YubiKey 08 – Hilfreiche GPG-Befehle zur Verwaltung von Schlüsselpaaren

In diesem Beitrag möchte ich nur ein paar hilfreiche Befehle aufführen, um die Verwaltung mit Schlüsselpaare ein wenig zu vereinfachen.
Das Passwort eines Master Keys ebenso die Gültigkeit von Haupt- und Unterschlüsseln lässt sich sehr einfach und schnell anpassen.

Achtet aber darauf, dass nach jeder Änderung ein neuer Export erstellt werden muss. Auch müssen ggf. Schlüssel auf YubiKeys oder anderen Systemen ausgetauscht werden.
Je nachdem wo ihr eure Schlüssel im Einsatz habt, kann das Austauschen einige Zeit in Anspruch nehmen.


Keys löschen

Wichtige GPG Befehle


Keys löschen

Einen Schlüssel, sei es ein Master Key oder ein Sub Key, kann man jederzeit aus dem Schlüsselbund löschen. Da die Schlüssel hierarchisch strukturiert sind, werden beim Löschen des Master Keys auf die Sub Keys ungültig.

Mit dem erfolgreich erstellen Backup, also dem Export, lassen sich die Schlüssel ja jederzeit wiederherstellen. Wie ein Backup erstellt wird, ist hier beschrieben.
YubiKey 07 – Revoke-Datei erstellen und Schlüssel exportieren

Löschen solltet ihr die privaten Schlüssel von eurem System, wenn es sich um keine geschützte Umgebung handelt und das Risiko hoch ist, das die Key kompromittiert werden können.

Yubico - YubiKey 5C NFC - Two Factor Authentication USB...
Angebot Yubico Y-291 Yubikey 5Ci

gpg --delete-secret-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4

Wichtige GPG Befehle

Hier noch einige wichtige GPG-Befehle.

Zum Editieren müsst ihr immer den Master Key mit der richtigen ID aufrufen und mit “–edit-key” bearbeiten.

gpg --expert --edit-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4

Anschließend könnt ihr Änderungen an dem Schlüssel vornehmen.

Passwort ändern

Möchtet ihr das Passwort eures Master Keys ändern, geht das wie folgt.

  gpg> passwd

Für unser Beispiel bedeutet das:

  gpg --expert --edit-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4
  gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
  This is free software: you are free to change and redistribute it.
  There is NO WARRANTY, to the extent permitted by law.

  Secret key is available.

  sec  rsa4096/5C32B7A2290F8AE4
       created: 2020-12-12  expires: 2025-12-11  usage: C
       trust: ultimate      validity: ultimate
  ssb  rsa4096/AC3DF8B5D579D99A
       created: 2020-12-12  expires: 2025-12-11  usage: E
  ssb  rsa4096/F2F84EBBFEFDC588
       created: 2020-12-12  expires: 2025-12-11  usage: S
  ssb  rsa4096/F122ED392968B430
       created: 2020-12-12  expires: 2025-12-11  usage: A
  [ultimate] (1). test-benutzer <test-benutzer@testlauf.de>

  gpg> passwd

  gpg> quit

Zuerst werdet ihr nach eurem bestehenden Passwort gefragt.

Passwortänderung
Passwortänderung

Anschließend ist ein neues Passwort zu vergeben.

Passwortänderung
Passwortänderung

Nachdem ihr das neue Passwort zweimal eingegeben habt werdet ihr gleich nochmal zur Bestätigung aufgefordert und müsst das neue Passwort noch einmal eingeben.

Gültigkeit des Master Keys ändern

Die Gültigkeit des Master Keys lässt sich ändern mit. Während des Erstellens haben wir eine Gültigkeit von 5 Jahren vorgegeben, jetzt wird das auf 4 Jahre geändert.

  gpg>  expire

Für unser Beispiel bedeutet das:

  gpg --expert --edit-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4
  gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
  This is free software: you are free to change and redistribute it.
  There is NO WARRANTY, to the extent permitted by law.

