PGP Tool

Lernen · 6 Min. Lesezeit

Erste Schritte mit "Schlüssel erzeugen" — dein erstes Schlüsselpaar, Schritt für Schritt

Du hast das Werkzeug "Schlüssel erzeugen" geöffnet und siehst vier Felder. Hier ist, was jedes davon tut und was du wählen solltest, wenn du dir unsicher bist.

Ein PGP-Schlüsselpaar zu erzeugen ist eine einmalige Entscheidung, mit der du jahrelang lebst. Die meisten Anleitungen überspringen die Wahlmöglichkeiten und sagen dir, du sollst "einfach auf Erzeugen klicken". Diese hier erklärt, was jedes Feld tatsächlich tut, damit die Standardwerte Sinn ergeben und du bewusst abweichen kannst, wenn nötig.

Alles unten passiert vollständig in deinem Browser. Der private Schlüssel verlässt nie dein Gerät.

Was du erzeugst

Zwei Dateien, gemeinsam als Paar erzeugt. Der öffentliche Schlüssel (.asc) ist die Adresse, die du teilst — jeder auf der Welt kann damit an dich verschlüsseln. Der private Schlüssel (.asc) ist das Geheimnis, das du behältst — nur er kann Nachrichten entschlüsseln, die an deinen öffentlichen Schlüssel gesendet wurden. Sie sind mathematisch verbunden. Verlierst du den privaten Schlüssel, sind die Nachrichten für immer unlesbar; gibst du ihn preis, ist deine bisherige Korrespondenz offengelegt.

Feld 1 — Name und E-Mail

Diese Angaben werden in den Schlüssel als "User ID" (UID) eingebettet, ein menschenlesbares Etikett, das mit dem öffentlichen Schlüssel mitwandert. Wähle den Namen und die E-Mail, die andere sehen sollen, wenn sie deinen Schlüssel nachschlagen. Die E-Mail muss nicht die Adresse sein, die du tatsächlich zum Senden verwendest — UIDs dienen der Identifikation, nicht der Zustellung.

Du kannst mehrere UIDs auf einem einzigen Schlüssel haben (Arbeit, privat, Pseudonym). Für einen ersten Schlüssel reicht eine UID. Echter Name + die E-Mail, die du am stärksten mit dem Schlüssel verknüpfen willst, ist die übliche Wahl.

Feld 2 — Algorithmus

Der Standard ist Curve25519. Übernimm ihn. Er ist schnell, modern, hat kleine Schlüssel und wird von jedem aktuellen OpenPGP-Client unterstützt. RSA-3072 und RSA-4096 stehen weiterhin zur Verfügung für ältere Clients (manche Hardware-Tokens, manche Legacy-E-Mail-Setups) — wähle RSA nur, wenn ein Empfänger oder Gerät es ausdrücklich verlangt. Im Zweifel ist der Standard richtig.

Es gibt einen separaten Artikel zum Vergleich der Algorithmen; dieser hier geht davon aus, dass du den Standard akzeptierst.

Feld 3 — Passphrase

Die Passphrase verschlüsselt deine private Schlüsseldatei im Ruhezustand. Ohne sie kann jeder, der deine .asc kopiert, jede Nachricht entschlüsseln, die du je erhalten hast. Sie ist die wichtigste einzelne Sicherheitsangabe.

Mach sie lang. Fünf oder sechs nicht zusammenhängende Wörter aus einem Wörterbuch (eine "EFF-Passphrase") sind weit stärker als eine kurze Mischung aus Groß-/Kleinschreibung und Symbolen — und leichter zu merken. Der Passwort-Generator kann eine erstellen. Vermeide alles, was du anderswo verwendet hast — Passphrasen-Wiederverwendung ist die häufigste Ursache für Kompromittierung.

Schreibe sie beim ersten Setzen physisch irgendwo auf. Eine Passphrase, die du nicht mehr abrufen kannst, ist funktional dasselbe wie ein verlorener privater Schlüssel.

Feld 4 — Ablaufdatum

Ein Ablaufdatum vernichtet den Schlüssel nicht — es teilt anderen Clients mit, dass dem Schlüssel nach diesem Datum nicht mehr vertraut werden soll. Eines zu setzen (1–2 Jahre sind üblich) gibt dir einen sanften Pfad zum Schlüsselwechsel ohne dramatische Sperrung. Du kannst das Ablaufdatum später verlängern, wenn du den Schlüssel länger behalten willst.

"Läuft nie ab" ist auch akzeptabel für gelegentliche Nutzung. Der Nachteil: Verlierst du den Zugang ohne Sperrzertifikat, hält die Welt den Schlüssel für immer für gültig.

Nachdem du auf Erzeugen geklickt hast

Du erhältst drei Downloads:

  • Öffentlicher Schlüssel (.asc) — frei teilen. Per E-Mail versenden, auf deiner Website veröffentlichen, auf einen Keyserver hochladen. Jeder, der dir schreiben will, braucht ihn.
  • Privater Schlüssel (.asc) — sorgfältig aufbewahren. Siehe den Artikel "PGP-Schlüssel sicher sichern". Niemals per E-Mail versenden. Niemals in nicht vertrauenswürdige Werkzeuge einfügen.
  • Sperrzertifikat (.asc) — getrennt vom privaten Schlüssel aufbewahren. Falls der private Schlüssel jemals gestohlen oder verloren geht, veröffentliche die Sperrung, damit die Welt dem öffentlichen Schlüssel nicht mehr vertraut.

Checkliste für die erste Woche

  1. Mache mindestens eine Offline-Sicherung des privaten Schlüssels (verschlüsselter USB-Stick oder Papier).
  2. Bewahre das Sperrzertifikat an einem anderen Ort auf als den privaten Schlüssel.
  3. Teste, dass du entschlüsseln kannst: Verschlüssle eine Beispielnachricht an deinen eigenen öffentlichen Schlüssel und entschlüssle sie dann mit dem privaten Schlüssel.
  4. Teile deinen öffentlichen Schlüssel mit einer Person und bitte sie, dir eine verschlüsselte Begrüßung zu schicken.
  5. Füge den Schlüssel-Fingerprint zu deiner E-Mail-Signatur oder Website hinzu, damit andere prüfen können, dass sie den richtigen Schlüssel haben.