{"id":67,"date":"2026-06-11T20:20:48","date_gmt":"2026-06-11T20:20:48","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/11\/gpg-verschluesselung-gnupg\/"},"modified":"2026-06-12T04:05:54","modified_gmt":"2026-06-12T04:05:54","slug":"gpg-verschluesselung-gnupg","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/11\/gpg-verschluesselung-gnupg\/","title":{"rendered":"GPG Verschl\u00fcsselung: 12 Schritte mit GnuPG [2026]"},"content":{"rendered":"\n

E-Mails liegen im Klartext auf fremden Servern, Backups wandern in die Cloud, und ein einziges Datenleck legt sensible Dokumente offen. GPG-Verschl\u00fcsselung<\/strong> l\u00f6st dieses Problem an der Wurzel: Sie verschl\u00fcsseln Dateien und Nachrichten lokal, bevor irgendetwas Ihren Rechner verl\u00e4sst. Niemand au\u00dfer dem vorgesehenen Empf\u00e4nger kann den Inhalt lesen, nicht Ihr Mail-Provider, nicht der Cloud-Anbieter und nicht ein Angreifer, der die \u00dcbertragung mitschneidet.<\/p>\n\n\n\n

Dieses Tutorial f\u00fchrt Sie in 12 nachvollziehbaren Schritten durch die komplette Einrichtung von GnuPG. Sie erstellen ein modernes Schl\u00fcsselpaar mit Ed25519, verschl\u00fcsseln und entschl\u00fcsseln Dateien, signieren Dokumente, richten ein Widerrufszertifikat ein und aktivieren am Ende die E-Mail-Verschl\u00fcsselung in Thunderbird. Geplante Dauer: etwa 45 Minuten. Alle Befehle sind f\u00fcr Linux, macOS und Windows (Gpg4win) angegeben und mit echten Ausgabebeispielen belegt. Stand: 11. Juni 2026.<\/p>\n\n\n\n

Was GPG-Verschl\u00fcsselung 2026 leistet<\/h2>\n\n\n\n

GnuPG (GNU Privacy Guard, kurz GPG) ist die freie Referenzimplementierung des OpenPGP-Standards. Das Programm setzt asymmetrische Kryptographie ein: Jeder Teilnehmer besitzt ein Schl\u00fcsselpaar aus einem \u00f6ffentlichen und einem privaten Schl\u00fcssel. Den \u00f6ffentlichen Schl\u00fcssel geben Sie frei weiter, den privaten halten Sie unter Verschluss. Wer Ihnen etwas Vertrauliches schicken will, verschl\u00fcsselt es mit Ihrem \u00f6ffentlichen Schl\u00fcssel. Entschl\u00fcsseln kann es danach nur Ihr privater Schl\u00fcssel. Dieses Prinzip kennen Sie auch aus der TLS-Verschl\u00fcsselung im Browser<\/a>, doch GPG bindet die Verschl\u00fcsselung direkt an Personen statt an Verbindungen.<\/p>\n\n\n\n

Der OpenPGP-Standard wurde 2024 grundlegend modernisiert. RFC 9580<\/strong> l\u00f6st die alte Baseline aus der RFC-4880-\u00c4ra ab und verankert moderne Algorithmen wie die Elliptische-Kurven-Kryptographie fest im Standard. Parallel dazu hat das GnuPG-Projekt mit LibrePGP eine eigene Spezifikationslinie eingeschlagen. F\u00fcr die Praxis bleibt der Kern identisch: Ein mit GnuPG erzeugter Ed25519-Schl\u00fcssel funktioniert mit jeder g\u00e4ngigen OpenPGP-Software, von Thunderbird \u00fcber Proton Mail bis zu Kleopatra unter Windows.<\/p>\n\n\n\n

Drei Anwendungsf\u00e4lle decken 90 Prozent des Alltags ab. Erstens die Dateiverschl\u00fcsselung<\/strong>: Steuerunterlagen, Vertr\u00e4ge oder Passwort-Datenbanken landen verschl\u00fcsselt im Cloud-Backup. Zweitens die E-Mail-Verschl\u00fcsselung<\/strong>: Vertrauliche Korrespondenz bleibt Ende-zu-Ende gesch\u00fctzt, auch wenn der Mail-Provider gehackt wird. Drittens das digitale Signieren<\/strong>: Empf\u00e4nger pr\u00fcfen kryptographisch, dass eine Datei wirklich von Ihnen stammt und unterwegs nicht ver\u00e4ndert wurde. Wie diese Signaturen technisch funktionieren, erkl\u00e4rt unser Beitrag zu digitalen Signaturen<\/a> im Detail.<\/p>\n\n\n\n

Anders als Messenger-Dienste verlangt GPG keinen zentralen Anbieter. Es gibt kein Konto, keine Telefonnummer und keine Cloud, die Metadaten sammelt. Genau das macht das Verfahren bei Journalisten, Anw\u00e4lten und Sicherheitsforschern seit \u00fcber 25 Jahren zum Werkzeug der Wahl. Der Preis daf\u00fcr ist eine steilere Lernkurve, und genau die nehmen wir Ihnen mit diesem Tutorial ab.<\/p>\n\n\n\n

Voraussetzungen und ben\u00f6tigte Versionen<\/h2>\n\n\n\n

Bevor Sie beginnen, pr\u00fcfen Sie Ihre Ausgangslage. GnuPG l\u00e4uft auf allen gro\u00dfen Betriebssystemen, die Installationswege unterscheiden sich jedoch. Die folgende Tabelle listet die im Juni 2026 aktuellen Versionen und das jeweils empfohlene Paket. Halten Sie sich an die stabile Linie 2.5.x oder mindestens an die oldstable-Linie 2.4.x, \u00e4ltere 1.x-Versionen unterst\u00fctzen keine modernen Algorithmen.<\/p>\n\n\n\n

Komponente<\/th>Aktuelle Version (Juni 2026)<\/th>Plattform<\/th>Bezugsquelle<\/th><\/tr><\/thead>
GnuPG (stable)<\/td>2.5.20 (13.05.2026)<\/td>Linux, macOS, Quellcode<\/td>gnupg.org<\/td><\/tr>
GnuPG (oldstable)<\/td>2.4.9<\/td>Linux, macOS<\/td>Paketverwaltung<\/td><\/tr>
Gpg4win<\/td>5.0.2 (16.03.2026)<\/td>Windows<\/td>gpg4win.org<\/td><\/tr>
Kleopatra<\/td>gpg4win-5.0.2<\/td>Windows (in Gpg4win)<\/td>gpg4win.org<\/td><\/tr>
GnuPG in Gpg4win 5.0.2<\/td>2.5.18<\/td>Windows<\/td>gpg4win.org<\/td><\/tr>
Thunderbird<\/td>aktuelle ESR\/Release<\/td>alle<\/td>thunderbird.net<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Was Sie sonst noch brauchen: einen Terminal-Zugang (Linux\/macOS) oder Administratorrechte f\u00fcr die Installation unter Windows. Etwa 200 MB freien Speicher. Eine g\u00fcltige E-Mail-Adresse, die Sie in den Schl\u00fcssel einbetten. Und ein gutes Passwort f\u00fcr die Passphrase Ihres privaten Schl\u00fcssels, idealerweise aus einem Passwortmanager. Warum L\u00e4nge dabei wichtiger ist als Sonderzeichen, lesen Sie in unserem Leitfaden zur Passwortsicherheit<\/a>.<\/p>\n\n\n\n

Grundkenntnisse in der Kommandozeile helfen, sind aber kein Muss. F\u00fcr Windows-Nutzer zeigen wir parallel den grafischen Weg \u00fcber Kleopatra. Wenn Sie lieber alles im Terminal erledigen, funktionieren die gpg-Befehle auf allen drei Plattformen identisch.<\/p>\n\n\n\n

Schritt 1: GnuPG beziehungsweise Gpg4win installieren<\/h2>\n\n\n\n

Der erste Schritt unterscheidet sich je nach Betriebssystem. W\u00e4hlen Sie den passenden Block. Auf den meisten Linux-Distributionen ist GnuPG bereits vorinstalliert, eine Aktualisierung schadet trotzdem nicht.<\/p>\n\n\n\n

# Debian \/ Ubuntu\nsudo apt update && sudo apt install gnupg -y\n\n# Fedora\nsudo dnf install gnupg2 -y\n\n# Arch Linux\nsudo pacman -S gnupg\n\n# macOS (Homebrew)\nbrew install gnupg<\/code><\/pre>\n\n\n\n
Unter Windows<\/strong> laden Sie das Komplettpaket Gpg4win von gpg4win.org herunter. Version 5.0.2 bringt GnuPG 2.5.18, den grafischen Zertifikatsmanager Kleopatra, das Outlook-Plugin GpgOL 2.7.2 sowie die Bibliothek Libgcrypt 1.12.1 mit. Starten Sie den Installer, best\u00e4tigen Sie die Komponenten Kleopatra und GpgOL und schlie\u00dfen Sie die Installation ab. Eine kleine Spende beim Download ist optional, der Klick auf “0” \u00fcberspringt sie.<\/p>\n\n\n\n
Laden Sie Installationsdateien grunds\u00e4tzlich nur von den offiziellen Quellen gnupg.org und gpg4win.org. Beide Projekte signieren ihre Releases. Wer es ganz genau nimmt, pr\u00fcft die SHA-256-Pr\u00fcfsumme der heruntergeladenen Datei, bevor er sie ausf\u00fchrt. Wie eine solche Pr\u00fcfsumme entsteht, erkl\u00e4rt unser Artikel zu SHA-256<\/a>.<\/p>\n\n\n\n
Schritt 2: Installation \u00fcberpr\u00fcfen<\/h2>\n\n\n\n
Kontrollieren Sie, ob GnuPG korrekt installiert ist und welche Version l\u00e4uft. \u00d6ffnen Sie ein Terminal (unter Windows die “Eingabeaufforderung” oder PowerShell) und f\u00fchren Sie folgenden Befehl aus.<\/p>\n\n\n\n
gpg --version<\/code><\/pre>\n\n\n\n
Die Ausgabe sieht in etwa so aus. Wichtig ist die Versionsnummer in der ersten Zeile und die Liste der unterst\u00fctzten Algorithmen.<\/p>\n\n\n\n
gpg (GnuPG) 2.5.20\nlibgcrypt 1.12.1\nCopyright (C) 2026 g10 Code GmbH\n...\nHomeverz.: \/home\/sam\/.gnupg\nUnterst. Algorithmen:\nOeff. Schluessel: RSA, ELG, DSA, ECDH, ECDSA, EDDSA\nVerschluessel.: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192,\n               AES256, TWOFISH, CAMELLIA128, CAMELLIA192, CAMELLIA256\nHash: SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224<\/code><\/pre>\n\n\n\n
Sehen Sie in der Zeile der \u00f6ffentlichen Schl\u00fcssel die Eintr\u00e4ge EDDSA und ECDH, dann unterst\u00fctzt Ihre Installation Ed25519 und Curve25519. Genau diese brauchen Sie f\u00fcr den n\u00e4chsten Schritt. Erscheint stattdessen eine 1.x-Version, deinstallieren Sie diese und installieren die 2.5er-Linie neu, sonst stehen Ihnen die modernen Kurven nicht zur Verf\u00fcgung.<\/p>\n\n\n\n
Schritt 3: Schl\u00fcsselpaar mit Ed25519 erstellen<\/h2>\n\n\n\n
Jetzt erzeugen Sie Ihr Schl\u00fcsselpaar. Moderne GnuPG-Praxis bevorzugt ECC (Elliptische-Kurven-Kryptographie) gegen\u00fcber dem \u00e4lteren RSA. Konkret kommen Ed25519<\/strong> zum Signieren und Curve25519 (cv25519)<\/strong> zum Verschl\u00fcsseln zum Einsatz. Diese Schl\u00fcssel sind k\u00fcrzer, schneller und bei gleicher Sicherheit deutlich performanter als RSA 4096. Der schnellste Weg f\u00fchrt \u00fcber den Expertenmodus.<\/p>\n\n\n\n
gpg --full-generate-key --expert<\/code><\/pre>\n\n\n\n
GnuPG fragt nun mehrere Werte ab. W\u00e4hlen Sie bei der Schl\u00fcsselart die Option f\u00fcr ECC und danach Curve 25519. Setzen Sie ein Ablaufdatum, zwei Jahre sind ein guter Kompromiss zwischen Sicherheit und Komfort. Geben Sie Ihren Namen und Ihre E-Mail-Adresse ein. Zum Schluss verlangt GnuPG eine Passphrase f\u00fcr den privaten Schl\u00fcssel.<\/p>\n\n\n\n
Bitte waehlen Sie, welche Art von Schluessel Sie moechten:\n   (9) ECC und ECC\n   (10) ECC (nur signieren)\n   (14) Vorhandene Schluessel von der Karte\nIhre Auswahl? 9\n\nBitte waehlen Sie, welche elliptische Kurve Sie moechten:\n   (1) Curve 25519 *default*\nIhre Auswahl? 1\n\nWie lange soll der Schluessel gueltig bleiben?\n      2y = Schluessel verfaellt nach 2 Jahren\nWie lange bleibt der Schluessel gueltig? (0) 2y\n\nWirklicher Name: Sam Mustermann\nEmail-Adresse: sam@example.de<\/code><\/pre>\n\n\n\n
W\u00e4hrend der Generierung bewegen Sie am besten die Maus und tippen etwas, damit das System gen\u00fcgend Entropie sammelt. Nach wenigen Sekunden ist Ihr Schl\u00fcsselpaar fertig. GnuPG zeigt den Fingerabdruck an, eine 40-stellige Hexadezimalkette, die Ihren Schl\u00fcssel eindeutig identifiziert. Notieren Sie sich die letzten acht Zeichen, das ist Ihre Key-ID.<\/p>\n\n\n\n
Warum Ed25519 statt RSA 4096<\/h3>\n\n\n\n
RSA 4096 ist nach wie vor sicher und breit unterst\u00fctzt, doch es ist nicht mehr die Richtung der GnuPG-Entwicklung. Die folgende Tabelle stellt beide Verfahren gegen\u00fcber.<\/p>\n\n\n\n
Eigenschaft<\/th>Ed25519 \/ Curve25519<\/th>RSA 4096<\/th><\/tr><\/thead>
Schl\u00fcssell\u00e4nge<\/td>256 Bit<\/td>4096 Bit<\/td><\/tr>
Sicherheitsniveau<\/td>ca. 128 Bit<\/td>ca. 128 Bit<\/td><\/tr>
Signaturgeschwindigkeit<\/td>sehr schnell<\/td>langsam<\/td><\/tr>
Schl\u00fcsselgr\u00f6\u00dfe (Export)<\/td>kompakt<\/td>gro\u00df<\/td><\/tr>
Hardware-Token-Support<\/td>weit verbreitet<\/td>universell<\/td><\/tr>
Quantenresistenz<\/td>nein<\/td>nein<\/td><\/tr>
Empfehlung 2026<\/td>Standardwahl<\/td>nur bei Altsystemen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Wichtig: Beide Verfahren sind nicht quantenresistent. Das GnuPG-Projekt k\u00fcndigt f\u00fcr die kommende 2.6-Serie einen post-quantum Verschl\u00fcsselungsalgorithmus an. Bis dieser Standard ist, bleibt Ed25519 die pragmatische Wahl. Mehr zum Hintergrund finden Sie im Kryptographie-\u00dcberblick<\/a>.<\/p>\n\n\n\n
Schritt 4: \u00d6ffentlichen Schl\u00fcssel exportieren und teilen<\/h2>\n\n\n\n
Damit Ihnen jemand verschl\u00fcsselte Nachrichten schicken kann, braucht er Ihren \u00f6ffentlichen Schl\u00fcssel. Exportieren Sie ihn im lesbaren ASCII-Format (Armor), das sich problemlos per E-Mail oder Chat versenden l\u00e4sst.<\/p>\n\n\n\n
# Schluessel auflisten, um die Key-ID zu finden\ngpg --list-keys\n\n# Oeffentlichen Schluessel exportieren\ngpg --armor --export sam@example.de > sam-public.asc<\/code><\/pre>\n\n\n\n
Die Datei sam-public.asc enth\u00e4lt Ihren \u00f6ffentlichen Schl\u00fcssel als Textblock zwischen den Zeilen BEGIN PGP PUBLIC KEY BLOCK und END PGP PUBLIC KEY BLOCK. Diesen Block d\u00fcrfen Sie bedenkenlos ver\u00f6ffentlichen, auf Ihrer Website, in der E-Mail-Signatur oder auf einem Keyserver.<\/p>\n\n\n\n
Die zentrale Anlaufstelle 2026 ist keys.openpgp.org<\/strong>. Anders als die alten Keyserver-Pools verifiziert dieser Server die E-Mail-Adresse, bevor er einen Schl\u00fcssel mit Identit\u00e4t ausliefert. Das verhindert, dass jemand gef\u00e4lschte Schl\u00fcssel unter fremdem Namen hochl\u00e4dt. Laden Sie Ihren Schl\u00fcssel direkt aus GnuPG hoch.<\/p>\n\n\n\n
gpg --keyserver keys.openpgp.org --send-keys IHRE_KEY_ID<\/code><\/pre>\n\n\n\n
Sie erhalten anschlie\u00dfend eine Best\u00e4tigungs-E-Mail von keys.openpgp.org. Erst nachdem Sie den Link darin angeklickt haben, ist Ihr Schl\u00fcssel \u00f6ffentlich mit Ihrer Adresse verkn\u00fcpft und durchsuchbar.<\/p>\n\n\n\n
Schritt 5: Fremde \u00f6ffentliche Schl\u00fcssel importieren<\/h2>\n\n\n\n
Um jemandem etwas zu verschl\u00fcsseln, importieren Sie zuerst dessen \u00f6ffentlichen Schl\u00fcssel. Hat Ihnen der Empf\u00e4nger eine .asc-Datei geschickt, importieren Sie sie direkt.<\/p>\n\n\n\n
# Aus Datei importieren\ngpg --import kontakt-public.asc\n\n# Direkt vom Keyserver suchen und importieren\ngpg --keyserver keys.openpgp.org --search-keys kontakt@example.de<\/code><\/pre>\n\n\n\n
Nach dem Import sollten Sie den Fingerabdruck des Schl\u00fcssels \u00fcber einen zweiten Kanal abgleichen, etwa per Telefon oder pers\u00f6nlich. Nur so stellen Sie sicher, dass der Schl\u00fcssel wirklich der Person geh\u00f6rt, mit der Sie kommunizieren wollen. Diesen Abgleich nennt OpenPGP “Verifizierung”.<\/p>\n\n\n\n
gpg --fingerprint kontakt@example.de<\/code><\/pre>\n\n\n\n
Stimmt der angezeigte Fingerabdruck mit dem \u00fcberein, den Ihnen der Kontakt unabh\u00e4ngig genannt hat, signieren Sie den Schl\u00fcssel lokal, um GnuPG Ihr Vertrauen mitzuteilen. Erst dann verschwindet die Warnung \u00fcber einen nicht vertrauensw\u00fcrdigen Schl\u00fcssel beim Verschl\u00fcsseln.<\/p>\n\n\n\n
Schritt 6: Dateien verschl\u00fcsseln<\/h2>\n\n\n\n
Jetzt kommt der Kern: das Verschl\u00fcsseln. Angenommen, Sie wollen die Datei vertrag.pdf an kontakt@example.de schicken. Mit dem folgenden Befehl verschl\u00fcsseln Sie sie ausschlie\u00dflich f\u00fcr diesen Empf\u00e4nger.<\/p>\n\n\n\n
