gpg --gen-key
Sonraki soru anahtar uzunluğudur. Bu kullanıcıya bağlı bir şeydir. Güvenlik ve hesaplama süresi arasında tercih yapmalısınız. Eğer anahtar daha uzunsa ileti ele geçirildiğinde kırılma riski daha azdır. Fakat büyük bir anahtar ile hesaplama süresi de artar. Eğer hesaplama zamanı sizin için bir ölçü ise anahtarı daha sonraları da kullanacağınızı dikkate alın. Aritmetik performansın çok hızlı arttığını biliyoruz, yeni islemciler ile daha da hızlanıyorlar. O yüzden bunu aklınızda bulundurun. GnuPG için en kısa anahtar uzunluğu 768 bittir. Ancak kimi insanlar en azından 2048 bitlik bir anahtar uzunluğu seçmenizi tavsiye ederler (Bu GnuPG için simdilik en büyük uzunluktur). DSA için 1024 standart boyuttur. Güvenlik sizin için en önemli ve perfomans daha az önemli ise mümkün olan en uzun anahtarı seçmeniz en iyisidir.
Sistem daha sonra isminizi, açıklamanızı ve e-posta adresiniz girmenizi ister. Buradaki girdilere göre kod hesaplanır. Bu ayarları daha sonra değiştirebilirsiniz. Anahta çiftleri yönetimi bölümüne bakın.
Son olarak parola (aslında parola metni demek daha uygundur, çünkü boşlukta kullanabilirsiniz) girmelisiniz. Bu parola gizli anahtarınıza ait olan işlevleri kullanmanız için gerekmektedir. İyi bir parola metni aşagıdaki öğeleri içermelidir:
Parolanızda bazen BüYÜk haRf KuLLanıp BaZEN kUllANmayaRak da daha güvenli olmasını sağlayabilirsiniz. Parola oluşturduktan sonra onu UNUTMAYIN. Eğer unutursanız iletileri okunamaz yaparsınız ve gizli anahtarınızın kullanılırlığı kaybolur. Bu bilgiyi içeren bir sertifika oluşturmak bazen iyi olabilir (tabi ki parola metninize kimsenin ulaşmamasını sağlamalısınız). Feshetme bölünüme bakın.
Her şey girildikten sonra sistem anahtarları oluşturmaya başlar. Bu biraz zaman alabilir. Bu süre içinde rastgele veri toplanması gerekir. Farklı ekranlarda çalışarak bu rastgele veriyi değiştirebilir ve anahtarın oluşmasına yardımcı olabilirsiniz. Buradan da anlayabileceginiz gibi anahtar her zaman farklı olacaktır. Eğer şimdi bir anahtar oluşturur ve aynı bilgilerle 5 dakika sonra başka bir anahtar oluşturursanız farklı anahtarlar elde etmiş olursunuz. Parolanınızı unutmamanızın gereği işte budur.
Kullanıcı için anahtarı dışa aktarım komutu aşağıdaki gibidir:
gpg --export [UID]
Eğer UID girilmez ise tüm mevcut anahtarlar dışarıya aktarılır. Öntanımlı olarak
çıktı stdout'a atılır. -o seçeneği ile bu bir dosyaya
gönderilebilir. -a komutu ile anahtarın ikili dosya yerine 7 bitlik bir ASCII
dosyasına yazılması tavsiye edilir.
Genel anahtarları dışa aktararak güvenlik alanınızı genişletebilirsiniz. Diğer insanlar sizinle güvenli iletişim kurabilirler. Bu, genel anahtarınızı kişisel sayfanızda yayımlayarak, http://www.pca.dfn.de/dfnpca/pgpkserv/ gibi bir anahtar sunucusuna koyarak ve aklınaza gelen başka yollarla mümkün olabilir.
Birisinin genel anahtarını (veya birden fazla genel anahtarı) aldığınızda bunu kullanabilmeniz için anahtar veritabanına eklemeniz gerekir. Veritabanına anahtarı aktarabilmek için aşağıdaki komutu kullanabilirsiniz:
gpg --import [DosyaAdı]
Eğer dosya adı boş bırakılırsa veri stdin'den okunacaktır.
Birçok nedenden dolayı mevcut bir anahtarı feshetmek isteyebilirsiniz. Mesela, gizli anahtarınız çalınmış veya yanlış kişilerin eline geçmiş olabilir, UID'iniz değişmiş olabilir, anahtar uzunluğu artık yeterince büyük değildir vb. Tüm bu durumlarda, anahtarı feshetmek için komut aşağıdaki gibidir:
gpg --gen-revoke
Bu bir fesih sertifikası oluşturur.
Bunu yapabilmeniz için gizli anahtarınızın olması gereklidir, aksi halde herkes anahtarınız için fesih sertifikası oluşturabilir. Bunun bir tek olumsuz yönü vardır. Parola metninizi unuttuğunuz zaman anahtar kullanışsız hale gelir, fakat onu fesih de edemezsiniz! Bunun üstesinden gelmek için anahtar çiftinizi oluşturduğunuzda fesih sertifikasını da aynı zamanda oluşturmaktır. Ancak eğer bunu yaparsanız onu güvenli bir yerde saklayın! Bu bir diskte ya da kağıt üzerinde olabilir. Bu sertifikanın yanlış ellere ulaşmayacağından emin olun!!! Eğer ulaşırsa birileri sizin fesih sertifikanızı kullanarak anahtarlarınızı kullanışsız hale getirebilir.
GnuPG sistemi veritabanı gibi davranan bir dosya ile gelir. Bu dosyada anahtar ile bilgileri hakkında her şey vardır. (Sahip güvencesi değerlerine kadar her şey: daha fazla bilgi için Anahtar imzalama bölümüne bakın.)
gpg --list-keys
gpg --list-sigs
Parmakizlerini yazdırmak için:
gpg --fingerprint
Gizli anahtarları yazdırmak için:
gpg --list-secret-keys
Genel anahtarı silmek için:
gpg --delete-key UID
gpg --delete-secret-key
Anahtarlarla çalışırken önemli bir seçenek daha vardır.
gpg --edit-key UID
Girişte de belirtildiği gibi sistemde ana bir sorun vardır. Bu genel anahtarların doğrulanmasıdır. Eğer yanlış bir genel anahtarı kullanıyorsanız şifrelemenizin değerini yok etmiş olursunuz. Bu gibi riskleri aşmak için anahtarı imzalamak gibi bir olanak vardır. Bu durumda anahtarınıza imzanızı atarsınız, böylelikle anahtarın kesinlikle güvenilir olduğunu belirtmiş olursunuz. Bu anahtarda belirtilen kullanıcı kimliğini gerçekten anahtarın sahibi olan kişi olduğunu bildirir. Bu doğrulama ile şifrelemeye başlayabilirsiniz.
gpg --edit-key UID komutunu kullanarak imzalayacağınız anahtara
sign komutuyla imzanızı atabilirisiniz.
Bir anahtarı doğrulanmış şekilde imzalamak için doğruluğundan KESİNLİKLE EMİN olup ancak ondan sonra imzalayınız!!!. Eğer anahtarı kendiniz aldıysanız (mesela bir anahtar imzalama buluşmasında) veya anahtarı başka bir yolla parmak izi mekanizması kontrol ettiyseniz (örneğin telefon ile) anahtarı imzalayabilirsiniz. Anahtarı tahminlere dayalı olarak imzalamamalısınız.
Mevcut imzalara ve "sahip güvenine" bakarak GnuPG bir anahtarın geçerliliğine karar verir. Sahip güveni bir anahtarın sahibinin belli bir anahtar için belirlediği güven değeridir. Değerler aşağıdaki gibidir:
Eğer kullanıcı imzaya güvenmiyorsa bunu söyleyebilir ve imzayı umursamayabilir. Güvenme bilgisi anahtarların olduğu dosyada saklanmaz, ayrı bir dosyadadır.