In den bisherigen Tutorial-Schritten haben wir die Kernfunktionen geübt, die für den Einsatz von PGP bzw. GnuPG erforderlich sind. Im vorliegenden Tutorial-Schritt schauen wir uns nun noch die restlichen Details an, die man beim Schlüsselmanagement wissen sollte.
Diese Tutorial-Schritt besteht aus 3 Unterabschnitten:
Von diesen Unterabschnitten ist nur der Schritt 6A zur unmittelbaren Durchführung gedacht. Der Inhalt der Schritte 6B und 6C ist hingegen eher eine ergänzende Dokumentation für den Fall, daß Sie einmal eine dieser Funktionen benötigen.
Zum Entschlüsseln einer E-Mail, die mit Ihrem öffentlichen Postschlüssel verschlüsselt wurde, sind 2 Dinge erforderlich:
Was ist nun aber, wenn z. B. der eigene Schlüsselbund durch einen Festplattencrash verlorengeht oder Sie den Paßworttext Ihres Schlüssel vergessen sollten? In beiden Fällen sind Sie nicht mehr in der Lage, verschlüsselte E-Mails, die an Sie gerichtet sind, zu lesen.
Daher sollten wir uns gegen diese Risiken wappnen:
Gegen beschädigte/verlorene Schlüssel kann man sich natürlich durch das Erstellen von Sicherungskopien schützen.
Im Fall eines vergessenen Paßworttexts (oder beim Ausscheiden eines Mitarbeiters, der sowohl Zugriff auf den privaten Schlüssel als auch Kenntnis des Paßworttextes hatte) gibt es hingegen nur noch die Abhilfe, den Schlüssel öffentlich zurückzuziehen, damit ihn niemand mehr verwendet.
Solange der Nutzerkreis eines Schlüssels sehr klein ist, kann das Zurückziehen formlos durch eine entsprechende Nachricht an die betroffenen E-Mail-Partner erfolgen. Wenn Sie Ihren Schlüssel aber einmal öffentlich (über einen PGP-Schlüsselserver oder durch Publizieren auf Ihrer Homepage) bekannt gemacht haben, sollten Sie besser den offiziell vorgesehenen Weg wählen: die sog. "Rückrufurkunde" (revocation certificate).
Um sicherzustellen, daß nur der Eigentümer eines Schlüssels diesen "zurückrufen" (d. h. für ungültig erklären) kann, muß die Rückrufurkunde zu einem öffentlichen Schlüssel mit dem zugehörigen privaten Schlüssel unterzeichnet sein. Da Ihnen im Fall eines vergessenen Paßworts aber dieser Schritt nicht mehr möglich ist (denn Sie bräuchten zum Unterzeichnen genau das Paßwort, das Sie vergessen haben!), ist es sinnvoll, eine "vorbeugende Rückrufurkunde" zu erstellen, bevor man den eigenen Schlüssel an einen PGP-Schlüsselserver schickt oder auf die eigene Homepage stellt.
Dies wollen wir nun tun:
Erstellen Sie zuerst Sicherungskopien des öffentlichen und des privaten Teils Ihres Schlüsselbunds: Bei PGP heißen diese beiden Dateien "pubring.skr" und "secring.skr", bei GnuPG heißen sie "pubring.gpg" und "secring.gpg". Kopieren Sie die Dateien auf 2 Disketten, so daß jede Diskette beide Dateien enthält. Prüfen Sie dann, daß die Kopien in Ordnung sind (z. B. mit den Befehlen "comp" oder "fc" unter DOS/Windows bzw. mit "diff" unter Linux), denn wir werden im Fall von PGP gleich den Originalschlüsselbund irreversibel verändern und müssen daher anschließend den gesicherten Stand der beiden Dateien wieder zurückholen können!
Erstellen Sie dann für Ihren Postschlüssel eine "Rückrufurkunde":
Geben Sie im Betriebssystem folgenden Befehl ein:
pgpk --revoke post@IhreFirma.de
("pgpk" ist das PGP-Key-Modul, und "IhreFirma.de" ist natürlich durch Ihren wirklichen Domainnamen zu ersetzen.)
Daraufhin erscheint die Sicherheitsabfrage: "Do you want to permanently revoke your public key by issuing a secret key compromise certificate on this key [y/N]?"
Wenn Sie diese Frage mit "y" (= "yes") beantworten, werden Sie zur Eingabe Ihres Mantras/Paßworttextes aufgefordert: "Enter pass phrase:"
Geben Sie den Paßworttext Ihres Postschlüssels ein. Daraufhin erscheint die Meldung: "Key revocation certificate added."
Wenn Sie jetzt den Status Ihres Postschlüssels anzeigen lassen (über "pgpk -l post@IhreFirma.de"), so erscheint nun in der ersten Zeile des Schlüssels der Text "*REVOKED*" (in der Spalte "Expires").
Exportieren Sie nun den zurückgezogenen Schlüssel (= die "Rückrufurkunde") mit folgendem Befehl:
pgpk -x post@IhreFirma.de -o revoke.asc
("-x post@IhreFirma.de" steht hier für den "Export" des Schlüssels zur User-ID "post@IhreFirma.de" [wobei "IhreFirma.de" natürlich durch Ihren wirklichen Domainnamen zu ersetzen ist], und "-o revoke.asc" gibt die Ausgabedatei [engl. "outfile"] an.)
Die Rückrufurkunde befindet sich jetzt in der Datei "revoke.asc".
Starten Sie (nach dem Sichern der beiden Dateien "pubring.pkr" und "secring.skr", die im Unterverzeichnis "PGP Keyrings" des PGP-Verzeichnisses liegen) das Programm "PGPkeys" (z. B. über die Menüfolge "Start" -> "Programme" -> "PGP" -> "PGPkeys").
Markieren Sie Ihren Postschlüssel, zu dem die Rückrufurkunde erstellt werden soll, und wählen Sie die Menüfolge "Keys" -> "Revoke ...".
Daraufhin erscheint eine Sicherheitsabfrage: "Are you sure you want to revoke this key? Once distributed, others will be unable to encrypt data to this key."
Wenn Sie die Schaltfläche "Ja" anklicken, erscheint das Fenster "PGP Enter Passphrase for Key". Es zeigt an, welcher Schlüssel zurückgezogen werden soll, und will dazu den Paßworttext dieses Schlüssels wissen.
"Passphrase of selected key:"
Geben Sie den Paßworttext Ihres Postschlüssels ein, und klicken Sie auf die Schaltfläche "OK". Daraufhin wird das Dialogfenster wieder geschlossen und der Schlüssel als "zurückgezogen" markiert. (Die User-ID eines zurückgezogenen Schlüssels erscheint in Kursivschrift, und das Schlüsselsymbol wird durchgestrichen dargestellt.)
Um den zurückgezogenen Schlüssel (= die "Rückrufurkunde") zu exportieren, markieren Sie ihn und wählen dann die Menüfolge "Keys" -> "Export ...". Geben Sie in der daraufhin angezeigten Dialogbox als Dateiname für die Exportdatei den Namen "revoke.asc" ein. Stellen Sie sicher, daß die beiden Optionen "Include Private Key(s)" und "Include 6.0 Extensions" nicht angekreuzt sind, und klicken Sie dann auf die Schaltfläche "Speichern". Schließen Sie danach das Programm "PGPkeys" wieder.
Die Rückrufurkunde befindet sich jetzt in der Datei "revoke.asc".
Geben Sie (nach dem Sichern der beiden Dateien "pubring.pkr" und "secring.skr", die im Unterverzeichnis "PGP Keyrings" des PGP-Verzeichnisses liegen) im Betriebssystem folgenden Befehl ein:
pgp -kd post@IhreFirma.de
("-kd" steht für "key disable", und "IhreFirma.de" ist natürlich durch Ihren wirklichen Domainnamen zu ersetzen.)
