Schlüsselexport und -import

Um Daten, und damit auch eMails und deren Anhänge, so zu verschüsseln, daß nur der Empfänger sie mit seinem privten Schlüssel öffnen kann, brauchen wir seinen öffentlichen Schlüssel. Um an den Public Key des Anderen zu kommen, gibt es die Möglichkeiten, den Schlüssel direkt vom Empfänger als asc-Datei zu erhalten oder von einem Keyserver zu beziehen.

Schlüsselexport in eine Datei

Wollen Sie den öffentlichen Schlüssel persönlich weitergeben, als eMail verschicken oder auf Ihrer Webseite veröffentlichen, dann wird er wie folgt aus dem Schlüsselring in eine Datei extrahiert:

gpg --export --armor Bob > Bob.asc

Die Option --armor bewirkt, daß der Schlüssel als ASCII-Text exportiert wird. Ohne diese Option liegt das Ergebnis binär vor und eignet sich nicht so gut für die Veröffentlichung auf einer Webseite. Anschliessend ist gezeigt, wie die Datei Bob.asc aussieht:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.6 (GNU/Linux)

mQGiBEdRj8ERBADvUQNm0+fWQMfkPRxPrfV9RA2NM/+yYbvNKfnF0I/5C
TeUasmhgiydq7tlCF6ZzkalUeXgIlhjFfe3M8UEcICDPof7ECTBoM1b
vO08QvSiJQBTUFKjx1gr6vI234qF90KQZVrwDq6mOaac+a74YykcEuM
mtGLwCgxjiwC8ZvgD/t2ObqafGtL6pUk3cEAL/FI32+KLQIytZBT33aL0dtP0
kjOCGJ0cJs2klVfjPfvdahm6Xw800m2WARFP9yuj6Jr697pts4sIQzL
Idn9G85U/Zf1BKkMk
[...]
/AakhJ2Q3GvM2JuvQiH55SBfI3fBwP7U6rGYO+tx+7AKU3P08fAiDous
x94UdmUwuNLVcZQv1bKrn0Vejc9wvLY9vnBXLOLV4Gt18LSJKOZPWDh
AnMxpGYbMxopsXF+0TL4wOy5V/DmIrpsz6UOOn52SgPdKGNRXVZWBN3E
xOrLLSAn6GxCVdr65QAckqfGWwhBvdRZ5TERHHerNnk80EIl2ITwQYE
wUCR1GPxAIbDAUJAA0vAAAKCRBlqgGiEKRl4iFWAKC1+sAbZmUZFvpp8Y
Moef5T+Lhi5gCgvZb5dbXZl+rvcnKEJ6/xdMJYdgU=
=ngrJ
-----END PGP PUBLIC KEY BLOCK-----

Schlüsselexport auf einen Keyserver

Um allen Internetteilnehmern Ihren öffentlichen Schlüssel zugängig zu machen, können Sie Ihren Public Key auf einen Keyserver Ihrer Wahl exportieren. Von dort wird er dann auf alle anderen Keyserver weltweit repliziert.

Allerdings, wenn Sie einmal einen Schlüssel auf einen Keyserver exportiert haben, dann lässt er sich dort nicht mehr löschen. Er lässt sich nur noch als ungültig kennzeichnen, sollte man ihn nicht benutzen wollen.

Ein sehr guter Keyserver ist beispielsweise subkeys.pgp.net.

Mit dem Befehl

gpg --keyserver subkeys.pgp.net --send-key 10A465E2

lässt sich Bob Mustermanns Schlüssel auf den Keyserver exportieren. Alternativ kann der Schlüssel auf ein Webformular des GPG-Keyservers unter http://gpg-keyserver.de durch Kopieren eingefügt werden.

Schlüsselimport

Damit Alice eMails an Bob verschlüsseln kann, benötigt sie, wie erwähnt, seinen Public Key. Wenn sie von Bob die Datei Bob.asc erhalten hat, dann kann seinen Schlüssel wie folgt in ihren Schlüsselring einfügen:

gpg --import Bob.asc

Meistens sucht man jedoch z.B. auf dem GPG-Keyserver über eine eindeutige User-ID (Namen, Zusätze) mit dem Webformular nach dem öffentlichen Schlüssel der Person. Hat man die Person und ihren Schlüssel ausfindig gemacht, dann kann man mittels der Key-ID, die man beim Schüssel findet, den Public Key vom Keyserver direkt importieren:

gpg --keyserver subkeys.pgp.net --recv-key 10A465E2

oder

gpg --recv-key 10A465E2

Der letzte Befehl funktioniert nur, wenn man sein GnuPG für Keyserver konfiguriert hat. Unter Linux befindet sich im eigenen Home-Verzeichnis die Datei ~/.gnupg/gpg.conf mit beispielsweise folgenden Inhalt:

keyserver  hkp://subkeys.pgp.net
#keyserver  pgp-public-keys(at)keys.nl.pgp.net
#keyserver ldap://keyserver.pgp.com


Wenn jetzt der Schlüssel von Bob in Alice Schlüsselring enthalten ist, dann sie ihn signieren und ein Vertrauensstatus vergeben.