Verschlüsselung mit GnuPG

[deadbabylon]

Hallo zusammen,
ich hab mal wieder versucht, mich mit Verschlüsselung auseinanderzusetzen. Ich hab für meine eine Email-Adresse einen passenden Schlüssel (öffentlich und geheim) erstellt und kann damit auch Emails und Dateien verschlüsseln. Trotzdem hab ich noch ein paar Verständnisfragen:

1. Da ich noch mehrere Email-Adressen habe, was wäre sinnvoller:
- Für jede Email ein eigenes Schlüsselpaar erzeugen?
- Nur den bisherigen Schlüssel benutzen?
- Die weiteren Emailadressen in den bisherigen Schlüssel integrieren? (Wenn ja, wie?)

2. Da ich hier mehrere Rechner stehen habe, wie importiere ich die schon bestehenden Schlüssel in GnuPG auf einem weiteren Rechner? Den öffentlichen Schlüssel zu importieren ist ja nicht weiter schwer, aber wie steht es mit dem privaten Schlüssel, da er ja nicht direkt auf dem Rechner erstellt wurde.

3. Wie sichere ich am besten die Schlüsselpaare?

Soweit erstmal,
Tom

[Thalion]

1. Da ich noch mehrere Email-Adressen habe, was wäre sinnvoller:
- Für jede Email ein eigenes Schlüsselpaar erzeugen?
- Nur den bisherigen Schlüssel benutzen?
- Die weiteren Emailadressen in den bisherigen Schlüssel integrieren? (Wenn ja, wie?)

Hi! Also ich denke solange du über die Mailaddys mit deiner eigentlichen Identität (also kein Nickname, usw.) handelst, dann wäre ein einziges Schlüsselpaar ok. Denn wenn du dich als "Schneider" ausgibst mit deiner eMailaddy "Schneider", dann wäre es sinnlos unterschiedliche Schlüssel zu nutzen.

Ob man nun mehrere eMailaddys in einen Schlüssel integrieren kann, kann ich nicht sagen.

2. Da ich hier mehrere Rechner stehen habe, wie importiere ich die schon bestehenden Schlüssel in GnuPG auf einem weiteren Rechner? Den öffentlichen Schlüssel zu importieren ist ja nicht weiter schwer, aber wie steht es mit dem privaten Schlüssel, da er ja nicht direkt auf dem Rechner erstellt wurde.

Du hast doch einmal einen öffentlichen und einen privaten Schlüssel. Deinen öffentlicher Schlüssel publizierst du als eMailanhang oder auf dem Keyservern. Deinen privaten Schlüssel kannst du exportieren und somit in anderen Programmen/Rechnern wieder importieren.

[Joghurt]

1. Da ich noch mehrere Email-Adressen habe, was wäre sinnvoller:
- Für jede Email ein eigenes Schlüsselpaar erzeugen?
- Nur den bisherigen Schlüssel benutzen?
- Die weiteren Emailadressen in den bisherigen Schlüssel integrieren?

Ich würde einfach die anderen Adressen integrieren. Hier ist der direkte Weg (es gibt natürlich GUIs, die es einfacher machen)

Code: Alles auswählen

$ gpg --edit-key "Dein Name"
Befehl> help
[...]
Befehl> adduid

Den öffentlichen Schlüssel zu importieren ist ja nicht weiter schwer, aber wie steht es mit dem privaten Schlüssel, da er ja nicht direkt auf dem Rechner erstellt wurde.

Code: Alles auswählen

gpg --export-secret-keys

3. Wie sichere ich am besten die Schlüsselpaare?

Am besten auf Diskette oder USB-Stick. Desweiteren solltest du dir ein Key-Revocation-Certificate erstellen und ausdrucken.

Code: Alles auswählen

gpg --gen-revoke "Deine ID"

Wenn du den Schlüssel oder die Diskette dann verliest, kannst du die Revocation öffentlich machen.

<Paranoia>Nochwas: du solltest deine Keys mit einem Verfallsdatum versehen, je nach Sicherheitswunsch so zwischen 6 Monaten und 2 Jahren. Denn je länger ein Schlüssel benutzt wird, desto "einfacher" wird ein kryptanalytischer Angriff</Paranoia>

Natürlich fehlt das obligatorische RTFM

[deadbabylon]

Du hast doch einmal einen öffentlichen und einen privaten Schlüssel. Deinen öffentlicher Schlüssel publizierst du als eMailanhang oder auf dem Keyservern. Deinen privaten Schlüssel kannst du exportieren und somit in anderen Programmen/Rechnern wieder importieren.

Exportieren kann ich ihn. Nur beim importieren hab ich noch meine Schwierigkeiten, bzw. das importieren an sich klappt, nur was muss ich noch machen damit dem Schlüssel auch "vertraut" wird? Signieren geht ja schlecht, da ich auf dem Rechner keinen eigenen Schlüssel habe.

Am besten auf Diskette oder USB-Stick. Desweiteren solltest du dir ein Key-Revocation-Certificate erstellen und ausdrucken.

Ich meinte eher ein Datenbackup, nicht das sichern im Sinne von wegsperren. Hat sich mittlerweile aber erledigt.

Danke Euch beiden schonmal für die Antworten.

[hupfdule]

1. Da ich noch mehrere Email-Adressen habe, was wäre sinnvoller:
- Für jede Email ein eigenes Schlüsselpaar erzeugen?
- Nur den bisherigen Schlüssel benutzen?
- Die weiteren Emailadressen in den bisherigen Schlüssel integrieren? (Wenn ja, wie?)

Kommt drauf an. Ich würde es logisch gliedern. In der Regel reicht ein einziger Schlüssel für alle e-mail Adressen. Wenn du deine e-mail Adressen aber unterschiedlich nutzt, kann es Sinn machen, dass du auch mehrere Schlüssel generierst.

Der Rest wurde ja schon ausreichend beantwortet.

[deadbabylon]

Exportieren kann ich ihn. Nur beim importieren hab ich noch meine Schwierigkeiten, bzw. das importieren an sich klappt, nur was muss ich noch machen damit dem Schlüssel auch "vertraut" wird? Signieren geht ja schlecht, da ich auf dem Rechner keinen eigenen Schlüssel habe.

Wollt nochmal ein erledigt drunter setzen.
Erklärung: Wollte die Schlüssel auch unter Windows benutzen (ebenfalls GnuPG 1.2.4 mit Fronend WinPT). Das Frontend hat allerdings nicht zugelassen, dass ich die Beglaubigung eines Schlüssels auf "ultimate" setze und so hat Enigmail im Thunderbird die Signaturen und Verschlüsselungen angemarkert. Ein Umweg über die Kommandozeile hat das behoben und jetzt funktioniert es.
Hatte bis dahin leichte Verständnisschwierigkeiten.

Danke an alle nochmals!