Die Schlüsselpaare sind erstellt und im Schlüsselbund in der virtuellen Box vorhanden. Nun sind noch ein paar Kleinigkeiten,
- wie Revoke Zertifikat
- Export der privaten Schlüssel
- Export des öffentlichen Schlüssel
vorzunehmen.
Revoke Zertifikat erstellen
Master Key exportieren
Sub Keys exportieren
Sub Keys exportieren
Revoke Zertifikat erstellen
Ein Revoke Zertifikat benötigt ihr, um einen über das Schlüsselnetzwerk veröffentlichen Schlüssel zu widerrufen, da eine Löschung von einmal veröffentlichen Schlüssel nicht nicht mehr möglich ist.
Im ersten Schritt erstellen wir das Revoke Zertifikat zum „zurückziehen“ der Schlüssel von öffentlichen Schlüsselservern.
Im GPG-Manual steht dazu
„–gen-revoke – Erzeugt ein Widerrufszertifikat für den gesamten Schlüssel. Um einen Unterschlüssel oder eine Signatur zu widerrufen, verwenden Sie den Befehl –edit.“
Quelle: https://www.gnupg.org/gph/de/manual/r1023.html
gpg --output EE223DBF5644229EFABE52C55C32B7A2290F8AE4.rev --gen-revoke EE223DBF5644229EFABE52C55C32B7A2290F8AE4
sec rsa4096/5C32B7A2290F8AE4 2020-12-12 test-benutzer <test-benutzer@testlauf.de>
Create a revocation certificate for this key? (y/N) y
Please select the reason for the revocation:
0 = No reason specified
1 = Key has been compromised
2 = Key is superseded
3 = Key is no longer used
Q = Cancel
(Probably you want to select 1 here)
Your decision?
Enter an optional description; end it with an empty line:
>
Reason for revocation: Key has been compromised
(No description given)
Is this okay? (y/N) y
ASCII armoured output forced.
Revocation certificate created.
Please move it to a medium which you can hide away; if Mallory gets
access to this certificate he can use it to make your key unusable.
It is smart to print this certificate and store it away, just in case
your media become unreadable. But have some caution: The print system of
your machine might store the data and make it available to others!
dev@dev-VirtualBox:~$Die Ausgabe in deutscher Sprache am Ende lautet übersetzt wie folgt und sollte zwingend befolgt werden.
„Bitte speichern Sie es auf einem Medium, welches Sie wegschließen können; falls Mallory (ein Angreifer) Zugang zu diesem Zertifikat erhält, kann er Ihren Schlüssel unbrauchbar machen. Es wäre klug, dieses Widerrufszertifikat auch auszudrucken und sicher aufzubewahren, falls das ursprüngliche Medium nicht mehr lesbar ist. Aber Obacht: Das
Drucksystem kann unter Umständen anderen Nutzern eine Kopie zugänglich machen.“
Das Revoke Zertifikat wird in eine neu Datei in euer Home-Verzeichnis geschrieben.
Gib mir gerne einen Kaffee ☕ aus!
Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕ ausgeben.
bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj
Master Key exportieren
Bei diesem Export handelt es sich um den privaten Schlüssel. Behandelt die exportierte Datei wie das Revoke Zertifikat!
gpg --export-secret-keys --armor EE223DBF5644229EFABE52C55C32B7A2290F8AE4 > EE223DBF5644229EFABE52C55C32B7A2290F8AE4.priv.ascAuch mit diesem Befehl wird eine neue Datei in eurem Home-Verzeichnis erstellt.
Sub Keys exportieren
Bei diesem Export handelt es sich um den privaten Schlüssel. Behandelt die exportierte Datei wie das Revoke Zertifikat!
gpg --export-secret-subkeys --armor EE223DBF5644229EFABE52C55C32B7A2290F8AE4 > EE223DBF5644229EFABE52C55C32B7A2290F8AE4.sub_priv.ascEbenfalls taucht nach dem Ausführen des Befehls eine neue Datei im Home-Verzeichnis eures Benutzers auf.
Die drei Dateien solltet ihr zwingend an einem sehr sicheren Ort aufbewahren. Derjenige der im Besitz der Dateien ist, kann sonst eure Schlüssel kompromittieren.
Auflistung in der Konsole
ls -la… oder grafisch.
Öffentlichen Schlüssel exportieren
Die ganzen Schlüssel bringen euch nichts, wenn die Gegenseite nicht im Besitz eures öffentlichen Schlüssels ist. Diesen könnt ihr beliebig teilen und weitergeben.
Exportieren lässt er sich ganz einfach mit dem Befehl.
gpg --export-ssh-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4 > EE223DBF5644229EFABE52C55C32B7A2290F8AE4.pup.sshDer öffentliche Schüssel landet so auch im Home-Verzeichnis eures Benutzers.
Im nächsten Beitrag stelle ich noch einige hilfreiche Befehle für das Management der Schlüsselpaare vor
➡ YubiKey 08 – Hilfreiche GPG-Befehle zur Verwaltung von Schlüsselpaaren
Hier geht es zur ➡ YubiKey Themenseite, dort findest du noch mehr Beiträge rund um den YubiKey.
ist absolut technik-begeistert und großer Fan von Linux und Open Source. Raspberry Pi Bastler der ersten Stunde und nach wie vor begeistert von dem kleinen Stück Hardware, auf dem er tolle Projekte umsetzt. Teilt hier seine Erfahrungen mit Nextcloud, Pi-hole, YubiKey, Synology und openmediavault und anderen spannenden IT-Themen. Nutzt Markdown und LaTeX zum Dokumentieren seiner Projekte und Gitea zum Versionieren. Sitzt vor einem 49“ Monitor, nutzt Windows und MacOS zum Arbeiten, Linux auf seinen Servern und virtuellen Maschinen und hört dabei Spotify und MP3s und Radio-Streams über seinen RadioPi.
Trinkt gerne fairen Kaffee und freut sich deshalb sehr über jede Spende.
• 
Hallo,
wie kann ich exportierte Sup-Keys wieder herstellen?
Alle Backups liegen im home Verzeichnis.
Mein Hauptproblem ist folgendes. Ich habe alle Sub-Keys auf den Yubikey geschrieben, das funktioniert auch alles gut. Jetzt möchte ich einen zweiten, identischen Yubikey erstellen. Die bereits geschriebenen Sub-Keys lassen sich ja nicht nochmal versenden.
Wie kann ich nun aus den exportierten Backups brauchbare Keys herstellen, damit ich den zweiten Yubikey erstellen kann?
Besten Dank
Swen
Hallo Swen,
du kannst deine vorhandenen Keys auch auf den zweiten YubiKey schreiben. Das funktioniert wie bei deinem ersten Hardwaretoken.
Verbinde deinen neuen YubiKey mit deinem Client und durchlaufe die Schritte wie hier aufgezeigt.
➡ YubiKey 09 – OpenPGP-Schlüssel auf den YubiKey exportieren
Es gibt keine Limitierung, wie oft du deine selbst Keys auf Hardwaretokens schreiben kannst. Du solltest nur immer Zugriff auf deine Passwörter und dein Revoke Zertifikat haben.
Ich hoffe das hilft dir weiter.
Viel Erfolg!
Stefan