Voraussetzungen für die Durchführung der folgenden Schritte dieser Anleitung:
Es wird folgende OpenPGP-Software benötigt (OpenPGP basiert auf PGP und ist eine freie alternative zu PGP):
Für Linux, Windows oder macOS: GNU Privacy Guard (abgekürzt: GnuPG oder GPG)
Tipp: Für die Schritte “PGP-Schlüssel erstellen und sicher nutzen” & “Optional & empfohlen: PGP-Unterschlüssel ohne privaten PGP-Schlüssel nutzen, Passwörter ändern & öffentliche PGP-Schlüssel mit Widerrufssignatur für PGP-Unterschlüssel erstellen (Linux)” ist noch folgendes zu beachten:
Bevor Sie beginnen sollten Sie sicherstellen, das Sie keinen Pseudozufallsgenerator (auch PRNG genannt) benutzen, welcher einen deterministischen Algorithmus nutzt, sondern einen echten Zufallsgenerator, welcher physikalische Vorgänge nutzt um Zufallszahlen zu generieren (auch HRNG oder TRNG genannt). Sie können uns kontaktieren wenn Sie ein HRNG bzw. TRNG benötigen.
Sie sollten am besten 2-4 MicroSD-Speicherkarten oder einen Nitrokey-USB-Stick nutzen. In den nachfolgenden Schritten wird nicht die Nutzung eines Nitrokeys berücksichtigt, Sie können uns kontaktieren, wenn Sie einen Nitrokey und Hilfe bei der Nitrokey-Einrichtung benötigen.
Linux-Betriebssystem auf USB-Stick oder Speicherkarte installieren
Dateien mit PGP verschlüsseln
Wie funktioniert die Ent- & Verschlüsselung per PGP?
Sie besitzen ein Schlüsselpaar welches aus einem privaten und einem öffentlichen PGP-Schlüssel besteht. Nur der öffentliche PGP-Schlüssel wird veröffentlicht. Mit dem öffentlichen PGP-Schlüssel können Personen Daten (z. B. Text-Nachrichten und Dateien) verschlüsseln. Diese Daten, welche mit Ihrem öffentlichen PGP-Schlüssel verschlüsselt wurden, können nur mit dem passenden privaten PGP-Schlüssel von Ihnen entschlüsselt werden.
Tipp: Wir empfehlen Ihnen, wichtige Dateien welche persönliche Daten enthalten, immer verschlüsselt (Dateien welche nicht verloren gehen dürfen möglicherweise auch unverschlüsselt) auf einem Speichermedium (welches nicht mit Geräten verbunden wird, welche mit dem Internet verbunden worden sind oder werden) an einem sicheren Ort aufzubewahren. Beachten Sie auch die Haltbarkeit der Speichermedien.
Nutzen Sie am besten ein zweites Speichermedium um Dateien auf ein Gerät zu übertragen, welches mit dem Internet verbunden worden ist oder wird (vergessen Sie nicht, die Dateien vorher zu verschlüsseln).
Verschlüsseln mit PGP & Windows oder macOS
Wir gehen davon aus, dass Sie uns eine Datei senden möchten, welche vor dem Versenden verschlüsselt werden soll.
1. Downloaden Sie unseren öffentlichen PGP-Schlüssel:
2. Datei verschlüsseln
Unter Windows:
Installieren Sie GnuPG, und führen Sie Schritt 18.2 von folgender Anleiung durch (als Zertifikat wählen Sie unseren öffentlichen PGP-Schlüssel aus):
Unter macOS:
Installieren Sie GnuPG, und führen Sie die Schritte von folgender Anleiung durch (als Zertifikat wählen Sie unseren öffentlichen PGP-Schlüssel aus):
Verschlüsseln mit PGP & Linux
Wir gehen davon aus, dass Sie uns eine Datei senden möchten, welche vor dem Versenden verschlüsselt werden soll.
