{"id":63,"date":"2026-06-13T16:50:10","date_gmt":"2026-06-13T16:50:10","guid":{"rendered":"https:\/\/shattered.io\/se\/2026\/06\/13\/pgp-kryptering-gpg\/"},"modified":"2026-06-13T16:51:38","modified_gmt":"2026-06-13T16:51:38","slug":"pgp-kryptering-gpg","status":"publish","type":"post","link":"https:\/\/shattered.io\/se\/2026\/06\/13\/pgp-kryptering-gpg\/","title":{"rendered":"PGP-kryptering med GPG: e-post i 12 steg [2026]"},"content":{"rendered":"\n

Vanlig e-post skickas i klartext. Varje mejl passerar din e-postleverant\u00f6r, mottagarens leverant\u00f6r och ett ok\u00e4nt antal mellanliggande servrar, och p\u00e5 v\u00e4gen kan inneh\u00e5llet l\u00e4sas, kopieras och lagras. PGP-kryptering<\/strong> l\u00f6ser det problemet genom att kryptera meddelandet s\u00e5 att bara mottagaren med r\u00e4tt privat nyckel kan l\u00e4sa det. Samma teknik signerar dina filer s\u00e5 att andra kan bevisa att de kommer fr\u00e5n dig och inte har manipulerats.<\/p>\n\n\n\n

Den h\u00e4r handledningen bygger ett komplett, fungerande krypteringsuppl\u00e4gg fr\u00e5n grunden med GnuPG<\/strong> (GPG), den fria implementationen av OpenPGP-standarden. Du genererar ett nyckelpar, skapar ett \u00e5terkallelsecertifikat, krypterar och signerar filer, st\u00e4ller in krypterad e-post i Thunderbird, s\u00e4kerhetskopierar dina nycklar och flyttar den privata nyckeln till en h\u00e5rdvarunyckel. Allt g\u00f6rs i 12 steg och tar ungef\u00e4r 40 minuter.<\/p>\n\n\n\n

Guiden \u00e4r skriven f\u00f6r GnuPG 2.4-serien (testad med 2.4.4 p\u00e5 Linux, macOS och Windows). Alla kommandon, utdataexempel och fels\u00f6kningstips kommer fr\u00e5n den versionen. Du beh\u00f6ver inga f\u00f6rkunskaper om kryptografi, men det hj\u00e4lper att vara bekv\u00e4m med en terminal. Vill du f\u00f6rst\u00e5 matematiken bakom signaturerna kan du l\u00e4sa v\u00e5r genomg\u00e5ng av digitala signaturer<\/a> parallellt.<\/p>\n\n\n\n

Vad PGP och OpenPGP egentligen \u00e4r<\/h2>\n\n\n\n

PGP st\u00e5r f\u00f6r Pretty Good Privacy och skapades av Phil Zimmermann 1991. Programmet i sig \u00e4r gammalt, men begreppet lever vidare genom OpenPGP<\/strong>, det \u00f6ppna meddelandeformat som beskriver hur krypterade och signerade meddelanden ska byggas. OpenPGP definierades f\u00f6rst i RFC 4880 (2007) och uppdaterades i RFC 9580 (publicerad juli 2024), som moderniserar de till\u00e5tna algoritmerna och inf\u00f6r en ny nyckelversion. N\u00e4r du i dag pratar om PGP-kryptering menar du n\u00e4stan alltid OpenPGP i praktiken.<\/p>\n\n\n\n

GnuPG, oftast f\u00f6rkortat GPG, \u00e4r den mest anv\u00e4nda implementationen av OpenPGP och \u00e4r gratis och \u00f6ppen k\u00e4llkod. Den finns p\u00e5 i stort sett alla Linux-distributioner, p\u00e5 macOS via GPG Suite och p\u00e5 Windows via Gpg4win. GnuPG sk\u00f6ter all kryptografi: nyckelhantering, kryptering, dekryptering, signering och verifiering. Den grafiska klienten Kleopatra (som f\u00f6ljer med Gpg4win) \u00e4r bara ett skal ovanp\u00e5 samma motor.<\/p>\n\n\n\n

PGP bygger p\u00e5 asymmetrisk kryptografi. Du har ett nyckelpar: en publik nyckel som du delar fritt, och en privat nyckel som aldrig l\u00e4mnar din dator. Den som vill skicka n\u00e5got krypterat till dig anv\u00e4nder din publika nyckel, och bara din privata nyckel kan l\u00e5sa upp resultatet. N\u00e4r du signerar n\u00e5got anv\u00e4nder du tv\u00e4rtom din privata nyckel, och vem som helst kan verifiera signaturen med din publika nyckel. Samma asymmetri som driver HTTPS och TLS<\/a> driver allts\u00e5 PGP, men h\u00e4r styr du nycklarna helt sj\u00e4lv.<\/p>\n\n\n\n

I praktiken krypteras inte hela meddelandet med din publika nyckel. PGP genererar en slumpm\u00e4ssig symmetrisk sessionsnyckel (vanligen AES-256), krypterar meddelandet med den och krypterar sedan bara sessionsnyckeln med mottagarens publika nyckel. Det kallas hybridkryptering och \u00e4r sk\u00e4let till att PGP klarar stora filer snabbt. Signaturer bygger i sin tur p\u00e5 kryptografiska hashfunktioner<\/a>: meddelandet hashas, och hashen signeras.<\/p>\n\n\n\n

F\u00f6ruts\u00e4ttningar och versioner<\/h2>\n\n\n\n

Innan du b\u00f6rjar beh\u00f6ver du r\u00e4tt programvara installerad. Tabellen nedan listar exakt vad guiden anv\u00e4nder och vilka versioner som testats. H\u00e5ll dig till 2.4-serien av GnuPG eller senare. \u00c4ldre 1.4-versioner finns kvar p\u00e5 vissa system men saknar moderna algoritmer och b\u00f6r inte anv\u00e4ndas f\u00f6r nya nycklar.<\/p>\n\n\n\n\n\n
Komponent<\/th>Version (testad)<\/th>Plattform<\/th>Syfte<\/th><\/tr><\/thead>\n
GnuPG<\/td>2.4.4 (2.4-serien)<\/td>Linux, macOS, Windows<\/td>K\u00e4rnan: nycklar, kryptering, signaturer<\/td><\/tr>\n
libgcrypt<\/td>1.10.3<\/td>Alla<\/td>Kryptografiskt bibliotek under GnuPG<\/td><\/tr>\n
Gpg4win<\/td>Senaste 4-serien<\/td>Windows<\/td>GnuPG + Kleopatra GUI<\/td><\/tr>\n
GPG Suite<\/td>Senaste versionen<\/td>macOS<\/td>GnuPG + nyckelhanterare<\/td><\/tr>\n
Thunderbird<\/td>128 ESR eller senare<\/td>Alla<\/td>Inbyggt OpenPGP-st\u00f6d f\u00f6r e-post<\/td><\/tr>\n
YubiKey (valfritt)<\/td>5-serien, firmware 5.2.3+<\/td>USB\/NFC<\/td>H\u00e5rdvarulagring av privat nyckel<\/td><\/tr>\n<\/tbody>\n<\/table>\n\n\n\n

Du beh\u00f6ver ocks\u00e5 administrat\u00f6rsr\u00e4ttigheter f\u00f6r att installera programvara, en e-postadress som du kontrollerar och cirka 40 minuter ost\u00f6rd tid. Skriv ner ett starkt l\u00f6senord f\u00f6r din privata nyckel innan du b\u00f6rjar, g\u00e4rna med hj\u00e4lp av en l\u00f6senordshanterare. L\u00f6senordet skyddar nyckeln om filen hamnar i fel h\u00e4nder, s\u00e5 behandla det som vilket viktigt l\u00f6senord som helst. V\u00e5r guide om l\u00f6senordss\u00e4kerhet<\/a> g\u00e5r igenom hur du v\u00e4ljer ett som h\u00e5ller.<\/p>\n\n\n\n

Slutligen: g\u00f6r det h\u00e4r p\u00e5 en dator du litar p\u00e5 och som \u00e4r fri fr\u00e5n skadlig kod. PGP skyddar meddelanden i transit och i vila, men om angriparen redan sitter p\u00e5 din maskin med en keylogger spelar krypteringen mindre roll. H\u00e5ll operativsystemet uppdaterat och full diskkryptering p\u00e5slagen.<\/p>\n\n\n\n

Steg 1: Installera GnuPG p\u00e5 Linux, macOS och Windows<\/h2>\n\n\n\n

Installationen skiljer sig mellan plattformarna men slutar p\u00e5 samma st\u00e4lle: ett fungerande gpg<\/code>-kommando i terminalen. V\u00e4lj raden f\u00f6r ditt system.<\/p>\n\n\n\n

# Debian \/ Ubuntu\nsudo apt update && sudo apt install gnupg\n\n# Fedora\nsudo dnf install gnupg2\n\n# Arch Linux\nsudo pacman -S gnupg\n\n# macOS (Homebrew, eller ladda ner GPG Suite fran gpgtools.org)\nbrew install gnupg\n\n# Windows: ladda ner och installera Gpg4win fran gpg4win.org\n# Gpg4win innehaller GnuPG och Kleopatra (grafiskt granssnitt)<\/code><\/pre>\n\n\n\n
Verifiera installationen direkt. Kommandot nedan ska skriva ut versionen och en lista \u00f6ver vilka algoritmer din GnuPG st\u00f6der. F\u00e5r du fram 2.4.x \u00e4r du redo. Visar systemet 1.4.x har du en gammal bin\u00e4r i s\u00f6kv\u00e4gen, och d\u00e5 b\u00f6r du installera 2.4-serien och peka gpg<\/code> mot den.<\/p>\n\n\n\n
$ gpg --version\ngpg (GnuPG) 2.4.4\nlibgcrypt 1.10.3\nCopyright (C) 2024 g10 Code GmbH\n...\nPubkey: RSA, ELG, DSA, ECDH, ECDSA, EDDSA\nCipher: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, ...\nHash: SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224\nCompression: Uncompressed, ZIP, ZLIB, BZIP2<\/code><\/pre>\n\n\n\n
P\u00e5 Windows \u00f6ppnar du Kleopatra efter installationen och bekr\u00e4ftar att programmet startar utan fel. De flesta steg i guiden g\u00e5r att klicka sig igenom i Kleopatra, men kommandoraden \u00e4r identisk p\u00e5 alla plattformar och l\u00e4ttare att dokumentera, s\u00e5 vi h\u00e5ller oss till gpg<\/code> i terminalen och pekar ut GUI-motsvarigheten d\u00e4r det \u00e4r relevant.<\/p>\n\n\n\n
Steg 2: H\u00e4rda gpg.conf med s\u00e4kra standardval<\/h2>\n\n\n\n
GnuPG fungerar direkt efter installation, men standardinst\u00e4llningarna \u00e4r konservativa av kompatibilitetssk\u00e4l. Innan du skapar nycklar b\u00f6r du s\u00e4tta s\u00e4krare standardv\u00e4rden i konfigurationsfilen. Den ligger i ~\/.gnupg\/gpg.conf<\/code> p\u00e5 Linux och macOS, och i %APPDATA%\\gnupg\\gpg.conf<\/code> p\u00e5 Windows. Skapa filen om den saknas.<\/p>\n\n\n\n
# ~\/.gnupg\/gpg.conf\n\n# Visa langa nyckel-ID och fullstandiga fingeravtryck\nkeyid-format 0xlong\nwith-fingerprint\n\n# Foredra starka algoritmer nar nya nycklar skapas\npersonal-cipher-preferences AES256 AES192 AES\npersonal-digest-preferences SHA512 SHA384 SHA256\npersonal-compress-preferences ZLIB BZIP2 ZIP Uncompressed\ndefault-preference-list SHA512 SHA384 SHA256 AES256 AES192 AES ZLIB BZIP2 ZIP Uncompressed\n\n# Anvand SHA-512 for certifieringar i stallet for aldre SHA-1\ncert-digest-algo SHA512\n\n# Visa inte versionsstrang i utdata\nno-emit-version\nno-comments<\/code><\/pre>\n\n\n\n
Raden cert-digest-algo SHA512<\/code> \u00e4r viktig. \u00c4ldre GnuPG kunde signera nyckelcertifieringar med SHA-1, och SHA-1 anses brutet sedan den f\u00f6rsta praktiska kollisionen demonstrerades. Vi har skrivit utf\u00f6rligt om varf\u00f6r i artikeln om SHAttered-kollisionen<\/a>. Med raden ovan tvingar du fram SHA-512 i st\u00e4llet.<\/p>\n\n\n\n
Starta om gpg-agenten s\u00e5 att \u00e4ndringarna l\u00e4ses in, och bekr\u00e4fta att konfigurationen tolkas utan fel:<\/p>\n\n\n\n
$ gpgconf --kill gpg-agent\n$ gpg --gpgconf-test && echo \"gpg.conf OK\"\ngpg.conf OK<\/code><\/pre>\n\n\n\n
Fallgrop:<\/strong> en stavfel eller ok\u00e4nt direktiv i gpg.conf<\/code> g\u00f6r att GnuPG v\u00e4grar k\u00f6ra. F\u00e5r du felet “invalid option” pekar meddelandet ut den rad som \u00e4r fel. Kommentera ut raden med #<\/code> och testa igen i st\u00e4llet f\u00f6r att gissa.<\/p>\n\n\n\n
Steg 3: Generera ditt nyckelpar (RSA 4096 eller Ed25519)<\/h2>\n\n\n\n
Nu skapar du nyckelparet, hj\u00e4rtat i hela upps\u00e4ttningen. Du har tv\u00e5 bra val av algoritm: RSA 4096 f\u00f6r maximal kompatibilitet med \u00e4ldre mottagare, eller elliptisk kurva (Ed25519 f\u00f6r signering och Curve25519 f\u00f6r kryptering) f\u00f6r mindre, snabbare och lika s\u00e4kra nycklar. F\u00f6r nya nycklar 2026 rekommenderar vi ECC om du vet att dina mottagare har moderna klienter, annars RSA 4096.<\/p>\n\n\n\n\n\n
Algoritm<\/th>Nyckelstorlek<\/th>Hastighet<\/th>Kompatibilitet<\/th>Rekommendation<\/th><\/tr><\/thead>\n
RSA 2048<\/td>2048 bit<\/td>Snabb<\/td>Mycket bred<\/td>Undvik f\u00f6r nya nycklar<\/td><\/tr>\n
RSA 3072<\/td>3072 bit<\/td>Medel<\/td>Bred<\/td>Acceptabel miniminiv\u00e5<\/td><\/tr>\n
RSA 4096<\/td>4096 bit<\/td>L\u00e5ngsammare<\/td>Bred<\/td>Bra om kompatibilitet kr\u00e4vs<\/td><\/tr>\n
Ed25519 \/ Cv25519<\/td>256 bit<\/td>Mycket snabb<\/td>Moderna klienter<\/td>B\u00e4st f\u00f6r nya nycklar<\/td><\/tr>\n<\/tbody>\n<\/table>\n\n\n\n
Anv\u00e4nd det styrda l\u00e4get med --full-generate-key<\/code> s\u00e5 att du ser alla val. F\u00f6r ECC v\u00e4ljer du alternativet “ECC (sign and encrypt)” och kurvan Curve 25519. F\u00f6r RSA v\u00e4ljer du “RSA and RSA” och anger 4096 bitar. S\u00e4tt en utg\u00e5ngstid p\u00e5 ett till tv\u00e5 \u00e5r. Ett utg\u00e5ngsdatum \u00e4r inte ett hot, eftersom du alltid kan f\u00f6rl\u00e4nga det, men det skyddar dig om du tappar bort nyckeln utan att ha ett \u00e5terkallelsecertifikat.<\/p>\n\n\n\n
$ gpg --full-generate-key\n\nPlease select what kind of key you want:\n   (1) RSA and RSA\n   (9) ECC (sign and encrypt) *default*\n  ...\nYour selection? 9\n\nPlease select which elliptic curve you want:\n   (1) Curve 25519 *default*\nYour selection? 1\n\nPlease specify how long the key should be valid.\nKey is valid for? (0) 2y\n\nReal name: Anna Andersson\nEmail address: anna@exempel.se\nComment:\nYou selected this USER-ID:\n    \"Anna Andersson <anna@exempel.se>\"\n\n# Ange ett starkt losenord nar du blir tillfragad.\n# GnuPG genererar nyckeln och skriver ut fingeravtrycket.<\/code><\/pre>\n\n\n\n
N\u00e4r nyckeln \u00e4r klar skriver GnuPG ut ett 40 tecken l\u00e5ngt fingeravtryck. Det \u00e4r den unika identiteten f\u00f6r din nyckel. Notera det. Du kommer att anv\u00e4nda det varje g\u00e5ng n\u00e5gon ska verifiera att de har r\u00e4tt nyckel fr\u00e5n dig. Lista dina nycklar f\u00f6r att se resultatet:<\/p>\n\n\n\n
$ gpg --list-secret-keys --keyid-format 0xlong\nsec   ed25519\/0x9A7B3C2D1E4F5A6B 2026-06-13 [SC] [expires: 2028-06-12]\n      AB12CD34EF56AB78CD90EF12AB34CD56EF78AB90\nuid                 [ultimate] Anna Andersson <anna@exempel.se>\nssb   cv25519\/0x1122334455667788 2026-06-13 [E] [expires: 2028-06-12]<\/code><\/pre>\n\n\n\n
L\u00e4gg m\u00e4rke till markeringarna [SC]<\/code> och [E]<\/code>. Huvudnyckeln kan signera och certifiera (S och C), medan undernyckeln (ssb) sk\u00f6ter kryptering (E). Den uppdelningen \u00e4r medveten och blir viktig i steg 11 n\u00e4r vi flyttar undernycklar till en h\u00e5rdvarunyckel.<\/p>\n\n\n\n
Steg 4: Skapa ett \u00e5terkallelsecertifikat direkt<\/h2>\n\n\n\n
Ett \u00e5terkallelsecertifikat \u00e4r din n\u00f6dbroms. Om din privata nyckel l\u00e4cker, om du gl\u00f6mmer l\u00f6senordet eller om du tappar bort nyckeln helt, \u00e4r \u00e5terkallelsecertifikatet det enda s\u00e4ttet att tala om f\u00f6r omv\u00e4rlden att nyckeln inte l\u00e4ngre ska litas p\u00e5. Skapa det nu, medan du har tillg\u00e5ng till nyckeln, inte den dag det redan \u00e4r f\u00f6r sent.<\/p>\n\n\n\n
$ gpg --output anna-revoke.asc --gen-revoke 0x9A7B3C2D1E4F5A6B\n\nCreate a revocation certificate for this key? (y\/N) y\nPlease select the reason for the revocation:\n  0 = No reason specified\n  1 = Key has been compromised\n  3 = Key is no longer used\nYour decision? 0\nEnter an optional description; end it with an empty line:\n>\nReason for revocation: No reason specified\nIs this okay? (y\/N) y\n\n# GnuPG skriver ut ett ASCII-armerat certifikat till anna-revoke.asc<\/code><\/pre>\n\n\n\n
Fallgrop:<\/strong> \u00e5terkallelsecertifikatet \u00e4r lika kraftfullt som det \u00e4r farligt. Vem som helst som f\u00e5r tag i filen kan g\u00f6ra din nyckel oanv\u00e4ndbar. Spara den inte tillsammans med sj\u00e4lva nyckeln. L\u00e4gg den p\u00e5 ett USB-minne i ett kassask\u00e5p eller skriv ut den p\u00e5 papper. Behandla den som en reservnyckel till huset.<\/p>\n\n\n\n
Flytta omedelbart certifikatet fr\u00e5n din arbetskatalog till ett s\u00e4kert st\u00e4lle och ta bort den lokala kopian. P\u00e5 Linux och macOS s\u00e4tter du dessutom strikta r\u00e4ttigheter p\u00e5 filen s\u00e5 att bara du kan l\u00e4sa den:<\/p>\n\n\n\n
$ chmod 600 anna-revoke.asc\n$ mv anna-revoke.asc \/media\/usb-backup\/\n# Verifiera att den flyttats och inte ligger kvar lokalt\n$ ls -l anna-revoke.asc\nls: cannot access 'anna-revoke.asc': No such file or directory<\/code><\/pre>\n\n\n\n
Steg 5: Exportera och dela din publika nyckel<\/h2>\n\n\n\n
F\u00f6r att n\u00e5gon ska kunna skicka krypterad post till dig beh\u00f6ver de din publika nyckel. Den \u00e4r gjord f\u00f6r att delas \u00f6ppet, s\u00e5 det finns ingen risk i att sprida den. Exportera den i ASCII-armerat format (\u00e4ndelsen .asc<\/code>), som \u00e4r ren text och g\u00e5r att klistra in i ett mejl eller l\u00e4gga p\u00e5 en webbsida.<\/p>\n\n\n\n
$ gpg --armor --export anna@exempel.se > anna-public.asc\n$ head -3 anna-public.asc\n-----BEGIN PGP PUBLIC KEY BLOCK-----\n\nmDMEZ...<\/code><\/pre>\n\n\n\n
Det finns tre vanliga s\u00e4tt att distribuera nyckeln. Det f\u00f6rsta \u00e4r att skicka .asc<\/code>-filen direkt. Det andra \u00e4r att ladda upp den till en nyckelserver. Den moderna, rekommenderade servern \u00e4r keys.openpgp.org, som till skillnad fr\u00e5n de gamla SKS-servrarna verifierar e-postadressen innan den publicerar nyckeln knuten till adressen, vilket stoppar att vem som helst laddar upp en nyckel i ditt namn.<\/p>\n\n\n\n
# Ladda upp till den verifierande nyckelservern\n$ gpg --keyserver keys.openpgp.org --send-keys 0x9A7B3C2D1E4F5A6B\ngpg: sending key 0x9A7B3C2D1E4F5A6B to hkps:\/\/keys.openpgp.org\n# Du far ett bekraftelsemejl. Klicka pa lanken for att publicera\n# kopplingen mellan din e-postadress och nyckeln.<\/code><\/pre>\n\n\n\n
Det tredje s\u00e4ttet \u00e4r Web Key Directory (WKD), d\u00e4r du publicerar nyckeln p\u00e5 din egen dom\u00e4n. Klienter som st\u00f6der WKD hittar d\u00e5 nyckeln automatiskt utifr\u00e5n din e-postadress. WKD kr\u00e4ver kontroll \u00f6ver dom\u00e4nens webbserver och ligger utanf\u00f6r den h\u00e4r guidens grundfl\u00f6de, men det \u00e4r det renaste s\u00e4ttet f\u00f6r en organisation att dela ut nycklar i stor skala.<\/p>\n\n\n\n
Steg 6: Importera och verifiera andras nycklar<\/h2>\n\n\n\n
Att importera en nyckel \u00e4r trivialt. Det sv\u00e5ra, och det viktiga, \u00e4r att verifiera att nyckeln verkligen tillh\u00f6r den person du tror. Annars kan en angripare skicka dig sin egen nyckel och l\u00e5tsas vara mottagaren, en klassisk man-in-the-middle-attack. Importera f\u00f6rst:<\/p>\n\n\n\n
$ gpg --import bjorn-public.asc\ngpg: key 0xF1E2D3C4B5A69788: public key \"Bjorn Berg <bjorn@exempel.se>\" imported\ngpg: Total number processed: 1\ngpg:               imported: 1\n\n# Eller hamta direkt fran nyckelservern via e-postadress\n$ gpg --keyserver keys.openpgp.org --search-keys bjorn@exempel.se<\/code><\/pre>\n\n\n\n
Verifiera nyckeln genom att j\u00e4mf\u00f6ra dess fullst\u00e4ndiga fingeravtryck med mottagaren via en annan kanal, helst i person, via telefon eller via en signerad chatt. L\u00e4s upp fingeravtrycket och bekr\u00e4fta varje tecken. Detta \u00e4r hela grunden f\u00f6r PGP:s tillitsmodell.<\/p>\n\n\n\n
$ gpg --fingerprint bjorn@exempel.se\npub   rsa4096\/0xF1E2D3C4B5A69788 2025-03-01 [SC]\n      Key fingerprint = F1E2 D3C4 B5A6 9788 1234  5678 9ABC DEF0 1122 3344\nuid                 [ unknown] Bjorn Berg <bjorn@exempel.se><\/code><\/pre>\n\n\n\n
N\u00e4r fingeravtrycket st\u00e4mmer signerar du nyckeln lokalt f\u00f6r att markera den som betrodd. Det \u00e4r s\u00e5 det decentraliserade f\u00f6rtroenden\u00e4tet (web of trust) byggs upp: du intygar med din signatur att den h\u00e4r nyckeln tillh\u00f6r r\u00e4tt person.<\/p>\n\n\n\n
$ gpg --lsign-key 0xF1E2D3C4B5A69788\n# Bekrafta att du har verifierat fingeravtrycket, ange ditt losenord.\n# Nyckeln visas nu som [ full ] i stallet for [ unknown ].<\/code><\/pre>\n\n\n\n
Fallgrop:<\/strong> hoppa aldrig \u00f6ver verifieringen f\u00f6r att det \u00e4r obekv\u00e4mt. En importerad men overifierad nyckel ger en falsk k\u00e4nsla av s\u00e4kerhet. GnuPG varnar dig med “There is no assurance this key belongs to the named user” n\u00e4r du krypterar till en overifierad nyckel, och den varningen ska du ta p\u00e5 allvar.<\/p>\n\n\n\n
Steg 7: Kryptera och dekryptera filer<\/h2>\n\n\n\n
Nu kommer den praktiska nyttan. F\u00f6r att kryptera en fil till en mottagare anger du deras e-postadress eller nyckel-ID med flaggan --recipient<\/code>. L\u00e4gg g\u00e4rna till --sign<\/code> s\u00e5 att filen samtidigt signeras, vilket bevisar att den kommer fr\u00e5n dig.<\/p>\n\n\n\n
# Kryptera och signera en fil till Bjorn\n$ gpg --encrypt --sign --armor --recipient bjorn@exempel.se rapport.pdf\n# Resultat: rapport.pdf.asc (ASCII) eller rapport.pdf.gpg (binar utan --armor)\n\n# Kryptera till flera mottagare samtidigt\n$ gpg --encrypt --recipient bjorn@exempel.se --recipient anna@exempel.se rapport.pdf<\/code><\/pre>\n\n\n\n
Mottagaren dekrypterar med ett enda kommando. GnuPG ser automatiskt vilken privat nyckel som beh\u00f6vs, ber om l\u00f6senordet och skriver ut originalfilen. Om filen \u00e4ven var signerad verifieras signaturen i samma steg.<\/p>\n\n\n\n
$ gpg --decrypt rapport.pdf.asc > rapport.pdf\ngpg: encrypted with cv25519 key, ID 0x1122334455667788\ngpg: Good signature from \"Anna Andersson <anna@exempel.se>\" [full]<\/code><\/pre>\n\n\n\n
Vill du bara kryptera n\u00e5got \u00e5t dig sj\u00e4lv, till exempel en l\u00f6senordsfil eller en s\u00e4kerhetskopia, krypterar du till din egen adress. F\u00f6r ren symmetrisk kryptering med bara ett l\u00f6senord och ingen nyckel anv\u00e4nder du --symmetric<\/code>. Det \u00e4r smidigt f\u00f6r en fil du vill skydda med en delad fras, men saknar f\u00f6rdelarna med asymmetrisk nyckelhantering.<\/p>\n\n\n\n
# Symmetrisk kryptering med enbart losenord (AES-256)\n$ gpg --symmetric --cipher-algo AES256 hemlig.txt\n# Skapar hemlig.txt.gpg, last upp med samma losenord vid dekryptering<\/code><\/pre>\n\n\n\n
Tekniken bakom --cipher-algo AES256<\/code> \u00e4r samma AES-256 som driver h\u00e5rddiskkryptering och s\u00e4kra protokoll i \u00f6vrigt. Skillnaden mot PGP:s vanliga l\u00e4ge \u00e4r att h\u00e4r finns ingen publik nyckel inblandad, bara ett l\u00f6senord som m\u00e5ste delas p\u00e5 ett s\u00e4kert s\u00e4tt.<\/p>\n\n\n\n
Steg 8: Signera filer och verifiera signaturer<\/h2>\n\n\n\n
Signering handlar inte om sekretess utan om \u00e4kthet och integritet. En signatur bevisar att en fil kommer fr\u00e5n en viss nyckel och inte har \u00e4ndrats sedan den signerades. Det \u00e4r grunden f\u00f6r hur till exempel programvarudistributioner och s\u00e4kerhetsuppdateringar verifieras. Det finns tre signaturtyper.<\/p>\n\n\n\n\n\n
Kommando<\/th>Flagga<\/th>Resultat<\/th>Anv\u00e4ndning<\/th><\/tr><\/thead>\n
Inb\u00e4ddad signatur<\/td>–sign<\/td>Komprimerad fil med signatur i<\/td>Filer som ska skickas vidare<\/td><\/tr>\n
Klartextsignatur<\/td>–clearsign<\/td>L\u00e4sbar text med signaturblock<\/td>E-post och meddelanden<\/td><\/tr>\n
Frist\u00e5ende signatur<\/td>–detach-sign<\/td>Separat .sig-fil<\/td>Stora filer, mjukvarureleaser<\/td><\/tr>\n<\/tbody>\n<\/table>\n\n\n\n
Den frist\u00e5ende signaturen \u00e4r vanligast f\u00f6r filer som distribueras publikt, eftersom originalet f\u00f6rblir or\u00f6rt och signaturen ligger i en egen liten fil bredvid. S\u00e5 h\u00e4r skapar och verifierar du en s\u00e5dan:<\/p>\n\n\n\n
# Skapa en fristaende signatur\n$ gpg --armor --detach-sign installer.tar.gz\n# Skapar installer.tar.gz.asc\n\n# Mottagaren verifierar mot originalet\n$ gpg --verify installer.tar.gz.asc installer.tar.gz\ngpg: Signature made tor 13 jun 2026 14:22:10 CEST\ngpg:                using EDDSA key AB12CD34EF56AB78CD90EF12AB34CD56EF78AB90\ngpg: Good signature from \"Anna Andersson <anna@exempel.se>\" [ultimate]<\/code><\/pre>\n\n\n\n
Raden “Good signature” \u00e4r det du vill se. F\u00e5r du i st\u00e4llet “BAD signature” har filen \u00e4ndrats eller signaturen h\u00f6r inte ihop med filen, och d\u00e5 ska du inte lita p\u00e5 inneh\u00e5llet. En varning om “no assurance” betyder att signaturen \u00e4r giltig men att du inte har verifierat avs\u00e4ndarens nyckel, vilket tar oss tillbaka till steg 6.<\/p>\n\n\n\n
Klartextsignaturen med --clearsign<\/code> \u00e4r praktisk f\u00f6r meddelanden som ska kunna l\u00e4sas av m\u00e4nniskor \u00e4ven utan PGP-st\u00f6d. Texten ligger kvar i klartext med ett signaturblock runt om, s\u00e5 mottagaren ser b\u00e5de inneh\u00e5llet och kan verifiera det. Det \u00e4r samma princip som beskrivs i v\u00e5r genomg\u00e5ng av digitala signaturer<\/a>, fast applicerad p\u00e5 fritext.<\/p>\n\n\n\n
Steg 9: Kryptera e-post i Thunderbird<\/h2>\n\n\n\n
Filkryptering \u00e4r anv\u00e4ndbart, men f\u00f6r de flesta \u00e4r sj\u00e4lva po\u00e4ngen att kryptera e-post. Thunderbird har inbyggt OpenPGP-st\u00f6d sedan version 78, s\u00e5 du beh\u00f6ver inget till\u00e4gg l\u00e4ngre. Inst\u00e4llningarna ligger under kontots egenskaper, fliken “End-to-End-kryptering”.<\/p>\n\n\n\n
Koppla din nyckel till kontot<\/h3>\n\n\n\n
Du kan antingen l\u00e5ta Thunderbird generera en ny nyckel \u00e5t sig, eller importera den nyckel du redan skapat i terminalen. F\u00f6r att \u00e5teranv\u00e4nda din befintliga nyckel exporterar du b\u00e5de den publika och den privata delen och importerar dem i Thunderbird via “L\u00e4gg till nyckel” och “Importera en befintlig OpenPGP-nyckel”.<\/p>\n\n\n\n
# Exportera den privata nyckeln for import i Thunderbird\n$ gpg --export-secret-keys --armor anna@exempel.se > anna-private.asc\n# VARNING: denna fil innehaller din privata nyckel. Radera den\n# direkt efter import och behall den aldrig okrypterad pa disk.\n$ shred -u anna-private.asc   # saker radering pa Linux<\/code><\/pre>\n\n\n\n
N\u00e4r nyckeln \u00e4r kopplad v\u00e4ljer du per meddelande om det ska krypteras och signeras genom knapparna i skrivf\u00f6nstret. Thunderbird h\u00e4mtar mottagarens publika nyckel automatiskt om den finns p\u00e5 en nyckelserver eller i WKD, annars m\u00e5ste du importera den f\u00f6rst som i steg 6.<\/p>\n\n\n\n
Vad PGP inte d\u00f6ljer<\/h3>\n\n\n\n
En sak \u00e4r avg\u00f6rande att f\u00f6rst\u00e5: PGP krypterar meddelandets inneh\u00e5ll och eventuella bilagor, men inte metadata. \u00c4mnesraden, avs\u00e4ndare, mottagare och tidsst\u00e4mpel skickas i klartext. En angripare som avlyssnar trafiken ser allts\u00e5 att du och Bjorn mejlar, n\u00e4r och hur ofta, men inte vad. Skriv d\u00e4rf\u00f6r aldrig n\u00e5got k\u00e4nsligt i \u00e4mnesraden, och var medveten om att kommunikationsm\u00f6nstret i sig kan avsl\u00f6ja mycket.<\/p>\n\n\n\n
PGP skyddar inte heller mot riktade n\u00e4tfiskef\u00f6rs\u00f6k<\/a> d\u00e4r angriparen lurar dig att kryptera till fel nyckel. Det \u00e4r d\u00e4rf\u00f6r nyckelverifieringen i steg 6 inte g\u00e5r att hoppa \u00f6ver. Krypteringen \u00e4r bara s\u00e5 stark som ditt f\u00f6rtroende f\u00f6r mottagarens nyckel.<\/p>\n\n\n\n
Steg 10: S\u00e4kerhetskopiera nycklar och hantera utg\u00e5ng<\/h2>\n\n\n\n
F\u00f6rlorar du din privata nyckel f\u00f6rlorar du tillg\u00e5ngen till allt som krypterats till den. Det g\u00e5r inte att \u00e5terskapa. D\u00e4rf\u00f6r \u00e4r s\u00e4kerhetskopian inte valfri. Exportera hela nyckelringen, b\u00e5de publika och privata nycklar plus tillitsdatabasen, och l\u00e4gg den p\u00e5 ett offline-medium.<\/p>\n\n\n\n
# Komplett sakerhetskopia av nycklar och tillitsdatabas\n$ gpg --export --armor > backup-public.asc\n$ gpg --export-secret-keys --armor > backup-private.asc\n$ gpg --export-ownertrust > backup-ownertrust.txt\n\n# Packa och kryptera sjalva backupen symmetriskt\n$ tar czf gpg-backup.tar.gz backup-*.asc backup-ownertrust.txt\n$ gpg --symmetric --cipher-algo AES256 gpg-backup.tar.gz\n$ shred -u backup-private.asc gpg-backup.tar.gz<\/code><\/pre>\n\n\n\n
Den krypterade gpg-backup.tar.gz.gpg<\/code> kan du l\u00e4gga p\u00e5 flera USB-minnen p\u00e5 olika fysiska platser. Eftersom den \u00e4r skyddad med AES-256 och ett starkt l\u00f6senord \u00e4r den s\u00e4ker \u00e4ven om ett minne kommer bort. F\u00f6r \u00e5terst\u00e4llning g\u00f6r du tv\u00e4rtom: dekryptera, packa upp och importera med gpg --import backup-private.asc<\/code> f\u00f6ljt av gpg --import-ownertrust backup-ownertrust.txt<\/code>.<\/p>\n\n\n\n
N\u00e4r nyckeln n\u00e4rmar sig sitt utg\u00e5ngsdatum f\u00f6rl\u00e4nger du den i st\u00e4llet f\u00f6r att skapa en ny. Det bevarar alla signaturer och allt f\u00f6rtroende du byggt upp. Redigera nyckeln, v\u00e4lj giltighetstiden och spara:<\/p>\n\n\n\n
$ gpg --edit-key anna@exempel.se\ngpg> expire\nKey is valid for? (0) 2y\ngpg> key 1          # valj undernyckeln\ngpg> expire         # forlang aven den\ngpg> save<\/code><\/pre>\n\n\n\n
Gl\u00f6m inte att ladda upp den uppdaterade publika nyckeln till nyckelservern efter\u00e5t, annars ser omv\u00e4rlden fortfarande den gamla utg\u00e5ngstiden. K\u00f6r samma --send-keys<\/code> som i steg 5.<\/p>\n\n\n\n
Steg 11: Flytta nyckeln till en h\u00e5rdvarunyckel (YubiKey)<\/h2>\n\n\n\n
Det s\u00e4kraste du kan g\u00f6ra med din privata nyckel \u00e4r att flytta den till en h\u00e5rdvarunyckel, s\u00e5 att den aldrig finns p\u00e5 datorns disk. En YubiKey i 5-serien fungerar som ett OpenPGP-smartkort och st\u00f6der b\u00e5de RSA 4096 och Curve25519 fr\u00e5n firmware 5.2.3 och senare. Den privata nyckeln l\u00e4mnar d\u00e5 aldrig h\u00e5rdvaran, och all kryptografi sker p\u00e5 kortet.<\/p>\n\n\n\n
F\u00f6rbered kortet genom att s\u00e4tta egna PIN-koder. Standardv\u00e4rdena \u00e4r 123456 f\u00f6r anv\u00e4ndar-PIN och 12345678 f\u00f6r admin-PIN, och de m\u00e5ste bytas direkt.<\/p>\n\n\n\n
$ gpg --card-edit\ngpg\/card> admin\ngpg\/card> passwd\n# Byt bade PIN (1) och Admin PIN (3) till egna varden.\ngpg\/card> quit<\/code><\/pre>\n\n\n\n
Flytta sedan dina undernycklar till kortet med keytocard<\/code>. Detta flyttar<\/strong> nyckeln, det vill s\u00e4ga den raderas fr\u00e5n disken och hamnar bara p\u00e5 kortet, s\u00e5 se till att du har en fungerande s\u00e4kerhetskopia fr\u00e5n steg 10 f\u00f6rst.<\/p>\n\n\n\n
$ gpg --edit-key anna@exempel.se\ngpg> key 1            # valj krypteringsundernyckeln\ngpg> keytocard\nPlease select where to store the key:\n   (2) Encryption key\nYour selection? 2\ngpg> save<\/code><\/pre>\n\n\n\n
Fallgrop:<\/strong> m\u00e5nga blir \u00f6verraskade av att keytocard<\/code> tar bort den privata nyckeln fr\u00e5n datorn. Utan en testad backup kan du l\u00e5sa ut dig sj\u00e4lv permanent om kortet g\u00e5r s\u00f6nder eller tappas bort. Verifiera alltid att backupen g\u00e5r att importera p\u00e5 en separat maskin innan du flyttar nycklar till h\u00e5rdvara.<\/p>\n\n\n\n
Steg 12: Komplett arbetsfl\u00f6de, ett k\u00f6rbart projekt<\/h2>\n\n\n\n
F\u00f6r att knyta ihop allt f\u00f6ljer h\u00e4r ett komplett, k\u00f6rbart skript som krypterar och signerar en fil till en mottagare, verifierar resultatet och loggar utfallet. Det visar hur kommandona i guiden h\u00e4nger ihop i ett verkligt fl\u00f6de, till exempel i en backuprutin eller en fil\u00f6verf\u00f6ring. Spara det som krypto-skicka.sh<\/code> och g\u00f6r det k\u00f6rbart med chmod +x<\/code>.<\/p>\n\n\n\n
#!\/usr\/bin\/env bash\n# krypto-skicka.sh - kryptera, signera och verifiera en fil med GPG\nset -euo pipefail\n\nMOTTAGARE=\"$1\"      # t.ex. bjorn@exempel.se\nFIL=\"$2\"            # filen som ska skickas\nUT=\"${FIL}.asc\"\n\n# 1. Kontrollera att mottagarens nyckel finns\nif ! gpg --list-keys \"$MOTTAGARE\" >\/dev\/null 2>&1; then\n  echo \"FEL: ingen nyckel hittad for $MOTTAGARE\" >&2\n  echo \"Importera och verifiera nyckeln forst (se steg 6).\" >&2\n  exit 1\nfi\n\n# 2. Kryptera och signera\necho \"Krypterar $FIL till $MOTTAGARE ...\"\ngpg --batch --yes --armor --sign --encrypt \\\n    --recipient \"$MOTTAGARE\" --output \"$UT\" \"$FIL\"\n\n# 3. Verifiera att utdatafilen ar ett giltigt PGP-meddelande\nif head -1 \"$UT\" | grep -q \"BEGIN PGP MESSAGE\"; then\n  echo \"OK: $UT skapad ($(wc -c < \"$UT\") byte)\"\nelse\n  echo \"FEL: utdata ser inte ut som ett PGP-meddelande\" >&2\n  exit 1\nfi\n\n# 4. Logga utfallet\necho \"$(date -Iseconds) krypterade $FIL till $MOTTAGARE\" >> krypto.log\necho \"Klart. Skicka $UT till mottagaren.\"<\/code><\/pre>\n\n\n\n
K\u00f6r skriptet med mottagare och fil som argument. Utdatat visar varje steg, och ett misslyckande avbryter direkt tack vare set -euo pipefail<\/code>, s\u00e5 du aldrig av misstag skickar en okrypterad fil.<\/p>\n\n\n\n
$ .\/krypto-skicka.sh bjorn@exempel.se kvartalsrapport.pdf\nKrypterar kvartalsrapport.pdf till bjorn@exempel.se ...\nOK: kvartalsrapport.pdf.asc skapad (4821 byte)\nKlart. Skicka kvartalsrapport.pdf.asc till mottagaren.<\/code><\/pre>\n\n\n\n
Mottagaren beh\u00f6ver bara k\u00f6ra gpg --decrypt kvartalsrapport.pdf.asc > rapport.pdf<\/code>, ange sitt l\u00f6senord och f\u00e5r b\u00e5de filen och en bekr\u00e4ftelse p\u00e5 att signaturen \u00e4r giltig. Du har nu ett fungerande PGP-uppl\u00e4gg fr\u00e5n nyckelgenerering till automatiserad, verifierad fil\u00f6verf\u00f6ring.<\/p>\n\n\n\n
Snabbreferens: de vanligaste GPG-kommandona<\/h2>\n\n\n\n
N\u00e4r grunden sitter beh\u00f6ver du s\u00e4llan sl\u00e5 upp mer \u00e4n den h\u00e4r tabellen. Den samlar de kommandon du anv\u00e4nder oftast i daglig drift av PGP-kryptering.<\/p>\n\n\n\n\n\n
Uppgift<\/th>Kommando<\/th><\/tr><\/thead>\n
Lista publika nycklar<\/td>gpg --list-keys<\/code><\/td><\/tr>\n
Lista privata nycklar<\/td>gpg --list-secret-keys<\/code><\/td><\/tr>\n
Generera nyckelpar<\/td>gpg --full-generate-key<\/code><\/td><\/tr>\n
Exportera publik nyckel<\/td>gpg --armor --export ADRESS<\/code><\/td><\/tr>\n
Importera nyckel<\/td>gpg --import fil.asc<\/code><\/td><\/tr>\n
Visa fingeravtryck<\/td>gpg --fingerprint ADRESS<\/code><\/td><\/tr>\n
Kryptera och signera<\/td>gpg -se -r ADRESS fil<\/code><\/td><\/tr>\n
Dekryptera<\/td>gpg --decrypt fil.asc<\/code><\/td><\/tr>\n
Verifiera signatur<\/td>gpg --verify fil.asc<\/code><\/td><\/tr>\n
Redigera nyckel<\/td>gpg --edit-key ADRESS<\/code><\/td><\/tr>\n<\/tbody>\n<\/table>\n\n\n\n
Sex vanliga fallgropar med PGP-kryptering<\/h2>\n\n\n\n
De flesta problem med PGP beror inte p\u00e5 krypteringen i sig utan p\u00e5 hur m\u00e4nniskor hanterar nycklarna. H\u00e4r \u00e4r de misstag vi ser oftast, och hur du undviker dem.<\/p>\n\n\n\n