[Gpg4win-users-de] Verständnisfrage zu Unterschlüsseln

Andre Heinecke aheinecke at gnupg.org
Di Apr 16 08:54:03 CEST 2019 

Hallo,

On Monday 15 April 2019 21:29:02 CEST Günter Thaler wrote:
> die Verwendung eines Offline-Schlüssels zum Zertifizieren anderer öffentlicher 
Schlüssel hat den Vorteil, dass er nicht gestohlen werden kann. 
> 
> Für das tägliche (oder, seien wie ehrlich: monatliche bzw. jährliche) 
Verschlüsseln und Signieren von Dateien und E-Mails verwende ich dann die 
Unterschlüssel.

Das kann man machen, hängt so etwas von deinem Bedrohungszenario ab. 
Alternativ könntest du gegen diese Befürchtung auch eine Smartcard verwenden.

> Welchen öffentlichen Schlüssel verteile ich dann an meine 
Kommunikationspartner? 
> A) Meinen öffentlichen Unterschlüssel oder B) den öffentlichen Hauptschlüssel?

Wenn du bei Kleoptra / GPG den Schlüssel Exportierst erhälst du immer den 
ganzen Öffentlichen Schlüssel mit allen Unterschlüsseln und Benutzerkennungen. 
Standardmässig besteht jeder key aus einem Signieren + Beglaubigen 
unterschlüssel und einem Verschlüsselung unterschlüssel. Dabei ist der 
Schlüssel mit dem Zweck "Beglaubigen" üblicherweise der primäre Schlüssel und 
somit das was du als "Hauptschlüssel" bezeichnest.

> Wenn öffentlicher Unterschlüssel: Was habe ich dann von meinem öffentl. 
Hauptschlüssel? Der wird dann ja niemals zertifiziert (erhält keine 
Fremdsignaturen)!

Dein Hauptschlüssel bindet nur deine Benutzerkennungen an den Schlüssel. Deine 
Benutzerkennung ist mit diesem Hauptschlüssel signiert. Wenn nun jemand deine 
Benutzerkennung beglaubigt ist das unabhängig von den Unterschlüsseln.

> Wenn öffentlicher Hauptschlüssel: Wozu brauche ich dann das Unterschlüssel-
Paar?
> Wie kann ich mit meinem privaten *Unter*schlüssel eine E-Mail entschlüsseln, 
die mit meinem öffentlichen *Haupt*schlüssel verschlüsselt wurde?

Wenn du dir einen Key in Kleopatra mit doppelklick anschaust und dort auf 
weitere Details gehst kannst du sehen für welche Verwendung jeder Schlüssel 
vorgesehen ist. Solange du keine "Verschlüsselung" bei der Verwendung deines 
Hauptkeys hast wird immer an den Unterschlüssel mit der Verwendung 
"Verschlüsselung" verschlüsselt. Dein Hauptschlüssel sollte nur "Beglaubigen" 
bzw. "Signieren + Beglaubigen" haben.

> Wie gesagt eine Verständnisfrage. Ich beginne gerade mit GnuPG und parallel 
mit Kleopatra...

Klingt vielleicht alles etwas kompliziert. Lass dich bitte hier nicht 
erschrecken du schaust sozusagen schon "Unter die Haube" in einem üblichen 
Anwender Bedrohungszenario muss man sich IMO mit soetwas nicht befassen.


Schöne Grüße,
Andre


-- 
GnuPG.com - a brand of g10 Code, the GnuPG experts.

g10 Code GmbH, Erkrath/Germany, AG Wuppertal HRB14459
GF Werner Koch, USt-Id DE215605608, www.g10code.com.

GnuPG e.V., Rochusstr. 44, D-40479 Düsseldorf.  VR 11482 Düsseldorf
Vorstand: W.Koch, M.Gollowitzer, A.Heinecke.    Mail: board at gnupg.org
Finanzamt D-Altstadt, St-Nr: 103/5923/1779.   Tel: +49-2104-4938799
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 228 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.wald.intevation.org/pipermail/gpg4win-users-de/attachments/20190416/30879247/attachment.sig>

More information about the Gpg4win-users-de mailing list