Mike Kuketz
18. Juli 2017 | 10:34 Uhr

GnuPG: Die Wahl der Schlüsselparameter

Die Digitale Gesellschaft hat einen schönen Artikel über die Schlüsselparamater von GnuPG veröffentlicht. Unter anderem wird darin bspw. Folgendes empfohlen:

Grundsätzlich empfehlen wir einen möglichst langen RSA Schlüssel zu verwenden, weil OpenPGP keine Forward Secrecy kennt. Zurzeit ist ein langer Schlüssel unserer Meinung nach der einzige Mechanismus, die eigene Kommunikation möglichst lange in die Zukunft vertraulich zu halten. Prinzipiell bietet ein 4096 Bit RSA, laut https://www.keylength.com, für die nächsten Jahre genügend Sicherheit. Wer aber einen Schritt weiter gehen möchte und dem eigenen Umfeld vertrauliche Kommunikation über die nächsten 15+ Jahre hinaus bieten möchte, sollte sich einen längeren Schlüssel würfeln. GnuPG erlaubt in Version 2.1 RSA Schlüssel mit einem oberen Maximum von 8192 Bit. Smartcards sind üblicherweise auf 4096 Bit lange Schlüssel beschränkt.

Wer also bereits GnuPG in der Version 2.1 nutzt, der sollte bei der Erstellung eines Schlüsselpärchens die 8192 Bit ins Auge fassen. Mehr Details zum Thema E-Mail Verschlüsselung findet ihr im Beitrag: Verschlüsselte E-Mails mit GnuPG als Supergrundrecht.

Update: Von einigen Lesern erhielt ich einen »Rüffel«, dass 8192 Bit Schlüssel wenig praktikabel sind. Die größten Nachteile kurz zusammengefasst:

  • Weder der YubiKey, noch Nitrokey können mit solch großen Schlüsseln (aktuell) umgehen.
  • Es kann beim Empfänger / Versender zu Problemen kommen, wenn ein 8192 Bit Schlüssel zum Einsatz kommt. (Stichwort Speicherverwaltung oder inkompatible Software)
  • Solche großen Schlüssel sind langsam in der Verwendung, insbesondere auf Hardware die nicht leistungsfähig ist.

Der wichtigste Hinweis kam von Michael, der auf die FAQ von GnuPG verweist:

Zusammengefasst: 8192 Bit Keys bringen einen ungewissen Sicherheitsgewinn, sind langsam in der Verwendung und können Probleme hervorrufen. Die Zukunft liegt wohl eher bei ECC-Schlüsseln.

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡
Ähnliche Beiträge
GnuPG-Key
10. Juni 2019

GnuPG-Schlüsselerstellung und Smartcard-Transfer – Nitrokey Teil2

Anleitung zur Generierung eines GPG-Schlüsselpärchens inklusive der anschließenden Übertragung auf die sichere Smartcard des Nitrokeys.
E-Mail Verschlüsselung
19. Juli 2013

Verschlüsselte E-Mails mit GnuPG als Supergrundrecht

E-Mail Verschlüsselung mit GnuPG als Schutz gegen Datenschnüffellei.
Postfix
28. Februar 2018

Postfix: TLS-Konfiguration mit ECDSA- / RSA-Zertifikaten

Vorstellung einer sauberen, abwärtskompatiblen aber dennoch modernen TLS-Konfiguration für Postfix mit ECDSA- / RSA-Zertifikaten.
GnuPG Fingerprint
8. August 2017

GnuPG: Das Dilemma mit den Schlüsselservern

Bei der E-Mail-Verschlüsselung via GnuPG solltet ihr euren Kontakt immer via Fingerprint verifizieren.
Microblog
23. Februar 2018

Postfix: ECDSA / RSA-Keys und TLS-Konfiguration

E-Mail-Server kommunizieren heute untereinander meist via TLS auf Basis von RSA-Keys. Nach dem Umzug meines E-Mail-Servers biete ich nun neben…
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.