1. Stellen Sie sicher das GnuPG installiert ist
Unter Linux können Sie im Terminal folgenden Befehl eingeben:
Debian (und Debian-Derivate wie z. B. Devuan):
sudo apt-get install gnupg2
Alpine Linux:
sudo apk add gnupg
Tipp:
Kontaktieren Sie uns, wenn Sie einen Open-Source-Einplatinen-PC (schon ab 65 € inkl. USt) mit Linux-Betriebssystem erwerben möchten.
2. Downloaden Sie unseren öffentlichen PGP-Schlüssel
3. Überprüfen Sie den Fingerprint von unserem öffentlichen PGP-Schlüssel
Öffnen Sie ein Terminal (auch Shell oder Kommandozeile genannt) indem Sie im Anwendungsmenu nach einem Terminalprogramm suchen (“Terminal” in das Suchfeld eingeben) und dieses öffnen. Finden Sie kein Terminalprogramm können Sie ein solches Programm auch installieren.
Geben Sie jetzt folgendes in das Terminal-Fenster ein, ohne die Eingabe-Taste zu drücken (am Ende nach “–import” einmal die Leertaste drücken):
gpg --import-options show-only --import
Klicken Sie mit der rechten Maustaste auf die Text-Datei welche unseren öffentlichen PGP-Schlüssel enthält (avg-pgp-key.txt) und klicken Sie dann auf “Kopieren” (Datei kopieren).
Klicken Sie mit der rechten Maustaste in das Terminal-Fenster und klicken Sie dann auf “Einfügen” (Datei einfügen).
Das ganze sollte dann z. B. so aussehen:
gpg --fingerprint --import-options show-only --import /home/Downloads/avg-pgp-key.txt
Drücken Sie nun die Eingabe-Taste.
Nun wird unter anderem eine lange Zahl angezeigt, dies ist der Fingerprint (Hash-Wert) von unserem öffentlichen PGP-Schlüssel. Überprüfen Sie nun ob dieser Fingerprint (Zahl) mit dem Fingerprint (Zahl) auf unserer Website übereinstimmt:
Wichtig: Überprüfen Sie bitte immer bevor Sie Dateien verschlüsseln, durch vergleichen des Fingerprints, ob Sie unseren aktuellen und öffentlichen PGP-Schlüssel besitzen.
4. Verschlüsseln Sie die Datei
Geben Sie jetzt folgendes in das Terminal-Fenster ein ohne die Eingabe-Taste zu drücken (am Ende nach “–recipient-file” einmal die Leertaste drücken):
gpg -a --encrypt --recipient-file
Klicken Sie mit der rechten Maustaste auf die Text-Datei welche unseren öffentlichen PGP-Schlüssel enthält (avg7-pgp-key.txt) und klicken Sie dann auf “Kopieren” (Datei kopieren).
Klicken Sie mit der rechten Maustaste in das Terminal-Fenster und klicken Sie dann auf “Einfügen” (Datei einfügen) und drücken Sie einmal die Leertaste.
Das ganze sollte dann z. B. so aussehen:
gpg -a --encrypt --recipient-file /home/Downloads/avg7-pgp-key.txt
Klicken Sie mit der rechten Maustaste auf die Datei, welche Sie verschlüsseln möchten und klicken Sie dann auf “Kopieren” (Datei kopieren).
Klicken Sie mit der rechten Maustaste in das Terminal-Fenster und klicken Sie dann auf “Einfügen” (Datei einfügen).
Das ganze sollte dann z. B. so aussehen:
gpg -a --encrypt --recipient-file /home/Downloads/avg7-pgp-key.txt /home/name-der-datei-welche-verschlüsselt-werden-soll
Drücken Sie nun die Eingabe-Taste.
Jetzt erscheint eine Datei mit dem Namen der Datei, welche Sie nun verschlüsselt haben und der Endung “.asc”. Diese Datei mit der Endung “.asc” enthält Ihre Datei in verschlüsselter Form, Sie können uns diese Datei nun per E-Mail oder über die Apps Conversations, Monal, Threema oder Signal senden.
