Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies setzen.

Yubikey und GPG

Diese Dokumentation beschreibt sowohl den Prozess zur Erstellung eines GPG Schlüssels auf einem Linux System als auch den Exportprozess auf einen Yubikey. Folgende Systeme kommen hierbei zum Einsatz:

Der Erstellungsprozess und die Portierung auf einen Yubikey sollte idealerweise auf einem Live Linux (reales System keine VM) ohne Internetanbindung stattfinden.

Erstellung einer Live ISO mit gpg-tools

Zur generierung einer angepassten Live ISO auf Basis der Arch Distribution wird das Paket archiso benötigt.
Hinweis: Da die Erstellung einer Arch Live ISO z.B. unter Distributionen wie Manjaro zu Problemen führen kann wird empfohlen dies unter einem reinen Arch durchzuführen.

pacman -Syu archiso

Nachdem das Paket installiert ist, wird die Vorlage ‘releng’ in ein neues Verzeichnis kopiert (in diesem Fall ‘archlive’).

mkdir ~/archlive
sudo cp -r /usr/share/archiso/configs/releng/* ~/archlive

Damit die Generierung der GPG-Schlüssel und die Eingabe der Pin für den Yubikey reibungslos funktionieren, fügen wir unserer Live ISO noch drei weitere Pakete hinzu. Dieser Vorgang wird durch die Datei ‘packages.both’ gesteuert.

echo 'libusb-compat' >> ~/archlive/packages.both
echo 'pcsc-tools' >> ~/archlive/packages.both
echo 'ccid' >> ~/archlive/packages.both

Um das Arbeiten mit dem Live-System möglichst unkompliziert zu gestalten, empfiehlt es sich notwendige Konfigurationsdateien direkt zu intigrieren. Dazu werden die Daten in dem Ordner ‘airootfs’ abgelegt.
Hinweis: Die im Ordner enthaltenen Dateien sollten dem Benutzer und der Gruppe ‘root’ gehören. Andernfalls kann es zu Problemme beim generieren der Live ISO kommen.

Vorbereitung GPG Ordner

mkdir -p ~/archlive/airootfs/root/gnupghome

# Script zum setzen der Umgebungsvariable
echo '#!/bin/bash' > ~/archlive/airootfs/root/gnupghome/init.sh
echo 'export GNUPGHOME=/root/gnupghome' >> ~/archlive/airootfs/root/gnupghome/init.sh
chmod 755 ~/archlive/airootfs/gnupghome/init.sh

# gpg.conf vorbereiten
echo 'default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAMELLIA256 CAMELLIA192 CAMELLIA128 TWOFISH' > ~/archlive/airootfs/root/gnupghome/gpg.conf
echo 'cert-digest-algo SHA512' >> ~/archlive/airootfs/root/gnupghome/gpg.conf
echo 'use-agent' >> ~/archlive/airootfs/root/gnupghome/gpg.conf
echo 'lock-never' >> ~/archlive/airootfs/root/gnupghome/gpg.conf
echo 'cert-digest-algo SHA512' >> ~/archlive/airootfs/root/gnupghome/gpg.conf

Wenn alle Konfigurationen erledigt sind, kann nun die ISO mit dem Script ‘build.sh’ generiert werden. Der Parameter ‘-v’ aktiviert dabei eine detaillierte Ausgabe. Die fertige ISO befindet sich anschliesend im Ordner ‘out’.

Hinweis: Für diesen Prozess ist eine Internetverbindung notwendig, da die Pakete, welche in der ISO instaliert werden, heruntergeladen werden müssen.

cd ~/archlive
./build.sh -v

Live ISO

Die erstellte ISO-Image sollte dann auf einen USB Stick geschrieben werden. Nach erfolgreichen Bootvorgang des Systems sollte in das Verzeichnis /root/gnupghome gewechselt und die erstellte init.sh ausgeführt werden.

cd /root/gnupghome
./init.sh

Folgende vorbereitende Maßnahme sollten getroffen werden:

Sicherstellen der korrekten Funktionalität der GPG Card Tools:

~ $ gpg --card-status

Reader ...........: Yubico Yubikey 4 OTP U2F CCID 00 00
Application ID ...: *****************************
Version ..........: *.*
Manufacturer .....: Yubico
Serial number ....: *******
Name of cardholder: ************
Language prefs ...: **
Sex ..............: *******
URL of public key : *******
Login data .......: *******
Signature PIN ....: *******
Key attributes ...: *******
Max. PIN lengths .: *******
PIN retry counter : *******
Signature counter : *******
Signature key ....: *******
      created ....: *******
Encryption key....: *******
      created ....: *******
Authentication key: *******
      created ....: *******
General key info..:

Generierung des Master-Keys

~/gnupghome $ gpg --gen-key

gpg: WARNUNG: Unsichere Zugriffsrechte des Home-Verzeichnis '/root/gnupghome'
gpg (GnuPG) 2.2.3; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

gpg: Die "Keybox" '/root/gnupghome/pubring.kbx' wurde erstellt
Hinweis: "gpg --full-generate-key" ruft den erweiterten Dialog auf.

GnuPG erstellt eine User-ID, um Ihren Schlüssel identifizierbar zu machen.

Ihr Name ("Vorname Nachname"): ******
Email-Adresse: ******@******
Sie haben diese User-ID gewählt:
    "****** <******@******>"

Ändern: (N)ame, (E)-Mail oder (F)ertig/(A)bbrechen? F
Wir müssen eine ganze Menge Zufallswerte erzeugen.  Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.
Wir müssen eine ganze Menge Zufallswerte erzeugen.  Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.
gpg: /root/gnupghome/trustdb.gpg: trust-db erzeugt
gpg: Schlüssel ****** ist als ultimativ vertrauenswürdig gekennzeichnet
gpg: Verzeichnis '/root/gnupghome/openpgp-revocs.d' erzeugt
gpg: Widerrufzertifikat wurde als '/root/gnupghome/openpgp-revocs.d/******.rev' gespeichert.
Öffentlichen und geheimen Schlüssel erzeugt und signiert.

pub   rsa2048 ****** [SC] [verfällt: ******]
      ******
uid                      ****** <******@******>
sub   rsa2048 ****** [E] [verfällt: ******]

Enfernen des Verfallsdatums des Master-Schlüssels.

~/gnupghome $ gpg --edit-key ******@******
gpg: WARNUNG: Unsichere Zugriffsrechte des Home-Verzeichnis '/home/home/gnupghome'
gpg (GnuPG) 2.2.3; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Geheimer Schlüssel ist vorhanden.

sec  rsa2048/******
     erzeugt: ******  verfällt: ******  Nutzung: SC
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa2048/******
     erzeugt: ******  verfällt: ******  Nutzung: E
[ ultimativ ] (1). ****** <******@******>

gpg> expire
Ändern des Verfallsdatums des Hauptschlüssels.
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
         0 = Schlüssel verfällt nie
      <n>  = Schlüssel verfällt nach n Tagen
      <n>w = Schlüssel verfällt nach n Wochen
      <n>m = Schlüssel verfällt nach n Monaten
      <n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 0
Schlüssel verfällt nie
Ist dies richtig? (j/N) j

sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa2048/******
     erzeugt: ******  verfällt: ******  Nutzung: E
[ ultimativ ] (1). ****** <******@******>

gpg> save

(optional) Master-Key Backup

~/gnupghome $ gpg -a --export-secret-keys ******@****** > backup_masterkey.txt

Löschen des automatisch generierten Encryption-Keys

~/gnupghome $ gpg --edit-key ******@******    
gpg: WARNUNG: Unsichere Zugriffsrechte des Home-Verzeichnis '/root/gnupghome'
gpg (GnuPG) 2.2.3; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Geheimer Schlüssel ist vorhanden.

sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC  
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa2048/******
     erzeugt: ******  verfällt: ******  Nutzung: E   
[ ultimativ ] (1). ****** <******@******>

gpg> key 1

sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC  
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb* rsa2048/******
     erzeugt: ******  verfällt: ******  Nutzung: E   
[ ultimativ ] (1). ****** <******@******>

gpg> delkey 
Möchten Sie diesen Schlüssel wirklich entfernen? (j/N) j

sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC  
     Vertrauen: ultimativ     Gültigkeit: ultimativ
[ ultimativ ] (1). ****** <******@******>

gpg> save

Subkeys erzeugen

Sign

~/gnupghome $ gpg --expert --edit-key ******@******
gpg: WARNUNG: Unsichere Zugriffsrechte des Home-Verzeichnis '/home/home/gnupghome'
gpg (GnuPG) 2.2.3; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Geheimer Schlüssel ist vorhanden.

sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC  
     Vertrauen: ultimativ     Gültigkeit: ultimativ
[ ultimativ ] (1). ****** <******@******>

gpg> addkey
Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
   (3) DSA (nur signieren/beglaubigen)
   (4) RSA (nur signieren/beglaubigen)
   (5) Elgamal (nur verschlüsseln)
   (6) RSA (nur verschlüsseln)
   (7) DSA (Nutzung selber einstellbar)
   (8) RSA (Nutzung selber einstellbar)
  (10) ECC (nur signieren)
  (11) ECC (Nutzung selber einstellbar)
  (12) ECC (nur verschlüsseln)
   (13) Vorhandener Schlüssel
Ihre Auswahl? 4
RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein.
Welche Schlüssellänge wünschen Sie? (2048) 4096
Die verlangte Schlüssellänge beträgt 4096 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
         0 = Schlüssel verfällt nie
      <n>  = Schlüssel verfällt nach n Tagen
      <n>w = Schlüssel verfällt nach n Wochen
      <n>m = Schlüssel verfällt nach n Monaten
      <n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 0
Schlüssel verfällt nie
Ist dies richtig? (j/N) j
Wirklich erzeugen? (j/N) j
Wir müssen eine ganze Menge Zufallswerte erzeugen.  Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.

sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC  
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: S   
[ ultimativ ] (1). ****** <******@******>

gpg> save

Encrpyt

~/gnupghome $ gpg --expert --edit-key ******@******
gpg: WARNUNG: Unsichere Zugriffsrechte des Home-Verzeichnis '/home/home/gnupghome'
gpg (GnuPG) 2.2.3; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Geheimer Schlüssel ist vorhanden.

sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: S
[ ultimativ ] (1). ****** <******@******>

gpg> addkey
Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
   (3) DSA (nur signieren/beglaubigen)
   (4) RSA (nur signieren/beglaubigen)
   (5) Elgamal (nur verschlüsseln)
   (6) RSA (nur verschlüsseln)
   (7) DSA (Nutzung selber einstellbar)
   (8) RSA (Nutzung selber einstellbar)
  (10) ECC (nur signieren)
  (11) ECC (Nutzung selber einstellbar)
  (12) ECC (nur verschlüsseln)
   (13) Vorhandener Schlüssel
Ihre Auswahl? 6
RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein.
Welche Schlüssellänge wünschen Sie? (2048) 4096
Die verlangte Schlüssellänge beträgt 4096 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
         0 = Schlüssel verfällt nie
      <n>  = Schlüssel verfällt nach n Tagen
      <n>w = Schlüssel verfällt nach n Wochen
      <n>m = Schlüssel verfällt nach n Monaten
      <n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 0
Schlüssel verfällt nie
Ist dies richtig? (j/N) j
Wirklich erzeugen? (j/N) j
Wir müssen eine ganze Menge Zufallswerte erzeugen.  Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.

sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: S
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: E
[ ultimativ ] (1). ****** <******@******>

gpg> save

Authenticate

~/gnupghome $ gpg --expert --edit-key ******@******
gpg (GnuPG) 2.2.3; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Geheimer Schlüssel ist vorhanden.

sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: S
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: E
[ ultimativ ] (1). ****** ******@******>

gpg> addkey
Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
   (3) DSA (nur signieren/beglaubigen)
   (4) RSA (nur signieren/beglaubigen)
   (5) Elgamal (nur verschlüsseln)
   (6) RSA (nur verschlüsseln)
   (7) DSA (Nutzung selber einstellbar)
   (8) RSA (Nutzung selber einstellbar)
  (10) ECC (nur signieren)
  (11) ECC (Nutzung selber einstellbar)
  (12) ECC (nur verschlüsseln)
   (13) Vorhandener Schlüssel
Ihre Auswahl? 8

Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Signieren Verschl.

   (S) Umschalten der Signaturnutzbarkeit
   (V) Umschalten der Verschlüsselungsnutzbarkeit
   (A) Umschalten der Authentisierungsnutzbarkeit
   (Q) Beenden

Ihre Auswahl? S

Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Verschl.

   (S) Umschalten der Signaturnutzbarkeit
   (V) Umschalten der Verschlüsselungsnutzbarkeit
   (A) Umschalten der Authentisierungsnutzbarkeit
   (Q) Beenden

Ihre Auswahl? V

Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge:

   (S) Umschalten der Signaturnutzbarkeit
   (V) Umschalten der Verschlüsselungsnutzbarkeit
   (A) Umschalten der Authentisierungsnutzbarkeit
   (Q) Beenden

Ihre Auswahl? A

Mögliche Vorgänge eines RSA-Schlüssels: Signieren Verschl. Authentisierung
Derzeit erlaubte Vorgänge: Authentisierung

   (S) Umschalten der Signaturnutzbarkeit
   (V) Umschalten der Verschlüsselungsnutzbarkeit
   (A) Umschalten der Authentisierungsnutzbarkeit
   (Q) Beenden

Ihre Auswahl? Q
RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein.
Welche Schlüssellänge wünschen Sie? (2048) 4096
Die verlangte Schlüssellänge beträgt 4096 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
         0 = Schlüssel verfällt nie
      <n>  = Schlüssel verfällt nach n Tagen
      <n>w = Schlüssel verfällt nach n Wochen
      <n>m = Schlüssel verfällt nach n Monaten
      <n>y = Schlüssel verfällt nach n Jahren
Wie lange bleibt der Schlüssel gültig? (0) 0
Schlüssel verfällt nie
Ist dies richtig? (j/N) j
Wirklich erzeugen? (j/N) j
Wir müssen eine ganze Menge Zufallswerte erzeugen.  Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.

sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: S
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: E
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: A
[ ultimativ ] (1). ****** ******@******>

gpg>save

(optional) Sub-Key Backup

~/gnupghome $ gpg -a --export-secret-keys ******@****** > mastersubkeys.txt
~/gnupghome $ gpg -a --export-secret-subkeys ******@****** > subkeys.txt

Setzen der Admin und User Pin

~/gnupghome $ gpg --card-edit
gpg: WARNUNG: Unsichere Zugriffsrechte des Home-Verzeichnis '/root/gnupghome'

Reader ...........: Yubico Yubikey 4 OTP U2F CCID 00 00
Application ID ...: ******
Version ..........: 2.1
Manufacturer .....: Yubico
Serial number ....: ******
Name of cardholder: [nicht gesetzt]
Language prefs ...: [nicht gesetzt]
Sex ..............: unbestimmt
URL of public key : [nicht gesetzt]
Login data .......: [nicht gesetzt]
Signature PIN ....: nicht zwingend
Key attributes ...: ******
Max. PIN lengths .: ******
PIN retry counter : ******
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

gpg/card>

Setzen der Admin Pin (Passwort zum hinzufügen/entfernen/verändern der Zertifikate auf dem Yubikey)

Standard Admin Pin auf dem Yubikey bei Auslieferung ist: 12345678

gpg/card> admin
Admin-Befehle sind erlaubt

gpg/card> passwd
gpg: OpenPGP Karte Nr. ****** erkannt

1 - change PIN
2 - unblock PIN
3 - change Admin PIN
4 - set the Reset Code
Q - quit

Ihre Auswahl? 3
PIN changed.

