5 Tipps zum Sichern Ihres GPG-Schlüssels unter Linux
GPG-Schlüssel sind ein wichtiger Bestandteil der Verifizierung Ihrer Online-Identität. Daher stellt der Schutz vor böswilligen Akteuren sicher, dass sich bei Ihrer Kommunikation mit anderen Personen niemand als Sie ausgeben kann. Hier zeigen wir Ihnen fünf einfache Tipps, wie Sie Ihren GPG-Schlüssel unter Linux sichern können.
Tipp: Erfahren Sie noch heute, wie Sie Ihren eigenen GPG-Schlüssel in Linux generieren.
1. Erstellen Sie Unterschlüssel für jede GPG-Funktion
Eine der einfachsten Möglichkeiten, Ihren GPG-Schlüssel in Linux zu sichern, besteht darin, für jede Schlüsselfunktion einen separaten Unterschlüssel zu erstellen. Unterschlüssel sind zusätzliche Teile der kryptografischen Identität, die an Ihren primären Hauptschlüssel angehängt werden. Dies macht es für böswillige Akteure schwieriger, Ihren primären privaten Schlüssel abzugreifen, da Sie ihn nicht für allgemeine Schlüsselaktionen verwenden.
Öffnen Sie dazu die GPG-Eingabeaufforderung für Ihren Primärschlüssel:
gpg --expert --edit-key IHRE-GPG@EMAIL.ADRESSEFühren Sie change-usage aus, um die Standardfunktionen Ihres Primärschlüssels zu ändern.
Andere Artikel, die Sie interessieren könntenGeben Sie „S“ ein und drücken Sie die Eingabetaste, um die Signaturfunktion Ihres Primärschlüssels zu deaktivieren.
Führen Sie addkey aus, um den zweiten Unterschlüssel Ihres Primärschlüssels zu erstellen.
Wählen Sie bei der Eingabeaufforderung für den Schlüsselalgorithmus „8“ aus und drücken Sie dann die Eingabetaste.
Geben Sie in der Eingabeaufforderung „=S“ ein und drücken Sie dann die Eingabetaste, um die Funktion des Unterschlüssels auf „Nur Signieren“ festzulegen.
Notiz: Sie können den Wert von „=S“ entweder in „=E“ oder „=A“ ändern, um die Funktion eines Unterschlüssels auf „Nur verschlüsseln“ oder „Nur authentifizieren“ festzulegen.
Geben Sie bei der Eingabeaufforderung zur Schlüsselgröße „4096“ ein und drücken Sie dann die Eingabetaste, um die Größe Ihres RSA-Unterschlüssels auf 4096 Bit festzulegen.
Legen Sie eine angemessene Gültigkeitsdauer für Ihren Unterschlüssel fest. In meinem Fall lege ich fest, dass mein Unterschlüssel nach einem Jahr abläuft.
Erstellen Sie Ihren neuen Unterschlüssel, indem Sie „y“ eingeben und dann in der Bestätigungsaufforderung die Eingabetaste drücken.
Führen Sie den Befehl „addkey“ erneut aus und erstellen Sie die anderen beiden Unterschlüssel für die Verschlüsselungs- und Authentifizierungsfunktionen.
Bestätigen Sie, dass Ihr GPG-Schlüssel für jede Funktion einen Unterschlüssel hat, indem Sie den Unterbefehl „list“ ausführen.
Als Randnotiz: sind Sie auch ein Windows-Benutzer? Erfahren Sie, wie Sie GPG in Windows einrichten und verwenden.
2. Legen Sie ein Ablaufdatum für Ihre Schlüssel fest
Eine weitere einfache Möglichkeit, Ihren GPG-Schlüssel in Linux zu sichern, besteht darin, Ihrem Primärschlüssel und Ihren Unterschlüsseln ein Ablaufdatum zuzuweisen. Dies hat zwar keinen Einfluss auf die Signier-, Verschlüsselungs- und Authentifizierungsfähigkeit des Schlüssels, aber durch die Festlegung eines Ablaufdatums haben andere GPG-Benutzer einen Grund, Ihren Schlüssel immer anhand eines Schlüsselservers zu validieren.
Öffnen Sie zunächst Ihren Primärschlüssel im GPG-CLI-Tool:
gpg --edit-key IHRE-GPG@EMAIL.ADRESSEGeben Sie „expire“ ein und drücken Sie die Eingabetaste, um das Ablaufdatum Ihres Primärschlüssels zu bearbeiten. In meinem Fall werde ich meinen Schlüssel so einstellen, dass er nach 10 Jahren abläuft.
