Re: GnuPG: Best practise Alter Key / Neuer Key

Autor: Raphael Eiselstein <rabe_at_uugrn.org>
Datum: Tue, 24 Sep 2013 01:01:37 +0200
On Tue, Sep 17, 2013 at 06:52:44AM +0200, Thomas Hochstein wrote:
> U.a. Debian-Entwickler setzn für diese Zwecke auf ein "Transition
> Document", das an einem festen Ort veröffentlicht wird, auf das man
> daher verweisen kann, das den Vorgang einschließlich der Daten beider
> Keys enthält und das von *beiden* Keys signiert ist.
> 
> Siehe für ein Beispiel:
> <http://fifthhorseman.net/key-transition-2007-06-15.txt>

Hilfreiches Beispiel, danke!

Erforderliches Fachwissen: Datei mit 2 Keys signieren (wusste ich bisher
nicht):

gpg --local-user 10CA9F2D --local-user F625DB4E --clearsign test.txt

#############################################################################
| $ cat test.txt.asc 
| -----BEGIN PGP SIGNED MESSAGE-----
| Hash: SHA1
| 
| Test Test
| -----BEGIN PGP SIGNATURE-----
| Version: GnuPG v1.4.12 (GNU/Linux)
| 
| iEYEARECAAYFAlJAxyAACgkQnNo+exDKny1YZgCg2gKRfXHBaNtFbDtmLuyJqECz
| oAIAniMM1Jn7LLXMbuPunokJvgO7NK8IiQIcBAEBAgAGBQJSQMcgAAoJEHXu6hT2
| JdtOuKIQAKQZdgjfJ/jhdHx9JnqCY4Qh9PFD4MgARJfRdSS5XZXyT/0TYUAYR5H8
| IHKja9us5aCwYWoKJOJRN0v1XoJN4OTAdCOBUJbTvcWhLWePJwR+2+Gq6v8EYI67
| 1gucjXutGiXt+tiOTVJs+fmaP/OV7ugDDG+MORhrWfeMHXxe6eEFQZOowSw3AFU9
| L5rbbqPKQt5Av3SJiA+dwVHzGAaqyK5qcMoDsFRLmq415fu349NOl42G4Xt3ilIP
| JUt5v8CaaxsdxC5Qloy1kg3tMuZYVGH9B5vXsefnGxJ/W7qu+S3g3WTmYFjhfYds
| 3IdxtnfzUiGdqVN52LPKgpVgNQFd9Rg7QsMn8gLIiP3TRmxUpsmB6syzGAuyNa7k
| WtIjCRfhZHhoPzJ/Z5U8R5x5bdwCMRtCaj4OGAXM+y2isD1exD1zhovfsg/nmWWM
| aqZ1cTXJAzm9FWHx/2NjtY6rdbbphlt7VaC2b8wMJbGeZHmuwVgje4UvxEJUqQa5
| OlP4XFqquRElNkHEWbVhqA3exZHLuAHJXabcgz6n+wX8wqc9quepr71mR8zSAP9n
| hQ1tDDLKWqlo4nYiD8ynfH3+UJSuB+fkzRu2+n6y6M7UWpMcIAbZTJr9TNvgFc8g
| 6fGynNOHezN9LIQw3SRJJofutIB/NE9l+ZbPjFngdx388UA8Dktd
| =oDKp
| -----END PGP SIGNATURE-----
#############################################################################
 
> Zur Vorgehensweise hilfreich sein mag die Schilderung unter
> <http://www.debian-administration.org/users/dkg/weblog/48> ab "Replace
> your 1024-bit DSA keys with 2048-bit RSA keys or larger".

| (day 0) Sign your new key with your old one (not the other way around!),

Ich habe meine alten und neuen Schlüssel gegenseitig signiert ebenso wie
ich auch meinen "office"-Key mit beiden privaten keys signiert habe und
umgekehrt.

Ist es schädlich, wenn man *auch* den alten Key mit dem neuen signiert? 

| and publish the signature. Write up a transition statement (here's an
| example from an earlier key transition), clearsign it with both keys
| (old and new), and publish it in a stable place. 

"stable place" meint in diesem Fall ein URL auf einem beliebigen
Webserver? Oder gibt es hier irgendwelche bevorzugten Orte?

Gruß
Raphael

-- 
Raphael Eiselstein <rabe@uugrn.org>               http://rabe.uugrn.org/
xmpp:freibyter@gmx.de  | https://www.xing.com/profile/Raphael_Eiselstein   
PGP (alt):            E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
PGP (neu):            4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 24.09.2013

Dieses Archiv wurde generiert von hypermail 2.2.0 : 24.09.2013 CEST