OpenPGP-Schlüsselerzeugung mit GPA#

Die folgende Anleitung erklärt die Erzeugung von OpenPGP-Schlüsseln direkt auf dem Nitrokey mit Hilfe des GNU Privacy Assistant (GPA). Sie werden nicht in der Lage sein, ein Backup dieser Schlüssel zu erstellen. Wenn Sie also den Nitrokey verlieren oder er kaputt geht, können Sie keine Mails mehr entschlüsseln oder diese Schlüssel verwenden. Einen Vergleich der verschiedenen Methoden zur Erzeugung von OpenPGP-Schlüsseln finden Sie hier.

Sie müssen GnuPG und GPA auf Ihrem System installiert haben. Die neueste Version für Windows finden Sie hier (achten Sie darauf, bei der Installation „GPA“ anzukreuzen!). Nutzer von Linux-Systemen installieren GnuPG und GPA bitte mit Hilfe des Paketmanagers (z.B. mit sudo apt install gnupg gpa auf Ubuntu).

Schlüsselerzeugung#

Öffnen Sie zunächst den GNU Privacy Assistant (GPA). Eventuell werden Sie aufgefordert, einen Schlüssel zu generieren, Sie können diesen Schritt vorerst überspringen, indem Sie auf „Do it later“ klicken. Im Hauptfenster klicken Sie bitte auf „Karte“ oder „Kartenmanager“.

img1

Es öffnet sich ein weiteres Fenster. Bitte gehen Sie auf „Karte“ -> „Schlüssel generieren“, um den Schlüsselgenerierungsprozess zu starten.

img2

Nun können Sie Ihren Namen und die E-Mail-Adresse eingeben, die Sie für den Schlüssel verwenden möchten, der als nächstes generiert wird. Sie können ein Verfallsdatum für Ihren Schlüssel wählen, müssen es aber nicht.

Bitte verwenden Sie nicht das Kontrollkästchen für die Sicherung. Dieses „Backup“ speichert nur den Verschlüsselungsschlüssel. Im Falle eines Verlustes des Gerätes können Sie nicht den gesamten Schlüsselsatz wiederherstellen. Es handelt sich also einerseits um kein vollständiges Backup (verwenden Sie stattdessen diese Anleitung, wenn Sie eines benötigen) und andererseits riskieren Sie, dass jemand anderes in den Besitz Ihres Schlüssels kommt. Der Vorteil der Schlüsselgenerierung auf dem Gerät besteht darin, dass die Schlüssel sicher gespeichert werden. Wir empfehlen daher, diese halbe Sicherung zu überspringen.

img3

Sie werden nach der Admin-PIN (Standard: 12345678) und der Benutzer-PIN (Standard: 123456) gefragt. Wenn die Schlüsselerzeugung abgeschlossen ist, sehen Sie unten im Fenster die Fingerabdrücke der Schlüssel. Sie können die oben gezeigten Felder ausfüllen, die auch auf Ihrem Nitrokey gespeichert werden.

img4

Nun können Sie das Fenster schließen und zum Hauptfenster zurückkehren. Nach dem Aktualisieren ist Ihr Schlüssel im Schlüsselmanager sichtbar. Jede Anwendung, die GnuPG nutzt, wird auch mit Ihrem Nitrokey funktionieren, da GnuPG genau weiß, dass die Schlüssel auf Ihrem Nitrokey gespeichert sind.

img5

Exportieren des öffentlichen Schlüssels und Keyserver-Verwendung#

Obwohl Sie Ihren Nitrokey sofort nach der Schlüsselerzeugung auf Ihrem System verwenden können, müssen Sie Ihren öffentlichen Schlüssel auf jedes System importieren, auf dem Sie den Nitrokey verwenden möchten. Um vorbereitet zu sein, haben Sie also zwei Möglichkeiten: Entweder Sie speichern den öffentlichen Schlüssel an einem beliebigen Ort und verwenden ihn auf einem anderen System oder Sie speichern den öffentlichen Schlüssel auf einer Webseite/Schlüsselserver.

img6

Klicken Sie mit der rechten Maustaste auf Ihren Schlüsseleintrag im Schlüsselmanager und klicken Sie auf „Schlüssel exportieren…“, um den öffentlichen Schlüssel in eine Datei zu exportieren und/oder „Schlüssel senden…“, um den Schlüssel auf einen Keyserver hochzuladen.

Sie können die Schlüsseldatei mit sich führen oder an eine beliebige Person senden. Diese Datei ist keineswegs geheim. Wenn Sie den Nitrokey auf einem anderen System verwenden wollen, importieren Sie zunächst diesen öffentlichen Schlüssel über „Keys“ -> „Importing Keys…“ und die Auswahl der Datei.

Wenn Sie eine öffentliche Schlüsseldatei nicht mit sich führen wollen, können Sie sie auf den Keyserver hochladen. Wenn Sie einen anderen Rechner verwenden, können Sie ihn einfach importieren, indem Sie „Server“ -> „Retrieve Keys…“ verwenden und Ihren Namen oder Ihre Schlüssel-ID eingeben.

Eine andere Möglichkeit ist, die URL-Einstellung auf Ihrer Karte zu ändern. Öffnen Sie erneut den Kartenmanager und tragen Sie die URL ein, unter der sich der Schlüssel befindet (z. B. auf dem Keyserver oder auf Ihrer Webseite etc.). Von nun an können Sie den Schlüssel auf einem anderen System importieren, indem Sie mit der rechten Maustaste auf die URL klicken und „Fetch Key“ anklicken.

img7