Einstellungen für GnuPG

Sie sind hier: Blog » GnuPG » Einstellungen für GnuPG

Wo verändern?

Diese Einstellungen können Sie in folgende Datei eintragen:

~/.gnupg/gpg.conf

Grundeinstellungen

Wichtig sind ein funktionierender Key, ein funktionierender Keyserver. Der GnuPG kann angewiesen werden, keine zurückgezogenen Keys zu importieren und Keys auch von anderen Quellen zu beziehen, als es im Schlüssel erwünscht ist. Bitte eigenen Key eintragen!

verbose
default-key  <KEY>
default-recipient-self
keyserver-options auto-key-retrieve no-include-revoked no-include-disabled no-honor-keyserver-url verbose
keyserver hkp://wwwkeys.de.pgp.net
armor
force-mdc

Zur Verschlüsselung

Hash- und Verschlüsselungsfunktionen werden der modernen Kryptografie irgendwann nicht mehr gerecht. Das gilt z.B. für Blowfish, SHA-1, besonders MD5 und V3-Signaturen. Alternativen sind Twofish, RIPEMD160, stärkere SHA-Hashes oder AES. Im folgenden werden diese Fallgruben zugeschüttet:

# some cipher/encrypt related settings
no-force-v3-sigs
s2k-cipher-algo AES256
s2k-digest-algo SHA384
enable-dsa2
personal-cipher-preferences AES256 AES192 AES CAST5 3DES
personal-digest-preferences SHA384 SHA256 RIPEMD160 SHA1
personal-compress-preferences BZIP2 ZLIB ZIP
default-preference-list AES256 AES192 AES CAST5 3DES SHA384 SHA256 RIPEMD160 SHA1 BZIP2 ZLIB ZIP

Signatur- und Zertifizierungseinstellungen

Man möchte gegebenenfalls angeben, wie gut man einen User überprüft hat, um das Vertrauensnetz (Web of Trust) zu stärken. Um dieses zu unterstützen, schlage ich folgende Eintragungen in der Konfiguration vor:

# signature-related
ask-cert-level
default-cert-level 2
completes-needed 2
marginals-needed 4
max-cert-depth 6
no-allow-non-selfsigned-uid
require-cross-certification

Anzeige der Daten für Fortgeschrittene

Wer öfters auf Keysigning-Parties geht, und daher mehr Informationen bei der Ausgabe von Daten braucht, fügt auch noch dieses hinzu:

# output-related
verify-options show-notations show-policy-urls no-show-photos show-keyserver-urls
list-options show-notations show-policy-urls no-show-photos show-keyserver-urls show-uid-validity show-sig-expire
with-fingerprint

Sonstige Optionen

Da DSA mit SHA-1-Hash und nur 1024 Bit als veraltet gilt, sollten der Expertenmodus und dsa2 (s.o.) aktiviert werden. Außerdem wird mit folgenden Optionen vermieden, dass Schlüssel, die man sowieso nicht braucht, importiert werden. Als letztes wird noch die Kompatibilität zu sehr alten Versionen entfernt, der Expertenmodus aktiviert (für RSA wichtig) und die automatische Prüfung der Trust-DB aktiviert:

import-options repair-pks-subkey-bug import-clean
export-options export-clean
auto-check-trustdb
no-auto-key-locate
expert
no-rfc2440-text

Quellen und weiterführende Literatur:

Permanentlink zu diesem Beitrag: http://blog.bmarwell.de/gnupg/einstellungen-fur-gnupg/

Hinterlasse eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht.

Sie können diese HTML-Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>