Daraufhin erscheint die Sicherheitsabfrage: "Do you want to permanently revoke your public key by issuing a secret key compromise certificate for ... (y/N)?"
Wenn Sie diese Frage mit "y" (= "yes") beantworten, werden Sie zur Eingabe Ihres Mantras/Paßworttextes aufgefordert: "Enter pass phrase:"
Geben Sie den Paßworttext Ihres Postschlüssels ein. Daraufhin erscheint die Meldung "Pass phrase is good", und der Postschlüssel wird als "zurückgezogen" markiert.
Wenn Sie jetzt den Status Ihres Postschlüssels anzeigen lassen (über "pgp -kv post@IhreFirma.de"), so erscheint nun in der ersten Zeile des Schlüssels der Text "*** KEY REVOKED ***" (in der Spalte "User ID").
Exportieren Sie nun den zurückgezogenen Schlüssel (= die "Rückrufurkunde") mit folgendem Befehl:
pgp -kx post@IhreFirma.de revoke.asc
("-kx post@IhreFirma.de" steht hier für "key export" des Schlüssels zur User-ID "post@IhreFirma.de" [wobei "IhreFirma.de" natürlich durch Ihren wirklichen Domainnamen zu ersetzen ist], und "revoke.asc" gibt die Ausgabedatei an.)
Die Rückrufurkunde befindet sich jetzt in der Datei "revoke.asc".
Geben Sie im Betriebssystem folgenden Befehl ein:
gpg -a -o revoke.asc --gen-revoke post@IhreFirma.de
("-a" steht hier für das ASCII-Transportformat [statt binär], "-o revoke.asc" gibt die Ausgabedatei [engl. "output"] an, "--gen-revoke" steht für "generate revoke certificate", und "IhreFirma.de" ist natürlich durch Ihren wirklichen Domainnamen zu ersetzen.)
Daraufhin erscheint die Sicherheitsabfrage: "Create a revocation certificate for this key?"
Wenn Sie diese Frage mit "j" (= "ja") beantworten, werden Sie zur Eingabe Ihres Mantras/Paßworttextes aufgefordert: "Geben Sie das Mantra ein:"
Geben Sie den Paßworttext Ihres Postschlüssels ein. Daraufhin erscheint die Meldung: "Revocation certificate created."
Die Rückrufurkunde befindet sich jetzt in der Datei "revoke.asc".
Hinweis: Im Unterschied zu PGP erzeugt GnuPG die Rückrufurkunde direkt, ohne den Originalschlüsselbund zu verändern. Der Schlüssel bleibt daher noch so lange gültig, bis die Rückrufurkunde in den Schlüsselbund importiert wird (über "gpg --import revoke.asc").
Kopieren Sie die Rückrufurkunde "revoke.asc" auf die beiden Disketten, die die Sicherungskopien der Dateien "pubring.pkr" und "secring.skr" (PGP) bzw. "pubring.gpg" und "secring.gpg" (GnuPG) enthalten. Löschen Sie anschließend die Datei "revoke.asc" aus dem PGP- bzw. GnuPG-Verzeichnis der Festplatte, damit niemand versehentlich Ihren Postschlüssel aus dem Verkehr ziehen kann, indem er die falsche Datei an einen PGP-Schlüsselserver sendet.
Kopieren Sie im Fall von PGP anschließend die gesicherten Originalversionen der beiden Dateien "pubring.pkr" und "secring.skr" von einer der beiden Disketten auf die Festplatte zurück. (Bei GnuPG brauchen Sie das nur zu tun, falls Sie die Rückrufurkunde nach ihrer Erstellung in den GnuPG-Schlüsselbund importiert hatten.)
Überprüfen Sie dann, daß Ihr Postschlüssel (wieder) aktiv ist:
Bewahren Sie die beiden Disketten mit den Sicherungskopien Ihres Schlüsselbunds und den Rückrufurkunden (für den Fall eines verlorengegangenen oder bekannt gewordenen Paßworttextes) an einem sicheren Ort auf.
Jetzt können Sie unbesorgt Ihren öffentlichen Postschlüssel allgemein bekannt machen, indem Sie ihn auf Ihrer Homepage publizieren oder an einen PGP-Schlüsselserver senden.
Manche PGP-Plugins gehen von der (durch den OpenPGP-Standard nicht gerechtfertigten) Einschränkung aus, daß z. B. eine E-Mail an "support@redtenbacher.de" nicht mit dem Postschlüssel "post@redtenbacher.de" verschlüsselt werden kann. Diese Plugins verlangen statt dessen eine strikte Übereinstimmung der E-Mail-Adresse des Empfängers mit der E-Mail-Adresse im zugehörigen PGP-Schlüssel.
In solchen Fällen kann es hilfreich sein, dem eigenen Postschlüssel zusätzliche User-IDs mit alternativen E-Mail-Adressen hinzuzufügen. Das ist möglich, ohne daß dadurch die Key-ID oder der Fingerprint des PGP-Schlüssels geändert wird.
Jemand, der bereits Ihren bisherigen Schlüssel telefonisch verifiziert und dann signiert hat, kann also ohne erneute Prüfung auch die zusätzliche User-ID signieren, solange diese offensichtlich auf denselben Empfänger hinweist. (Vermutlich würden jedoch einige Leute zu Recht zögern, beim verifizierten Postschlüssel "post@redtenbacher.de" eine zusätzliche User-ID "George Bush <president@whitehouse.gov>" zu signieren.)
Das Hinzufügen einer weiteren User-ID geht folgendermaßen:
Geben Sie im Betriebssystem folgenden Befehl ein:
pgpk -e post@IhreFirma.de
("pgpk" ist das PGP-Key-Modul, "-e" steht für "edit key", und "IhreFirma.de" ist natürlich durch Ihren wirklichen Domainnamen zu ersetzen.)
Anschließend bietet PGP Ihnen 4 Änderungsoptionen an:
"Do you want to set/unset this key as axiomatic [y/N]?"
"Do you want to add a new user ID [y/N]?"
"Do you want to change your pass phrase (y/N)?"
"Do you want to set this as your default key [y/N]?"
Übergehen Sie die erste dieser Fragen durch Drücken der "Return"-Taste, und beantworten Sie die zweite Frage mit "y" (= "yes").
Geben Sie, sobald die Aufforderung "Enter the new user ID:" erscheint, die gewünschte zusätzliche User-ID ein, z. B.:
Hans Maier <hans.maier@IhreFirma.de>
Um Ihre Änderungsbefugnis zu überprüfen, will PGP daraufhin von Ihnen den Paßworttext des bearbeiteten Schlüssels wissen: "Enter pass phrase:"
Geben Sie hier den Paßworttext Ihres Postschlüssels ein. PGP fügt dann die neue User-ID zum Postschlüssel hinzu. Anschließend erscheinen die beiden restlichen oben aufgeführten "Do you want ..."-Fragen, die Sie durch Drücken der "Return"-Taste übergehen sollten.
Sobald die Meldung "Keyrings updated" erscheint, ist die Änderung abgeschlossen. Den neuen Inhalt des Postschlüssels können Sie sich mit "pgpk -l post@IhreFirma.de" anzeigen lassen.
Markieren Sie im Programm "PGPkeys" den Postschlüssel, zu dem Sie eine weitere User-ID hinzufügen wollen, und wählen Sie die Menüfolge "Keys" -> "Add" -> "Name ...".
Daraufhin erscheint das Fenster "PGP New User Name", in das Sie den gewünschten zusätzlichen Namen und die zugehörige E-Mail-Adresse eintragen, z. B.:
New name to add to key: Hans Maier
New email address to add to key: hans.maier@IhreFirma.de
Sobald Sie die Schaltfläche "OK" anklicken, will PGP Ihre Befugnis zur Durchführung der geplanten Änderung überprüfen, und das Fenster "PGP Enter Passphrase for Key" erscheint.
