Die digitale Identität ist im Zeitalter des Internets unser wertvollstes Gut. Für viele Anwender ist der Schutz dieser Identität untrennbar mit PGP (Pretty Good Privacy) und physischen Sicherheits-Token wie dem Yubikey verbunden. Ein Yubikey speichert Ihre PGP-Schlüssel sicher ab und macht sie widerstandsfähig gegen Software-Malware, da der private Schlüssel das Gerät niemals verlässt. Doch was passiert, wenn dieser eine Yubikey verloren geht, beschädigt wird oder einfach nur ein Backup benötigt wird? Hier kommt die Portierung Ihres PGP-Schlüssels auf einen zweiten Yubikey ins Spiel, um maximale Redundanz und Sicherheit zu gewährleisten.
Dieser Artikel führt Sie detailliert durch den Prozess, wie Sie Ihre auf einem Yubikey befindlichen PGP-Subkeys (Signaturen, Verschlüsselung, Authentifizierung) auf einen weiteren Yubikey übertragen können, um so ein zuverlässiges Backup zu erstellen. Es ist wichtig zu verstehen, dass Sie die Schlüssel nicht direkt von einem Yubikey zum anderen kopieren können. Vielmehr nutzen wir Ihr Master-Schlüssel-Backup, das idealerweise offline und sicher aufbewahrt wird, um den neuen Yubikey mit den gleichen Schlüsselmaterialien zu provisionieren. Dies ist der einzige Weg, ein echtes Backup zu erstellen, da die privaten Schlüssel, sobald sie auf einem Yubikey sind (insbesondere wenn sie dort generiert wurden), diesen niemals verlassen dürfen.
Bereiten Sie sich auf einen sorgfältigen und sicheren Prozess vor. Präzision ist hier entscheidend, um die Integrität Ihrer digitalen Identität zu bewahren.
Warum ein PGP-Schlüssel-Backup auf einem weiteren Yubikey unerlässlich ist
Ein Yubikey bietet einen hervorragenden Schutz für Ihre privaten PGP-Schlüssel. Indem er diese kryptografischen Operationen auf dem Gerät selbst durchführt, schützt er sie vor Angreifern, die versuchen könnten, sie von Ihrem Computer zu stehlen. Diese „Hardware-Sicherheit” ist ein großer Vorteil. Doch was, wenn der Yubikey verloren geht, gestohlen oder beschädigt wird? Ohne ein Backup könnten Sie den Zugriff auf verschlüsselte Daten verlieren, keine neuen Nachrichten mehr signieren oder sich nicht mehr bei Diensten authentifizieren, die Ihren PGP-Schlüssel verwenden.
- Verlust oder Diebstahl: Ein physisches Gerät kann leicht verloren gehen. Ein Backup stellt sicher, dass Sie weiterhin Zugriff auf Ihre digitale Identität haben.
- Beschädigung: Elektronische Geräte können defekt werden. Ein zweiter Yubikey schützt vor Hardware-Ausfällen.
- Redundanz: Für geschäftskritische Anwendungen oder hohe Sicherheitsanforderungen bietet ein Backup die nötige Ausfallsicherheit.
- Reise-Sicherheit: Sie können einen Yubikey auf Reisen mitnehmen und den anderen sicher zu Hause aufbewahren.
Das Ziel ist es, einen Zustand zu erreichen, in dem Sie zwei YubiKeys besitzen, die beide mit denselben PGP-Subkeys bestückt sind und somit die gleiche digitale Identität repräsentieren können. Denken Sie daran: Ihr PGP-Master-Schlüssel sollte niemals auf einem Yubikey gespeichert werden. Er bleibt sicher offline, nur die Subkeys für Signieren, Verschlüsseln und Authentifizieren werden auf die Hardware-Token übertragen.
Voraussetzungen für die Portierung Ihrer PGP-Schlüssel
Bevor wir mit dem eigentlichen Prozess beginnen, stellen Sie sicher, dass Sie alle notwendigen Werkzeuge und Kenntnisse beisammenhaben:
- Zwei YubiKeys: Sie benötigen Ihren primären Yubikey (auf dem sich Ihre Schlüssel bereits befinden oder dessen Schlüssel Sie nachbilden möchten) und einen neuen, unbenutzten Yubikey, der als Backup dienen soll. Stellen Sie sicher, dass es sich um Modelle handelt, die PGP unterstützen (z.B. YubiKey 5 Series).
- GnuPG (GNU Privacy Guard): Dies ist das Herzstück des gesamten Prozesses. GnuPG ist eine freie Implementierung des OpenPGP-Standards. Stellen Sie sicher, dass Sie eine aktuelle Version installiert haben.
- Ihr PGP-Master-Schlüssel-Backup (Geheim): Dies ist der absolut wichtigste Punkt. Sie müssen Zugriff auf Ihr Offline-Backup des geheimen PGP-Master-Schlüssels und der damit verbundenen Subkeys haben. Ohne dieses Backup ist eine Portierung oder das Erstellen eines Duplikats auf einem neuen Yubikey nicht möglich, da private Schlüssel nicht von einem Yubikey extrahiert werden können. Ihr Master-Schlüssel sollte sich idealerweise auf einem verschlüsselten USB-Stick befinden, der nur in einer sicheren Umgebung verwendet wird.
- Sichere Umgebung: Verwenden Sie idealerweise ein „Air-Gapped“-System, d.h. einen Computer, der nicht mit dem Internet verbunden ist. Alternativ können Sie ein Live-Betriebssystem wie Tails oder eine Linux-Distribution von einem USB-Stick booten (z.B. Ubuntu, Debian), um eine saubere und isolierte Arbeitsumgebung zu gewährleisten.
- YubiKey Manager (Optional): Der YubiKey Manager kann hilfreich sein, um grundlegende Einstellungen des YubiKeys zu überprüfen oder zurückzusetzen, ist aber für den reinen PGP-Teil nicht zwingend erforderlich.
- PINs und Admin-PIN: Halten Sie Ihre PGP-PIN und die Admin-PIN für beide YubiKeys bereit.
Wichtiger Hinweis zur Schlüsselherkunft: Falls Ihr PGP-Schlüssel direkt auf dem Yubikey generiert wurde (ohne dass eine externe Sicherung des privaten Schlüsselmaterials erstellt wurde), ist ein Backup auf einem weiteren Yubikey wie hier beschrieben *nicht* möglich. In diesem Fall verlässt der private Schlüssel niemals den Yubikey. Diese Anleitung setzt voraus, dass Sie eine Kopie Ihres geheimen PGP-Schlüsselmaterials besitzen, das dann auf den neuen Yubikey übertragen wird.
Sicherheitshinweise vor dem Start
Bevor Sie beginnen, verinnerlichen Sie diese wichtigen Sicherheitspraktiken:
- Isolierte Umgebung: Führen Sie den gesamten Prozess in einer sicheren, offline (air-gapped) Umgebung durch. Das minimiert das Risiko, dass Ihr Master-Schlüssel kompromittiert wird.
- Ruhe bewahren: Nehmen Sie sich Zeit. Überprüfen Sie jeden Schritt sorgfältig. Hektik führt zu Fehlern.
- Sensible Daten: Behandeln Sie Ihr Master-Schlüssel-Backup mit äußerster Vorsicht. Es sollte nur für diesen Vorgang und niemals auf einem internetfähigen System verwendet werden.
- PINs schützen: Geben Sie Ihre PINs niemals an Dritte weiter und achten Sie darauf, dass Sie sie nicht in einer unsicheren Umgebung eingeben (z.B. wo Keylogger aktiv sein könnten).
- Bereinigung: Am Ende des Prozesses müssen Sie alle Spuren Ihres geheimen Schlüsselmaterials aus der temporären Arbeitsumgebung sorgfältig entfernen.
Schritt-für-Schritt: Portierung Ihrer PGP-Schlüssel
Schritt 1: Vorbereitung der sicheren Umgebung
Starten Sie Ihren Computer von Ihrem vorbereiteten Live-USB-Stick (z.B. Tails, Ubuntu). Stellen Sie sicher, dass keine Netzwerkverbindung besteht (WLAN deaktivieren, Netzwerkkabel ziehen). Öffnen Sie ein Terminal.
Falls GnuPG nicht vorinstalliert ist, installieren Sie es:
sudo apt update
sudo apt install gnupg2 yubikey-manager # 'yubikey-manager' ist optional, kann aber nützlich sein
Vergewissern Sie sich, dass der GnuPG-Agent korrekt läuft. Manchmal kann es nötig sein, ihn manuell zu starten oder die Umgebungsvariablen zu setzen. Ein einfacher Test ist:
gpg --version
Stecken Sie zunächst *keinen* Yubikey ein.
Schritt 2: Import des Master-Schlüssels in GnuPG
Stecken Sie nun den verschlüsselten USB-Stick mit Ihrem geheimen PGP-Master-Schlüssel-Backup ein. Entsperren Sie ihn, falls er verschlüsselt ist. Navigieren Sie im Terminal zu dem Verzeichnis, in dem Ihre Master-Schlüssel-Datei liegt (z.B. my_master_key_backup.asc).
Importieren Sie den Schlüssel in den temporären GnuPG-Schlüsselbund:
gpg --import /pfad/zu/ihrem/master_key_backup.asc
Sie werden möglicherweise nach dem Passwort für Ihr Schlüssel-Backup gefragt. Geben Sie es sorgfältig ein.
Überprüfen Sie den Import. Die Ausgabe sollte anzeigen, dass der geheime Schlüssel importiert wurde. Listen Sie dann Ihre geheimen Schlüssel auf:
gpg --list-secret-keys
Sie sollten Ihren Master-Schlüssel sehen, wahrscheinlich mit einem sec# davor, was bedeutet, dass der Schlüssel nur gestubbt ist (Subkeys fehlen oder wurden nicht importiert). Unterhalb des Master-Schlüssels sollten (sub)keys für Signieren, Verschlüsseln und Authentifizieren angezeigt werden, falls diese im Backup enthalten waren. Wenn nicht, müssen sie neu generiert werden.
Schritt 3: Vorbereitung des neuen Yubikeys und der Subkeys
Stecken Sie den neuen Yubikey (das Backup-Gerät) in einen freien USB-Port. Es ist ratsam, den Yubikey vor dem Beschreiben zurückzusetzen, um sicherzustellen, dass keine alten Schlüssel oder Daten darauf verbleiben. Beachten Sie, dass dadurch alle vorhandenen PGP-Schlüssel auf dem Yubikey dauerhaft gelöscht werden.
Um den PGP-Teil des Yubikeys zurückzusetzen:
gpg --card-edit
Im `gpg>`-Prompt geben Sie ein:
admin
factory-reset
Bestätigen Sie mit ‘yes’. Sie müssen die Admin-PIN eingeben. Nach dem Reset verlassen Sie das Menü mit quit.
Nun geht es darum, die Subkeys zu verwalten, die Sie auf den Yubikey verschieben möchten. Gehen Sie in den Bearbeitungsmodus für Ihren Master-Schlüssel:
gpg --edit-key IHRE_SCHLUESSEL_ID
(Ersetzen Sie IHRE_SCHLUESSEL_ID durch die ID Ihres Master-Schlüssels, die Sie in gpg --list-secret-keys gesehen haben).
Wenn Sie nur den Master-Schlüssel importiert haben und noch keine Subkeys für den Yubikey vorhanden sind oder Sie neue generieren möchten (empfohlen, wenn Sie nicht sicher sind, ob die Subkeys im Backup waren):
gpg> addkey
Folgen Sie den Anweisungen, um die Subkeys für Signieren (S), Verschlüsseln (E) und Authentifizieren (A) zu erstellen. Wählen Sie dabei geeignete Schlüsseltypen (z.B. RSA oder EdDSA/Curve25519) und Ablaufdaten. Nachdem Sie alle Subkeys erstellt haben, geben Sie save ein, um die Änderungen zu speichern. GnuPG wird Sie nach Ihrem Master-Schlüssel-Passwort fragen.
Wenn Ihre Subkeys bereits im importierten Master-Schlüssel-Backup enthalten sind, können Sie diesen Schritt überspringen.
Schritt 4: Verschieben der Subkeys auf den neuen Yubikey
Stellen Sie sicher, dass der neue Yubikey noch eingesteckt und der alte Yubikey nicht verbunden ist. Wir sind immer noch im Bearbeitungsmodus für Ihren Master-Schlüssel (gpg --edit-key IHRE_SCHLUESSEL_ID). Das Kommando keytocard wird die Subkeys vom GnuPG-Schlüsselbund auf den Yubikey verschieben. Nach diesem Vorgang sind die geheimen Teile der Subkeys nur noch auf dem Yubikey und in Ihrem Offline-Backup vorhanden, nicht mehr im GnuPG-Schlüsselbund der Live-Umgebung.
Gehen Sie wie folgt vor, um jeden Subkey auf den Yubikey zu verschieben:
- Wählen Sie den ersten Subkey (z.B. den Signierschlüssel):
gpg> key 1(Die Nummer kann variieren. Sehen Sie sich die Ausgabe von
listim Bearbeitungsmodus an.) - Verschieben Sie den Subkey auf den Yubikey:
gpg> keytocardSie werden gefragt, in welchen Slot der Schlüssel verschoben werden soll (1=Signierung, 2=Verschlüsselung, 3=Authentifizierung). Wählen Sie den passenden Slot.
Geben Sie die Admin-PIN des Yubikeys ein, gefolgt von der PGP-PIN, wenn Sie dazu aufgefordert werden.
- Wiederholen Sie dies für jeden Subkey (Verschlüsselung und Authentifizierung). Vergessen Sie nicht, den Schlüssel vor jedem
keytocard-Befehl zu deselektieren (key 1nochmals eingeben) und den nächsten auszuwählen (key 2).
Nachdem alle Subkeys auf den Yubikey übertragen wurden, sollte neben den Subkeys in der Ausgabe von list ein ssb> stehen, was anzeigt, dass der geheime Subkey auf der Smartcard ist.
gpg> quit
Speichern Sie die Änderungen, wenn Sie dazu aufgefordert werden.
Schritt 5: Überprüfung des neuen Yubikeys
Ziehen Sie den Yubikey einmal ab und stecken Sie ihn wieder ein, damit GnuPG ihn neu erkennen kann.
Überprüfen Sie, ob die Subkeys korrekt auf dem Yubikey sind:
gpg --card-status
Hier sollten die Fingerprints der drei Subkeys (Signature, Encryption, Authentication) angezeigt werden, die Sie zuvor auf den Yubikey verschoben haben. Vergleichen Sie diese Fingerprints mit denen Ihres Master-Schlüssels.
Nun können Sie auch die geheimen Schlüssel in GnuPG auflisten:
gpg --list-secret-keys
Für die Subkeys sollten Sie nun ein ssb> sehen, was bedeutet „secret subkey on card”. Dies bestätigt, dass die geheimen Teile der Subkeys erfolgreich auf den Yubikey übertragen wurden und nicht mehr im lokalen GnuPG-Schlüsselbund sind (nur die Stubs, die auf den Yubikey verweisen).
Führen Sie einen Test durch. Versuchen Sie, eine Nachricht zu signieren oder zu verschlüsseln (mit Ihrem neuen Backup-Yubikey):
echo "Dies ist ein Test" | gpg --sign
echo "Dies ist ein Test" | gpg --encrypt -r IHRE_SCHLUESSEL_ID
Dies sollte erfolgreich sein und Sie zur Eingabe Ihrer PGP-PIN auffordern.
Schritt 6: Bereinigung der Umgebung
Dies ist ein kritischer Schritt, um die Sicherheit Ihres Master-Schlüssels zu gewährleisten. Entfernen Sie alle Spuren Ihres geheimen Schlüsselmaterials aus der temporären Umgebung:
- Löschen des geheimen Schlüssels aus GnuPG:
gpg --delete-secret-keys IHRE_SCHLUESSEL_IDBestätigen Sie das Löschen. Dadurch werden die Stubs des geheimen Master-Schlüssels und der Subkeys aus dem GnuPG-Schlüsselbund der Live-Umgebung entfernt. Die Schlüssel auf Ihrem Yubikey bleiben davon unberührt.
- Entfernen des öffentlichen Schlüssels (optional, aber empfohlen):
gpg --delete-keys IHRE_SCHLUESSEL_IDDies löscht den öffentlichen Teil des Schlüssels aus dem GnuPG-Schlüsselbund der Live-Umgebung.
- Sicheres Löschen des Master-Schlüssel-Backups:
Entfernen Sie den USB-Stick mit Ihrem Master-Schlüssel-Backup. Überschreiben Sie die Datei mit dem geheimen Master-Schlüssel auf Ihrem USB-Stick sicher (z.B. mit einem Tool wie
shredoder indem Sie den Stick neu formatieren, falls Sie ihn nur für diesen Zweck nutzen). - Ausschalten des Systems:
Fahren Sie das Live-System herunter. Da es sich um ein Live-System handelt, werden alle flüchtigen Daten im Arbeitsspeicher gelöscht, wenn Sie den Computer ausschalten. Dadurch ist sichergestellt, dass keine Spuren Ihrer privaten Schlüssel auf dem Computer zurückbleiben.
Wichtige Hinweise und Best Practices
- Master-Schlüssel sicher verwahren: Ihr PGP-Master-Schlüssel ist der Generalschlüssel zu Ihrer digitalen Identität. Bewahren Sie ihn an einem extrem sicheren, physisch geschützten Ort auf, idealerweise offline (z.B. auf einem verschlüsselten USB-Stick in einem Safe).
- Widerrufszertifikat: Erstellen Sie unmittelbar nach der Schlüsselerstellung ein Widerrufszertifikat für Ihren PGP-Schlüssel. Dieses ermöglicht es Ihnen, Ihren Schlüssel im Notfall (z.B. bei Verlust aller YubiKeys und des Master-Schlüssels) für ungültig zu erklären. Bewahren Sie es ebenfalls sicher und offline auf, getrennt vom Master-Schlüssel.
- Public Key Verteilung: Veröffentlichen Sie Ihren öffentlichen Schlüssel auf Schlüsselservern und in Ihrer E-Mail-Signatur, damit andere ihn verwenden können, um Ihnen verschlüsselte Nachrichten zu senden oder Ihre Signaturen zu überprüfen.
- Regelmäßige Backups: Überprüfen Sie regelmäßig die Funktionsfähigkeit Ihrer Backups.
- PINs ändern: Wenn Sie einen brandneuen Yubikey verwenden, ändern Sie sofort die Standard-PINs. Die Standard-PIN für PGP ist
123456, die Admin-PIN12345678. Verwenden Sie den YubiKey Manager odergpg --card-editund die Befehlepasswdundadmingefolgt vonpasswd, um diese zu ändern. - Mehrmalige Backups: Für höchste Sicherheit können Sie diesen Prozess für mehrere Backup-YubiKeys wiederholen.
Fazit
Die Portierung Ihres PGP-Schlüssels auf einen weiteren Yubikey als Backup ist ein entscheidender Schritt zur Sicherung Ihrer digitalen Identität. Auch wenn der Prozess etwas komplex erscheint und Sorgfalt erfordert, ist der Aufwand gering im Vergleich zum Verlust Ihrer Schlüssel und der damit verbundenen Unannehmlichkeiten oder sogar Katastrophen.
Indem Sie diese Schritte befolgen, haben Sie nun zwei physische Geräte, die Ihre PGP-Subkeys sicher speichern und Ihnen ermöglichen, Nachrichten zu signieren, zu verschlüsseln und sich zu authentifizieren. Ihr Master-Schlüssel bleibt dabei unangetastet und sicher offline. Sie haben die Kontrolle über Ihre Schlüssel und damit über Ihre digitale Zukunft gestärkt. Bleiben Sie wachsam, bleiben Sie sicher!