Datei-Signatur prüfen
Datei-Signatur prüfen mit Windows oder macOS
Downloaden Sie zuerst unseren öffentlichen PGP-Schlüssel:
Unter Windows:
Installieren Sie GnuPG, und führen Sie Schritt 18.1 von folgender Anleiung durch (als Zertifikat wählen Sie unseren öffentlichen PGP-Schlüssel aus):
Unter macOS:
Installieren Sie GnuPG, und führen Sie die Schritte von folgender Anleiung durch (als Zertifikat wählen Sie unseren öffentlichen PGP-Schlüssel aus):
Datei-Signatur prüfen mit Linux
Folgen Sie den Anweisungen der Schritte 1 bis 3 von folgender Anleitung:
Geben Sie jetzt folgendes in das Terminal-Fenster ein ohne die Eingabe-Taste zu drücken:
gpg --verify
Sollte zusätzlich zur Datei, von der Sie die Signatur prüfen möchten, noch eine Signaturdatei vorhanden sein, klicken Sie mit der rechten Maustaste auf die Signaturdatei und dann auf “Kopieren” (Datei kopieren). Klicken Sie mit der rechten Maustaste in das Terminal-Fenster und klicken Sie dann auf “Einfügen” (Datei einfügen).
Klicken Sie nun mit der rechten Maustaste auf die Datei, von der Sie die Signatur prüfen möchten, und klicken Sie dann auf “Kopieren” (Datei kopieren). Klicken Sie mit der rechten Maustaste in das Terminal-Fenster und klicken Sie dann auf “Einfügen” (Datei einfügen).
Das ganze sollte dann z. B. so aussehen:
gpg --verify /home/Signaturdatei /home/Dateiname
Drücken Sie nun die Eingabe-Taste.
Vergleichen Sie nun den Fingerprint mit unserem Fingerprint unter:
Ist es der selbe Fingerprint, sollte alles in Ordnung sein.
Dann können Sie per Doppelklick die Datei öffnen.
PGP-Schlüssel erstellen und sicher nutzen (Linux)
Diese Anleitung benötigen Sie nicht, um Dateien welche Sie uns senden möchten, vor dem Versenden zu verschlüsseln.
Achtung: Mit einem Datenwiederherstellungs-Programm kann der private PGP-Schlüssel wiederhergestellt werden, auch wenn Sie diesen löschen. Wir empfehlen Ihnen daher ein Live-System wie Alpine Linux zu verwenden (siehe auch: https://www.avg7.de/forum/sicheres-alpine-linux-betriebs-system-usb-stick-speicherkarte/
, welches nur den Arbeitspeicher benötigt um zu funktionieren und daher ohne Speichermedium läuft, alternativ können Sie einen Nitrokey-USB-Stick nutzen (siehe auch: https://www.kuketz-blog.de/zwei-schluessel-fuer-alle-faelle-nitrokey-teil1
).
Sie können uns kontaktieren, wenn Sie einen Nitrokey benötigen.
Privaten PGP-Schlüssel erstellen, welcher nur zum Zertifizieren eigener und fremder PGP-Schlüssel genutzt wird
Zertifizieren bedeutet hier, einen PGP-Schlüssel zu signieren, damit dieser durch diese Signatur einer Person zugeordnet werden kann.
gpg --full-generate-key --expert
(8) RSA (Nutzung selber einstellbar)
(S) Umschalten der Signaturnutzbarkeit
(V) Umschalten der Verschlüsselungsnutzbarkeit
(Q) Beenden
Wie lange bleibt der Schlüssel gültig? (0) 1y
Welche Schlüssellänge wünschen Sie? 4096
Optional: Algorithmen bevorzugen
Unterstützte Algorithmen anzeigen:
gpg --version
Vom PGP-Schlüssel bevorzugte Algorithmen anzeigen:
gpg --edit-key --expert PRIVATEKEY-ID showpref
Vom PGP-Schlüssel bevorzugte Algorithmen ändern, z. B.:
gpg --edit-key PRIVATEKEY-ID
gpg> setpref AES256 TWOFISH SHA512 BZIP2
gpg> save
Ende der optionalen Aufgabe: Algorithmen bevorzugen
PGP-Unterschlüssel erstellen, welcher nur zum Signieren von Daten genutzt wird:
gpg --edit-key --expert PRIVATEKEY-ID
gpg> addkey
(8) RSA (Nutzung selber einstellbar)
(V) Umschalten der Verschlüsselungsnutzbarkeit
Wie lange bleibt der Schlüssel gültig? (0) 1y
PGP-Unterschlüssel erstellen, welcher nur zum Ent- & Verschlüsseln von Daten genutzt wird:
gpg> addkey
(6) RSA (nur verschlüsseln)
Wie lange bleibt der Schlüssel gültig? (0) 1y
gpg> save
Privaten PGP-Schlüssel exportieren & Widerrufszertifikat sichern:
Den privaten PGP-Schlüssel und das Widerrufszertifikat (wenn Sie ein solches erstellt haben oder dieses automatisch erstellt wurde), sollten Sie getrennt an sicheren Orten aufbewahren!
Privaten PGP-Schlüssel und dessen öffentlichen PGP-Schlüssel exportieren
Privaten PGP-Schlüssel exportieren
Wenn Sie nur den privaten PGP-Schlüssel exportieren möchten, muss am Ende der PRIVATEKEY-ID ein “!” hinzugefügt werden, sonst werden auch PGP-Unterschlüssel exportiert (die PGP-Unterschlüssel sind dann alle im privaten PGP-Schlüssel enthalten), dann müssen Sie aber die PGP-Unterschlüssel einzeln exportieren, wie im Abschnitt “Optional & empfohlen: PGP-Unterschlüssel ohne privaten PGP-Schlüssel nutzen, Passwörter ändern & öffentliche PGP-Schlüssel mit Widerrufssignatur für PGP-Unterschlüssel erstellen (Linux)
” beschrieben wird.
gpg --output privater-pgp-schlüssel --armor --export-secret-keys PRIVATEKEY-ID
Der private PGP-Schlüssel befindet sich nun als Datei mit dem Namen “privater-pgp-schlüssel” in Ihrem Homeverzeichnis bzw. Benutzerverzeichnis. Kopieren Sie den privaten PGP-Schlüssel, erst wenn dieser mit einem sicheren Passwort geschützt und bestenfalls verschlüsselt ist, z. B. auf eine leere Speicherkarte und bewahren Sie diese an einem sicheren Ort auf.
Öffentlichen PGP-Schlüssel vom privaten PGP-Schlüssel exportieren
gpg --export --armor --output pub-key PRIVATEKEY-ID
Widerrufszertifikat sichern
Wenn bei der Erstellung des privaten PGP-Schlüssels automatisch ein Widerrufszertifikat erstellt wurde, suchen Sie in Ihrem Homeverzeichnis bzw. Benutzerverzeichnis i. d. R. im Ordner .gnupg/openpgp-revocs.d nach einer Datei mit der Endung “.rev”. Kopieren Sie diese Datei z. B. auf eine leere Speicherkarte und bewahren Sie diese an einem sicheren Ort auf.
Finden Sie kein Widerrufszertifikat, können Sie dieses erstellen:
gpg --output zert.rev --gen-revoke PRIVATEKEY-ID
Um den privaten PGP-Schlüssel öffentlich als ungültig zu markieren und somit zu widerrufen, müssen Sie das Widerrufszertifikat zusammen mit dem öffentlichen PGP-Schlüssel vom privaten PGP-Schlüssel verbreiten, z. B. durch das Hochladen auf einen PGP-Schlüsselserver. Dabei werden auch die PGP-Unterschlüssel widerrufen.
Optional & empfohlen: PGP-Unterschlüssel ohne privaten PGP-Schlüssel nutzen, Passwörter ändern & öffentliche PGP-Schlüssel mit Widerrufssignatur für PGP-Unterschlüssel erstellen (Linux)
Der private PGP-Schlüssel wird nur zum Zertifizieren von anderen PGP-Schlüsseln verwendet.
Auch PGP-Unterschlüssel sollten sicher und voneinander getrennt aufbewahrt werden.
Wir gehen nachfolgend davon aus, dass Sie schon PGP-Unterschlüssel erstellt haben.