Geben Sie das Kennwort für Ihren GPG-Schlüssel ein und drücken Sie dann die Eingabetaste, um das neue Ablaufdatum zu bestätigen.
Führen Sie die folgenden Befehle aus, um die internen Unterschlüssel Ihres GPG-Schlüssels auszuwählen:
Führen Sie „expire“ aus und geben Sie dann ein Ablaufdatum für Ihre Unterschlüssel an. In den meisten Fällen sollten diese Schlüssel früher ablaufen als Ihr Primärschlüssel. Ich stelle sie so ein, dass sie nach acht Monaten ablaufen.
Geben Sie „Speichern“ ein und drücken Sie dann die Eingabetaste, um Ihre Änderungen an Ihrem GPG-Schlüsselbund zu übernehmen.
Bestätigen Sie, dass Ihr Schlüssel das richtige Ablaufdatum hat, indem Sie Folgendes ausführen: gpg --list-keys.
Gut zu wissen: Erfahren Sie, wie Sie GPG mit einer GUI mit GNU Kleopatra verwenden können.
3. Speichern Sie Ihre GPG-Schlüssel in einem Sicherheitsschlüssel
Sicherheitsschlüssel sind kleine Geräte, die speziell für die Speicherung privater Authentifizierungsdaten entwickelt wurden. In diesem Zusammenhang können Sie sie auch zum Speichern Ihrer GPG-Schlüssel verwenden, ohne Ihre allgemeine Sicherheit zu gefährden.
Stecken Sie zunächst Ihren Sicherheitsschlüssel in Ihren Computer und führen Sie dann den folgenden Befehl aus, um zu prüfen, ob GPG ihn erkennt:
Öffnen Sie die GPG-Eingabeaufforderung für Ihren Primärschlüssel und führen Sie dann „list“ aus, um alle Details Ihres Schlüsselbunds auszudrucken:
gpg --edit-key IHRE-GPG@EMAIL.ADRESSESuchen Sie den Unterschlüssel mit dem Verwendungswert „S“ und führen Sie dann den Schlüssel gefolgt von seiner Reihenfolgenummer in der Unterschlüsselliste aus. Beispielsweise ist mein Unterschlüssel „S“ der erste Schlüssel auf meiner Liste, also führe ich Schlüssel 1 aus.
Verschieben Sie Ihren Unterschlüssel „S“ in den internen Speicher Ihres Sicherheitsschlüssels:
Wählen Sie in der Übertragungsaufforderung „1“ aus, geben Sie das Kennwort für Ihren primären GPG-Schlüssel ein und führen Sie den Tastenbefehl erneut aus, um die Auswahl des ersten Unterschlüssels aufzuheben.
Suchen Sie den Unterschlüssel mit dem Verwendungswert „A“ und führen Sie dann den Tastenbefehl gefolgt von der Indexnummer des Unterschlüssels aus.
Übertragen Sie den Unterschlüssel „A“ mit dem Befehl „keytocard“ auf Ihr Sicherheitsgerät, wählen Sie in der Übertragungsaufforderung „3“ aus und führen Sie den Tastenbefehl erneut aus, um die Auswahl des Unterschlüssels „A“ aufzuheben.
Suchen Sie den Unterschlüssel mit dem Verwendungswert „E“ und wählen Sie ihn dann mit dem Tastenbefehl aus.
Übertragen Sie den Unterschlüssel „E“ mit dem Befehl keytocard auf Ihr Sicherheitsgerät und wählen Sie dann in der Eingabeaufforderung „2“ aus.
Führen Sie „Save“ aus und drücken Sie dann die Eingabetaste, um Ihre Änderungen an Ihrem GPG-Schlüsselbund zu übernehmen.
Bestätigen Sie abschließend, dass Sie die Unterschlüssel ordnungsgemäß von Ihrem Computer exportiert haben, indem Sie gpg --list-secret-keys YOUR-GPG@EMAIL.ADDRESS ausführen. Dadurch sollte neben den „ssb“-Beschriftungen Ihrer Unterschlüssel ein Größer-als-Symbol (>) gedruckt werden.
