GPG-Schlüssel

Mein aktueller GPG-Schlüssel ist ein 4096-Bit RSA-Schlüssel mit der ID 0x033AA0B393AFAE6C:

# gpg --fingerprint 0x033AA0B393AFAE6C
pub   rsa4096/0x033AA0B393AFAE6C 2013-10-16 [SC] [verfällt: 2028-09-02]
  Schl.-Fingerabdruck = D176 96EE DCFE C203 8171  D953 033A A0B3 93AF AE6C
uid                [ ultimativ ] Carsten Grohmann <carstengrohmann@gmx.de>
uid                [ ultimativ ] Carsten Grohmann <carsten@grohmann-online.de>
uid                [ ultimativ ] Carsten Grohmann <mail@carstengrohmann.de>
sub   rsa4096/0x6F5B8616ACB0354B 2013-10-16 [E] [verfällt: 2028-09-02]
  Schl.-Fingerabdruck = DD36 8F14 0651 75DE B159  3980 6F5B 8616 ACB0 354B
sub   rsa4096/0x468E025260DD710F 2023-09-04 [S] [verfällt: 2028-09-02]
  Schl.-Fingerabdruck = ACB8 745F 8E11 FAD1 2B62  571C 468E 0252 60DD 710F

Mit meinem öffentlicher Schlüssel sind alle Dateien im Downloadbereich signiert.

Er kann sowohl heruntergeladen als auch über die gängigen Keyserver wie zum Beispiel https://pgp.mit.edu oder https://keys.openpgp.org bezogen werden. Parallel dazu wurde mein alter GPG-Schlüssel (ID FD2D5970) von mir für ungültig erklärt.

Beispiel: Erfolgreiche Integritätsprüfung einer Datei:

# gpg --verify smm-0.16.tar.gz.asc
gpg: die unterzeichneten Daten sind wohl in 'smm-0.16.tar.gz'
gpg: Signatur vom Di 11 Dez 2018 07:09:03 CET
gpg:                mittels RSA-Schlüssel D17696EEDCFEC2038171D953033AA0B393AFAE6C
gpg: Korrekte Signatur von "Carsten Grohmann <carstengrohmann@gmx.de>" [ultimativ]
gpg:                     alias "Carsten Grohmann <carsten@grohmann-online.de>" [ultimativ]
gpg:                     alias "Carsten Grohmann <mail@carstengrohmann.de>" [ultimativ]

Beispiel: Fehlgeschlagene Integritätsprüfung einer Datei

Der Inhalt der Datei ist verändert und entspricht nicht den von mir signierten Inhalt:

# gpg --verify xvid-1.1.0-1.src.rpm.asc
gpg: Unterschrift vom Mi 23 Okt 2013 19:01:03 CEST
gpg:                mittels RSA-Schlüssel 0x033AA0B393AFAE6C
gpg: FALSCHE Unterschrift von "Carsten Grohmann <carsten@grohmann-online.de>" [uneingeschränkt]

Seit dem 4. September 2023 sind auch alle meine Git-Commits signiert. Dafür verwende ich einen Subkey mit der ID 0x468E025260DD710F.

Beispiel: Git-Commit prüfen

# git log --show-signature
commit 693b383eb283b7e8cd5b50a71daf71067cdab749
gpg: Signatur vom Mo 04 Sep 2023 21:52:11 CEST
gpg:                mittels RSA-Schlüssel ACB8745F8E11FAD12B62571C468E025260DD710F
gpg: Korrekte Signatur von "Carsten Grohmann <carstengrohmann@gmx.de>" [ultimativ]
gpg:                     alias "Carsten Grohmann <carsten@grohmann-online.de>" [ultimativ]
gpg:                     alias "Carsten Grohmann <mail@carstengrohmann.de>" [ultimativ]
Haupt-Fingerabdruck  = D176 96EE DCFE C203 8171  D953 033A A0B3 93AF AE6C
Unter-Fingerabdruck  = ACB8 745F 8E11 FAD1 2B62  571C 468E 0252 60DD 710F
Author: Carsten Grohmann <mail@carstengrohmann.de>
Date:   Mon Sep 4 20:28:19 2023 +0200

        Use precompiled Python to speedup test pipeline

        Switching from self compiled Python (from AUR) to a precompiled pkg
        reduced the runtime of the test pipeline from 17 minutes to 12 minutes.