Optional: Passwortmanager “Pass” nutzen
Installieren Sie den Passwortmanager mit folgendem Befehl:
Debian (und Debian-Derivate wie z. B. Devuan):
sudo apt-get install pass
Alpine Linux:
sudo apk add pass
Erstellen Sie noch einen PGP-Unterschlüssel (nachfolgend SUBKEY-E2 genannt), welcher nur zum Ent- & Verschlüsseln von Dateien, in welchen Ihre Passwörter gespeichert sind genutzt wird:
gpg --edit-key --expert PRIVATEKEY-ID
gpg> addkey
(6) RSA (nur verschlüsseln)
Wie lange bleibt der Schlüssel gültig? (0) 1y
gpg> save
PGP-Unterschlüssel welcher nur zum Ent- & Verschlüsseln von Dateien, in welchen Ihre Passwörter gespeichert sind genutzt wird exportieren (die SUBKEY-ID finden Sie unter den Schlüsseleigenschaften, der PGP-Schlüssel wird angezeigt mit: Nutzung: E):
Am Ende der SUBKEY-ID muss ein “!” hinzugefügt werden, damit nur dieser PGP-Unterschlüssel exportiert wird.
gpg --export-secret-subkey --armor --output subkey-e2 SUBKEY-E2-ID!
Öffentlichen PGP-Schlüssel von dem PGP-Unterschlüssel welchen Sie eben erstellt haben exportieren
gpg --export --armor --output pubkey-e2 SUBKEY-E2-ID!
Kopieren Sie den PGP-Unterschlüssel subkey-e2 und den öffentlichen PGP-Schlüssel pubkey-e2 von dem PGP-Unterschlüssel welchen Sie eben erstellt haben auf ein leeres Speichermedium, z. B. auf eine MicroSD-Speicherkarte.
Öffentlichen PGP-Schlüssel von dem PGP-Unterschlüssel welchen Sie eben erstellt haben importieren
gpg --import pubkey-e2
gpg --edit-key --expert SUBKEY-E2-ID
gpg> trust
gpg> 5
Passwortmanager einrichten um sichere Passwörter zu generieren, und diese automatisch einzufügen, statt der manuellen Eingabe
pass init SUBKEY-E2-ID
Ersetzen Sie “200” in den folgenden Befehlen mit der gewünschten Passwortlänge.
pass generate pgp/subkey-e 200
pass generate pgp/subkey-s 200
Optional & empfohlen: Alternativ können Sie auch z. B. folgendes tun, um sichere Passwörter zu generieren (ersetzen Sie “200” mit der gewünschten Passwortlänge):
</dev/urandom tr -dc 'A-Za-z0-9!"#$%&'\''()*+,-./:;<=>?@[\]^_`{|}~' | head -c 200 > pw-subkey-e
</dev/urandom tr -dc 'A-Za-z0-9!"#$%&'\''()*+,-./:;<=>?@[\]^_`{|}~' | head -c 200 > pw-subkey-s
Siehe auch: https://unix.stackexchange.com/questions/230673/how-to-generate-a-random-string
Entfernen Sie nun die Passwörter welche sich in den “Pass-Dateien” befinden. Bearbeiten Sie diese Dateien mit folgenden Befehlen, und fügen Sie das Passwort aus dem vorherigen Schritt, welches sich in der Datei pw-subkey-e befindet in die Datei pgp/subkey-e ein und dass Passwort welches sich in der Datei pw-subkey-s befindet, fügen Sie in die Datei pgp/subkey-s ein. Sie sollten dafür wenn möglich das Programm xclip oder wclip nutzen (siehe auch https://de.wikipedia.org/wiki/Van-Eck-Phreaking
)
pass edit pgp/subkey-e
pass edit pgp/subkey-s
Ende der optionalen Aufgabe zur Generierung von sicheren Passwörtern.
In den Dateien pgp/subkey-e und pgp/subkey-s befinden sich Ihre Passwörter, kopieren Sie diese Dateien auf ein leeres Speichermedium z. B. auf eine MicroSD-Speicherkarte.
