PGP unter Ubuntu 18.04 Bionic abhärten

Pünktlich nach dem Chaos Communication Congress laufen jedes Jahr meine PGP-Schlüssel aus und warten auf Erneuerung. Leider unterstützt GnuPG auch in Version 2 immer noch die als schwach und potentiell knackbar anzusehenden Hash-Funktion SHA1.

Um diese aus der Verschlüsselung heraus zu halten, muss in der Konfigurationsdatei ~/.gnupg/gpg.conf die entsprechende Zeile angepasst werden.

personal-digest-preferences SHA512 SHA384 SHA256 SHA224

So wird sicher gestellt, dass nur Hash-Funktionen aus der SHA2-Suite verwendet werden.

Dies ist allerdings nur eine von vielen verschiedenen sinnvollen Absicherungen und „Härtungen“, die die Verschlüsselung von GnuPG deutlich stärker machen. Das Riseup-Kollektiv hat zu diesem Thema eine englisch-sprachige Best Practice-Anleitung veröffentlicht.

Dort wird unter anderem auf das Tool hopenpgp-tools eingegangen, dass euch helfen kann, eure Schlüssel auf ihre Sicherheit zu überprüfen.

Die dort empfohlenen Best Practices sind außerdem in einer bereits fertig gebauten gpg.conf auf github zum Download verfügbar.