YubiKey 07 – Revoke-Datei erstellen und Schlüssel exportieren

Die Schlüsselpaare sind erstellt und im Schlüsselbund in der virtuellen Box vorhanden. Nun sind noch ein paar Kleinigkeiten,

  1. wie Revoke Zertifikat
  2. Export der privaten Schlüssel
  3. Export des öffentlichen Schlüssel

vorzunehmen.


Revoke Zertifikat erstellen

Master Key exportieren

Sub Keys exportieren

Sub Keys exportieren


Revoke Zertifikat erstellen

Ein Revoke Zertifikat benötigt ihr, um einen über das Schlüsselnetzwerk veröffentlichen Schlüssel zu widerrufen, da eine Löschung von einmal veröffentlichen Schlüssel nicht nicht mehr möglich ist.

Im ersten Schritt erstellen wir das Revoke Zertifikat zum „zurückziehen“ der Schlüssel von öffentlichen Schlüsselservern.

Im GPG-Manual steht dazu
–gen-revoke – Erzeugt ein Widerrufszertifikat für den gesamten Schlüssel. Um einen Unterschlüssel oder eine Signatur zu widerrufen, verwenden Sie den Befehl –edit.
Quelle: https://www.gnupg.org/gph/de/manual/r1023.html

gpg --output EE223DBF5644229EFABE52C55C32B7A2290F8AE4.rev --gen-revoke EE223DBF5644229EFABE52C55C32B7A2290F8AE4

sec  rsa4096/5C32B7A2290F8AE4 2020-12-12 test-benutzer <test-benutzer@testlauf.de>

Create a revocation certificate for this key? (y/N) y
Please select the reason for the revocation:
  0 = No reason specified
  1 = Key has been compromised
  2 = Key is superseded
  3 = Key is no longer used
  Q = Cancel
(Probably you want to select 1 here)
Your decision?
Enter an optional description; end it with an empty line:
>
Reason for revocation: Key has been compromised
(No description given)
Is this okay? (y/N) y
ASCII armoured output forced.
Revocation certificate created.

Please move it to a medium which you can hide away; if Mallory gets
access to this certificate he can use it to make your key unusable.
It is smart to print this certificate and store it away, just in case
your media become unreadable.  But have some caution:  The print system of
your machine might store the data and make it available to others!
dev@dev-VirtualBox:~$

Die Ausgabe in deutscher Sprache am Ende lautet übersetzt wie folgt und sollte zwingend befolgt werden.

Bitte speichern Sie es auf einem Medium, welches Sie wegschließen können; falls Mallory (ein Angreifer) Zugang zu diesem Zertifikat erhält, kann er Ihren Schlüssel unbrauchbar machen. Es wäre klug, dieses Widerrufszertifikat auch auszudrucken und sicher aufzubewahren, falls das ursprüngliche Medium nicht mehr lesbar ist. Aber Obacht: Das
Drucksystem kann unter Umständen anderen Nutzern eine Kopie zugänglich machen.

Das Revoke Zertifikat wird in eine neu Datei in euer Home-Verzeichnis geschrieben.

.gnupg-Ordner im Home-Verzeichnis
.gnupg-Ordner im Home-Verzeichnis
Yubico - YubiKey 5C NFC - Two Factor Authentication USB...
Yubico Y-291 Yubikey 5Ci Schwarz

Master Key exportieren

Bei diesem Export handelt es sich um den privaten Schlüssel. Behandelt die exportierte Datei wie das Revoke Zertifikat!

gpg --export-secret-keys --armor EE223DBF5644229EFABE52C55C32B7A2290F8AE4 > EE223DBF5644229EFABE52C55C32B7A2290F8AE4.priv.asc

Auch mit diesem Befehl wird eine neue Datei in eurem Home-Verzeichnis erstellt.

Sub Keys exportieren

Bei diesem Export handelt es sich um den privaten Schlüssel. Behandelt die exportierte Datei wie das Revoke Zertifikat!

gpg --export-secret-subkeys --armor EE223DBF5644229EFABE52C55C32B7A2290F8AE4 > EE223DBF5644229EFABE52C55C32B7A2290F8AE4.sub_priv.asc

Ebenfalls taucht nach dem Ausführen des Befehls eine neue Datei im Home-Verzeichnis eures Benutzers auf.

Die drei Dateien solltet ihr zwingend an einem sehr sicheren Ort aufbewahren. Derjenige der im Besitz der Dateien ist, kann sonst eure Schlüssel kompromittieren.

Auflistung in der Konsole

ls -la

… oder grafisch.

Exportierte Schlüssel
Exportierte Schlüssel

Öffentlichen Schlüssel exportieren

Die ganzen Schlüssel bringen euch nichts, wenn die Gegenseite nicht im Besitz eures öffentlichen Schlüssels ist. Diesen könnt ihr beliebig teilen und weitergeben.
Exportieren lässt er sich ganz einfach mit dem Befehl.

gpg --export-ssh-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4 > EE223DBF5644229EFABE52C55C32B7A2290F8AE4.pup.ssh

Der öffentliche Schüssel landet so auch im Home-Verzeichnis eures Benutzers.

Im nächsten Beitrag stelle ich noch einige hilfreiche Befehle für das Management der Schlüsselpaare vor
YubiKey 08 – Hilfreiche GPG-Befehle zur Verwaltung von Schlüsselpaaren

Anzeige/Werbung

(**) Produktpreise und -verfügbarkeit sind zum angegebenen Datum / Uhrzeit korrekt und können sich ändern. Alle Preis- und Verfügbarkeitsinformationen auf https://www.amazon.de/ zum Zeitpunkt des Kaufs gelten für den Kauf dieses Produkts.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.