Nun müssen Sie die Passwörter der PGP-Unterschlüssel ändern bzw. mit den eben generierten Passwörtern ersetzen
Kopieren Sie das generierte Passwort für den PGP-Unterschlüssel in die Zwischenablage. Funktioniert dies nicht weil Sie nicht xclip nutzen, können Sie wie im vorherigen Schritt die Pass-Dateien in welchen die Passwörter gespeichert sind öffnen und die Passwörter manuell kopieren.
pass -c pgp/subkey-s
PGP-Unterschlüssel-Passwort ändern:
Dafür müssen zuerst der private PGP-Schlüssel und alle -Unterschlüssel entfernt werden.
gpg --delete-secret-and-public-keys SUBKEY-ID!
gpg --delete-secret-and-public-keys PRIVATEKEY-ID!
Dann nur den PGP-Unterschlüssel von dem Sie das Passwort ändern wollen importieren.
gpg --import subkey-file
Ändern Sie das Passwort vom PGP-Unterschlüssel bzw. fügen Sie das Passwort ein, welches Sie im vorherigen Schritt in die Zwischenablage kopiert haben.
gpg --edit-key SUBKEY-ID passwd
Ändern Sie nun auch die Passwörter von den anderen PGP-Unterschlüsseln, indem Sie die vorherigen Schritte wiederholen.
Nutzung des Passwortmanagers
- Verbinden Sie das Speichermedium, auf welchem sich die Dateien pgp/subkey-e und pgp/subkey-s befinden mit Ihrem PC. Kopieren Sie dann den Ordner, welcher die Pass-Dateien enthält in Ihren Homeverzeichnis bzw. Benutzerverzeichnis oder geben Sie folgendes ein:
PASSWORD_STORE_DIR=/path/usb
Ersetzen Sie im vorherigen Befehl “/path/usb” mit dem Pfad in welchem das Speichermedium eingebunden wurde.
- Importieren Sie den PGP-Unterschlüssel welcher nur zum Ent- & Verschlüsseln von Dateien genutzt wird, in welchen Ihre Passwörter gespeichert sind.
gpg --import subkey-e2
- Passwort für gewünschten PGP-Unterschlüssel in die Zwischenablage kopieren, z. B.:
pass -c pgp/subkey-s
- PGP-Unterschlüssel (zum Signieren oder Ent- & Verschlüsseln, je nach Bedarf) importieren, und das Passwort aus der Zwischenablage einfügen, z. B.:
gpg --import subkey-s
Ende der optionalen Aufgabe: Passwortmanager "Pass" nutzen
PGP-Unterschlüssel welcher zum Signieren genutzt wird exportieren (die SUBKEY-ID finden Sie unter den Schlüsseleigenschaften, der PGP-Schlüssel wird angezeigt mit: Nutzung: S):
Am Ende der SUBKEY-ID muss ein “!” hinzugefügt werden, damit nur dieser PGP-Unterschlüssel exportiert wird.
gpg --export-secret-subkeys --armor --output subkey-s SUBKEY-ID!
PGP-Unterschlüssel welcher zum Ent- & Verschlüsseln von Daten genutzt wird exportieren (die SUBKEY-ID finden Sie unter den Schlüsseleigenschaften, der PGP-Schlüssel wird angezeigt mit: Nutzung: E):
Am Ende der SUBKEY-ID muss ein “!” hinzugefügt werden
gpg --export-secret-subkey --armor --output subkey-e SUBKEY-ID!
Öffentlichen PGP-Schlüssel von dem PGP-Unterschlüssel welcher zum Ent- & Verschlüsseln von Daten genutzt wird exportieren
gpg --export --armor --output pubkey-e SUBKEY-ID!
Kopieren Sie alle PGP-Unterschlüssel am besten getrennt auf leere Speichermedien z. B. auf eine MicroSD-Speicherkarte oder auf das Speichermedium auf welchem sich der PGP-Unterschlüssel subkey-e2 und dessen öffentlicher PGP-Schlüssel pubkey-e2 befindet.
