Med kommandot
gpg --gen-key
Nästa steg är att bestämma nyckellängd. Detta beror mycket på användaren. Ett val mellan säkrhet å ena sidan och beräkningstid å andra sidan. Ju längre en nyckel är desto mindre är risken att den knäcks, men det tar längre tid att kryptera och avkryptera. Även om processortid är viktig bör det tas i beaktning att den skapade nyckeln kommer att användas för en relativt lång tid framöver. Vi känner till att den matematiska förmågan hos datorer ständigt ökar, så i framtiden kanske det inte kommer att vara några problem. Den minsta nyckellängden GnuPG tillåter är 768 bitar. Vissa säger att man inte bör använda mindre nycklar än 2048 bitar (vilket är max för GnuPG). DSA har 1024 bitar som standardlängd. När säkerhet är viktigare än processortid bör största tillgängliga nyckellängd väljas.
Programmet frågar nu efter namn, kommentar och emailadress. Baserat på denna information kan nu nyckeln beräknas. Denna information kan ändras senare. Se Administration av nycklar. Välj en längre emailadress eftersom denna kommer att signeras. Om adressen modifieras kommer inte signaturen att gälla längre. Sedan efterfrågas ett kommentarsfält. Informationen här kan vara godtycklig, men bör vara relevant.
Slutligen krävs ett lösenord (lösenfras är ett bättre ord i sammanhanget eftersom blanksteg kan användas). Detta lösen krävs för att kunna använda den privata nyckeln. Ett bra lösen innehåller följande element:
När all information har matats in startar själva nyckelskapandet. Den här processen tar lite tid. Systemet insamlar en stor mängd slumpartad data. Om en nyckel skapas 5 minuter senare med exakt samma information kommer nyckeln att se helt annorlunda ut.
Kommandot för att exportera nycklar för en viss användare är:
gpg --export [UID]
stdout om inget annat anges via -o-modifieraren för att skapa en fil. Det kan vara vettigt att använda modifieraren -a för att få all utmatning i 7-bitars ASCII istället för i binär form.
När en känd nyckel har exporteras kan andra användare som fått sig denna nyckel tillskickad skicka meddelanden krypterade så att bara innehavaren av den privata nyckeln kan läsa dem. Nyckeln kan också spridas på hemsidor, finger-information, lagras på en nyckelserver eller andra sätt.
För att kunna skicka meddelanden krypterade med en speciell känd nyckel måste denna kända nyckel läggas till din nyckelring. För att importera en nyckel, skriv:
gpg --import [Filnamn]
stdin.
En användare kan vilja spärra en nyckel av flera skäl, t.ex: den hemliga/privata nyckeln har stulits, UID har ändrats, nyckeln är för liten etc. I alla dessa fall används kommandot:
gpg --gen-revoke
Med systemed följer en fil som fungerar som en sorts database. Det är i denna fil som alla nycklar och all information om dessa nycklar lagras (allt förutom ägarens tillit, se Signera nycklar). Med
gpg --list-keys
gpg --list-sigs
gpg --fingerprint
För att lista alla privata eller hemliga nycklar, skriv:
gpg --list-secret-keys
För att radera en känd nyckel, skriv:
gpg --delete-key UID
gpg --delete-secret-key
Ett kommando som är viktigt att komma ihåg när nycklar behöver modifieras:
gpg --edit-key UID
Som tidigare nämnts finns det en Akilleshäl i systemet - äktheten av kända nycklar. Om en falsk känd nyckel används för kryptering försvinner säkerheten sin kos. För att komma runt dessa risker finns möjligheten att signera nycklar. En signatur placeras över nyckeln så att dess ursprung kan ställas utom allt tvivel. I detta läge har signaturen bevisat att nyckeln är äkta. Krypteringen kan påbörjas.
Med hjälp av kommandot gpg --edit-key UID kan nycklar signeras genom att använda sign -kommandot.
En nyckel skall endast signeras om det är STÄLLT UTOM ALLT TVIVEL att nyckeln är äkta!!. Om det är säkerställt (t.ex. via telefon) att en nyckel är äkta, är det ok att signera den. Signera nycklar baserat på fakta, aldrig på antaganden. Om en falsk nyckel signeras drabbas säkerheten.
GnuPG baserar äktheten av en nyckel på signaturer och "ägartillit". Ägartillit är ett tillitsvärde som innehavaren kan sätta på nycklar. Som värden kan användas: