YubiKey 08 – Hilfreiche GPG-Befehle zur Verwaltung von Schlüsselpaaren

In diesem Beitrag möchte ich nur ein paar hilfreiche Befehle aufführen, um die Verwaltung mit Schlüsselpaare ein wenig zu vereinfachen.
Das Passwort eines Master Keys ebenso die Gültigkeit von Haupt- und Unterschlüsseln lässt sich sehr einfach und schnell anpassen.

Achtet aber darauf, dass nach jeder Änderung ein neuer Export erstellt werden muss. Auch müssen ggf. Schlüssel auf YubiKeys oder anderen Systemen ausgetauscht werden.
Je nachdem wo ihr eure Schlüssel im Einsatz habt, kann das Austauschen einige Zeit in Anspruch nehmen.


Keys löschen

Wichtige GPG Befehle


Keys löschen

Einen Schlüssel, sei es ein Master Key oder ein Sub Key, kann man jederzeit aus dem Schlüsselbund löschen. Da die Schlüssel hierarchisch strukturiert sind, werden beim Löschen des Master Keys auf die Sub Keys ungültig.

Mit dem erfolgreich erstellen Backup, also dem Export, lassen sich die Schlüssel ja jederzeit wiederherstellen. Wie ein Backup erstellt wird, ist hier beschrieben.
YubiKey 07 – Revoke-Datei erstellen und Schlüssel exportieren

Löschen solltet ihr die privaten Schlüssel von eurem System, wenn es sich um keine geschützte Umgebung handelt und das Risiko hoch ist, das die Key kompromittiert werden können.

Yubico - YubiKey 5C NFC - Two Factor Authentication USB...
Angebot Yubico Y-291 Yubikey 5Ci Schwarz

gpg --delete-secret-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4

Wichtige GPG Befehle

Hier noch einige wichtige GPG-Befehle.

Zum Editieren müsst ihr immer den Master Key mit der richtigen ID aufrufen und mit „–edit-key“ bearbeiten.

gpg --expert --edit-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4

Anschließend könnt ihr Änderungen an dem Schlüssel vornehmen.

Passwort ändern

Möchtet ihr das Passwort eures Master Keys ändern, geht das wie folgt.

  gpg> passwd

Für unser Beispiel bedeutet das:

  gpg --expert --edit-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4
  gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
  This is free software: you are free to change and redistribute it.
  There is NO WARRANTY, to the extent permitted by law.

  Secret key is available.

  sec  rsa4096/5C32B7A2290F8AE4
       created: 2020-12-12  expires: 2025-12-11  usage: C
       trust: ultimate      validity: ultimate
  ssb  rsa4096/AC3DF8B5D579D99A
       created: 2020-12-12  expires: 2025-12-11  usage: E
  ssb  rsa4096/F2F84EBBFEFDC588
       created: 2020-12-12  expires: 2025-12-11  usage: S
  ssb  rsa4096/F122ED392968B430
       created: 2020-12-12  expires: 2025-12-11  usage: A
  [ultimate] (1). test-benutzer <test-benutzer@testlauf.de>

  gpg> passwd

  gpg> quit

Zuerst werdet ihr nach eurem bestehenden Passwort gefragt.

Passwortänderung
Passwortänderung

Anschließend ist ein neues Passwort zu vergeben.

Passwortänderung
Passwortänderung

Nachdem ihr das neue Passwort zweimal eingegeben habt werdet ihr gleich nochmal zur Bestätigung aufgefordert und müsst das neue Passwort noch einmal eingeben.

Gültigkeit des Master Keys ändern

Die Gültigkeit des Master Keys lässt sich ändern mit. Während des Erstellens haben wir eine Gültigkeit von 5 Jahren vorgegeben, jetzt wird das auf 4 Jahre geändert.

  gpg>  expire

Für unser Beispiel bedeutet das:

  gpg --expert --edit-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4
  gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
  This is free software: you are free to change and redistribute it.
  There is NO WARRANTY, to the extent permitted by law.

  Secret key is available.

  sec  rsa4096/5C32B7A2290F8AE4
       created: 2020-12-12  expires: 2025-12-11  usage: C
       trust: ultimate      validity: ultimate
  ssb  rsa4096/AC3DF8B5D579D99A
       created: 2020-12-12  expires: 2025-12-11  usage: E
  ssb  rsa4096/F2F84EBBFEFDC588
       created: 2020-12-12  expires: 2025-12-11  usage: S
  ssb  rsa4096/F122ED392968B430
       created: 2020-12-12  expires: 2025-12-11  usage: A
  [ultimate] (1). test-benutzer <test-benutzer@testlauf.de>

  gpg> expire
  Changing expiration time for the primary key.
  Please specify how long the key should be valid.
           0 = key does not expire
        <n>  = key expires in n days
        <n>w = key expires in n weeks
        <n>m = key expires in n months
        <n>y = key expires in n years
  Key is valid for? (0) 4y
  Key expires at Do 12 Dez 2024 18:20:11 CET
  Is this correct? (y/N) y

  sec  rsa4096/5C32B7A2290F8AE4
       created: 2020-12-12  expires: 2024-12-12  usage: C
       trust: ultimate      validity: ultimate
  ssb  rsa4096/AC3DF8B5D579D99A
       created: 2020-12-12  expires: 2025-12-11  usage: E
  ssb  rsa4096/F2F84EBBFEFDC588
       created: 2020-12-12  expires: 2025-12-11  usage: S
  ssb  rsa4096/F122ED392968B430
       created: 2020-12-12  expires: 2025-12-11  usage: A
  [ultimate] (1). test-benutzer <test-benutzer@testlauf.de>

  gpg> quit
  Save changes? (y/N) y

In der letzten Übersicht seht ihr, dass die das Ablaufdatum für den Master Key von 2025-12-11 auf 2024-12-12 geändert hat.

