.
 +
 +Please move it to a medium which you can hide away; if Mallory gets
 +access to this certificate he can use it to make your key unusable.
 +It is smart to print this certificate and store it away, just in case
 +your media become unreadable.  But have some caution:  The print system of
 +your machine might store the data and make it available to others!
 +-----BEGIN PGP PUBLIC KEY BLOCK-----
 +Version: GnuPG v2.0.22 (GNU/Linux)
 +Comment: A revocation certificate should follow
 +
 +iQIfBCABAgAJBQJUJkfYAh0DAAoJEN9A5eztudoSyc4P/0BdMlkcWG9u9zHN9e2C
 +wOLvvae8m0HZld0hJRaFFhIAqe+3SiYKH2kcHrUk19hh4rLr3WaRprULm5K7Ji2e
 +hZCgRG+tCJ97EBcHA0k85ePpdwG+j9/zMeaSx4x2CCOg6qBaHXINlczKSBxpJ6ir
 +AFC2zCoqjShv1AiQAY74oIGgOGVF1rXvR4hQvjv7l9Pjlpa86kEADmt5BZAPWjDv
 +HsDufqTpgLJtZ5eAqVLkbfDr2hIwKaTGJSYpJEMfY3Z7PMeZtiOBIZtzbTEeVakP
 +o5VTkKOdASc6yPmXS3Y4DkabvHfA//trppTZJ/qrVmO8BW9nzT8fHZFPK96vI9HP
 +SHWGP6ALKehyzvrtiWLdsgBxBZtu0O4C011LVJMfDr7oVpKpY6nQT2bLvCJktyO9
 +ywMHfjGCyZ4xrzmNHwilAPpXnSoynGcyPR4BocL58SxGjQt3LwQ2lx7Qp8sSHyv/
 +JO79oECON7rgybZQkz6bGDmwpXrHAA6udMgD/Fp3E7ELK6LEI+c4CNqNa3uszp9a
 +2T3/0Me4T+5uKjL7hCC7Kmxa8C+5Cbolp5D7rWigOn5Z4ItrIGy0wDkRVu2vMZg7
 +gwIG7nlKAZ/cWaMWm30j6XIVS5FcI6g+a7zrGHlB5JCMrYL+E1Wy12s2OBfF1X5X
 +7UbnwHT8E2c4O4zyJpPAqVRA
 +=5OLf
 +-----END PGP PUBLIC KEY BLOCK-----
 +</code>
 +
 +  - //Die Generierung muss explizit noch einmal mit **y** bestätigt werden!//
 +  - //Als **Grund** des Rückzugs wird hier **3** gewählt//
 +  - //Eine **optionale Beschreibung zum Grund**, kann angegeben werden oder mit [Enter]-Taste auch leer gelassen werden//
 +  - //Abschließend müssen explizit noch einmal die Angaben mit **y** bestätigt werden!//
 +  - //Dann erfolgt die Eingabe der **Passphrase**//
 +
 +:!: **WICHTIG** - **Folgender Absatz stellt das //Rückrufzertifikat **(revocation certificate)**// dar und __MUSS__ nun noch in eine Datei kopiert werden __UND__ möglichst sicher aufbewahrt werden!**
 +
 +:!: **BEISPIEL** - Der Name der Datei mit dem //Rückrufzertifikat **(revocation certificate)**// könnte z.B. ''/tmp/revoke.txt'' lauten!
 +
 +<code>
 +-----BEGIN PGP PUBLIC KEY BLOCK-----
 +Version: GnuPG v2.0.22 (GNU/Linux)
 +Comment: A revocation certificate should follow
 +
 +iQIfBCABAgAJBQJUJkfYAh0DAAoJEN9A5eztudoSyc4P/0BdMlkcWG9u9zHN9e2C
 +wOLvvae8m0HZld0hJRaFFhIAqe+3SiYKH2kcHrUk19hh4rLr3WaRprULm5K7Ji2e
 +hZCgRG+tCJ97EBcHA0k85ePpdwG+j9/zMeaSx4x2CCOg6qBaHXINlczKSBxpJ6ir
 +AFC2zCoqjShv1AiQAY74oIGgOGVF1rXvR4hQvjv7l9Pjlpa86kEADmt5BZAPWjDv
 +HsDufqTpgLJtZ5eAqVLkbfDr2hIwKaTGJSYpJEMfY3Z7PMeZtiOBIZtzbTEeVakP
 +o5VTkKOdASc6yPmXS3Y4DkabvHfA//trppTZJ/qrVmO8BW9nzT8fHZFPK96vI9HP
 +SHWGP6ALKehyzvrtiWLdsgBxBZtu0O4C011LVJMfDr7oVpKpY6nQT2bLvCJktyO9
 +ywMHfjGCyZ4xrzmNHwilAPpXnSoynGcyPR4BocL58SxGjQt3LwQ2lx7Qp8sSHyv/
 +JO79oECON7rgybZQkz6bGDmwpXrHAA6udMgD/Fp3E7ELK6LEI+c4CNqNa3uszp9a
 +2T3/0Me4T+5uKjL7hCC7Kmxa8C+5Cbolp5D7rWigOn5Z4ItrIGy0wDkRVu2vMZg7
 +gwIG7nlKAZ/cWaMWm30j6XIVS5FcI6g+a7zrGHlB5JCMrYL+E1Wy12s2OBfF1X5X
 +7UbnwHT8E2c4O4zyJpPAqVRA
 +=5OLf
 -----END PGP PUBLIC KEY BLOCK----- -----END PGP PUBLIC KEY BLOCK-----
 </code> </code>
Zeile 1591: Zeile 1897:
  
 Hier eine kleine Auswahl an //**Keyservern**// Hier eine kleine Auswahl an //**Keyservern**//
 +  * [[https://keyserver.ubuntu.com/|https://keyserver.ubuntu.com/]]
 +  * [[http://keyserver.nausch.org/|http://keyserver.nausch.org/]]
 +
   * [[http://pool.sks-keyservers.net/|http://pool.sks-keyservers.net/]]   * [[http://pool.sks-keyservers.net/|http://pool.sks-keyservers.net/]]
   * [[http://pgp.mit.edu/|http://pgp.mit.edu/]]   * [[http://pgp.mit.edu/|http://pgp.mit.edu/]]
-  * [[http://keyserver.nausch.org/|http://keyserver.nausch.org/]] 
  
 Mit nachfolgendem Befehl, kann z.B. nach einem bestimmten Schlüssel auf einem //**Keyserver**// gesucht werden: Mit nachfolgendem Befehl, kann z.B. nach einem bestimmten Schlüssel auf einem //**Keyserver**// gesucht werden:
tachtler/gnupg.1379884190.txt.gz · Zuletzt geändert: 2013/09/22 23:09 von klaus