Geben Sie hier den Paßworttext Ihres Postschlüssels ein, und klicken Sie auf die Schaltfläche "OK". PGP fügt dann die neue User-ID zum Postschlüssel hinzu.
In der Schlüsselliste des Programms "PGPKeys" können Sie durch Klicken auf das kleine Pluszeichen am Anfang der Spalte "Keys" alle User-IDs zu einem Schlüssel anzeigen lassen und dadurch die Hinzufügung überprüfen.
Geben Sie im Betriebssystem folgenden Befehl ein:
pgp -ke post@IhreFirma.de
("-ke" steht für "key edit", und "IhreFirma.de" ist natürlich durch Ihren wirklichen Domainnamen zu ersetzen.)
Um Ihre Änderungsbefugnis zu überprüfen, will PGP daraufhin von Ihnen den Paßworttext des bearbeiteten Schlüssels wissen: "Enter pass phrase:"
Geben Sie hier den Paßworttext Ihres Postschlüssels ein. Anschließend bietet PGP Ihnen 3 Änderungsoptionen an:
"Use this key as an ultimately-trusted introducer (y/N)?"
"Do you want to add a new user ID (y/N)?"
"Do you want to change your pass phrase (y/N)?"
Übergehen Sie die erste dieser Fragen durch Drücken der "Return"-Taste, und beantworten Sie die zweite Frage mit "y" (= "yes").
Geben Sie, sobald die Aufforderung "Enter the new user ID:" erscheint, die gewünschte zusätzliche User-ID ein, z. B.:
Hans Maier <hans.maier@IhreFirma.de>
Anschließend erscheinen die beiden Fragen "Make this user ID the primary user ID for this key (y/N)?" und "Do you want to change your pass phrase (y/N)?", die Sie durch Drücken der "Return"-Taste übergehen sollten.
Den neuen Inhalt des Postschlüssels können Sie sich mit "pgp -kv post@IhreFirma.de" anzeigen lassen.
Geben Sie im Betriebssystem folgenden Befehl ein:
gpg --edit-key post@IhreFirma.de
("IhreFirma.de" ist natürlich durch Ihren wirklichen Domainnamen zu ersetzen.)
Daraufhin werden die Daten Ihres Postschlüssels angezeigt. Geben Sie hinter der Eingabeaufforderung "Befehl> " den Befehl "adduid" (= "add user id") ein, und beantworten Sie die anschließenden Fragen z. B. wie folgt:
Ihr Name ("Vorname Nachname"): Hans Maier
E-Mail-Adresse: hans.maier@IhreFirma.de
Kommentar: (leer lassen)
Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden? F
Um Ihre Änderungsbefugnis zu überprüfen, will GnuPG daraufhin von Ihnen den Paßworttext des bearbeiteten Schlüssels wissen: "Geben Sie das Mantra ein:"
Geben Sie hier den Paßworttext Ihres Postschlüssels ein. GnuPG fügt dann die neue User-ID zum Postschlüssel hinzu und zeigt alle nun vorhandenen User-IDs an. Verlassen Sie anschließend den Editiermodus mit "quit", und beantworten Sie die Frage "Änderungen speichern?" mit "j" (= "ja").
Den neuen Inhalt des Postschlüssels können Sie sich mit "gpg --list-keys post@IhreFirma.de" anzeigen lassen.
Zum vollständigen Verwalten eines Schlüsselbunds gehört natürlich auch noch die Möglichkeit, nicht mehr relevante Schlüssel oder Teile davon (also User-IDs oder Unterschriften/Signaturen) vom Schlüsselbund entfernen zu können.
Beispielsweise sollten Sie Ihren Übungsschlüssel "test@IhreFirma.de" und den entsprechenden Schlüssel Ihres Übungspartners nach Ablauf der Gültigkeitsdauer (oder am Ende dieses Tutorials) wieder entfernen, um Ihren Schlüsselbund stets "aufgeräumt" zu halten.
