PGP Tool

Lernen · 6 Min. Lesezeit

Einen PGP-Schlüssel rotieren — wann, warum und der Migrations-Workflow

Wann solltest du einen PGP-Schlüssel rotieren, und wie tust du es ohne Zugang zu alten verschlüsselten Nachrichten zu verlieren? Hier ist das praktische Playbook.

Ein PGP-Schlüssel ist dazu gedacht, zu halten. Langlebige Schlüssel häufen Vertrauenssignaturen an, werden von Empfängern zwischengespeichert und bilden die stabile Identität, die PGP für langfristige Korrespondenz nützlich macht. Aber es gibt Situationen, in denen Rotation die richtige Antwort ist — und die Migration ist mühselig händisch, wenn man sich nicht im Voraus Gedanken gemacht hat.

Wann rotieren

  • Der private Schlüssel wurde exponiert (z. B. unverschlüsseltes Backup durchgesickert, Laptop ohne Festplattenverschlüsselung verloren, Malware auf dem Gerät).
  • Die Passphrase wird als schwach verdächtigt oder wurde beobachtet (Schulter-Surfing, Keylogger-Möglichkeit, irgendwo zugänglich aufgeschrieben).
  • Der Schlüssel verwendet einen veralteten Algorithmus — RSA-1024, DSA-1024 oder ältere. Moderne Empfehlung ist RSA ≥ 3072 oder Curve25519 / P-384.
  • Der Schlüssel hat eine harte Ablaufzeit, die du nicht verlängern kannst oder willst.
  • Du organisierst Identität neu (primäre E-Mail ändern, persönliche und berufliche trennen).
  • Ein Unterschlüssel wurde kompromittiert — aber hier rotierst du nur den Unterschlüssel (siehe Artikel "Unterschlüssel-Generierung"), nicht den Primärschlüssel.

Rotation aus reiner Paranoia ("es ist schon lange her seit ich rotiert habe") ist in der Regel unnötig, wenn der Schlüssel solide und unkompromittiert ist. Moderne Schlüssel mit starken Passphrasen und vernünftigen Algorithmen haben kein designbedingtes Ablaufdatum — sie versagen, wenn etwas Spezifisches schiefläuft.

Der Zwei-Schlüssel-Übergang

Du kannst den alten Schlüssel nicht einfach löschen. Alles, was daran verschlüsselt ist, bleibt für immer daran verschlüsselt. Die Migration ist überlappend, kein Umschnitt:

  1. Erzeuge das neue Schlüsselpaar. Verwende Curve25519, es sei denn, du hast einen spezifischen Kompatibilitätsgrund für RSA.
  2. Signiere den neuen öffentlichen Schlüssel mit dem alten Schlüssel. Das erzeugt ein "Rotierungszertifikat" — eine Signatur vom alten Schlüssel, die bestätigt, dass der neue Schlüssel auch du bist.
  3. Veröffentliche den neuen öffentlichen Schlüssel (Keyserver, deine Website, welchen Kanal du für den alten verwendet hast). Behalte auch den alten öffentlichen Schlüssel veröffentlicht — Empfänger brauchen ihn immer noch, um das alte Archiv zu verschlüsseln.
  4. Sende eine signierte Ankündigung vom alten Schlüssel, in der du die Rotation, den neuen Fingerabdruck und das Datum deklarierst. Menschen, die deinen alten Schlüssel bereits in ihrem Schlüsselbund haben, werden dieser signierten Nachricht vertrauen.
  5. Für ein paar Wochen akzeptiere eingehende Nachrichten auf beiden Schlüsseln. Höre langsam auf, den alten Schlüssel für ausgehenden Verkehr zu verwenden.
  6. Sobald die Korrespondenten aktualisiert haben, widerrufe den alten Schlüssel. Der Widerruf verbreitet sich über Keyserver und sagt der Welt, nicht mehr an den alten Schlüssel zu verschlüsseln.
  7. Bewahre den alten privaten Schlüssel archiviert, verschlüsselt offline auf. Lösche ihn NICHT — alte verschlüsselte Nachrichten sind ohne ihn unwiederherstellbar.

Alte Nachrichten nach der Rotation entschlüsseln

Alles, was für den alten Schlüssel verschlüsselt ist, braucht den alten privaten Schlüssel. Du hast drei Optionen:

  • Archivieren: Den alten privaten Schlüssel + Passphrase in verschlüsseltem Langzeitspeicher aufbewahren. Herausziehen, wenn du eine 5 Jahre alte verschlüsselte E-Mail lesen musst.
  • Neu verschlüsseln: Das Archiv einmal mit dem alten Schlüssel entschlüsseln, mit dem neuen Schlüssel neu verschlüsseln, speichern. Bequem, aber ein einmaliger operativer Aufwand.
  • Aufgeben: Wenn du das Archiv nicht brauchst, den alten privaten Schlüssel löschen. Die alten verschlüsselten Nachrichten werden für immer unlesbar.

Die meisten Menschen wählen den Archivierungsweg — er ist günstig (eine verschlüsselte Datei), reversibel und lässt die Optionen offen.

Wenn der alte Schlüssel kompromittiert wurde

Der obige Workflow geht von einer sauberen Rotation aus. Wenn der alte Schlüssel tatsächlich exponiert war, ist der Ankündigungs-und-Kreuz-Signierungsansatz falsch — ein Angreifer mit dem alten Schlüssel kann auch eine gefälschte "Ich habe zu diesem neuen Schlüssel rotiert"-Nachricht signieren. Stattdessen:

  • Veröffentliche sofort das Widerrufszertifikat. (Du hast eines, weil du es bei der Erstellung des Originalschlüssels generiert hast.)
  • Erzeuge einen neuen Schlüssel, aber signiere ihn NICHT mit dem kompromittierten Schlüssel — er trägt kein Vertrauen.
  • Stelle das Vertrauen außerhalb des Bands wieder her: Kontaktiere Korrespondenten direkt, wenn möglich persönlich, sonst telefonisch, und bestätige den neuen Fingerabdruck.
  • Behandle alle Nachrichten, die nach dem Kompromittierungsdatum für den alten Schlüssel verschlüsselt wurden, als potenziell exponiert.