GPG Subkeys?
Sebastian Inacker
inacker at gmx.de
Tue Jun 22 21:35:44 CEST 2004
Hallo Stefan.
On Tue, Jun 22, 2004 at 08:39:12PM +0200, Stefan Ulrich Hegner wrote:
> ich möchte mir für meine berufliche Tätigkeit auch einen GPG Key
> erzeugen. Nun wäre es dumm, mit einem neuen Key bei null anzufangen.
> Eine zusätzliche uid für meinen privaten Key würde ich gerne auch
> vermeiden. - Da scheint das Zauberwort Subkey zu heißen.
>
> Habe daraufhin http://fortytwo.ch/gpg/subkeys gelesen.
Nach der Anleitung habe ich meinen Key (mit Subkey) erzeugt.
Die Warnungen vor Inkompatibilitaeten sind aber ernst zu nehmen. Der
Key darf z.B. nur von Keyservern geholt werden, die damit umgehen
koennen. [1]. Die bekanntesten Server sind PKS-Server, die damit nicht
zurecht kommen. SKS-Keyserver koennen das, sind aber (noch) nicht so
bekannt - wie ich denke.
Ich hatte auch mal das Problem, dass eine PGP-Version, die auf einem
Verschluesselungs-Gateway verwendet wird, nicht an mich verschluesseln
konnte, weil ich dieses OpenPGP-Feature nutze.
> Ich kann zwar problemlos einen separaten subkey zum signieren
> erzeugen ... aber mal abgesehen mit den Problemen in Sachen
> Kompatibilität, bleibt das Problem das zum Verschlüsseln ein Subkey
> nur eingeschränkt taugt.
Mit dem Subkey willst Du vor allem nur signieren (koennen).
Zusaetzliche Subkeys, die signieren und verschluesseln (bzw.
entschluesseln) koennen, fuehren dazu, dass Dein gesamter Key
kompromitierbar ist. (Siehe GnuPG-Mailingliste usw. Die Heise-Meldung
dazu war recht uebertrieben.)
Wenn Subkey, dann nur zum signieren. Der Sinn ist es ja eben, dass ein
komprimitierter Subkey nicht viel Schaden anrichten kann. Kein Lesen
verschluesselter Mails, kein signieren fremder Keys, ...
Du koenntest einen zweiten Key erstellen und die Keys gegenseitig
unterschreibe. Dann hat Dein neuer Key eine Verbindung zum alten
Key...
> Wie machen das denn die Leute, deren Key ein Verfallsdatum hat?-
> Gehen die alle 2 Jahre neu auf Signatur-Rallye?
Es gibt die Moeglichkeit, die "Haltbarkeit" des Key zu verlaengern.
Damit kommen dann auch wieder Keyserver nicht zurecht, aber es geht
und wenn man die richtigen Server nimmt...
Oder Du machst einen Key mit umbegrenzter Haltbarkeit und
unterschreibst damit immer Deine kurz haltbaren Keys. Den unbegrenzten
packst Du in einen Tresor ohne Netzanbindung und laesst Dir den immer
unterschreiben. Glaubwuerdigkeit bekommen die kurzlebigen keys dann
durch die Unterschrift des Tresor-Keys.
Ich verwende meinen Key so: Als UIDs sind nur Adressen angegeben, an
die auch verschluesselt werden kann. Signieren mit dem Subkey tue ich
an der Uni. In der Mail-Signatur habe ich einen Hinweis, wie man
meinen Key mit Subkey bekommen kann (um die Unterschrift pruefen zu
koennen). Das ist notwendig, da die "ueblichen" Keyserver nicht nach
der KeyID eines Subkeys suchen koennen, da die damit garnix anfangen
koennen.
[1] Ich habe zum Server-Thema eine Webseite. Falls jemand
Verbesserungsvorschlaege hat...
http://openpgp.istya.de/openpgp/keyserver.html
Tschuess,
Sebastian
More information about the Linux
mailing list