Öffentliche PGP-Schlüssel mit Widerrufssignatur für PGP-Unterschlüssel erstellen
PGP-Unterschlüssel oder dessen öffentlichen PGP-Schlüssel und den privaten PGP-Schlüssel importieren.
PGP-Unterschlüssel welcher zum Ent- & Verschlüsseln von Daten genutzt wird, lokal als ungültig markieren und somit lokal widerrufen
gpg --edit-key PRIVATEKEY-ID
gpg> key SUBKEY-ID
gpg> revkey
Vom PGP-Unterschlüssel den öffentlichen PGP-Schlüssel exportieren, welcher nun die Informationen über den Widerruf des PGP-Unterschlüssels enthält.
gpg --export --armor --output pub-key-mit-subkey-e-widerruf SUBKEY-ID!
Verschieben Sie die Datei pub-key-mit-subkey-e-widerruf auf ein Speichermedium, z. B. auf das, auf welchem sich das Widerrufszertifikat vom privaten PGP-Schlüssel befindet.
Privaten & öffentliche PGP-Schlüssel & PGP-Unterschlüssel entfernen
gpg --delete-secret-and-public-keys PRIVATEKEY-ID
Privaten & PGP-Unterschlüssel welcher zum Signieren von Daten genutzt wird oder dessen öffentlichen PGP-Schlüssel importieren
gpg --import privater-pgp-schlüssel
gpg --import subkey-s
PGP-Unterschlüssel welcher zum Signieren von Daten genutzt wird, lokal als ungültig markieren und somit lokal widerrufen
gpg --edit-key PRIVATEKEY-ID
gpg> key SUBKEY-ID
gpg> revkey
Vom PGP-Unterschlüssel den öffentlichen PGP-Schlüssel exportieren, welcher nun die Informationen über den Widerruf des PGP-Unterschlüssels enthält.
gpg --export --armor --output pub-key-mit-subkey-s-widerruf SUBKEY-ID!
Verschieben Sie die Datei pub-key-mit-subkey-s-widerruf auf ein Speichermedium, z. B. auf das, auf welchem sich das Widerrufszertifikat vom privaten PGP-Schlüssel befindet.
PGP-Unterschlüssel öffentlich als ungültig markieren und somit widerrufen
Um einen PGP-Unterschlüssel öffentlich als ungültig zu markieren und somit zu widerrufen, müssen Sie den jeweiligen öffentlichen PGP-Schlüssel vom PGP-Unterschlüssel, welchen Sie eben exportiert haben verbreiten, z. B. durch das Hochladen auf einen PGP-Schlüsselserver.
Private & öffentliche PGP-Schlüssel & PGP-Unterschlüssel entfernen:
gpg --delete-secret-and-public-keys PRIVATEKEY-ID
Achtung: Mit Datenwiederherstellungs-Programmen kann der private PGP-Schlüssel wiederhergestellt werden, auch wenn Sie diesen löschen.
PGP-Unterschlüssel (zum Signieren oder Ent- & Verschlüsseln, je nach Bedarf) importieren:
gpg --import subkey-e
gpg --import subkey-s
Änderungen überprüfen:
gpg -K
In der Ausgabe dieses Befehls sollte nun “sec#” statt “sec” zu sehen sein. Dies bedeutet, dass der private PGP Schlüssel nicht mehr vorhanden ist.
Wenn Sie den Passwortmanager “Pass” nicht nutzen, sollten Sie nun die Passwörter der PGP-Unterschlüssel ändern. Dafür den privaten PGP-Schlüssel und die -Unterschlüssel entfernen und dann nur den PGP-Unterschlüssel importieren von dem Sie das Passwort ändern wollen
Sie können nun die PGP-Unterschlüssel zum Signieren sowie Ver- & Entschlüsseln benutzen, ohne den privaten PGP-Schlüssel. Den privaten PGP-Schlüssel und Widerrufszertifikate sowie öffentliche PGP-Schlüssel mit Widerrufssignatur sollten Sie immer an einem sicheren Ort aufbewahren. Natürlich sollten Sie auch die PGP-Unterschlüssel schützen.
Weiterführende Informationen: