Diese Datei ist (im Original) in UTF-8 mit Unix-Zeilenenden codiert. ############################################################################# Version 1.2, 23.09.2013 Siehe http://www.openpgp-schulungen.de/scripte/keygeneration/ Die Scripte funktionieren nur unter Linux o.Ä. (Ausnahme: import_*) Außer dieser README befinden sich in diesem Verzeichnis u.a.: 1) scripthashes.sh Dieses Script muss als erstes ausgeführt werden, aber auch erst, NACHDEM ein sicherer Hashwert dieses Scripts notiert wurde: gpg --print-md sha1 scripthashes.sh gpg --print-mds scripthashes.sh Dieses kleine Script erzeugt einen Hashwert über alle anderen Scripte (die während der kritischen Phase ausgeführt werden), so dass man nur zwei Hashwerte prüfen muss: Den dieses Scripts und denjenigen, den es für die anderen ausgibt. 2) start.sh Wie der Name schon sagt: Sobald die Hashwerte geprüft sind, geht es hiermit weiter. Dies ist lediglich ein Wrapperscript, das nacheinander a) user-ids.sh b) policy-url.sh c) key-generation.sh aufruft. Weiter als hier muss man nicht wirklich lesen. :-) 3) key-generation.sh Das Schlüsselerzeugungsscript, die wichtigste Datei. Dieses Script wird im Normalfall einfach mit seinem Namen aufgerufen, also z.B. mit "./key-generation.sh". Es kennt einige Optionen, die man sich durch Angabe des Parameters "--help" anzeigen lassen kann. Da es bei Live-CDs gerne mal zu Problemen mit der Systemzeit kommt, ist das Script dafür ausgelegt, als root zu laufen. Dadurch kann es die Systemzeit vor der Schlüsselerzeugung ein paar Stunden zurücksetzen und auf diese Weise Probleme beim zeitnahen Import ins Arbeitssystem vermeiden. 4) key-generation.conf Textdatei, die die Konfiguration für key-generation.sh enthält. Diese Datei muss angepasst werden. Ohne sie funktioniert das Script nicht (jedenfalls nicht im Schlüsselerzeugungs-Modus). Es handelt sich im Grunde um eine bash-Datei; sie wird vom Script per "source" eingebunden und muss deshalb der bash-Syntax entsprechen. Diese Datei kann man mit einem Editor oder mit Hilfe des Scripts user-ids.sh erstellen. 5) gpg.conf Konfigurationsdatei für gpg (mit einigen Verbesserungen gegenüber der Standarddatei). Diese Datei wird nach ~/.gnupg/ kopiert und dort (ggf.) bearbeitet. Es ist so gedacht, dass der neu erzeugte Schlüssel vom Script in diese Datei eingetragen und die modifizierte Datei ins Arbeitssystem übernommen wird. Wenn man GnuPG schon verwendet und deshalb eine angepasste Datei hat, sollte man die beiden Dateien sorgfältig abgleichen. 6) user-ids.sh Dieses Script fragt den Namen sowie die E-Mail-Adressen und jeweiligen Kommentare und bastelt daraus (und aus einer Vorgabe) die key-generation.conf. 7) policy-url.sh Ein Script zum bequemen Eintragen der policy URL in die gpg.conf im aktuellen Verzeichnis. Wenn man keinen Webspace hat, wird der Standardwert eingetragen (http://www.openpgp-schulungen.de/users/__SHORTID____policy.1.html). 8) collect_entropy.sh Ein Hilfsscript, das einem anzeigt, wie viel Entropie das System hat. Damit kann man schon vor der Schlüsselerzeugung gezielt Entropie sammeln. Wenn man das Script nicht unter X11 in einem Terminal laufen lässt, sondern auf einer virtuellen Konsole (in screen), dann ist es praktisch, in einer anderen Konsole dieses Script zu starten, wenn gpg nach mehr Entropie verlangt, weil man dann sieht, wann genug Entropie gesammelt wurde. 9) hashwerte.html Eine Datei mit den Hashwerten der oben genannten Scripte und der zur Zeit verwendeten KNOPPIX-Version. Diese Hashwerte sollten Sie ausdrucken. Sie stehen mehrfach in der Datei, weil die für Schulungen gedacht ist, Sie brauchen sie aber nur einmal. Es ist viel einfacher und bequemer, die Hashwerte der Software mit denen auf einem Zettel zu vergleichen als sie selber aufzuschreiben. 10) die Verzeichnisse lsign, clearsign Zertifikate (öffentliche Schlüssel), die sich in lsign befinden, werden automatisch vom neuen Schlüssel (lokal) zertifiziert. Textdateien, die sich in clearsign befinden, erhalten eine Klartextsignatur des Hauptschlüssels. 11) import_* Mit diesen Scripten kann man unter dem jeweiligen Betriebssystem die Schlüsseldateien usw. bequem importieren. Das Schlüsselerzeugungs-Script Was passiert, wenn man das Script startet? Mal abgesehen von möglichen Problemen passiert dies, wenn man es zwecks Schlüsselerzeugung startet: Es fragt einen nach einem Zielordner (meist auf einem USB-Stick oder der ins sichere System gemounteten Festplatte). Dann erzeugt es den Schlüssel und schreibt am Ende die Schlüssel-Exportdateien, die angepasste Konfigurationsdatei, die Scripte (und deren Signaturen), eine README (nicht diese) und ggf. weitere Dateien (z.B. lokal zertifizierte Schlüssel) in dieses Verzeichnis. Das Script ist ziemlich gesprächig. Es weist allerdings in der ersten Zeile seiner umfangreichen Meldungen darauf hin, ob die Meldung in der konkreten Situation wichtig ist oder man sie überspringen kann.