YubiKey - Revoke-Datei erstellen und Schlüssel exportieren

Die Schlüsselpaare sind erstellt und im Schlüsselbund in der virtuellen Box vorhanden. Nun sind noch ein paar Kleinigkeiten,

1. wie Revoke Zertifikat
2. Export des privaten Schlüssels
3. Export des öffentlichen Schlüssels

vorzunehmen.

• YubiKey - Revoke-Datei erstellen und Schlüssel exportieren
• Revoke Zertifikat erstellen
• Master Key exportieren
• Sub Keys exportieren
• Öffentlichen Schlüssel exportieren
• Die nächsten wichtigen Schritte

Revoke Zertifikat erstellen

Ein Revoke Zertifikat benötigt ihr, um einen über das Schlüsselnetzwerk veröffentlichen Schlüssel zu widerrufen, da eine Löschung von einmal veröffentlichen Schlüssel nicht mehr möglich ist.

Im ersten Schritt erstellen wir das Revoke Zertifikat zum "zurückziehen" der Schlüssel von öffentlichen Schlüsselservern.

Im GPG-Manual steht dazu

"--gen-revoke - erstellt ein Widerrufszertifikat für den gesamten Schlüssel. Um einen Unterschlüssel oder eine Signatur zu widerrufen, verwenden Sie den Befehl --edit."

• Quelle: https://www.gnupg.org/gph/de/manual/r1023.html

gpg --output XXX111222333444555.rev --gen-revoke XXX111222333444555

sec  rsa4096/5C32B7A2290F8AE4 2020-12-12 test-benutzer 

Create a revocation certificate for this key? (y/N) y
Please select the reason for the revocation:
  0 = No reason specified
  1 = Key has been compromised
  2 = Key is superseded
  3 = Key is no longer used
  Q = Cancel
(Probably you want to select 1 here)
Your decision?
Enter an optional description; end it with an empty line:
>
Reason for revocation: Key has been compromised
(No description given)
Is this okay? (y/N) y
ASCII armoured output forced.
Revocation certificate created.

Please move it to a medium which you can hide away; if Mallory gets
access to this certificate he can use it to make your key unusable.
It is smart to print this certificate and store it away, just in case
your media become unreadable. But have some caution: The print system of
your machine might store the data and make it available to others!

Der Hinweis am Ende sollte zwingend befolgt werden.

"Bitte speichern Sie es auf einem Medium, welches Sie wegschließen können; falls Mallory (ein Angreifer) Zugang zu diesem Zertifikat erhält, kann er Ihren Schlüssel unbrauchbar machen. Es wäre klug, dieses Widerrufszertifikat auch auszudrucken und sicher aufzubewahren, falls das ursprüngliche Medium nicht mehr lesbar ist. Aber Obacht: Das Drucksystem kann unter Umständen anderen Nutzern eine Kopie zugänglich machen."

Das Revoke Zertifikat wird in eine neue Datei in euer Home-Verzeichnis geschrieben.

Master Key exportieren

Bei diesem Export handelt es sich um den privaten Schlüssel. Behandelt die exportierte Datei wie das Revoke Zertifikat!

gpg --export-secret-keys --armor XXX111222333444555 > XXX111222333444555.priv.asc

Auch mit diesem Befehl wird eine neue Datei in eurem Home-Verzeichnis erstellt.

Sub Keys exportieren

Bei diesem Export handelt es sich um den privaten Schlüssel. Behandelt die exportierte Datei wie das Revoke Zertifikat!

gpg --export-secret-subkeys --armor XXX111222333444555 > XXX111222333444555.sub_priv.asc

Ebenfalls taucht nach dem Ausführen des Befehls eine neue Datei im Home-Verzeichnis eures Benutzers auf.

Die drei Dateien solltet ihr zwingend an einem sehr sicheren Ort aufbewahren. Derjenige der im Besitz der Dateien ist, kann sonst eure Schlüssel kompromittieren.

Auflistung in der Konsole

ls -la

... oder grafisch.

Öffentlichen Schlüssel exportieren

Die ganzen Schlüssel bringen euch nichts, wenn die Gegenseite nicht im Besitz eures öffentlichen Schlüssels ist. Diesen könnt ihr beliebig teilen und weitergeben. Exportieren lässt er sich ganz einfach mit dem Befehl.

gpg --export-ssh-key XXX111222333444555 > XXX111222333444555.pub.ssh

Die öffentliche Schüssel landet so auch im Home-Verzeichnis eures Benutzers.

Im nächsten Beitrag stelle ich noch einige hilfreiche Befehle für das Management der Schlüsselpaare vor 👉 Hilfreiche GPG-Befehle zur Verwaltung von Schlüsselpaaren

Die nächsten wichtigen Schritte

• Die erstellen Schlüssel lassen sich auf eine Smart Card, wie den YubiKey übertragen 👉 OpenPGP-Schlüssel auf den YubiKey exportieren
• Der OpenPGP-Schlüssel lässt sich in einen SSH-Schlüssel umwandeln, der dann für die Anmeldung an Linux-Systemen in der authorized_keys eingetragen werden kann. 👉 Anmeldung an Linux-Systemen mit SSH

YubiKey Themenseite

Hier geht es zur 👉 YubiKey Themenseite, dort findest du noch mehr Beiträge rund um den YubiKey.

Note

Artikel überarbeitet: November 2023

Gib mir gerne einen Kaffee ☕ aus ❗️

Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕️ ausgeben.

•

Bitcoin Address: bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj

Follow Me❗️

Mastodon • Mastodon RSS • codeberg.org/sst • RSS

Source

Foto von Nick Russill auf Unsplash