  Secret key is available.

  sec  rsa4096/5C32B7A2290F8AE4
       created: 2020-12-12  expires: 2025-12-11  usage: C
       trust: ultimate      validity: ultimate
  ssb  rsa4096/AC3DF8B5D579D99A
       created: 2020-12-12  expires: 2025-12-11  usage: E
  ssb  rsa4096/F2F84EBBFEFDC588
       created: 2020-12-12  expires: 2025-12-11  usage: S
  ssb  rsa4096/F122ED392968B430
       created: 2020-12-12  expires: 2025-12-11  usage: A
  [ultimate] (1). test-benutzer <test-benutzer@testlauf.de>

  gpg> expire
  Changing expiration time for the primary key.
  Please specify how long the key should be valid.
           0 = key does not expire
        <n>  = key expires in n days
        <n>w = key expires in n weeks
        <n>m = key expires in n months
        <n>y = key expires in n years
  Key is valid for? (0) 4y
  Key expires at Do 12 Dez 2024 18:20:11 CET
  Is this correct? (y/N) y

  sec  rsa4096/5C32B7A2290F8AE4
       created: 2020-12-12  expires: 2024-12-12  usage: C
       trust: ultimate      validity: ultimate
  ssb  rsa4096/AC3DF8B5D579D99A
       created: 2020-12-12  expires: 2025-12-11  usage: E
  ssb  rsa4096/F2F84EBBFEFDC588
       created: 2020-12-12  expires: 2025-12-11  usage: S
  ssb  rsa4096/F122ED392968B430
       created: 2020-12-12  expires: 2025-12-11  usage: A
  [ultimate] (1). test-benutzer <test-benutzer@testlauf.de>

  gpg> quit
  Save changes? (y/N) y

In der letzten Übersicht seht ihr, dass die das Ablaufdatum für den Master Key von 2025-12-11 auf 2024-12-12 geändert hat.

Gültigkeit der Sub Keys ändern

Die Gültigkeit lässt sich pro Sub Key ändern.

  gpg> key ID-SUB-KEY
  gpg> expire

Für unser Beispiel bedeutet das:

gpg --expert --edit-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4
gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

sec  rsa4096/5C32B7A2290F8AE4
     created: 2020-12-12  expires: 2024-12-12  usage: C
     trust: ultimate      validity: ultimate
ssb  rsa4096/AC3DF8B5D579D99A
     created: 2020-12-12  expires: 2025-12-11  usage: E
ssb  rsa4096/F2F84EBBFEFDC588
     created: 2020-12-12  expires: 2025-12-11  usage: S
ssb  rsa4096/F122ED392968B430
     created: 2020-12-12  expires: 2025-12-11  usage: A
[ultimate] (1). test-benutzer <test-benutzer@testlauf.de>

gpg> key AC3DF8B5D579D99A

sec  rsa4096/5C32B7A2290F8AE4
     created: 2020-12-12  expires: 2024-12-12  usage: C
     trust: ultimate      validity: ultimate
ssb* rsa4096/AC3DF8B5D579D99A
     created: 2020-12-12  expires: 2025-12-11  usage: E
ssb  rsa4096/F2F84EBBFEFDC588
     created: 2020-12-12  expires: 2025-12-11  usage: S
ssb  rsa4096/F122ED392968B430
     created: 2020-12-12  expires: 2025-12-11  usage: A
[ultimate] (1). test-benutzer <test-benutzer@testlauf.de>

gpg> expire
Changing expiration time for a subkey.
Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0) 4y
Key expires at Do 12 Dez 2024 18:23:26 CET
Is this correct? (y/N) y

sec  rsa4096/5C32B7A2290F8AE4
     created: 2020-12-12  expires: 2024-12-12  usage: C
     trust: ultimate      validity: ultimate
ssb* rsa4096/AC3DF8B5D579D99A
     created: 2020-12-12  expires: 2024-12-12  usage: E
ssb  rsa4096/F2F84EBBFEFDC588
     created: 2020-12-12  expires: 2025-12-11  usage: S
ssb  rsa4096/F122ED392968B430
     created: 2020-12-12  expires: 2025-12-11  usage: A
[ultimate] (1). test-benutzer <test-benutzer@testlauf.de>

gpg> quit
Save changes? (y/N) y

In der Übersicht ist zu sehen, dass sich für den Schlüssel “ssb* rsa4096/AC3DF8B5D579D99A” das Ablaufdatum ebenfalls geändert hat.
Die beiden anderen Sub Keys sind dann entsprechend anzupassen. Die Unterschlüssel sollten die gleiche Gültigkeit haben, wie der Master Key.

Nachdem nun Master Key und Sub Keys erstellt und exportiert sind, können die Schlüssel auf einen YubiKey exportiert werden.
YubiKey 09 – OpenPGP-Schlüssel auf den YubiKey exportieren

Anzeige/Werbung

Bildquelle: Gemeinfrei-ähnlich freigegeben durch unsplash.com Micah Williams

(**) Produktpreise und -verfügbarkeit sind zum angegebenen Datum / Uhrzeit korrekt und können sich ändern. Alle Preis- und Verfügbarkeitsinformationen auf https://www.amazon.de/ zum Zeitpunkt des Kaufs gelten für den Kauf dieses Produkts.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.