Zum Inhalt

Einstellungen für GnuPG

Sie sind hier: Blog » GnuPG » Einstellungen für GnuPG

Wo verändern?

Diese Einstellungen für GnuPG sind in der folgenden Datei zu finden: ~/.gnupg/gpg.conf .

Grundeinstellungen

Wichtig sind ein funktionierender Key, ein funktionierender Keyserver. Der GnuPG kann angewiesen werden, keine zurückgezogenen Keys zu importieren und Keys auch von anderen Quellen zu beziehen, als es im Schlüssel erwünscht ist. Bitte eigenen Key eintragen!

Zur Verschlüsselung

Hash- und Verschlüsselungsfunktionen werden der modernen Kryptografie irgendwann nicht mehr gerecht. Das gilt z.B. für Blowfish, SHA-1, besonders MD5 und V3-Signaturen. Alternativen sind Twofish, RIPEMD160, stärkere SHA-Hashes oder AES. Im folgenden werden diese Fallgruben zugeschüttet:

Signatur- und Zertifizierungseinstellungen

Man möchte gegebenenfalls angeben, wie gut man einen User überprüft hat, um das Vertrauensnetz (Web of Trust) zu stärken. Um dieses zu unterstützen, schlage ich folgende Eintragungen in der Konfiguration für GnuPG vor:

Diese Einstellungen für GnuPG bewirken, dass beim Zertifizieren (Signieren fremder Keys) gefragt wird, welche Vertrauensstufe bei der Prüfung erreicht wurde. Hier wird ein Standard von 2 angenommen. Das bedeutet, dass man die Person und die Keyzugehörigkeit gut geprüft hat. Falls man die Signatur per caff verschickt, so kann man auch ein cert-level 3 vergeben. Darüber hinaus vertraut man einem Schlüssel ab zwei starken und/oder 4 marginalen (unsicheren) Signaturen. Dabei wird über „cert-depth“ die maximale Pfadsuche auf sechs Ebenen begrenzt – mehr braucht es wirklich nicht. Außerdem werden nur solche Signaturen betrachtet, die auch gegenseitig vergeben wurden.

Anzeige der Daten für Fortgeschrittene

Wer öfters auf Keysigning-Parties geht, und daher mehr Informationen bei der Ausgabe von Daten braucht, fügt auch noch dieses hinzu:

Sonstige Optionen

Da DSA mit SHA-1-Hash und nur 1024 Bit als veraltet gilt, sollten der Expertenmodus und dsa2 (s.o.) aktiviert werden. Außerdem wird mit folgenden Optionen vermieden, dass Schlüssel, die man sowieso nicht braucht, importiert werden. Als letztes wird noch die Kompatibilität zu sehr alten Versionen entfernt, der Expertenmodus aktiviert (für RSA wichtig) und die automatische Prüfung der Trust-DB aktiviert:

Quellen und weiterführende Literatur

Schreibe den ersten Kommentar

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.