Bestehende GnuPG-Keys auf ein neues System migrieren

Diese Anleitung zeigt mehrere Wege auf, wie bestehende GPG-Keys im Zuge einer Neuinstallation oder von einem alten PC auf einen neuen PC übernommen werden können.

Für alle Methoden müsst ihr eure Schlüssel - auch eure privaten Schlüssel - von einem PC auf den anderen (bzw. von einer Installation auf die andere) übertragen. Eure privaten Schlüssel sind zwar mit euer Passphrase geschützt, sie sollten aber trotzdem möglichst keinem Angreifer in die Finger fallen. Von einer Übertragung über das Internet raten wir daher dringend ab. Bei der Übertragung per USB-Stick oder einem anderen physischem Datenträger empfehlen wir diesen vorher vollständig zu verschlüsseln, damit auch mit forensischen Mitteln euer privater Schlüssel nicht rekonstruiert werden kann.

Die Beispiele dieser Anleitung beziehen sich auf Linux und arbeiten häufig mit Ubuntu. Die Methoden lassen sich jedoch auch auf Windows und Mac OSX übertragen.

Enigmail unter Thunderbird bekommt Änderungen am Schlüsselbund nicht automatisch mit. Ihr solltet daher Thunderbird beenden, bevor ihr die hier beschriebene Methoden ausprobiert.

Ordner mit der GnuPG-Konfiguration inkl. Schlüsselbund kopieren

Diese Methode kommt nur in Frage, wenn ihr auf dem neuen PC / der neuen Installation noch nicht mit GnuPG gearbeitet habt. Die bestehende Konfiguration sowie alle neu angelegten oder importierten Keys werden überschrieben. Wollt ihr zwei vorhandene Schlüsselbünde zusammenführen, müsst ihr eine andere Methode nutzen.

Das kopieren des GnuPG-Ordners ist der einfachste und schnellste Weg die vollständige Konfiguration inklusive dem Schlüsselbund zu übernehmen.

Unter Linux findet sich die gesamte Konfiguration in .gnupg des Home-Verzeichnis (unter Ubuntu Persönlicher Ordner genannt). Bei dem Ordner .gnupg handelt es sich um ein verstecktes Verzeichnis. In Dateiexplorern werden diese standardmäßig nicht angezeigt. Alle Dateiexplorer bieten jedoch die Möglichkeit auch versteckte Dateien anzuzeigen. Bei Nautilus findet sich diese Option zum Beispiel im Menü als „Verborgene Dateien anzeigen“. Anschließend seht ihr den Ordner .gnupg und etliche weitere versteckte Verzeichnisse in eurem Home-Verzeichnis.

Kopiert diesen Ordner in das Home-Verzeichnis euer Neuinstallation bzw. eures neuen PCs. Sollte dort bereits ein Ordner .gnupg vorhanden sein, benennt diesen vorher um. Bitte beachtet an dieser Stelle noch einmal die obige Warnung. Wenn ihr auf dem neuen PC bereits GnuPG nutzt, insbesondere wenn ihr bereits neue private Schlüssel erstellt habt, kommt diese Methode nicht in Frage.

Nachdem ihr den Ordner auf euren neuen PC kopiert habt, sollten alle vorhandenen öffentlichen und privaten PGP-Schlüssel wieder zur Verfügung stehen. Thunderbird bzw. Enigmail brauchen einen Neustart bevor sie die Änderungen bemerken.

Sollte eure alten PGP-Keys nicht angezeigt werden, überprüft noch einmal, ob ihr den Ordner an die richtige Stelle kopiert habt. Außerdem muss GnuPG selbstverständlich installiert sein.

Mit der selben Methode könnt ihr auch die Konfiguration anderer Programme von einem PC auf einen anderen migrieren. Thunderbird speichert seine Konfiguration und alle vorhanden Profile inkl. Mails in .thunderbird. Die Konfiguration, Passwörter und OTR-Keys von Pidgin finden sich in .purple.

Schlüsselbund per Kommandozeile exportieren

Der Schlüsselbund lässt sich per Kommandozeile exportieren und importieren. Öffnet dazu das Terminal. Ihr befindet euch nach dem Öffnen in eurem Home-Verzeichnis (unter Ubuntu Persönlicher Ordner genannt). Dort werden die Dateien gespeichert und können anschließend per Dateiexplorer oder ebenfalls auf der Kommandozeile kopiert werden.

Alle privaten Schlüssel in eurem Schlüsselbund exportiert ihr mit folgendem Befehl in die Datei secret-keys.asc:

gpg --export-secret-keys --output secret-keys.asc

Alle öffentlichen Schlüssel in eurem Schlüsselbund exportiert ihr mit folgendem Befehlt in die Datei public-keys.asc:

gpg --export --output public-keys.asc

Auf eurem neuen PC / in der neuen Installation könnt ihr die Dateien über das Programm Passwörter und Verschlüsselung (Name von Ubuntu für seahorse), Enigmail (Erweiterung zur Nutzung von GnuPG unter Thunderbird) oder über die Kommandozeile importieren.

In der Kommandozeile mittels dieser beiden Befehle:

gpg --import secret-keys.asc
gpg --import public-keys.asc

Im Programm Passwörter und Verschlüsselung per Datei → Importieren.

Unter Enigmail den Bereich Schlüssel verwalten auswählen und dort dann Datei → Importieren.

Diese Methode ermöglicht auch das Zusammenführen mehrere Schlüsselbünde.

Einzelne Schlüssel per graphischer Oberfläche exportieren

Wollt ihr nur einzelne Schlüssel auf einen neuen PC übernehmen oder habt Scheu vor der Kommandozeile könnt ihr mit dem Programm Passwörter und Verschlüsselung (der Name unter Ubuntu für seahorse) auch einzelne Schlüssel exportieren.

1. Öffnet dazu Passwörter und Verschlüsselung. Dieses ist standardmäßig bei Ubuntu installiert. 2. Wählt im linken Bereich des Fensters den Reiter GnuPG-Schlüssel aus. 3. Sucht den Schlüssel heraus, den ihr exportieren wollt. Ihr könnt dazu den Filter oben rechts benutzen. 3.1 Um einen privaten bzw. geheimen Schlüssel zu exportieren, müsst ihr den Schlüssel per Doppelklick auf diesen öffnen. Im neuen Fenster wählt ihr den Reiter Details aus. Dort findet sich bei privaten Schlüssel die Option Geheimen Schlüssel exportieren mittels derer ihr den Schlüssel als Datei speichern könnt. 3.2 Zum exportieren öffentlicher Schlüssel müsst ihr diesen nur auswählen und könnt ihn dann per Datei → Exportieren als Datei speichern. Ihr könnt auch mehrere Schlüssel auswählen und alle gemeinsam in eine Datei exportieren.

Zum Importieren der Schlüssel stehen euch die gleichen Wege offen wie im Abschnitt Schlüsselbund per Kommandozeile exportieren erklärt.

Diese Option eignet sich auch, um einen einzelnen privaten Schlüssel einer anderen Person zur Verfügung zu stellen, mit der ihr eine gemeinsame E-Mail-Adresse (z.B. die Mail-Adresse einer Gruppe mit mehreren Mitgliedern) nutzt.