Aus LinuxUser 07/2016

PGP/GnuPG-Schlüsselringe sauber verwalten und handhaben (Seite 2)

Abbildung 3: Die öffentlichen Schlüssel mit dem Namen des Autors.
Abbildung 3: Die öffentlichen Schlüssel mit dem Namen des Autors.

Wenn Sie Abbildung 2 und Abbildung 3 miteinander vergleichen, stellen Sie fest, dass die Schlüsselkennung der E-Mail mit jener im vierten Eintrag der Liste identisch ist. Wie aus Abbildung 3 ebenfalls hervorgeht, gibt es mehr als einen „Frank Hofmann“ – zum Autor gehören aus der Liste lediglich die Schlüssel in den Zeilen 2 bis 4.

Die Gegenseite prüfen

Alle Kommunikationspartner können kryptografisch signierte E-Mails automatisiert verifizieren, sofern die öffentlichen PGP/GnuPG-Schlüssel wie oben beschrieben zuvor auf einem öffentlichen Keyserver hinterlegt wurden oder alle Beteiligten eine Kopie des öffentlichen Schlüssels der Kommunikationspartner besitzen.

GnuPG hängt die von Ihnen vom Keyserver bezogenen Schlüssel an Ihren lokal gespeicherten Schlüsselbund („Keyring“) an. Zur Überprüfung benötigen Sie eine bestehende Internet-Verbindung, es sei denn, Sie verfügen über eine vollständige Kopie des Datenbestands des öffentlichen Keyservers (eher unwahrscheinlich).

Listing 3 zeigt den vollständigen Aufruf auf der Kommandozeile, um einen Schlüssel zu beziehen. Über den Schalter --keyserver benennen Sie den Server, wobei hier hkp://keys.gnupg.net als generische Angabe den Keyserver-Verbund bezeichnet. Über den Schalter --recv-keys spezifizieren Sie die Schlüsselkennung des öffentlichen Schlüssels, den Sie von dort beziehen möchten – im Beispiel jene für den RSA-Schlüssel mit der ID C76E337A.

Listing 3

$ gpg --keyserver hkp://keys.gnupg.net --recv-keys C76E337A
gpg: fordere Schlüssel C76E337A von hkp-Server keys.gnupg.net an
gpg: Schlüssel C76E337A: Öffentlicher Schlüssel "Wolfram Eifler <adagio@weifler.in-berlin.de>" importiert
gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
gpg: Tiefe: 0  gültig:   3  unterschrieben:   2  Vertrauen: 0-, 0q, 0n, 0m, 0f, 3u
gpg: Tiefe: 1  gültig:   2  unterschrieben:   2  Vertrauen: 2-, 0q, 0n, 0m, 0f, 0u
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg:                              importiert: 1  (RSA: 1)

Schlüsselring lesen

Wie schon angesprochen fassen Sie im Alltag mehrere Schlüssel mithilfe eines sogenannten Schlüsselrings zusammen. Auf GnuPG/PGP-Ebene gibt es separate Dateien für öffentliche und private Schlüssel, die jeweils auf das Suffix .gpg enden. Die Datei pubring.gpg beinhaltet den Schlüsselring mit den öffentlichen Schlüsseln, während die Datei secring.gpg die privaten Schlüssel zusammenfasst. Den Inhalt des Schlüsselrings der öffentlichen Schlüssel zeigen Sie wie in Listing 4 gezeigt über das Kommando gpg -k an (Langoption --list-public-keys). Für die geheimen Schlüssel existieren die Gegenstücke -K beziehungsweise --list-secret-keys in der Langform.

Listing 4

$ gpg -k
/home/frank/.gnupg/pubring.gpg
------------------------------
pub   4096R/D431AC07 2014-09-05 uid       [ uneing.] Frank Hofmann (Hofmann EDV) <frank.hofmann@efho.de>
sub   4096R/3B074F29 2014-09-05
pub   1024D/DFA0A4D4 2008-01-10
uid       [  unbek.] Gerold Rupprecht (home email key) <geroldr@bluewin.ch>
sub   2048g/F9E8DE2F 2008-01-10
pub   4096R/612616B5 2009-07-12
uid       [ vollst.] Axel Beckert <abe@deuxchevaux.org>
uid       [ vollst.] Axel Stefan Beckert
uid       [ vollst.] Axel Beckert (FSFE Fellow) <abe@fsfe.org>
uid       [ vollst.] Axel Beckert (Symlink) <xtaran@symlink.ch>
uid       [ vollst.] Axel Beckert (E-Mail + Jabber) <abe@noone.org>
uid       [ vollst.] Axel Beckert (Debian Developer) <abe@debian.org>
uid       [ vollst.] [jpeg image of size 3155]
sub   4096g/004AB7CC 2009-07-12

Schlüssel validieren

Für das Validieren der Schlüssel kennt GnuPG zwei Wege, die Schalter --edit-key [16] und --check-sigs. Für beide benötigen Sie zusätzlich den Namen des zu prüfenden Schlüssels.

Bei --edit-key klärt GnuPG, ob es einen passenden geheimen Schlüssel gibt, und öffnet eine eigene Shell, in der Sie über GnuPG-eigene Kommandos Veränderungen am Schlüssel vornehmen können. Uns interessiert hier nur das Prüfen der Gültigkeit, daher kommt das Kommando check ins Spiel. In Listing 5 zeigt die Ausgabe, dass der Schlüssel gültig ist.

Listing 5

$ gpg --edit-key "Frank Hofmann"
gpg (GnuPG) 1.4.18; Copyright (C) 2014 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Geheimer Schlüssel ist vorhanden.
pub  4096R/D431AC07  erzeugt: 2014-09-05  verfällt: niemals     Aufruf: SC
                     Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
sub  4096R/3B074F29  erzeugt: 2014-09-05  verfällt: niemals     Aufruf: E
[ uneing.] (1). Frank Hofmann (Hofmann EDV) <frank.hofmann@efho.de>
gpg> check
uid  Frank Hofmann (Hofmann EDV) <frank.hofmann@efho.de>
sig!3        D431AC07 2014-09-05  [Eigenbeglaubigung]
gpg> quit

Beim zweiten, kürzeren Aufruf aus Listing 6 identifiziert GnuPG einen abgelaufenen Schlüssel. Den Status der Überprüfung signalisiert das Programm in der Ausgabe durch ein Flag, das direkt auf den Text sig folgt. Dabei steht ein Ausrufezeichen für eine erfolgreiche Validierung, das Minus für eine „schlechte“ Signatur und ein Prozentzeichen für einen Fehler, der während der Validierung auftrat.

Listing 6

$ gpg --check-sigs "Wolfram Eifler"
pub   2048R/C76E337A 2011-05-11 [verfallen: 2016-05-09]
uid                  Wolfram Eifler <adagio@weifler.in-berlin.de>
sig!3        C76E337A 2011-05-11  Wolfram Eifler <adagio@weifler.in-berlin.de>
1 Beglaubigung wegen fehlendem Schlüssel nicht geprüft

Um den gesamten Schlüsselring zu überprüfen, rufen Sie GnuPG wieder mit dem Schalter --check-sigs auf. Diesmal geben Sie jedoch keinen spezifischen Schlüsselnamen an und erhalten als Ergebnis eine Übersicht zum Status aller Schlüssel des Schlüsselrings.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 6 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
KAUFEN
LinuxUser 07/2016 KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS
Deutschland

Hinterlasse einen Kommentar

  E-Mail Benachrichtigung  
Benachrichtige mich zu: