iconGnuPG ist eine frei nutzbare Implementierung des OpenPGP Standards zur Verschlüsselung und Signierung von Daten. Es wird vom GNU Projekt ständig weiterentwickelt. Das Add-on Enigmail für Thunderbird verwendet GnuPG 2.x.

Verbesserte Konfiguration

In der Konfigurationsdatei "gpg.conf" kann man nach der Installation ein paar kleine Verbesserungen vornehmen. Die Datei findet man in folgenden Verzeichnissen: Die Datei kann man mit einem Texteditor bearbeiten und folgende Optionen ergänzen bzw. durch Entfernen des Kommentarzeichens "#" aktivieren: # keine Informationen über Softwareversion und Betriebssystem einfügen
no-emit-version
no-comments

display-charset utf-8

# 16-stellige Key-IDs verwenden statt 8-stelliger (schwerer zu faken)
keyid-format 0xlong

# Empfohlene Preferenzen für Krypto Algorithmen
personal-digest-preferences SHA512 SHA384 SHA256
personal-cipher-preferences AES256 AES192 AES CAST5
personal-compress-preferences ZLIB BZIP2 ZIP cert-digest-algo SHA512

# sonstiges
fixed-list-mode
verify-options show-uid-validity
list-options show-uid-validity

# Keine automatische Suche nach fehlenden Keys im DNS oder auf Keyservern
auto-key-locate local

# Keyserver Optionen
keyserver-options no-honor-keyserver-url,no-auto-key-retrieve,no-include-revoked

Alte PGP-Schlüssel aufmotzen

Bei der Erstellung eines OpenPGP Schlüssel werden die aktuell konfigurierten Default Preferenzen für Krypto-Algorithmen in den Schlüssel übernommen. GnuPG verwendet die für den Schlüssel gültigen Preferenzen immer dann, wenn keine Prefenrenzen in der Konfiguration angegeben wurden, wenn der Kommunikations­partner also keine persönlichen Preferenzen in seiner Config definiert hat.

Wenn man vor einigen Jahren seinen Schlüssel erstellt hat, dann wird in diesem Fall beispielsweise das angeknackste SHA-1 als Digest-Algorithmus bevorzugt verwendet. Man muss die persönlichen Preferenzen auch in die eigenen Schlüssel übernehmen und die Schlüssel danach neu verteilen, wenn man sicherstellen will, dass auch alle Kommunikationspartner die eigenen Wünsche respektieren.

Das geht nur auf der Kommandozeile. Man muss das GnuPG Kommandozeilen Tool gpg2 mit der Option "--edit-key" und der Key-ID aufrufen. Danach kann man sich mit dem Kommando "showpref" die aktuellen Prefenrencen für diesen Schlüssel anzeigen lassen und mit dem Kommando "setpref" die Default-Liste übernehmen: > gpg2 --edit-key mustermann@server.tld
gpg (GnuPG) 2.1.x; Copyright (C) 2016 Free Software Foundation, Inc.
...
gpg> showpref
[ unbekannt ] (1). Max Mustermann <mustermann@server.tld>
   Verschlü.: AES256, AES192, AES, CAST5, 3DES
   Digest: SHA1, SHA256, RIPEMD160
   Komprimierung: ZLIB, BZIP2, ZIP, nicht komprimiert
   Eigenschaften: MDC, Keyserver no-modify

gpg> setpref
Setze die Liste der Voreinstellungen auf:
   Verschlü.: AES256, AES192, AES, CAST5, 3DES
   Digest: SHA512, SHA384, SHA256, SHA224, SHA1
   Komprimierung: ZLIB, BZIP2, ZIP, nicht komprimiert
   Eigenschaften: MDC, Keyserver no-modify
Die Voreinstellungen wirklich ändern? (j/N) j
...
Sie benötigen die Passphrase, um den geheimen Schlüssel zu entsperren.
Benutzer: "Max Mustermann <mustermann@server.tld>"
...
gpg> quit
Änderungen speichern? (j/N) j
Lizenz: Public Domain