Das Entfernen von Schlüsseln, User-IDs oder Signaturen geht folgendermaßen:
Zum Entfernen eines Schlüssels, einer User-ID oder einer Signatur geben Sie im Betriebssystem folgenden Befehl ein:
Der gewünschte Schlüssel kann jeweils entweder als vollständige "Key-ID" (z. B. "0x8A4A53E8") oder als Teil der "User-ID" (z. B. "post@redtenbacher.de") angegeben werden.
Gibt es mehrere Schlüssel, die auf eine (unvollständige) User-ID-Angabe passen, so zeigt PGP die betreffenden Schlüssel an und ermöglicht Ihnen eine Auswahl. (Bei dem Befehl "pgpk -r IhreFirma" würden z. B. die beiden Schlüssel "test@IhreFirma.de" und "post@IhreFirma.de" passen. Daher würde hier eine Auswahlfrage erscheinen.)
Bei den Befehlsformen "pgpk -ru ..." und "pgpk -rs ..." erscheint eine solche Auswahlfrage ebenfalls, wenn es auf dem ausgewählten Schlüssel mehrere User-IDs ("pgpk -ru ...") bzw. Signaturen ("pgpk -rs ...") gibt.
Unvollständige Angaben wirken daher nicht als gefährliche Jokerzeichen wie im Befehl "DEL *.*" (DOS/Windows) oder "rm *" (Linux), sondern jeder Löschbefehl entfernt max. 1 Schlüssel bzw. 1 User-ID bzw. 1 Signatur (und jede Auswahlfrage kann mit "Strg-C" abgebrochen werden).
Soll über die Befehlsform "pgpk -r Schlüssel" ein privater Schlüssel von Ihnen entfernt werden, so erscheint eine zusätzliche Sicherheitsabfrage: "Do you wish to remove this key from your public and private keyrings?"
Markieren Sie im Programm "PGPkeys" den Schlüssel, den Namen oder die Signatur, die Sie entfernen wollen, und drücken Sie dann die Taste "Entf".
Daraufhin erscheint (abhängig von dem, was Sie markiert haben) eine der 4 folgenden Sicherheitsabfragen:
"Are you sure you want to delete this key?"
"Are you sure you want to delete this name?"
"Are you sure you want to delete this signature?"
"Are you sure you want to delete your public/private key
pair?"
Mit der Schaltfläche "Ja" bestätigen Sie den Löschvorgang, mit "Nein" können Sie ihn hier abbrechen.
Zum Entfernen eines Schlüssels, einer User-ID oder einer Signatur geben Sie im Betriebssystem folgenden Befehl ein:
Der gewünschte Schlüssel kann jeweils entweder als vollständige "Key-ID" (z. B. "0x8A4A53E8") oder als Teil der "User-ID" (z. B. "post@redtenbacher.de") angegeben werden.
Gibt es bei "pgp -kr ..." nur 1 User-ID auf dem betreffenden Schlüssel, so erscheint folgende Sicherheitsabfrage:
"Are you sure you want this key removed (y/N)?"
Gibt es hingegen mehrere User-IDs auf dem Schlüssel, so können Sie wählen, ob Sie den ganzen Schlüssel oder nur einzelne User-IDs löschen wollen:
"Do you want to remove the whole key (y/N)?" N
"Remove '...[1. User-ID]...' (y/N)?
"Remove '...[2. User-ID]...' (y/N)?
usw.
Gibt es bei "pgp -kr ..." mehrere Schlüssel, die auf eine (unvollständige) User-ID-Angabe passen, so zeigt PGP nur den ersten dieser Schlüssel an und stellt dafür die obigen Fragen. Ist das nicht der gewünschte Schlüssel, so antworten Sie mit "n" (= "nein") und wiederholen den Vorgang mit einer genauer spezifizierten User-ID (wobei Sie ggf. zuvor mit "pgp -kv ..." die exakte Key-ID herausfinden und dann im Löschbefehl benutzen können).
Bei der Befehlsform "pgp -krs ..." wird der Reihe nach jede Signatur auf jedem Schlüssel, der zur (ggf. auch unvollständigen) User-ID-Angabe paßt, angezeigt und jeweils die Frage gestellt:
"Remove this signature (y/N)?"
