3.9.3. Erstellen von GPG-Schlüsseln per Befehlszeile
Führen Sie den folgenden Shell-Befehl aus:
gpg --gen-key
Dieser Befehl generiert ein Schlüsselpaar, das aus einem öffentlichen und einem privaten Schlüssel besteht. Andere Leute können Ihren öffentlichen Schlüssel nutzen, um Ihre Nachrichten zu authentifizieren und/oder zu entschlüsseln. Verbreiten Sie Ihren öffentlichen Schlüssel so weit wie möglich, insbesondere an Personen, von denen Sie wissen, dass sie authentifizierte Nachrichten von Ihnen erhalten wollen, z. B. eine Mailing-Liste.
Eine Reihe von Eingabeaufforderungen führt Sie durch den Vorgang. Drücken Sie die
Eingabetaste
, um einen Standardwert zuzuweisen, falls gewünscht. Die erste Eingabeaufforderung fordert Sie zur Auswahl auf, welche Art von Schlüssel Sie bevorzugen:
"Bitte wählen Sie, welche Art von Schlüssel Sie möchten: (1) DSA und ElGamal (voreingestellt) (2) DSA und Elgamal (3) DSA (nur unterschreiben/beglaubigen) (4) RSA (nur unterschreiben/beglaubigen) Ihre Auswahl?" In den meisten Fällen ist die Standardauswahl angemessen. Ein DSA/ElGamal-Schlüssel ermöglicht Ihnen nicht nur das Signieren von Nachrichten, sondern auch die Verschlüsselung von Dateien.
Wählen Sie als Nächstes die Schlüssellänge: Mindestschlüssellänge ist 768 Bits, Standardschlüssellänge ist 1024 Bits, und die höchste empfohlene Schlüssellänge ist 2048 Bits. "Welche Schlüssellänge wünschen Sie? (1024)" Auch hier gilt, dass die Standardauswahl für die meisten Benutzer angemessen sein sollte und ein sehr hohes Maß an Sicherheit bietet.
Wählen Sie als Nächstes, wann die Gültigkeit des Schlüssels ablaufen soll. Es ist empfehlenswert, ein Ablaufdatum anzugeben, statt den Standardwert (kein Ablaufdatum) zu übernehmen. Falls beispielsweise die E-Mail-Adresse auf dem Schlüssel ungültig wird, kann ein Ablaufdatum andere Nutzer daran erinnern, diesen öffentlichen Schlüssel nicht länger zu verwenden.
"Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll. 0 = Schlüssel verfällt nie. d = Schlüssel verfällt nach n Tagen. w = Schlüssel verfällt nach n Wochen. m = Schlüssel verfällt nach n Monaten. y = Schlüssel verfällt nach n Jahren. Wie lange bleibt der Schlüssel gültig? (0)"
Wenn Sie beispielsweise den Wert
1y
eingeben, bleibt der Schlüssel für ein Jahr gültig. (Sie können dieses Ablaufdatum auch noch nach Erzeugung des Schlüssels ändern, sollten Sie es sich anders überlegen.)
Bevor das
gpg
-Programm die Signaturinformationen abfragt, erscheint die folgende Eingabeaufforderung: Ist dies richtig (j/N)?
Tippen Sie j
, um den Vorgang abzuschließen.
Geben Sie als Nächstes Ihren Namen und Ihre E-Mail-Adresse an. Denken Sie daran, dass der Sinn und Zweck dieser Schlüssel darin besteht, Sie als echte Person zu authentifizieren, geben Sie also Ihren richtigen Namen an. Verwenden Sie keine Aliasse oder Decknamen, da diese Ihre Identität verschleiern.
Geben Sie Ihre richtige E-Mail-Adresse für Ihren GPG-Schlüssel an. Falls Sie eine falsche oder erfundene E-Mail-Adresse angeben, erschweren Sie es anderen Leuten, Ihren öffentlichen Schlüssel zu finden. Dadurch wird die Authentifizierung Ihrer Nachrichten erschwert. Falls Sie diesen GPG-Schlüssel beispielsweise zur Vorstellung auf einer Mailing-Liste verwenden, geben Sie dieselbe E-Mail-Adresse an, die Sie auch für diese Mailing-Liste verwenden.
Verwenden Sie das Kommentarfeld, um Aliasse oder andere Informationen anzugeben. (Einige Leute nutzen unterschiedliche Schlüssel für unterschiedliche Zwecke und unterscheiden daher ihre Schlüssel anhand dieser Kommentare, wie z. B. "Büro" oder "Open Source Projekte".)
Geben Sie an der Eingabeaufforderung zur Bestätigung den Buchstaben "O" ein um fortzufahren, wenn alle Angeben korrekt sind, oder verwenden Sie eine der anderen Optionen, um etwaige Fehler zu beheben. Geben Sie abschließend ein Passwort für Ihren geheimen Schlüssel ein. Das
gpg
-Programm fordert Sie zur zweimaligen Eingabe des Passworts auf, um Tippfehler auszuschließen.
Das
gpg
-Programm generiert nun zufällige Daten, um Ihren Schlüssel so eindeutig wie möglich zu machen. Bewegen Sie während dieses Vorgangs Ihre Maus, tippen wahllos auf der Tastatur oder führen Sie andere Aufgaben auf dem System aus, um diesen Vorgang zu beschleunigen. Nachdem dieser Schritt abgeschlossen wurde, sind Ihre Schlüssel fertig und einsatzbereit:
pub 1024D/1B2AFA1C 2005-03-31 John Q. Doe <jqdoe@example.com> Key fingerprint = 117C FE83 22EA B843 3E86 6486 4320 545E 1B2A FA1C sub 1024g/CEA4B22E 2005-03-31 [expires: 2006-03-31]
Der Fingerabdruck des Schlüssels ist eine abgekürzte "Signatur" für Ihren Schlüssel. Anhand dessen können andere Personen überprüfen, ob sie Ihren öffenlichen Schlüssel unversehrt erhalten haben. Sie brauchen sich diesen Fingerabdruck nicht zu notieren. Sie können ihn jederzeit mit dem folgenden Befehl wieder anzeigen (ersetzen Sie dabei Ihre E-Mail-Adresse):
gpg --fingerprint jqdoe@example.com
Ihre "GPG-Schlüssel-ID" besteht aus 8 Hexadezimalziffern, die den öffentlichen Schlüssel identifizieren. Im obigen Beispiel lautet die GPG-Schlüssel-ID 1B2AFA1C. Wenn Sie zur Angabe Ihrer Schlüssel-ID aufgefordert werden, sollten Sie der Schlüssel-ID "0x" voranstellen, z. B. "0x1B2AFA1C".
Warnung
Sollten Sie Ihr Passwort vergessen, kann der Schlüssel nicht mehr genutzt werden und sämtliche mit diesem Schlüssel verschlüsselten Daten sind verloren.