Gültigkeit der Sub Keys ändern

Die Gültigkeit lässt sich pro Sub Key ändern.

  gpg> key ID-SUB-KEY
  gpg> expire

Für unser Beispiel bedeutet das:

gpg --expert --edit-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4
gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

sec  rsa4096/5C32B7A2290F8AE4
     created: 2020-12-12  expires: 2024-12-12  usage: C
     trust: ultimate      validity: ultimate
ssb  rsa4096/AC3DF8B5D579D99A
     created: 2020-12-12  expires: 2025-12-11  usage: E
ssb  rsa4096/F2F84EBBFEFDC588
     created: 2020-12-12  expires: 2025-12-11  usage: S
ssb  rsa4096/F122ED392968B430
     created: 2020-12-12  expires: 2025-12-11  usage: A
[ultimate] (1). test-benutzer <test-benutzer@testlauf.de>

gpg> key AC3DF8B5D579D99A

sec  rsa4096/5C32B7A2290F8AE4
     created: 2020-12-12  expires: 2024-12-12  usage: C
     trust: ultimate      validity: ultimate
ssb* rsa4096/AC3DF8B5D579D99A
     created: 2020-12-12  expires: 2025-12-11  usage: E
ssb  rsa4096/F2F84EBBFEFDC588
     created: 2020-12-12  expires: 2025-12-11  usage: S
ssb  rsa4096/F122ED392968B430
     created: 2020-12-12  expires: 2025-12-11  usage: A
[ultimate] (1). test-benutzer <test-benutzer@testlauf.de>

gpg> expire
Changing expiration time for a subkey.
Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0) 4y
Key expires at Do 12 Dez 2024 18:23:26 CET
Is this correct? (y/N) y

sec  rsa4096/5C32B7A2290F8AE4
     created: 2020-12-12  expires: 2024-12-12  usage: C
     trust: ultimate      validity: ultimate
ssb* rsa4096/AC3DF8B5D579D99A
     created: 2020-12-12  expires: 2024-12-12  usage: E
ssb  rsa4096/F2F84EBBFEFDC588
     created: 2020-12-12  expires: 2025-12-11  usage: S
ssb  rsa4096/F122ED392968B430
     created: 2020-12-12  expires: 2025-12-11  usage: A
[ultimate] (1). test-benutzer <test-benutzer@testlauf.de>

gpg> quit
Save changes? (y/N) y

In der Übersicht ist zu sehen, dass sich für den Schlüssel „ssb* rsa4096/AC3DF8B5D579D99A“ das Ablaufdatum ebenfalls geändert hat.
Die beiden anderen Sub Keys sind dann entsprechend anzupassen. Die Unterschlüssel sollten die gleiche Gültigkeit haben, wie der Master Key.

Nachdem nun Master Key und Sub Keys erstellt und exportiert sind, können die Schlüssel auf einen YubiKey exportiert werden.
YubiKey 09 – OpenPGP-Schlüssel auf den YubiKey exportieren


YubiKey Artikel Serie

Die Liste enthält alle Artikel der YubiKey-Serie, die dir genau aufzeigen wie du deinen Hardwaretoken für die unterschiedlichsten Anwendungsgebiete konfigurieren kannst.

  1. YubiKey 01 – YubiKey 5C NFC – Erste Schritte – Installation und Setup
  2. YubiKey 02 – Einmalpasswörter (OTPs) speichern
  3. Passwortmanager mit YubiKey absichern
  4. YubiKey 04 – Passwortlose Anmeldung an Microsoft 365
  5. YubiKey 05 – VirtualBox für die Erstellung des OpenPGP-Schlüsselpaars und zum Anschluss des YubiKeys vorbereiten
  6. YubiKey 06 – OpenPGP Schlüsselpaare erstellen – Master Key und Sub Keys
  7. YubiKey 07 – Revoke-Datei erstellen und Schlüssel exportieren
  8. YubiKey 08 – Hilfreiche GPG-Befehle zur Verwaltung von Schlüsselpaaren
  9. YubiKey 09 – OpenPGP-Schlüssel auf den YubiKey exportieren
  10. YubiKey 10 – Öffentlichen GPG-Schlüssel auf Linux-Server übertragen und für passwortlose Anmeldung nutzen
  11. YubiKey 11 – Windows anpassen zur SSH-Anmeldung an einem Linux-System
  12. YubiKey 12 – Benutzer-Anmeldung an Windows nur mit einem YubiKey erlauben
  13. YubiKey 13 – Benutzer-Anmeldung an Linux/Ubuntu nur mit einem YubiKey erlauben
  14. YubiKey 14 – SSH-Anmeldung mit einem Linux-Client mit YubiKey an einem Server

Hier geht es zur ➡ YubiKey Themenseite, dort findest du noch mehr Beiträge rund um den YubiKey.


Anzeige/Werbung

Bildquelle: Gemeinfrei-ähnlich freigegeben durch unsplash.com Micah Williams

(**) Produktpreise und -verfügbarkeit sind zum angegebenen Datum / Uhrzeit korrekt und können sich ändern. Alle Preis- und Verfügbarkeitsinformationen auf https://www.amazon.de/ zum Zeitpunkt des Kaufs gelten für den Kauf dieses Produkts.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.