1 - change PIN
2 - unblock PIN
3 - change Admin PIN
4 - set the Reset Code
Q - quit

Ihre Auswahl? 

Setzen der Benutzer-Pin, welche bei jedem Zugriff auf dem Yubikey gebraucht wird.

Standard Pin auf dem Yubikey bei Auslieferung ist: 123456

PIN changed.

1 - change PIN
2 - unblock PIN
3 - change Admin PIN
4 - set the Reset Code
Q - quit

Ihre Auswahl? 1

Setzen des Names und der Sprache auf dem Yubikey

gpg/card> name
Familienname des Kartenbesitzers:******
Vorname des Kartenbesitzers:******

gpg/card> lang
Spracheinstellungen ******

gpg/card>quit

Transferieren der Zertifikate auf den Yubikey

~/gnupghome $ gpg --edit-key ******@******
gpg: WARNUNG: Unsichere Zugriffsrechte des Home-Verzeichnis '/root/gnupghome'                                                                                                                                                                                                                                                                                                              
gpg (GnuPG) 2.2.3; Copyright (C) 2017 Free Software Foundation, Inc.                                                                                                                                                                                                                                                                                                                           
This is free software: you are free to change and redistribute it.                                                                                                                                                                                                                                                                                                                             
There is NO WARRANTY, to the extent permitted by law.                                                                                                                                                                                                                                                                                                                                          
                                                                                                                                                                                                                                                                                                                                                                                               
Geheimer Schlüssel ist vorhanden.                                                                                                                                                                                                                                                                                                                                                              
                                                                                                                                                                                                                                                                                                                                                                                               
sec  rsa2048/******                                                                                                                                                                                                                                                                                                                                                                  
     erzeugt: ******  verfällt: niemals     Nutzung: SC                                                                                                                                                                                                                                                                                                                                    
     Vertrauen: ultimativ     Gültigkeit: ultimativ                                                                                                                                                                                                                                                                                                                                            
ssb  rsa4096/******                                                                                                                                                                                                                                                                                                                                                                  
     erzeugt: ******  verfällt: niemals     Nutzung: S                                                                                                                                                                                                                                                                                                                                     
ssb  rsa4096/******                                                                                                                                                                                                                                                                                                                                                                  
     erzeugt: ******  verfällt: niemals     Nutzung: E                                                                                                                                                                                                                                                                                                                                     
ssb  rsa4096/******                                                                                                                                                                                                                                                                                                                                                                  
     erzeugt: ******  verfällt: niemals     Nutzung: A                                                                                                                                                                                                                                                                                                                                     
[ ultimativ ] (1). ****** <******@******>                                                                                                                                                                                                                                                                                                                                
                                                                                                                                                                                                                                                                                                                                                                                               
gpg> toggle                                                                                                                                                                                                                                                                                                                                                                                    
                                                                                                                                                                                                                                                                                                                                                                                               
sec  rsa2048/******                                                                                                                                                                                                                                                                                                                                                                  
     erzeugt: ******  verfällt: niemals     Nutzung: SC                                                                                                                                                                                                                                                                                                                                    
     Vertrauen: ultimativ     Gültigkeit: ultimativ                                                                                                                                                                                                                                                                                                                                            
ssb  rsa4096/******                                                                                                                                                                                                                                                                                                                                                                  
     erzeugt: ******  verfällt: niemals     Nutzung: S                                                                                                                                                                                                                                                                                                                                     
ssb  rsa4096/******  
     erzeugt: ******  verfällt: niemals     Nutzung: E
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: A
[ ultimativ ] (1). ****** <******@******>
                               
gpg> key 1                   
                               
sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb* rsa4096/******           
     erzeugt: ******  verfällt: niemals     Nutzung: S
ssb  rsa4096/******  
     erzeugt: ******  verfällt: niemals     Nutzung: E
ssb  rsa4096/******   
     erzeugt: ******  verfällt: niemals     Nutzung: A
[ ultimativ ] (1). ****** <******@******>
                                                                                                                                                                                                                                
gpg> keytocard                   
Wählen Sie den Speicherort für den Schlüssel:                                                                                                                                                                                  
   (1) Signatur-Schlüssel                                                                                                                                                                                                      
   (3) Authentisierungs-Schlüssel                                                                                                                                                                                              
Ihre Auswahl? 1                                                                                                                                                                                                                
                                                                                                                                                                                                                                        
sec  rsa2048/******                                                                                                                                                                                                
     erzeugt: ******  verfällt: niemals     Nutzung: SC                                                                                                                                                                                                                                                      
     Vertrauen: ultimativ     Gültigkeit: ultimativ                                                                                                                                                                            
ssb* rsa4096/******                                                                                                                         
     erzeugt: ******  verfällt: niemals     Nutzung: S                                                                                                                                                           
ssb  rsa4096/******                                                                                                                                                                                                                      
     erzeugt: ******  verfällt: niemals     Nutzung: E                                                                                                                                                                                                                                                       
ssb  rsa4096/******                                                                                                                                                                                                                                                                                    
     erzeugt: ******  verfällt: niemals     Nutzung: A                                                                                                                                                                     
[ ultimativ ] (1). ****** <******@******>                                                                                                                                                                                     
                                                                                                                                                                                                                               
gpg> key 1                                                                                                                                                                                                                                                                                                       
                                                                                                                                                                                                                               
sec  rsa2048/******                                                                                                                                                                                                                                                                                     
     erzeugt: ******  verfällt: niemals     Nutzung: SC                                                                                                                                                                                        
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa4096/******  
     erzeugt: ******  verfällt: niemals     Nutzung: S
ssb  rsa4096/******  
     erzeugt: ******  verfällt: niemals     Nutzung: E
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: A
[ ultimativ ] (1). ****** <******@******>

gpg> key 2
                                
sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: S
ssb* rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: E
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: A
[ ultimativ ] (1). ****** <******@******>

gpg> keytocard
Wählen Sie den Speicherort für den Schlüssel:
   (2) Verschlüsselungs-Schlüssel
Ihre Auswahl? 2

sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: S
ssb* rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: E
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: A
[ ultimativ ] (1). ****** <******@******>

gpg> key 2

sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: S
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: E
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: A
[ ultimativ ] (1). ****** <******@******>

gpg> key 3

sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: S
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: E
ssb* rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: A
[ ultimativ ] (1). ****** <******@******>

gpg> keytocard
Wählen Sie den Speicherort für den Schlüssel:
   (3) Authentisierungs-Schlüssel
Ihre Auswahl? 3

sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: S
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: E
ssb* rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: A
[ ultimativ ] (1). ****** <******@******>

gpg> key 3

sec  rsa2048/******
     erzeugt: ******  verfällt: niemals     Nutzung: SC
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: S
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: E
ssb  rsa4096/******
     erzeugt: ******  verfällt: niemals     Nutzung: A
[ ultimativ ] (1). ****** <******@******>

gpg> save

Export Public Key (PGP)

~/gnupghome $ gpg -a --export ******@****** > publickey.txt

Export Public Key (SSH)

~/gnupghome $ ssh-add -L > publickey-ssh.txt