Schlüsselerlebnis

Schlüsselbund herstellen

Bevor Sie Nachrichten verschlüsseln, müssen Sie ein Schlüsselpaar erstellen. Das erledigen Sie schnell und einfach auf der Kommandozeile, indem Sie gpg --gen-key eingeben. Mit [Eingabe] übernehmen Sie die Standardvorgabe. Im nächsten Schritt geben Sie Länge des Schlüssels an; hier empfehlen sich 1024 oder besser 2048 Bit. Optional geben Sie für den Schlüssel ein Ablaufdatum an: Nach dessen Überschreiten verliert der Schlüssel seine Gültigkeit. Sie müssen dann entweder ein neues Schlüsselpaar erstellen oder den öffentliche Schlüssel mithilfe des privaten verlängern.

Nun gilt es die Daten des Schlüsseleigentümers anzugeben: Name, E-Mail-Adresse und ein Kommentar oder ein Spitzname. Verwenden Sie als Spitznamen besser weder Fantastisches noch Vulgäres: Der Spitzname wird immer mit dem Schlüssel weitergegeben. Im nächsten Schritt legen Sie das Passwort fest, das den privaten Schlüssel vor unbefugten Zugriffen schützt. Wie bei anderen Passworten gilt auch hier: Verwenden Sie eine sichere Zeichenkombination, die ein Fremder nicht erraten kann. Am besten erfüllt eine hinreichend lange Kombination aus Zeichen, Groß- und Kleinbuchstaben diesen Zweck.

Geben Sie das Passwort ein zweites Mal ein. Dann bewegen Sie auf Anforderung des Programms die Maus ein wenig hin und her. GnuPG verwendet diese Bewegung für das Erstellen von Zufallsdaten und generiert den Schlüssel. Notieren Sie sich Key-ID und Fingerprint.

Grafisch geht's besser

Noch einfacher gelingt das Erstellen eines Schlüsselpaares und das Verwalten der Schlüssel mit einem grafischen Frontend. KDE-Anwender greifen zu KGpg [2] oder dem Tool Kleopatra (Abbildung 1) aus der Programmsammlung KDE-PIM [3], für Gnome gibt es Seahorse [4]. Wer mag, kann auch Gpa [5] verwenden, das Standard-Frontend für GnuPG. Alle Werkzeuge besitzen einen ähnlichen Funktionsumfang – für welches Programm Sie sich entscheiden, bleibt Ihrem persönlichen Geschmack überlassen.

Abbildung 1: Kleopatra zeigt unter OpenSuse nach dem Start die bereits installierten Schlüssel.

Am Beispiel von KGpg möchten wir zeigen, wie Sie mit einem Frontend ein neues Schlüsselpaar erstellen. Um den Vorgang zu starten, wählen Sie Schlüssel | Schlüsselpaar generieren oder drücken [Strg]+[N]. Nun geben Sie Ihren Namen und Ihre E-Mail-Adresse ein. In das Feld Kommentar (optional) tragen Sie einen Spitznamen ein. Stellen Sie die Schlüsseltiefe auf wenigstens 2048 Bit (Abbildung 2), für maximale Sicherheit wählen Sie 4096 Bit.

Abbildung 2: KGpg benötigt für das Erstellen eines neuen Schlüsselpaares nur wenige Angaben. Die Schlüsseltiefe sollten Sie auf jeden Fall erhöhen.

Die Vorgabe sieht kein Ablaufdatum für das Schlüsselpaar vor. Bestätigen Sie alle Angaben mit OK. Anschließend vergeben Sie ein Passwort und wiederholen die Eingabe. Ein Balken signalisiert, dabei, wie sicher das Passwort ist. Achten Sie darauf, das dieser Balken mindestens drei Viertel des Feldes ausfüllt (Abbildung 3). Optimalerweise steht der Passwortstärkeanzeiger auf Maximum.

Abbildung 3: Ein Balken zeigt die Stärke des Passworts an – und damit auch die Sicherheit des Schlüssels.

Nach dem Bestätigen generiert das Programm das Schlüsselpaar. Wie lang das dauert, hängt von der gewählten Schlüsseltiefe und der Leistung Ihres Rechners ab. In unserem Beispiel erhielten wir nach wenigen Sekunden die Meldung Neues Schlüsselpaar erstellt. Nun können Sie angeben, ob das neue Schlüsselpaar als Standard dienen soll. KGpg empfiehlt das Speichern oder Ausdrucken eines Sperrzertifikats: Ist das Schlüsselpaar beschädigt, kann man darauf zurückgreifen.

Damit ist das neue Schlüsselpaar erstellt, KGpg zeigt es im Hauptfenster an (Abbildung 4). Im Expertenmodus werden die Angaben auf der Textkonsole abgefragt. Über das Datei-Menü übertragen Sie den erstellten Schlüssel auf einen Schlüsselserver.

Abbildung 4: KGpg listet das fertig erstellte Schlüsselpaar in der Schlüsselverwaltung auf.