Auf diese Weise können Sie bequem entscheiden, welche Unterschrift(en) Sie entfernen wollen.
Zum Löschen eines ganzen Schlüssels geben Sie im Betriebssystem folgenden Befehl ein:
Der gewünschte Schlüssel kann jeweils entweder als vollständige "Key-ID" (z. B. "0x8A4A53E8") oder als Teil der "User-ID" (z. B. "post@redtenbacher.de") angegeben werden.
Daraufhin wird der zu löschende Schlüssel angezeigt, und es erscheint eine Sicherheitsabfrage:
"Diesen Schlüssel aus dem Schlüsselbund löschen?"
Gibt es mehrere Schlüssel, die auf eine (unvollständige) User-ID-Angabe passen, so zeigt GnuPG nur den ersten dieser Schlüssel an und stellt dafür die obige Frage. Ist das nicht der gewünschte Schlüssel, so antworten Sie mit "n" (= "nein") und wiederholen den Vorgang mit einer genauer spezifizierten User-ID (wobei Sie ggf. zuvor mit "gpg --list-keys ..." die exakte Key-ID herausfinden und dann im Löschbefehl benutzen können).
Das Löschen einer User-ID oder Signatur erfolgt bei GnuPG über das Editieren eines Schlüssels, das wir bereits im obigen Schritt 6B kennengelernt haben:
gpg --edit-key Schlüssel
Daraufhin werden die Daten und User-IDs des Schlüssels angezeigt. Mit dem Befehl "uid Nummer" wählen Sie die gewünschte User-ID anhand ihrer aufgelisteten Nummer aus. (Ausgewählte [d. h. aktive] User-IDs werden durch ein Sternchen neben der User-ID angezeigt.)
Anschließend können Sie mit "deluid" (= delete userid) die markierte(n) User-ID(s) entfernen. (Für jede User-ID wird dabei vor dem Löschen eine Sicherheitsabfrage "Diese User-ID wirklich entfernen?" angezeigt.)
Mit "delsig" (= delete signature) können Sie Signaturen von der/den markierte(n) User-ID(s) entfernen. (Für jede Signatur wird dabei vor dem Löschen eine Sicherheitsabfrage "Diese korrekte Beglaubigung entfernen?" angezeigt.)
Haben Sie alle gewünschten Löschungen vorgenommen, so verlassen Sie den Editiermodus mit "quit" und beantworten die Frage "Änderungen speichern?" mit "j" (= "ja").
Bitte beachten Sie, daß das Entfernen eines Schlüssels, einer User-ID oder einer Signatur nur auf Ihrem eigenen Schlüsselbund wirkt. Durch das Senden eines "reduzierten" Schlüssels an einen PGP-Schlüsselserver lassen sich dort keine Löschungen vornehmen. PGP-Schlüsselserver akzeptieren grundsätzlich nur Hinzufügungen und keine Löschungen.
Löschungen von bereits publizierten PGP-Schlüsseln (oder von Teilen davon) lassen sich nur über eine Rückrufurkunde gemäß dem obigen Schritt 6A erreichen. Niemand außer Ihnen kann also Ihre eigenen Schlüssel auf PGP-Schlüsselservern modifizieren. (Andere können zu Ihrem Schlüssel lediglich eigene Signaturen hinzufügen oder zurückrufen.)
Nun wissen Sie alles Wesentliche, was Sie als Anwender oder Mailserver-Administrator für die Nutzung von PGP bzw. GnuPG benötigen.
In der Dokumentation "Automatische Ver-/Entschlüsselung von E-Mail" finden Sie beschrieben, wie sich die Vorgänge, die Sie in diesem Tutorial manuell durchgeführt haben, auf dem Mailserver automatisieren lassen.
[Zurück zur Hauptseite des Verschlüsselungsprojekts] [Zum vorigen Tutorial-Schritt] [Zur automatischen Ver-/Entschlüsselung]