# Fuer einen Empfaenger verschluesseln\ngpg --encrypt --recipient kontakt@example.de vertrag.pdf\n\n# Kurzform mit ASCII-Ausgabe (gut fuer E-Mail)\ngpg -ea -r kontakt@example.de vertrag.pdf<\/code><\/pre>\n\n\n\n
Im ersten Fall entsteht die Bin\u00e4rdatei vertrag.pdf.gpg, im zweiten die Textdatei vertrag.pdf.asc. Beide kann nur kontakt@example.de mit seinem privaten Schl\u00fcssel \u00f6ffnen. Selbst Sie als Absender k\u00f6nnen die Datei danach nicht mehr lesen, es sei denn, Sie f\u00fcgen sich selbst als zweiten Empf\u00e4nger hinzu.<\/p>\n\n\n\n
# Fuer Empfaenger UND sich selbst verschluesseln\ngpg -ea -r kontakt@example.de -r sam@example.de vertrag.pdf<\/code><\/pre>\n\n\n\n
Wollen Sie eine Datei nur mit einem Passwort sch\u00fctzen, ohne Schl\u00fcssel, nutzen Sie die symmetrische Verschl\u00fcsselung. Praktisch f\u00fcr ein Backup, das nur Sie selbst entschl\u00fcsseln m\u00fcssen.<\/p>\n\n\n\n
# Symmetrisch mit Passwort (AES-256)\ngpg --symmetric --cipher-algo AES256 backup.zip<\/code><\/pre>\n\n\n\n
GnuPG fragt zweimal nach dem Passwort und erzeugt backup.zip.gpg. Verlieren Sie dieses Passwort, ist die Datei unwiederbringlich verloren, eine Hintert\u00fcr gibt es nicht.<\/p>\n\n\n\n
Schritt 7: Dateien entschl\u00fcsseln<\/h2>\n\n\n\n
Das Entschl\u00fcsseln ist denkbar einfach. GnuPG erkennt automatisch, welcher Ihrer privaten Schl\u00fcssel passt, und fragt nach Ihrer Passphrase.<\/p>\n\n\n\n
# Entschluesseln und Originaldatei wiederherstellen\ngpg --output vertrag.pdf --decrypt vertrag.pdf.gpg\n\n# Kurzform, Ausgabe ins Terminal\ngpg -d nachricht.asc<\/code><\/pre>\n\n\n\n
Eine typische erfolgreiche Ausgabe sieht so aus. Beachten Sie die Zeile, die den verwendeten Algorithmus und den Empf\u00e4ngerschl\u00fcssel nennt.<\/p>\n\n\n\n
gpg: verschluesselt mit cv25519-Schluessel, ID A1B2C3D4E5F6A7B8\n      \"Sam Mustermann <sam@example.de>\"\ngpg: ausreichende Berechtigung gegeben\n[Inhalt der Datei erscheint hier]<\/code><\/pre>\n\n\n\n
Geben Sie den Parameter –output an, schreibt GnuPG das Ergebnis in die genannte Datei. Lassen Sie ihn weg, landet der entschl\u00fcsselte Inhalt direkt im Terminal, was bei Textnachrichten praktisch, bei Bin\u00e4rdateien wie PDFs aber unbrauchbar ist.<\/p>\n\n\n\n
Schritt 8: Signieren und Signaturen pr\u00fcfen<\/h2>\n\n\n\n
Verschl\u00fcsselung sch\u00fctzt die Vertraulichkeit. Eine Signatur belegt zus\u00e4tzlich die Echtheit. Sie beweist, dass eine Datei von Ihnen stammt und nicht manipuliert wurde. GnuPG kennt drei Signaturarten, am gebr\u00e4uchlichsten ist die abgetrennte Signatur (detached signature), die als separate .sig-Datei neben dem Original liegt.<\/p>\n\n\n\n
# Abgetrennte Signatur erzeugen\ngpg --detach-sign --armor release.tar.gz\n\n# Klartextsignatur (Inhalt bleibt lesbar)\ngpg --clearsign mitteilung.txt\n\n# Signatur einer Datei pruefen\ngpg --verify release.tar.gz.asc release.tar.gz<\/code><\/pre>\n\n\n\n
Beim Pr\u00fcfen meldet GnuPG, ob die Signatur g\u00fcltig ist und von wem sie stammt. Eine korrekte Signatur sieht so aus.<\/p>\n\n\n\n
gpg: Signatur vom Mi 10 Jun 2026 14:22:05 CEST\ngpg:                mittels EDDSA-Schluessel A1B2C3D4E5F6A7B8\ngpg: Korrekte Signatur von \"Sam Mustermann <sam@example.de>\"<\/code><\/pre>\n\n\n\n
Genau dieses Verfahren nutzen Software-Projekte, um Downloads abzusichern. Wer eine Linux-Distribution oder GnuPG selbst herunterl\u00e4dt, pr\u00fcft mit –verify, ob das Paket echt ist. Das mathematische Fundament dahinter, Hashfunktion plus asymmetrische Signatur, beschreibt unser Artikel \u00fcber Hashfunktionen<\/a>.<\/p>\n\n\n\n
Schritt 9: Widerrufszertifikat erstellen<\/h2>\n\n\n\n
Was passiert, wenn Ihr privater Schl\u00fcssel kompromittiert wird oder Sie die Passphrase vergessen? Ohne Vorsorge bleibt ein ung\u00fcltiger Schl\u00fcssel f\u00fcr immer im Umlauf. Die L\u00f6sung ist ein Widerrufszertifikat<\/strong>, das Sie sofort nach der Schl\u00fcsselerstellung anlegen und sicher aufbewahren.<\/p>\n\n\n\n
gpg --output widerruf.asc --gen-revoke sam@example.de<\/code><\/pre>\n\n\n\n
GnuPG fragt nach dem Grund (W\u00e4hlen Sie “Schl\u00fcssel wurde kompromittiert” oder “0” f\u00fcr keine Angabe) und erzeugt die Datei widerruf.asc. Bewahren Sie diese getrennt vom Rechner auf, etwa auf einem verschl\u00fcsselten USB-Stick oder ausgedruckt im Safe. Wer das Widerrufszertifikat besitzt, kann Ihren Schl\u00fcssel f\u00fcr ung\u00fcltig erkl\u00e4ren, deshalb geh\u00f6rt es nicht in die Cloud.<\/p>\n\n\n\n
Im Ernstfall importieren Sie das Zertifikat und laden den widerrufenen Schl\u00fcssel auf den Keyserver, damit alle Kontakte sehen, dass er nicht mehr verwendet werden darf.<\/p>\n\n\n\n
gpg --import widerruf.asc\ngpg --keyserver keys.openpgp.org --send-keys IHRE_KEY_ID<\/code><\/pre>\n\n\n\n
Schritt 10: Ablaufdatum und Schl\u00fcsselverwaltung<\/h2>\n\n\n\n
Ein Ablaufdatum ist Ihre Versicherung gegen verlorene Schl\u00fcssel. L\u00e4uft ein Schl\u00fcssel ab, den Sie nicht mehr kontrollieren, wird er automatisch ung\u00fcltig. Solange Sie Zugriff haben, verl\u00e4ngern Sie das Datum einfach kurz vor Ablauf. Den interaktiven Bearbeitungsmodus \u00f6ffnen Sie so.<\/p>\n\n\n\n
gpg --edit-key sam@example.de\n\n# Im Menue dann:\ngpg> expire        # Ablaufdatum des Hauptschluessels aendern\ngpg> key 1         # Unterschluessel auswaehlen\ngpg> expire        # dessen Ablaufdatum aendern\ngpg> save          # Aenderungen speichern<\/code><\/pre>\n\n\n\n
Nach jeder \u00c4nderung laden Sie den aktualisierten \u00f6ffentlichen Schl\u00fcssel erneut auf den Keyserver hoch, damit Ihre Kontakte das neue Ablaufdatum erhalten. Ein bew\u00e4hrtes Muster in Sicherheitskreisen trennt zudem den Hauptschl\u00fcssel (nur zum Zertifizieren) von t\u00e4glich genutzten Unterschl\u00fcsseln zum Signieren und Verschl\u00fcsseln. Den Hauptschl\u00fcssel lagern Sie offline, die Unterschl\u00fcssel liegen auf dem Arbeitsrechner.<\/p>\n\n\n\n
Diese Befehlsreferenz fasst die wichtigsten Operationen zusammen, die Sie im Alltag brauchen.<\/p>\n\n\n\n
Aufgabe<\/th>Befehl<\/th><\/tr><\/thead>
Schl\u00fcssel erzeugen<\/td>gpg --full-generate-key --expert<\/code><\/td><\/tr>
Eigene Schl\u00fcssel auflisten<\/td>gpg --list-secret-keys<\/code><\/td><\/tr>
\u00d6ffentlichen Schl\u00fcssel exportieren<\/td>gpg --armor --export ID<\/code><\/td><\/tr>
Schl\u00fcssel importieren<\/td>gpg --import datei.asc<\/code><\/td><\/tr>
Datei verschl\u00fcsseln<\/td>gpg -ea -r ID datei<\/code><\/td><\/tr>
Datei entschl\u00fcsseln<\/td>gpg -d datei.gpg<\/code><\/td><\/tr>
Signieren<\/td>gpg --detach-sign datei<\/code><\/td><\/tr>
Signatur pr\u00fcfen<\/td>gpg --verify datei.sig datei<\/code><\/td><\/tr>
Schl\u00fcssel bearbeiten<\/td>gpg --edit-key ID<\/code><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Schritt 11: E-Mail-Verschl\u00fcsselung mit Thunderbird<\/h2>\n\n\n\n
Seit Version 78 bringt Thunderbird OpenPGP nativ mit, ein separates Plugin wie fr\u00fcher Enigmail ist nicht mehr n\u00f6tig. Das macht die E-Mail-Verschl\u00fcsselung so zug\u00e4nglich wie nie. So binden Sie Ihren GnuPG-Schl\u00fcssel ein.<\/p>\n\n\n\n
\u00d6ffnen Sie in Thunderbird die Konto-Einstellungen, w\u00e4hlen Sie den Punkt “Ende-zu-Ende-Verschl\u00fcsselung” und klicken Sie auf “Schl\u00fcssel hinzuf\u00fcgen”. Thunderbird bietet an, einen vorhandenen GnuPG-Schl\u00fcssel zu importieren. W\u00e4hlen Sie diese Option und importieren Sie Ihren privaten Schl\u00fcssel aus einer Exportdatei.<\/p>\n\n\n\n
# Privaten Schluessel fuer den Import in Thunderbird exportieren\ngpg --armor --export-secret-keys sam@example.de > sam-private.asc<\/code><\/pre>\n\n\n\n
Behandeln Sie diese Datei wie ein Passwort: Importieren Sie sie in Thunderbird und l\u00f6schen Sie sie danach sicher. Sobald der Schl\u00fcssel eingebunden ist, erscheint beim Verfassen einer Nachricht ein Schloss-Symbol. Aktivieren Sie es, verschl\u00fcsselt Thunderbird die Mail mit dem \u00f6ffentlichen Schl\u00fcssel des Empf\u00e4ngers. Voraussetzung ist, dass Sie dessen Schl\u00fcssel zuvor importiert haben, genau wie in Schritt 5.<\/p>\n\n\n\n
Der Ablauf folgt dem klassischen OpenPGP-Modell: Der Absender verschl\u00fcsselt mit dem \u00f6ffentlichen Schl\u00fcssel des Empf\u00e4ngers, der Empf\u00e4nger entschl\u00fcsselt mit seinem passenden privaten Schl\u00fcssel. Weder Ihr Mail-Provider noch ein Angreifer auf dem \u00dcbertragungsweg sieht den Klartext. Wie h\u00e4ufig genau solche Provider-Lecks vorkommen, zeigt unsere Analyse zu Datenlecks<\/a>.<\/p>\n\n\n\n
Schritt 12: Backup und sichere Aufbewahrung<\/h2>\n\n\n\n
Ihr privater Schl\u00fcssel ist unersetzlich. Geht er verloren, k\u00f6nnen Sie alle damit verschl\u00fcsselten Daten nie wieder \u00f6ffnen. Erstellen Sie deshalb ein verschl\u00fcsseltes Backup des kompletten Schl\u00fcsselmaterials.<\/p>\n\n\n\n
# Privaten Schluessel sichern\ngpg --armor --export-secret-keys sam@example.de > backup-secret.asc\n\n# Oeffentlichen Schluessel sichern\ngpg --armor --export sam@example.de > backup-public.asc\n\n# Vertrauensdatenbank sichern\ngpg --export-ownertrust > backup-trust.txt<\/code><\/pre>\n\n\n\n
Verschl\u00fcsseln Sie das Backup-Verzeichnis anschlie\u00dfend symmetrisch und kopieren Sie es auf zwei getrennte Datentr\u00e4ger, etwa einen USB-Stick und eine verschl\u00fcsselte Festplatte. Bewahren Sie diese an unterschiedlichen Orten auf. So \u00fcberstehen Ihre Schl\u00fcssel auch einen Hardwaredefekt oder Diebstahl.<\/p>\n\n\n\n
Damit ist das Grundger\u00fcst komplett. Sie k\u00f6nnen Dateien und E-Mails verschl\u00fcsseln, signieren, Signaturen pr\u00fcfen, Ihren Schl\u00fcssel verwalten und im Notfall widerrufen. Die folgenden Abschnitte gehen auf typische Fehler, L\u00f6sungen und fortgeschrittene Techniken ein.<\/p>\n\n\n\n
H\u00e4ufige Fehler und Stolperfallen<\/h2>\n\n\n\n
Diese f\u00fcnf Fehler kosten Einsteiger die meiste Zeit. Wer sie kennt, umgeht sie von Anfang an.<\/p>\n\n\n\n
  • Kein Widerrufszertifikat angelegt.<\/strong> Wird der Schl\u00fcssel kompromittiert oder die Passphrase vergessen, l\u00e4sst sich der Schl\u00fcssel ohne Zertifikat nicht zur\u00fcckziehen. Erstellen Sie es direkt nach der Schl\u00fcsselerzeugung, nicht sp\u00e4ter.<\/li>
  • Privaten Schl\u00fcssel verwechselt mit \u00f6ffentlichem.<\/strong> Nur sam-public.asc darf das Haus verlassen. Wer versehentlich –export-secret-keys verschickt, gibt sein gesamtes Schl\u00fcsselmaterial preis. Pr\u00fcfen Sie den Dateinamen vor jedem Versand.<\/li>
  • Schwache oder vergessene Passphrase.<\/strong> Die Passphrase sch\u00fctzt den privaten Schl\u00fcssel auf der Festplatte. Eine kurze Passphrase macht den besten Algorithmus wertlos, eine vergessene sperrt Sie selbst aus. Nutzen Sie einen Passwortmanager.<\/li>
  • Schl\u00fcssel ohne Ablaufdatum.<\/strong> Ein Schl\u00fcssel ohne Ablauf bleibt theoretisch ewig g\u00fcltig. Setzen Sie zwei Jahre und verl\u00e4ngern Sie rechtzeitig, das ist Ihre eingebaute Notbremse.<\/li>
  • Fingerabdruck nie verifiziert.<\/strong> Wer einen importierten Schl\u00fcssel nutzt, ohne den Fingerabdruck \u00fcber einen zweiten Kanal zu pr\u00fcfen, riskiert einen Man-in-the-Middle-Angriff. Der Abgleich dauert 30 Sekunden und sch\u00fctzt zuverl\u00e4ssig.<\/li><\/ul>\n\n\n\n
    Troubleshooting: 8 Probleme und ihre L\u00f6sungen<\/h2>\n\n\n\n
    Wenn GnuPG nicht wie erwartet arbeitet, hilft meist eine der folgenden L\u00f6sungen. Die Tabelle ordnet die h\u00e4ufigsten Fehlermeldungen ihren Ursachen zu.<\/p>\n\n\n\n
    Problem \/ Meldung<\/th>Ursache<\/th>L\u00f6sung<\/th><\/tr><\/thead>
    “Inappropriate ioctl for device”<\/td>Pinentry findet kein Terminal<\/td>export GPG_TTY=$(tty)<\/code> in die Shell-Konfiguration eintragen<\/td><\/tr>
    “No secret key”<\/td>Privater Schl\u00fcssel fehlt oder falsche ID<\/td>Mit gpg --list-secret-keys<\/code> die korrekte ID pr\u00fcfen<\/td><\/tr>
    “There is no assurance this key belongs to the named user”<\/td>Schl\u00fcssel nicht verifiziert<\/td>Fingerabdruck abgleichen und Schl\u00fcssel lokal signieren<\/td><\/tr>
    “decryption failed: No secret key”<\/td>Datei wurde f\u00fcr anderen Empf\u00e4nger verschl\u00fcsselt<\/td>Beim Absender erneut, diesmal auch f\u00fcr Sie, verschl\u00fcsseln lassen<\/td><\/tr>
    “keyserver receive failed: No data”<\/td>Keyserver nicht erreichbar oder Schl\u00fcssel fehlt<\/td>Anderen Server testen: --keyserver keys.openpgp.org<\/code><\/td><\/tr>
    Passphrase falsch trotz korrekter Eingabe<\/td>gpg-agent h\u00e4lt alte Passphrase im Cache<\/td>gpgconf --kill gpg-agent<\/code> und erneut versuchen<\/td><\/tr>
    “can’t connect to the agent”<\/td>gpg-agent l\u00e4uft nicht<\/td>gpg-agent --daemon<\/code> starten oder Sitzung neu \u00f6ffnen<\/td><\/tr>
    Kleopatra zeigt Schl\u00fcssel nicht an<\/td>Verzeichnis-Cache veraltet<\/td>In Kleopatra “Beglaubigungen neu laden” oder Neustart<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
    Bei der ersten Fehlermeldung lohnt sich fast immer ein Blick auf die Umgebungsvariable GPG_TTY. Unter Linux und macOS l\u00f6st der Export dieser Variable die meisten Pinentry-Probleme, weil GnuPG dann wei\u00df, in welchem Terminal es die Passphrase abfragen soll. Tragen Sie die Zeile dauerhaft in Ihre .bashrc oder .zshrc ein.<\/p>\n\n\n\n
    echo 'export GPG_TTY=$(tty)' >> ~\/.bashrc\nsource ~\/.bashrc<\/code><\/pre>\n\n\n\n
    Fortgeschrittene Tipps f\u00fcr den Produktiveinsatz<\/h2>\n\n\n\n
    Haben Sie die Grundlagen sicher im Griff, heben diese Techniken Ihr Setup auf Profiniveau. Sie sind optional, lohnen sich aber f\u00fcr alle, die GnuPG t\u00e4glich nutzen.<\/p>\n\n\n\n
    Hardware-Token statt Festplatte<\/h3>\n\n\n\n
    Statt den privaten Schl\u00fcssel auf der Festplatte zu speichern, legen Sie ihn auf einem Hardware-Token wie einer OpenPGP-Smartcard oder einem YubiKey ab. Der Schl\u00fcssel verl\u00e4sst das Ger\u00e4t nie. Selbst wenn ein Angreifer Ihren Rechner \u00fcbernimmt, kann er ohne den physischen Token nichts entschl\u00fcsseln. Ed25519-Schl\u00fcssel werden von aktuellen Tokens breit unterst\u00fctzt.<\/p>\n\n\n\n
    Git-Commits signieren<\/h3>\n\n\n\n
    Entwickler signieren ihre Git-Commits mit GnuPG, damit nachvollziehbar bleibt, wer Code beigetragen hat. GitHub und GitLab zeigen signierte Commits mit einem gr\u00fcnen “Verified”-Badge an. Die Konfiguration dauert eine Minute.<\/p>\n\n\n\n
    git config --global user.signingkey IHRE_KEY_ID\ngit config --global commit.gpgsign true<\/code><\/pre>\n\n\n\n
    Standardalgorithmen festlegen<\/h3>\n\n\n\n
    In der Konfigurationsdatei ~\/.gnupg\/gpg.conf legen Sie bevorzugte Algorithmen fest, sodass GnuPG immer die st\u00e4rksten verf\u00fcgbaren Verfahren w\u00e4hlt. Diese Einstellungen erzwingen moderne Hashes und Chiffren.<\/p>\n\n\n\n
