HOME Gleichzeitig signieren und verschl252sseln Top 20 Systemweite Konfiguration und Vorbelegung f252r
S/MIME19 Im- und Export eines geheimen Zertifikats Inhalt English

19 Im- und Export eines geheimen Zertifikats

In den Kapiteln 8 und 10 wurde der Im- und Export von Zertifikaten erläutert. Sie haben Ihr eigenes Zertifikat exportiert, um es zu veröffentlichen, und das Zertifikat Ihres Korrespondenzpartners importiert und so „an Ihrem Schlüsselbund befestigt“ (d.h. in Ihre Zertifikatsverwaltung aufgenommen).

Dabei ging es stets um öffentliche Schlüssel. Es gibt aber auch hin und wieder die Notwendigkeit, einen geheimen Schlüssel zu im- oder exportieren. Wenn Sie z.B. ein bereits vorhandenes (OpenPGP oder S/MIME) Schlüsselpaar mit Gpg4win weiterbenutzen wollen, müssen Sie es importieren. Oder wenn Sie Gpg4win von einem anderen Rechner aus benutzen wollen, muss ebenfalls zunächst das gesamte Schlüsselpaar dorthin transferiert werden - der öffentliche und der geheime Schlüssel.

19.1 Export

Immer, wenn Sie ein geheimes Zertifikat auf einen anderen Rechner transferieren oder auf einer anderen Festplattenpartition bzw. einem Sicherungsmedium speichern wollen, müssen Sie mit Kleopatra eine Sicherungskopie erstellen.

Eine solche Sicherungskopie haben Sie evtl. schon einmal am Ende Ihrer OpenPGP-Zertifikatserzeugung angelegt. Da Ihr OpenPGP-Zertifikat aber inzwischen weitere Beglaubigungen haben kann, sollten Sie es ggf. erneut sichern.

Öffnen Sie Kleopatra, selektieren Sie Ihr eigenes Zertifikat und klicken Sie auf Datei -> Geheimes Zertifikat exportieren.

Wählen Sie den Pfad und den Dateinamen der Ausgabedatei. Der Dateityp wird automatisch gesetzt. Abhängig davon, ob Sie einen geheimen OpenPGP- oder S/MIME-Schlüssel exportieren wollen, ist standardmäßig die Dateiendung .gpg (OpenPGP) oder .p12 (S/MIME) ausgewählt. Bei diesen Dateien handelt es sich um Binärdateien, die Ihr Zertifikat (inkl. geheimem Schlüssel) verschlüsselt enthalten.

Bei Aktivierung der Option ASCII-geschützt (ASCII armor) erhalten Sie die Dateiendung .asc (OpenPGP) bzw. .pem (S/MIME). Diese Dateitypen können mit jedem Texteditor geöffnet werden - Sie sehen dort allerdings nur den Buchstaben- und Ziffernsalat, den Sie schon kennen.

Ist diese Option nicht ausgewählt, so wird eine verschlüsselte Datei mit der Endung .gpg (OpenPGP) oder .p12 (S/MIME) angelegt. Diese Dateien sind Binärdateien, sie können also nicht mit einem Texteditor angesehen werden.

Beide Schlüsselteile - der öffentliche und der geheime - werden von Kleopatra in einem einzigen geheimen Zertifikat abgespeichert.

Achtung: Behandeln Sie diese Datei sehr sorgfältig. Sie enthält Ihren geheimen Schlüssel und damit sehr sicherheitskritische Informationen!

19.2 Import

Zum Importieren Ihres zuvor exportierten geheimen Zertifikats in Kleopatra gehen Sie so vor, wie Sie es vom Import fremder öffentlicher Zertifikate gewohnt sind (vgl. Kapitel 10):

Klicken Sie auf Datei -> Zertifikat importieren... und wählen Sie die zu importierende Datei aus. Handelt es sich um eine PKCS12-Datei (z.B. vom Typ .p12), so werden Sie zunächst nach der Passphrase zum Entsperren des geheimen Schlüssels gefragt:

Setzen Sie nun eine Passphrase, gegebenenfalls auch eine neue, mit der nach dem Importvorgang Ihr geheimer Schlüssel geschützt werden soll:

Wiederholen Sie Ihre Passphrase-Eingabe. Sollte Ihre Passphrase zu kurz sein oder nur aus Buchstaben bestehen, werden Sie entsprechend gewarnt.

Nach dem erfolgreichen Importieren sehen Sie ein Informationsfenster, das Ihnen die Ergebnisse des Importvorgangs auflistet; hier am Beispiel eines geheimen OpenPGP-Zertifikats:

Kleopatra hat damit sowohl den geheimen als auch den öffentlichen Schlüssel aus der Sicherungsdatei importiert. Ihr Zertifikat ist damit unter „Meine Zertifikate“ in der Zertifikatsverwaltung von Kleopatra sichtbar.

Sichern Sie die Sicherungskopie Ihres geheimen Zertifikats - möglichst auf einem physikalisch gesicherten (z.B. in einem Tresor) externen Medium. Löschen Sie sie danach von Ihrer Festplatte und denken Sie auch daran, die gelöschte Datei aus Ihrem „Papierkorb“ zu entfernen. Andernfalls stellt diese Datei ein großes Sicherheitsrisiko für Ihre geheime E-Mail-Verschlüsselung dar.
Es kann in einigen Fällen vorkommen, dass Sie ein mit PGP („Pretty Good Privacy“) exportiertes Zertifikat nicht importieren können: Sie geben zwar die richtige Passphrase ein, diese wird aber nicht akzeptiert. Der Grund ist, dass bestimmte Versionen von PGP intern einen Algorithmus (IDEA) verwenden, den GnuPG aus rechtlichen Gründen nicht unterstützen kann.

Um das Problem zu beheben, ändern Sie in PGP einfach die Passphrase und exportieren/importieren Sie das OpenPGP-Zertifikat erneut. Sollte dies auch nicht funktionieren, so setzen Sie die Passphrase in PGP auf „leer“; d.h. auf keinen Schutz und exportieren/importieren Sie wieder - in diesem Fall müssen Sie unbedingt sicherstellen, dass Sie sowohl die Datei sicher löschen als auch in PGP und in Gpg4win danach wieder eine echte Passphrase setzen.

 
Herzlichen Glückwunsch! Sie haben damit erfolgreich Ihr Schlüsselpaar exportiert und wieder importiert.


© 21. Mai 2010, v3.0.0 (zuletzt geringfügig korrigiert am 21. September 2010)
Das Gpg4win-Kompendium ist unter der GNU Free Documentation License v1.2 lizensiert.


HOME Gleichzeitig signieren und verschl252sseln Top 20 Systemweite Konfiguration und Vorbelegung f252r
S/MIME19 Im- und Export eines geheimen Zertifikats Inhalt English