-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512,SHA1 [english version below] Datum: 20. September 2015 Aus diversen Gründen, besonders weil der alte Schlüssel inzwischen recht "kurz" ist, wechsle ich meinen OpenPGP-Schlüssel. Der alte Schlüssel bleibt noch eine Weile gültig, ich bitte jedoch darum, für alle Nachrichten an mich in Zukunft den neuen Schlüssel zu verwenden. Ich verwende ab jetzt für Signaturen und ausgehende Nachrichten nur noch den neuen Schlüssel. Der neue Schlüssel soll auch wieder ins Web-of-Trust integriert werden, daher ist diese Nachricht mit beiden Schlüsseln signiert. Der bisherige Schlüssel war: pub 1024D/0x345AEEC08B78ECE4 2006-04-08 [expires: 2016-09-17] Key fingerprint = 9CE4 2596 1CD7 ABB6 864F 26F3 345A EEC0 8B78 ECE4 Der neue, in Zukunft verwendete Schlüssel ist: pub 4096R/0x22AFBB1385E93173 2015-09-18 [expires: 2018-09-17] Key fingerprint = 3899 1D1F 993C 52F1 A49D D583 22AF BB13 85E9 3173 Um den Schlüssel von einem Keyserver abzurufen genügt folgender Befehl: gpg --keyserver hkp://eu.pool.sks-keyservers.net --recv-key 0x22AFBB1385E93173 Wer meinen alten Schlüssel bereits kennt, kann nun den neuen Schlüssel überprüfen: gpg --check-sigs 0x22AFBB1385E93173 Wer den alten Schlüssel nicht kennt oder sicherheitshalber den neuen Schlüssel erneut prüfen möchte, kann den oben genannten Fingerprint prüfen: gpg --fingerprint 0x22AFBB1385E93173 Wenn Sie den Schlüssel erfolgreich geprüft haben und die UIDs dem entsprechen, was Sie erwarten, bitte ich Sie, meinen neuen Schlüssel zu signieren. Dazu dient der folgende Befehl: ** Hinweis: Sollten Sie den alten Schlüssel nur lokal signiert haben oder den neuen Schlüssel nicht an Keyserver senden wollen, ersetzen Sie bitte --sign-key im Befehl unten durch --lsign-key. ** gpg --sign-key 0x22AFBB1385E93173 Ich bevorzuge es, den signierten Schlüssel per E-Mail zu bekommen und ihn nicht direkt auf einem Keyserver hochzuladen. So ist gleichzeitig sichergestellt, dass ich noch Zugang zu meinen geheimen Schlüssel habe, um Ihre Nachricht zu entschlüsseln. Sollte Ihr Mailsystem eingerichtet sein, so können Sie mir den Schlüssel mit folgendem Befehl verschlüsselt zusenden: gpg --export 0x22AFBB1385E93173 | gpg --encrypt -r 0x22AFBB1385E93173 --armor | mail -s 'neue OpenPGP Signaturen' Abgeschrieben und übersetzt habe ich diesen Hinweis von folgender Seite: https://we.riseup.net/debian/openpgp-best-practices Bei Fragen oder Problemen wenden Sie sich gerne direkt an mich. Florian Harbich ENGLISH VERSION FOLLOWS Date: 20. September 2015 For a number of reasons, i've recently set up a new OpenPGP key, and will be transitioning away from my old one. The old key will continue to be valid for some time, but i prefer all future correspondence to come to the new one. I would also like this new key to be re-integrated into the web of trust. This message is signed by both keys to certify the transition. the old key was: pub 1024D/0x345AEEC08B78ECE4 2006-04-08 [expires: 2016-09-17] Key fingerprint = 9CE4 2596 1CD7 ABB6 864F 26F3 345A EEC0 8B78 ECE4 And the new key is: pub 4096R/0x22AFBB1385E93173 2015-09-18 [expires: 2018-09-17] Key fingerprint = 3899 1D1F 993C 52F1 A49D D583 22AF BB13 85E9 3173 To fetch the full key from a public key server, you can simply do: gpg --keyserver hkp://eu.pool.sks-keyservers.net --recv-key 0x22AFBB1385E93173 If you already know my old key, you can now verify that the new key is signed by the old one: gpg --check-sigs 0x22AFBB1385E93173 If you don't already know my old key, or you just want to be double extra paranoid, you can check the fingerprint against the one above: gpg --fingerprint 0x22AFBB1385E93173 If you are satisfied that you've got the right key, and the UIDs match what you expect, I'd appreciate it if you would sign my key. You can do that by issuing the following command: ** NOTE: if you have previously signed my key but did a local-only signature (lsign), you will not want to issue the following, instead you will want to use --lsign-key, and not send the signatures to the keyserver ** gpg --sign-key 0x22AFBB1385E93173 I'd prefer you to not upload my signed key directly but to receive your signatures on my key by E-Mail. This way, you can be sure that I still have my secret key in order to decrypt your message. You can send me an e-mail with the new signatures (if you have a functional MTA on your system): gpg --export 0x22AFBB1385E93173 | gpg --encrypt -r 0x22AFBB1385E93173 --armor | mail -s 'OpenPGP Signatures' I recommend checking out the excellent Riseup GPG best practices doc, from which I stole most of the text for this transition message ;-) https://we.riseup.net/debian/openpgp-best-practices Please let me know if you have any questions, or problems, and sorry for the inconvenience. Florian Harbich -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQI+BAEBCgAoBQJV/C4lIRhoa3A6Ly9ldS5wb29sLnNrcy1rZXlzZXJ2ZXJzLm5l dAAKCRAir7sThekxc71AD/9CFqPvLNJlHxQzVEISO0R56BK109mG3JWGte0O+KKN sboi/vRjU3QEng99E85gp8eZPrxHis7BgbnAfcydpPRr4Ww0y9F7Bu50VbgE7kLv k+cnIzYkEoX5cMsF0IjZefHi3bOVN+lN2B5P80MaeoDfgTHLICGvsdVkx1/jT9GM TJt0x0a/06YuvTNyX5hm4lMTtSvi+nk+x7EEkSETzRgRK8yDX3+xflM32KDr+lUR x0HSPLCin7kd49BjyPH39BKUWJz/+mTcYxgucnrY/+So4YcGQxAFoDeW09KuMpfb 69WkUEm0Q0QojhJXFpS6UevGfXLSGUkmkfBXXXQ7duDAco72+H4l8FxeDGf5XtfH Kf6c3QfWJxh1UxMH6Tz/N4rieLSkJ3HgwSJBqCJ+ACHQzYNZ8QskuFvOEIM7/cnq p4tyZQvuU0GmjfJadxb4GRi7/oy5jL6RPY+NXJWZPEq8RN/oX08IbRSk6yf3l8Bn h6DHdZCeWBT0L8Xow70QN0DPXSBnWNNk73feecnkzmNmNtITzXBFZkwZd3d/WVTy v2A2eU7Ttsu0a1jBm+VnDalqYSjQJi1IYjCuoTR4RwGUzeB6SlTe1hKGPM4KFxFe 9X45xacm0IDfQbn3+5XRofMoQ8TuTdeElFD1bq4YUkAyi2lAwuBCDHmzTP1NqZU9 DohoBAERAgAoBQJV/C4lIRhoa3A6Ly9ldS5wb29sLnNrcy1rZXlzZXJ2ZXJzLm5l dAAKCRA0Wu7Ai3js5J3BAJ4nHMPnHJh1W+SreP9bivI+GSdSrQCdE2Adme+FxYIY N9qhtXf4pyGst0o= =ZIvA -----END PGP SIGNATURE-----