YubiKey - Hilfreiche GPG-Befehle zur Verwaltung von Schlüsselpaaren

In diesem Beitrag werden ein paar hilfreiche Befehle zur Verwaltung und Wartung von Schlüsselpaaren.

Nach jeder Änderung an einem Schlüssel ist ein neuer 👉 Export zu erstellen. Es erfolgt keine automatische Anpassung der älteren Schlüssel, das ist alles manuell zu erledigen.

Es müssen auch alle Schlüssel auf YubiKeys oder anderen Systemen aktualisiert werden.

• YubiKey - Hilfreiche GPG-Befehle zur Verwaltung von Schlüsselpaaren
• Keys aus dem Schlüsselbund des Betriebssystems löschen
  • Private Schlüssel löschen
  • Öffentliche Schlüssel aus dem Schlüsselbund löschen
• Schlüssel in den Schlüsselbund des Betriebssystems importieren
  • Import des privaten Master Keys
  • Import des öffentlichen Schlüssels
• GPG Schlüssel bearbeiten
  • Passwort ändern
  • Gültigkeit des Master Keys ändern
  • Gültigkeit der Sub Keys ändern
• YubiKey auf Werkseinstellungen zurücksetzen

Keys aus dem Schlüsselbund des Betriebssystems löschen

Der Schlüsselbund ist ein Verwaltungsprogramm auf dem Client für OpenPGP-Schlüssel. Eine App für macOS ist z.B. GPG Keychain (https://gpgtools.org/), dass in der Werkzeugsammlung GPG Suite enthalten ist.

Note

Das Löschen der GPG-Schlüssel aus dem Schlüsselbund löscht KEINE Schlüssel vom YubiKey, also der Smart Card.

Mit Exports, also Backups, können die Schlüssel JEDERZEIT wieder in den Schlüsselbund importiert werden. (👉 Backups erstellen)

Private Schlüssel löschen

Den privaten Schlüssel löscht man mit dem Befehle --delete-secret-key.

gpg --delete-secret-key XXX111222333444555

# oder 

gpg --delete-secret-key benutzer@e-mail.de

Der private Schlüssel sollte nicht mehr in der Liste auftauchen.

gpg2 --list-secret-keys

Öffentliche Schlüssel aus dem Schlüsselbund löschen

Die öffentlichen Schlüssel lassen sich mit dem Befehl --delete-key aus dem Schlüsselbund entfernen.

gpg --delete-key XXX111222333444555

# oder 

gpg --delete-key benutzer@e-mail.de

Schlüssel in den Schlüsselbund des Betriebssystems importieren

Die Schlüssel lassen sich jederzeit wieder in den Schlüsselbund importieren. Voraussetzung ist, dass die Backupdateien vorhanden sind. (👉 Backups erstellen)

Import des privaten Master Keys

Mit dem Import des Master Keys werden automatisch auch alle Sub-Keys in den Schlüsselbund importieren.

benutzer@computer:~$ gpg2 --import XXX111222333444555.priv.asc
gpg: key XXX111222333444555: public key "benutzer <benutzer@e-mail.de>" imported
gpg: key XXX111222333444555: secret key imported
gpg: Total number processed: 1
gpg:               imported: 1
gpg:       secret keys read: 1
gpg:   secret keys imported: 1

Import des öffentlichen Schlüssels

Die öffentlichen Schlüssel lassen sich mit dem gleichen Befehl in den Schlüsselbund holen. Es ist lediglich die .pub aufzurufen.

gpg2 --import XXX111222333444555.pub

GPG Schlüssel bearbeiten

Hier noch einige wichtige GPG-Befehle zum Bearbeiten der Schlüssel.

Zum Editieren müsst ihr immer den Master Key mit der richtigen ID aufrufen und mit --edit-key bearbeiten.

gpg --expert --edit-key XXX111222333444555

Anschließend könnt ihr Änderungen an dem Schlüssel vornehmen.

Passwort ändern

Möchtet ihr das Passwort eures Master Keys ändern, geht das wie folgt:

gpg> passwd

Für unser Beispiel bedeutet das:

  gpg --expert --edit-key XXX111222333444555
  gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
  This is free software: you are free to change and redistribute it.
  There is NO WARRANTY, to the extent permitted by law.

  Secret key is available.

  sec  rsa4096/5C32B7A2290F8AE4
       created: 2020-12-12  expires: 2025-12-11  usage: C
       trust: ultimate      validity: ultimate
  ssb  rsa4096/AC3DF8B5D579D99A
       created: 2020-12-12  expires: 2025-12-11  usage: E
  ssb  rsa4096/F2F84EBBFEFDC588
       created: 2020-12-12  expires: 2025-12-11  usage: S
  ssb  rsa4096/F122ED392968B430
       created: 2020-12-12  expires: 2025-12-11  usage: A
  [ultimate] (1). test-benutzer 

  gpg> passwd

  gpg> quit

Zuerst werdet ihr nach eurem bestehenden Passwort gefragt.

Anschließend ist ein neues Passwort zu vergeben.

Nachdem ihr das neue Passwort zweimal eingegeben habt, werdet ihr gleich nochmal zur Bestätigung aufgefordert und müsst das neue Passwort noch einmal eingeben.

Gültigkeit des Master Keys ändern

Die Gültigkeit des Master Keys lässt sich mit expire ändern.

Während des Erstellens wurde eine Gültigkeit von 5 Jahren vorgegeben, jetzt wird Ablaufdatum auf 4 Jahre geändert.

  gpg> expire

Für das Beispiel bedeutet das:

  gpg --expert --edit-key XXX111222333444555
  gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
  This is free software: you are free to change and redistribute it.
  There is NO WARRANTY, to the extent permitted by law.

  Secret key is available.

  sec  rsa4096/5C32B7A2290F8AE4
       created: 2020-12-12  expires: 2025-12-11  usage: C
       trust: ultimate      validity: ultimate
  ssb  rsa4096/AC3DF8B5D579D99A
       created: 2020-12-12  expires: 2025-12-11  usage: E
  ssb  rsa4096/F2F84EBBFEFDC588
       created: 2020-12-12  expires: 2025-12-11  usage: S
  ssb  rsa4096/F122ED392968B430
       created: 2020-12-12  expires: 2025-12-11  usage: A
  [ultimate] (1). test-benutzer 

  gpg> expire
  Changing expiration time for the primary key.
  Please specify how long the key should be valid.
           0 = key does not expire
          = key expires in n days
        w = key expires in n weeks
        m = key expires in n months
        y = key expires in n years
  Key is valid for? (0) 4y
  Key expires at Do 12 Dez 2024 18:20:11 CET
  Is this correct? (y/N) y

  sec  rsa4096/5C32B7A2290F8AE4
       created: 2020-12-12  expires: 2024-12-12  usage: C
       trust: ultimate      validity: ultimate
  ssb  rsa4096/AC3DF8B5D579D99A
       created: 2020-12-12  expires: 2025-12-11  usage: E
  ssb  rsa4096/F2F84EBBFEFDC588
       created: 2020-12-12  expires: 2025-12-11  usage: S
  ssb  rsa4096/F122ED392968B430
       created: 2020-12-12  expires: 2025-12-11  usage: A
  [ultimate] (1). test-benutzer 

  gpg> quit
  Save changes? (y/N) y

In der Übersicht seht ihr, dass sich das Ablaufdatum für den Master Key von 2025-12-11 auf 2024-12-12 geändert hat.

Gültigkeit der Sub Keys ändern

Die Gültigkeit lässt sich auch pro Sub-Key ändern.

  gpg> key ID-SUB-KEY
  gpg> expire

Für unser Beispiel bedeutet das:

gpg --expert --edit-key XXX111222333444555
gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

sec  rsa4096/5C32B7A2290F8AE4
     created: 2020-12-12  expires: 2024-12-12  usage: C
     trust: ultimate      validity: ultimate
ssb  rsa4096/AC3DF8B5D579D99A
     created: 2020-12-12  expires: 2025-12-11  usage: E
ssb  rsa4096/F2F84EBBFEFDC588
     created: 2020-12-12  expires: 2025-12-11  usage: S
ssb  rsa4096/F122ED392968B430
     created: 2020-12-12  expires: 2025-12-11  usage: A
[ultimate] (1). test-benutzer 

gpg> key AC3DF8B5D579D99A

sec  rsa4096/5C32B7A2290F8AE4
     created: 2020-12-12  expires: 2024-12-12  usage: C
     trust: ultimate      validity: ultimate
ssb* rsa4096/AC3DF8B5D579D99A
     created: 2020-12-12  expires: 2025-12-11  usage: E
ssb  rsa4096/F2F84EBBFEFDC588
     created: 2020-12-12  expires: 2025-12-11  usage: S
ssb  rsa4096/F122ED392968B430
     created: 2020-12-12  expires: 2025-12-11  usage: A
[ultimate] (1). test-benutzer 

gpg> expire
Changing expiration time for a subkey.
Please specify how long the key should be valid.
         0 = key does not expire
        = key expires in n days
      w = key expires in n weeks
      m = key expires in n months
      y = key expires in n years
Key is valid for? (0) 4y
Key expires at Do 12 Dez 2024 18:23:26 CET
Is this correct? (y/N) y

sec  rsa4096/5C32B7A2290F8AE4
     created: 2020-12-12  expires: 2024-12-12  usage: C
     trust: ultimate      validity: ultimate
ssb* rsa4096/AC3DF8B5D579D99A
     created: 2020-12-12  expires: 2024-12-12  usage: E
ssb  rsa4096/F2F84EBBFEFDC588
     created: 2020-12-12  expires: 2025-12-11  usage: S
ssb  rsa4096/F122ED392968B430
     created: 2020-12-12  expires: 2025-12-11  usage: A
[ultimate] (1). test-benutzer 

gpg> quit
Save changes? (y/N) y

YubiKey auf Werkseinstellungen zurücksetzen

Der YubiKey kann jederzeit ohne Eingabe von PIN oder PUK auf die Werkseinstellungen zurückgesetzt werden.

Der Reset betrifft dabei nur die OpenPGP Smart Card. Die anderen Funktionen des YubiKey sind davon nicht betroffen.

Was passiert bei einem Factory Reset

• Alle Schlüssel werden gelöscht
• Alle Informationen werden gelöscht, wie Name of cardholder, Language prefs, Salutation, etc.
• PIN und Admin PIN werden auf Standardwerte zurückgestellt (PIN: 123456 PUK: 12345678)
• Signature Counter wird auf 0 gesetzt
• KDF setting: off
• Die Schlüssel werden gelöscht und die Felder sind wieder leer:
• Signature key : [none]
• Encryption key: [none]
• Authentication key: [none]

gpg2 --card-edit

gpg/card> admin

gpg/card> factory-reset

YubiKey Themenseite

Hier geht es zur 👉 YubiKey Themenseite, dort findest du noch mehr Beiträge rund um den YubiKey.

Note

Artikel überarbeitet: November 2023

Gib mir gerne einen Kaffee ☕ aus ❗️

Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕️ ausgeben.

•

Bitcoin Address: bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj

Follow Me❗️

Mastodon • Mastodon RSS • codeberg.org/sst • RSS

Source

Bildquelle: Gemeinfrei-ähnlich freigegeben durch unsplash.com Micah Williams