Download und import von GNUPG-Publickey

In 3 Schritten einen GnuPG-Key von einer Webseite in seinen Schlüsselbund importieren.

Oft werden öffentliche Schlüssel auf Webseiten hinterlegt wie hier auf der Webseite von https://www.ende-gelaende.org/kontakt/. Schlüssel haben meist die Endung .asc. Unten stehend ein Beispiel.

Öffne ein Terminal:
Schritt 1: Runterladen mit wget. Am besten die Webadresse mit rechtsklick-Copy/Paste, einfügen.
wget https://2019.ende-gelaende.org/wp-content/uploads/2019/11/0xD1D8248ED8CCC39F.asc

Schritt 2: Importieren mit gpg –import
gpg --import 0xD1D8248ED8CCC39F.asc

Eine Kopie des öffentliche Schlüssel ist nun im Schlüsselbund abgelegt.

Schritt 3: überflüssige Datei wieder Löschen mit rm
rm 0xD1D8248ED8CCC39F.asc


Extra: Schritt 4: Prüfen ob der Key im Schlüsselbund zu finden ist mit gpg –list-key
gpg --list-key info@ende-gelaende.org

keys.openpgp.org standardmäßig nutzen

Die Software und die Infrastruktur der alten SKS-Server ist unrettbar kaputt. Wenn du auf Schlüsselserver angewiesen bist nutze die neue Software und Instanz.

Die Software und die Infrastruktur der alten SKS-Server ist unrettbar kaputt. In den letzten 20 Jahren wurden über diese Systeme öffentliche PGP-Schlüssel zur Verfügung gestellt. Durch Böswilligkeit wurden die Server strukturell unbrauchbar und können die eigene GnuPG Installation unbenutzbar machen. Kurz gesagt, haben Menschen, fremde, meist vielgenutze Schlüssel, mit sehr, sehr, sehr vielen Signaturen versehen und erneut hochgeladen. Die Schlüssel wurden dadurch überproportional groß, mehre MB. Läd man sich diese kompromittierten Schlüssel runter bzw. aktualisiert sein Schlüsselbund wird das heimische GnuPG in die Knie gezwungen und unbrauchbar. Beim einlesen der pubring.pgp wo alle öffentlichen Schlüssel drin sind fährt sich der Computer bei 100% CPU-Last fest.
„keys.openpgp.org standardmäßig nutzen“ weiterlesen

Signatur mit einem bestimmten Private-Key erzeugen.

Problem: Hat man mehrere Privat-Keys in seinem Keyring und will eine Datei mit einem bestimmten Private-Key signieren muss man das manuell angeben. Die Option ist -u gefolgt von der UserID und dem Datei von der meine eine Signatur erzeugen will .
gpg2 --detach-sign -u alice@email.de Beispieldatei.txt

Es wird dann eine Signaturdatei Beispieldatei.txt.sig erzeugt, die sich Verifikation nutzen lässt. Wie das geht wird hier am Beispiel der Verifikation des Tor-Browsers erklärt.