4. Sichern Sie Ihren privaten Hauptschlüssel auf Papier
Abgesehen von Sicherheitsschlüsseln können Sie Ihren GPG-Schlüssel in Linux auch sichern, indem Sie ihn in eine druckbare Textdatei exportieren. Paperkey ist ein einfaches Befehlszeilenprogramm, das Ihren privaten Schlüssel nimmt und ihn auf seine geheimen Kernbytes reduziert. Dies ist nützlich, wenn Sie nach einer Möglichkeit suchen, Ihren GPG-Schlüssel außerhalb digitaler Geräte aufzubewahren.
Installieren Sie zunächst Paperkey aus dem Paket-Repository Ihrer Linux-Distribution:
sudo apt installiere PaperkeyExportieren Sie die Binärversion Ihres primären privaten und öffentlichen Schlüssels:
gpg --export-secret-key --output secret.gpg IHRE-GPG@EMAIL.ADRESSE gpg --export --output public.gpg IHRE-GPG@EMAIL.ADRESSEKonvertieren Sie Ihren binären privaten Schlüssel in seine geheimen Kerndaten:
paperkey --secret-key secret.gpg --output core-secret.txtBestätigen Sie, dass Sie Ihren primären privaten Schlüssel aus Ihrem Paperkey-Backup rekonstruieren können:
paperkey --pubring public.gpg --secrets core-secret.asc --output secret.gpgÖffnen Sie Ihre Kerngeheimnisdatei mit Ihrem bevorzugten grafischen Texteditor. In meinem Fall verwende ich den Standardtexteditor von GNOME.
Klicken Sie oben rechts im Fenster auf das Optionsmenü und wählen Sie dann den Untermenüeintrag „Drucken“ aus.
Gut zu wissen: Erfahren Sie, wie Sie mit lp Dateien vom Terminal aus drucken.
5. Löschen Sie Ihren privaten Hauptschlüssel aus dem System
Wenn Sie einen neuen GPG-Schlüssel generieren, speichert Ihr Computer eine Kopie der öffentlichen und privaten Schlüssel in Ihrem Dateisystem. Das ist zwar praktisch, kann aber problematisch sein, wenn Sie einen vernetzten oder gemeinsam genutzten Computer verwenden.
Eine Möglichkeit, dieses Problem zu lösen, besteht darin, den privaten Schlüssel Ihres eigenen GPG-Schlüsselbunds zu löschen. Dadurch wird sichergestellt, dass kein böswilliger Akteur Ihren privaten Schlüssel von Ihrem Computer extrahieren kann, um Unterschlüssel zu signieren und zu zertifizieren.
Beginnen Sie mit der Sicherung Ihres ursprünglichen primären privaten GPG-Schlüssels und der Unterschlüssel:
gpg --export-secret-key --armor --output private.asc IHR-GPG@EMAIL.ADRESSE gpg --export-secret-subkeys --armor --output sub-private.asc IHR-GPG@EMAIL.ADRESSEVerschlüsseln Sie die Ausgabe Ihres primären privaten Schlüsselblocks mithilfe der symmetrischen Verschlüsselung:
gpg --symmetric private.ascGeben Sie ein relativ sicheres Kennwort für Ihre privaten Schlüsseldaten ein und drücken Sie dann die Eingabetaste.
Speichern Sie Ihren verschlüsselten privaten GPG-Schlüssel auf einem externen Speichergerät.
Entfernen Sie alle privaten Schlüsseldaten aus Ihrem GPG-Schlüsselpaar:
gpg --delete-secret-key IHRE-GPG@EMAIL.ADRESSEImportieren Sie den geheimen Unterschlüsselblock zurück in Ihr GPG-Schlüsselpaar:
gpg --import sub-private.ascFühren Sie den folgenden Befehl aus, um zu überprüfen, ob Ihr primärer privater Schlüssel noch in Ihrem System vorhanden ist:
gpg --list-secret-keys IHRE-GPG@EMAIL.ADRESSEDabei sollte neben der Bezeichnung „sec“ des Primärschlüssels ein Rautezeichen (#) angezeigt werden. Dies zeigt an, dass Ihr privater Schlüssel nicht mehr in Ihrem GPG-Schlüsselbund vorhanden ist.
Wenn Sie lernen, wie Sie Ihren GPG-Schlüssel mit diesen einfachen Tipps sichern, ist das nur ein Teil der Erkundung des riesigen Ökosystems der Public-Key-Kryptographie. Tauchen Sie tiefer in dieses Programm ein, indem Sie sich mit GPG bei SSH-Servern anmelden.
FlyD über Unsplash. Alle Änderungen und Screenshots von Ramces Red.
Schreibe einen Kommentar