Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
public:gnupg:gnupg-card-howto [2018/01/25 17:12] – kernel concepts -> FLOSS Shop florian.rasch@datenkollektiv.netpublic:gnupg:gnupg-card-howto [2024/07/29 11:40] (aktuell) – [Hauptkey mit Subkeys] jankow@datenkollektiv.net
Zeile 127: Zeile 127:
  
   * vertrauensvolle Hardware   * vertrauensvolle Hardware
-  * Live-System möglichst ohne Netzwerkverbindungen +  * Live-System möglichst ohne Netzwerkverbindungen (wir empfehlen [[https://tails.net/|Tails]])
- +
-Ein angepasstes Live-System mit aller nötigen Software sowohl zum Erzeugen der Keys als auch für die Verwendung der Gnupg-Karte kann beim [[kontakt@datenkollektiv.net|Datenkollektiv]] bestellt werden. +
- +
-Ihr erhaltet einen Bootbaren USB-Stick mit +
- +
-  * angepasstem xfce4 Desktop und allen nötigen Crypto-Tools +
-  * einer zusätzlichen LUKS-verschlüsselten Partition, die z.B. für die Backups der privaten Schlüssel dienen kann.+
  
 === Hauptschlüssel-Paar generieren: === === Hauptschlüssel-Paar generieren: ===
Zeile 143: Zeile 136:
  
 <code> <code>
-gpg2 --gen-key+gpg --full-generate-key
 </code> </code>
  
Zeile 290: Zeile 283:
  
   - Die Keys müssen analog der Anleitung auf die neue Karte kopiert werden   - Die Keys müssen analog der Anleitung auf die neue Karte kopiert werden
-  - der Verweis auf den privaten Schlüssel (also nur der Rest des privaten Schlüssels) muss auf den Rechnern, auf denen die Karte zum Einsatz kommt gelöscht werden. Ein ''gpg –delete-secret-keys KEYID''  erledigt das. **Sicher stellen, dass es der Schlüsselbund mit den Verweisen ist, der bearbeitet nicht - und nicht z.B. der mit den Originalschlüsseln**.+<del>  - der Verweis auf den privaten Schlüssel (also nur der Rest des privaten Schlüssels) muss auf den Rechnern, auf denen die Karte zum Einsatz kommt gelöscht werden. Ein ''gpg –delete-secret-keys KEYID''  erledigt das. **Sicher stellen, dass es der Schlüsselbund mit den Verweisen ist, der bearbeitet nicht - und nicht z.B. der mit den Originalschlüsseln**.</del> 
 +  - seit [[https://www.gnupg.org/faq/whats-new-in-2.1.html|gnpg2.1]] werden die secret Keys nicht mehr in secring.pgp gespeichert - sondern unter ''.gnupg/private-keys-v1.d/'' 
 +  - Die zu den privaten Keys der Karte passenden Verweise müssen aus ''.gnupg/private-keys-v1.d/'' gelöscht werden.
   - Danach müssen die Verweise auf die neue Karte wieder erstellt werden: ''gpg2 –secret-keyring .gnupg/secring.gpg –card-status''   - Danach müssen die Verweise auf die neue Karte wieder erstellt werden: ''gpg2 –secret-keyring .gnupg/secring.gpg –card-status''
-  - Evtl. müssen die keys des Schlüsselspeichers d. gnupg-agents unter ''~/.gnupg/private-keys-v1.d/''  gelöscht werden. Sonst kommt beim Versuch eine SSH-Verbindung aufzubauen, der Fehler, dass die alte Karte eingelegt werden soll. 
  
 +**Anzeigen der zur gnupg-Karte passenden Dateien unter ''.gnupg/private-keys-v1.d/'':**
 +
 +Das ist hier von Werner beschrieben: https://lists.gnupg.org/pipermail/gnupg-users/2016-April/055766.html
 +
 +  gpg --with-keygrip -k KEYID
 +
 +Die ausgegebenen Keygrips beziehen sich auf die Dateien unter: ''.gnupg/private-keys-v1.d/''
 +
 +  rm ''.gnupg/private-keys-v1.d/KEYGRIP.key''
 +
 +**Achtung: immer Backup des .gnupg-Verzeichnisses machen, damit nicht aus Versehen andere secret Keys gelöscht werden.**
 ===== Stolperstellen ===== ===== Stolperstellen =====