    personal-cipher-preferences AES256 AES192 AES\npersonal-digest-preferences SHA512 SHA384 SHA256\ncert-digest-algo SHA512\ndefault-preference-list AES256 AES192 AES SHA512 SHA384 SHA256<\/code><\/pre>\n\n\n\n
    Wer Schl\u00fcssel \u00fcber mehrere Ger\u00e4te hinweg synchron halten will, exportiert das gesamte ~\/.gnupg-Verzeichnis verschl\u00fcsselt und \u00fcbertr\u00e4gt es \u00fcber einen sicheren Kanal. Niemals unverschl\u00fcsselt per Cloud-Sync, denn dort l\u00e4ge der private Schl\u00fcssel ungesch\u00fctzt.<\/p>\n\n\n\n
    Vollst\u00e4ndiges Beispielprojekt: verschl\u00fcsseltes Backup<\/h2>\n\n\n\n
    Zum Abschluss ein praxisnahes Skript, das alles Gelernte verbindet. Es packt ein Verzeichnis, verschl\u00fcsselt es f\u00fcr Sie selbst, signiert das Archiv und legt beides ab. Sie k\u00f6nnen es als Cron-Job f\u00fcr regelm\u00e4\u00dfige, verschl\u00fcsselte Backups einsetzen.<\/p>\n\n\n\n
    #!\/bin\/bash\n# verschluesseltes-backup.sh\n# Packt, verschluesselt und signiert ein Verzeichnis mit GnuPG\n\nset -euo pipefail\n\nQUELLE=\"$HOME\/dokumente\"\nZIEL=\"$HOME\/backups\"\nEMPFAENGER=\"sam@example.de\"\nDATUM=$(date +%Y-%m-%d)\nARCHIV=\"$ZIEL\/backup-$DATUM.tar.gz\"\n\nmkdir -p \"$ZIEL\"\n\n# 1. Verzeichnis packen\ntar -czf \"$ARCHIV\" -C \"$QUELLE\" .\necho \"Archiv erstellt: $ARCHIV\"\n\n# 2. Archiv verschluesseln (nur fuer Sie lesbar)\ngpg --encrypt --recipient \"$EMPFAENGER\" --output \"$ARCHIV.gpg\" \"$ARCHIV\"\necho \"Verschluesselt: $ARCHIV.gpg\"\n\n# 3. Verschluesselte Datei signieren\ngpg --detach-sign --armor \"$ARCHIV.gpg\"\necho \"Signiert: $ARCHIV.gpg.asc\"\n\n# 4. Unverschluesseltes Archiv sicher loeschen\nshred -u \"$ARCHIV\"\necho \"Klartext-Archiv entfernt. Backup abgeschlossen.\"<\/code><\/pre>\n\n\n\n
    Machen Sie das Skript mit chmod +x verschluesseltes-backup.sh<\/code> ausf\u00fchrbar und testen Sie es einmal manuell. Zum Wiederherstellen pr\u00fcfen Sie zuerst die Signatur und entschl\u00fcsseln dann.<\/p>\n\n\n\n
    # Wiederherstellen\ngpg --verify backup-2026-06-11.tar.gz.gpg.asc backup-2026-06-11.tar.gz.gpg\ngpg --output wiederhergestellt.tar.gz --decrypt backup-2026-06-11.tar.gz.gpg\ntar -xzf wiederhergestellt.tar.gz<\/code><\/pre>\n\n\n\n
    Dieses Muster, packen, verschl\u00fcsseln, signieren, l\u00e4sst sich auf beliebige Daten \u00fcbertragen. Es verbindet Vertraulichkeit (Verschl\u00fcsselung) mit Integrit\u00e4t und Echtheit (Signatur) in einem reproduzierbaren Ablauf.<\/p>\n\n\n\n
    GnuPG, LibrePGP und die Zukunft von OpenPGP<\/h2>\n\n\n\n
    Das OpenPGP-\u00d6kosystem ist 2026 in Bewegung. Nach einer Spezifikationsspaltung 2023 verfolgt das GnuPG-Projekt mit LibrePGP eine eigene Linie, w\u00e4hrend andere Werkzeuge wie die Sequoia-Bibliothek dem neuen RFC-9580-Standard folgen. F\u00fcr Sie als Anwender hat das kaum praktische Folgen: Ed25519- und Curve25519-Schl\u00fcssel funktionieren \u00fcber alle Implementierungen hinweg, weil die zugrunde liegenden Kurven in beiden Welten identisch sind.<\/p>\n\n\n\n
    Das wichtigste kommende Thema ist die Quantenresistenz. Heutige Verfahren, RSA wie ECC, fallen, sobald ein hinreichend gro\u00dfer Quantencomputer existiert. Das GnuPG-Projekt k\u00fcndigt f\u00fcr die 2.6-Serie einen post-quantum Verschl\u00fcsselungsalgorithmus an. Bis dieser produktiv ist, gilt: Daten, die heute verschl\u00fcsselt abgefangen und gespeichert werden, k\u00f6nnten in der Zukunft entschl\u00fcsselt werden (“harvest now, decrypt later”). F\u00fcr die meisten Anwender ist das kein akutes Risiko, f\u00fcr hochsensible Langzeitgeheimnisse aber ein Grund, die Entwicklung zu beobachten.<\/p>\n\n\n\n
    Die oldstable-Linie 2.4.x erreicht etwa Mitte 2026 ihr Lebensende. Wer noch 2.4 nutzt, sollte den Wechsel auf 2.5.x planen. Aktualisieren Sie regelm\u00e4\u00dfig, denn Sicherheitsl\u00fccken in der Krypto-Bibliothek treffen sonst direkt Ihr Schl\u00fcsselmaterial. Auch das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) empfiehlt E-Mail-Verschl\u00fcsselung auf OpenPGP-Basis f\u00fcr vertrauliche Kommunikation.<\/p>\n\n\n\n
    GPG mit Kleopatra: der grafische Weg unter Windows<\/h2>\n\n\n\n
    Nicht jeder m\u00f6chte im Terminal arbeiten. Unter Windows liefert Gpg4win mit Kleopatra eine vollwertige grafische Oberfl\u00e4che, die alle in diesem Tutorial gezeigten Operationen abbildet. Wer GnuPG ohne Kommandozeile nutzen will, findet hier denselben Funktionsumfang per Mausklick. Die folgenden Schritte spiegeln den Konsolenweg eins zu eins wider.<\/p>\n\n\n\n
    Nach dem Start von Kleopatra erstellen Sie \u00fcber “Datei” und “Neues Schl\u00fcsselpaar” Ihr erstes Zertifikat. Der Assistent fragt Namen und E-Mail-Adresse ab. Klicken Sie auf “Erweiterte Einstellungen”, um statt RSA das Verfahren ECDSA\/EdDSA mit Curve 25519 zu w\u00e4hlen, und setzen Sie das H\u00e4kchen bei “G\u00fcltigkeit bis” auf zwei Jahre. Kleopatra erzeugt das Schl\u00fcsselpaar und bietet im Anschluss direkt an, eine Sicherungskopie und ein Widerrufszertifikat anzulegen. Nehmen Sie beide Angebote an, das erspart Ihnen die manuellen Schritte 9 und 12.<\/p>\n\n\n\n
    Zum Verschl\u00fcsseln einer Datei ziehen Sie diese per Drag-and-Drop in das Kleopatra-Fenster oder klicken im Windows-Explorer mit der rechten Maustaste und w\u00e4hlen “Signieren und verschl\u00fcsseln”. Kleopatra fragt nach dem Empf\u00e4nger, sucht den passenden \u00f6ffentlichen Schl\u00fcssel in Ihrem Bestand und legt eine .gpg-Datei daneben ab. Das Entschl\u00fcsseln funktioniert genauso umgekehrt: Doppelklick auf die verschl\u00fcsselte Datei, Passphrase eingeben, fertig.<\/p>\n\n\n\n
    Den Im- und Export von Schl\u00fcsseln erledigen Sie \u00fcber die Schaltfl\u00e4chen “Importieren” und “Exportieren” in der Werkzeugleiste. Die Zertifikats\u00fcbersicht zeigt f\u00fcr jeden Schl\u00fcssel den Fingerabdruck, das Ablaufdatum und den Beglaubigungsstatus. Ein rotes Symbol warnt vor abgelaufenen oder nicht verifizierten Schl\u00fcsseln, ein gr\u00fcnes signalisiert volle Vertrauensw\u00fcrdigkeit. So behalten auch Einsteiger den \u00dcberblick, ohne je einen Befehl tippen zu m\u00fcssen.<\/p>\n\n\n\n
    F\u00fcr Outlook-Nutzer integriert das mitgelieferte Plugin GpgOL die Verschl\u00fcsselung direkt in den Mail-Client. Beim Verfassen einer Nachricht aktivieren Sie \u00fcber zwei Schaltfl\u00e4chen Verschl\u00fcsselung und Signatur. Kleopatra und GpgOL greifen dabei auf denselben Schl\u00fcsselbestand zu, den Sie auf der Kommandozeile sehen, denn beide nutzen im Hintergrund dieselbe GnuPG-Installation. Wechseln Sie also sp\u00e4ter doch zum Terminal, finden Sie alle Schl\u00fcssel unver\u00e4ndert vor.<\/p>\n\n\n\n
    H\u00e4ufig gestellte Fragen (FAQ)<\/h2>\n\n\n\n
    Was ist der Unterschied zwischen GPG und PGP?<\/h3>\n\n\n\n
    PGP (“Pretty Good Privacy”) war die urspr\u00fcngliche, kommerzielle Software von 1991. GPG (GnuPG) ist die freie, quelloffene Implementierung desselben OpenPGP-Standards. In der Praxis sind die erzeugten Schl\u00fcssel und Nachrichten kompatibel. Wenn heute jemand von PGP-Verschl\u00fcsselung spricht, meint er meist GnuPG.<\/p>\n\n\n\n
    Ist GPG-Verschl\u00fcsselung wirklich sicher?<\/h3>\n\n\n\n
    Ja. Die eingesetzten Algorithmen (Ed25519, AES-256) gelten als sicher gegen klassische Angriffe. Die Schwachstelle ist fast nie die Mathematik, sondern die Handhabung: schwache Passphrasen, ungesicherte private Schl\u00fcssel oder nicht verifizierte Fingerabdr\u00fccke. Halten Sie sich an dieses Tutorial, dann ist Ihr Setup robust.<\/p>\n\n\n\n
    Kann ich GPG ohne Kommandozeile nutzen?<\/h3>\n\n\n\n
    Ja. Unter Windows bietet Kleopatra (Teil von Gpg4win) eine vollst\u00e4ndige grafische Oberfl\u00e4che f\u00fcr alle Operationen. Thunderbird integriert OpenPGP direkt in den Mail-Client. Die Kommandozeile ist m\u00e4chtiger und f\u00fcr Automatisierung unverzichtbar, aber kein Muss f\u00fcr den Alltag.<\/p>\n\n\n\n
    Was passiert, wenn ich meine Passphrase vergesse?<\/h3>\n\n\n\n
    Dann ist der private Schl\u00fcssel und alles damit Verschl\u00fcsselte verloren, es gibt keine Hintert\u00fcr. Deshalb sind zwei Dinge Pflicht: ein Widerrufszertifikat, um den Schl\u00fcssel f\u00fcr Kontakte zu sperren, und ein Backup der Passphrase in einem Passwortmanager.<\/p>\n\n\n\n
    Sollte ich RSA 4096 oder Ed25519 w\u00e4hlen?<\/h3>\n\n\n\n
    F\u00fcr neue Schl\u00fcssel 2026 ist Ed25519 die Standardwahl: schneller, kompakter und bei gleicher Sicherheit. RSA 4096 ist nur dann sinnvoll, wenn Sie mit sehr alten Systemen kommunizieren m\u00fcssen, die ECC nicht beherrschen. Beide sind nicht quantenresistent.<\/p>\n\n\n\n
    Wie teile ich meinen \u00f6ffentlichen Schl\u00fcssel am besten?<\/h3>\n\n\n\n
    Laden Sie ihn auf keys.openpgp.org hoch und best\u00e4tigen Sie die E-Mail-Adresse. So findet ihn jeder per Adresssuche, mit verifizierter Identit\u00e4t. Zus\u00e4tzlich k\u00f6nnen Sie den Fingerabdruck in Ihre E-Mail-Signatur oder auf Ihre Website setzen.<\/p>\n\n\n\n
    Verschl\u00fcsselt GPG auch den Betreff und die Metadaten einer E-Mail?<\/h3>\n\n\n\n
    Nein. OpenPGP verschl\u00fcsselt den Nachrichtentext und Anh\u00e4nge, nicht aber Absender, Empf\u00e4nger und (bei den meisten Clients) den Betreff. Diese Metadaten bleiben sichtbar. Wer auch Metadaten sch\u00fctzen will, kombiniert GPG mit anonymisierenden Diensten oder verzichtet auf aussagekr\u00e4ftige Betreffzeilen.<\/p>\n\n\n\n
    Funktionieren meine GPG-Schl\u00fcssel auf mehreren Ger\u00e4ten?<\/h3>\n\n\n\n
    Ja. Exportieren Sie den privaten Schl\u00fcssel verschl\u00fcsselt und importieren Sie ihn auf dem zweiten Ger\u00e4t, oder nutzen Sie einen Hardware-Token, der zwischen Ger\u00e4ten wandert. Synchronisieren Sie private Schl\u00fcssel niemals unverschl\u00fcsselt \u00fcber Cloud-Dienste.<\/p>\n\n\n\n
    Related Coverage<\/h3>\n\n\n\n