OpenPGP-Schlüsselerzeugung mit GPA

Die folgende Anleitung erklärt die Erzeugung von OpenPGP-Schlüsseln direkt auf dem Nitrokey mit Hilfe des GNU Privacy Assistant (GPA). Sie werden nicht in der Lage sein, ein Backup dieser Schlüssel zu erstellen. Wenn Sie also den Nitrokey verlieren oder er kaputt geht, können Sie keine Mails mehr entschlüsseln oder diese Schlüssel verwenden. Einen Vergleich der verschiedenen Methoden zur Erzeugung von OpenPGP-Schlüsseln finden Sie hier.

You need to have GnuPG and GPA installed on your system. The newest version for Windows can be found here (make sure to check “GPA” during the installation!). Users of Linux systems please install GnuPG and GPA with help of the package manager (e.g. using sudo apt install gnupg gpa on Ubuntu).

Schlüsselerzeugung

Öffnen Sie zunächst den GNU Privacy Assistant (GPA). Eventuell werden Sie aufgefordert, einen Schlüssel zu generieren, Sie können diesen Schritt vorerst überspringen, indem Sie auf „Do it later“ klicken. Im Hauptfenster klicken Sie bitte auf „Karte“ oder „Kartenmanager“.

img1

Es öffnet sich ein weiteres Fenster. Bitte gehen Sie auf „Karte“ -> „Schlüssel generieren“, um den Schlüsselgenerierungsprozess zu starten.

img2

Nun können Sie Ihren Namen und die E-Mail-Adresse eingeben, die Sie für den Schlüssel verwenden möchten, der als nächstes generiert wird. Sie können ein Verfallsdatum für Ihren Schlüssel wählen, müssen es aber nicht.

Bitte verwenden Sie nicht das Kontrollkästchen für die Sicherung. Dieses „Backup“ speichert nur den Verschlüsselungsschlüssel. Im Falle eines Verlustes des Gerätes können Sie nicht den gesamten Schlüsselsatz wiederherstellen. Es handelt sich also einerseits um kein vollständiges Backup (verwenden Sie stattdessen diese Anleitung, wenn Sie eines benötigen) und andererseits riskieren Sie, dass jemand anderes in den Besitz Ihres Schlüssels kommt. Der Vorteil der Schlüsselgenerierung auf dem Gerät besteht darin, dass die Schlüssel sicher gespeichert werden. Wir empfehlen daher, diese halbe Sicherung zu überspringen.

img3

Sie werden nach der Admin-PIN (Standard: 12345678) und der Benutzer-PIN (Standard: 123456) gefragt. Wenn die Schlüsselerzeugung abgeschlossen ist, sehen Sie unten im Fenster die Fingerabdrücke der Schlüssel. Sie können die oben gezeigten Felder ausfüllen, die auch auf Ihrem Nitrokey gespeichert werden.

img4

Nun können Sie das Fenster schließen und zum Hauptfenster zurückkehren. Nach dem Aktualisieren ist Ihr Schlüssel im Schlüsselmanager sichtbar. Jede Anwendung, die GnuPG nutzt, wird auch mit Ihrem Nitrokey funktionieren, da GnuPG genau weiß, dass die Schlüssel auf Ihrem Nitrokey gespeichert sind.

img5

Exportieren des öffentlichen Schlüssels und Keyserver-Verwendung

Obwohl Sie Ihren Nitrokey sofort nach der Schlüsselerzeugung auf Ihrem System verwenden können, müssen Sie Ihren öffentlichen Schlüssel auf jedes System importieren, auf dem Sie den Nitrokey verwenden möchten. Um vorbereitet zu sein, haben Sie also zwei Möglichkeiten: Entweder Sie speichern den öffentlichen Schlüssel an einem beliebigen Ort und verwenden ihn auf einem anderen System oder Sie speichern den öffentlichen Schlüssel auf einer Webseite/Schlüsselserver.

img6

Klicken Sie mit der rechten Maustaste auf Ihren Schlüsseleintrag im Schlüsselmanager und klicken Sie auf „Schlüssel exportieren…“, um den öffentlichen Schlüssel in eine Datei zu exportieren und/oder „Schlüssel senden…“, um den Schlüssel auf einen Keyserver hochzuladen.

Sie können die Schlüsseldatei mit sich führen oder an eine beliebige Person senden. Diese Datei ist keineswegs geheim. Wenn Sie den Nitrokey auf einem anderen System verwenden wollen, importieren Sie zunächst diesen öffentlichen Schlüssel über „Keys“ -> „Importing Keys…“ und die Auswahl der Datei.

Wenn Sie eine öffentliche Schlüsseldatei nicht mit sich führen wollen, können Sie sie auf den Keyserver hochladen. Wenn Sie einen anderen Rechner verwenden, können Sie ihn einfach importieren, indem Sie „Server“ -> „Retrieve Keys…“ verwenden und Ihren Namen oder Ihre Schlüssel-ID eingeben.

Another possibility is to change the URL setting on your card. Open the card manager again and fill in the URL where the key is situated (e.g. on the keyserver or on your webpage etc.). From now on you can import the key on another system by right-clicking on the URL and click on “Fetch Key”.

img7