Warum eine Passphrase, wenn mein Private Key in einer Datei ist?

Ohne Passphrase kann **jeder, der die Datei kriegt** (gestohlener Laptop, Backup-Leak), deine Mail lesen und Commits als du signieren. Eine Passphrase **wickelt den Private Key in einen weiteren Verschluesselungslayer**. Ohne Passphrase ist die Datei nutzlos. Industrie-Standard.

Unterschied zwischen Public und Private Key?

**Public Key gibst du jedem** (in deiner Mail-Signatur, auf GitHub, auf der Firmenseite). Jeder kann eine Nachricht fuer dich verschluesseln. **Private Key behaeltst du nur** (auf deinem Laptop, ideal auf einem YubiKey-Hardware-Token). Nur du kannst Nachrichten entschluesseln, die mit dem Public Key verschluesselt wurden. Asymmetrie ist Sicherheit.

Was sind Fingerprint und Key-ID?

**Fingerprint** ist ein 40-Zeichen-Hex-String (SHA-1 des ganzen Keys), dein einzigartiger "kryptografischer Fingerabdruck". **Key-ID** sind die letzten 16 Zeichen des Fingerprints, die Kurzversion in UIs. Wenn jemand dir einen Key mit "mein Key: 1A2B 3C4D ..." gibt, **verifizier den Fingerprint** vor blindem Vertrauen (MITM-Angriffe tauschen Keys still aus).

Kann ich die Passphrase spaeter aendern?

Ja, aber **nicht in diesem Tool**, das generiert nur. In GnuPG (`gpg --edit-key`), in ProtonMail-Settings, in Keybase auch. Der Private Key selbst bleibt gleich, nur die Huelle aendert sich.

Was, wenn ich meinen Private Key verliere?

**Du kannst alte Nachrichten nicht mehr entschluesseln**, nie. Das macht PGP stark. Standard-Praxis: **generier sofort ein Revocation-Zertifikat** nach Key-Erstellung, sicher aufbewahren. Verlierst du den Key, publish das Zertifikat, um der Welt zu sagen, dass dein Public Key verbrannt ist. Wir generieren das Revocation-Cert hier nicht (advanced), mach es in GnuPG.

Der Key ist abgelaufen, was nun?

Neuen generieren, veroeffentlichen, auf deinem Blog/Twitter als neuen Key ankuendigen. Der **alte Key entschluesselt noch alte Nachrichten**, du verlierst keine Historie. Ablauf ist ein **Sicherheitsnetz** fuer den Fall, dass du Zugriff verlierst oder den Key vergisst.

Sieht euer Server meine Keys?

**Nein**. Generierung passiert komplett im Browser (die OpenPGP.js-Library, gleicher Code wie ProtonMail). Oeffne **DevTools -> Network**, null Requests beim Generieren. Unser Server liefert nur statisches HTML/JS/CSS.

Kann ich den Key in GnuPG/Thunderbird/ProtonMail nutzen?

Ja, **die Keys folgen dem OpenPGP-Standard** (RFC 4880), ASCII-"Armored"-Format. In GnuPG: `gpg --import private.asc`. In Thunderbird: Einstellungen, End-zu-End-Verschluesselung, OpenPGP, Importieren. In ProtonMail: Einstellungen, Verschluesselung und Schluessel, Importieren.

PGP und S/MIME loesen das gleiche Problem (verschluesselte Mail), sind aber **inkompatibel**. S/MIME nutzt X.509-Zertifikate (wie HTTPS, hierarchische CAs), PGP nutzt das "Web of Trust" (Peer-to-Peer-Vertrauensnetz). PGP dominiert bei Entwicklern und Privacy-Organisationen (EFF, Tor, ProtonMail), S/MIME dominiert im Corporate Outlook/Microsoft 365.

YourDevToolsPro

PGP-Schlüsselpaar-Generator

OpenPGP-Schlüsselpaar (Ed25519 oder RSA) direkt im Browser erzeugen. ASCII-armored, sofort importierbar.

LiveLäuft im Browser

Erzeuge ein OpenPGP-Schlüsselpaar zum Verschlüsseln von E-Mails, Signieren von Git-Commits und Verifizieren von Software. Die gesamte Mathematik läuft in deinem Browser.

PGP-Schlüsselpaar-Generator

E-Mail

Kommentar (optional)

Passphrase des privaten Schlüssels (optional)

Ohne Passphrase kann sich jeder mit Zugriff auf die private Schlüsseldatei als du ausgeben. Wir empfehlen dringend, eine festzulegen.

Kurve / Algorithmus

Schlüssel-Ablauf

Alles läuft lokal. Der private Schlüssel verlässt deinen Browser nie.

Was ist ein PGP-Key und warum brauchst du einen?

PGP ist der Standard, den du heute noch nutzt, um private E-Mails zu schuetzen (ProtonMail), Git-Commits auf GitHub zu signieren und die Authentizitaet von Software zu pruefen (Linux-Kernel, Ubuntu, signierte Package-Releases). Du generierst ein Schluesselpaar: einen Public Key (gibst du jedem) und einen Private Key (behaeltst du). Jeder kann eine Nachricht fuer dich mit dem Public Key verschluesseln, nur du kannst sie lesen.

Hier generierst du das Paar direkt im Browser. Waehl Ed25519 (moderne, schnelle Elliptische Kurve) oder klassisches RSA-2048/4096 (Kompatibilitaet mit Legacy-Tools). Keys kommen im ASCII-"Armored"-Format, du kannst sie direkt in Gmail, GitHub oder Keybase pasten.

Alles laeuft im Browser. Der Private Key verlaesst dein Geraet nie. Das ist die Kernregel von PGP, nur du kennst den Private Key.

So nutzt du das Tool

Gib Name und E-Mail ein, die Felder werden als "User ID" in den Public Key eingebettet.
Optional Kommentar (z.B. "GitHub", "Arbeit", "privat"), wenn du mehrere Keys fuer verschiedene Zwecke haeltst.
Passphrase fuer den Private Key: dringend empfohlen. Ohne kann jeder mit Dateizugriff in deinem Namen Commits signieren.
Waehl die Kurve: Ed25519 fuer modernen Einsatz (GitHub, ProtonMail), RSA-2048 fuer Legacy-Systeme, RSA-4096 fuer groesste Sicherheitsmarge (Generierung dauert paar Sekunden).
Waehl den Ablauf: 1, 2, 5 Jahre oder nie. Kuerzerer Ablauf ist bessere Praxis; der Key kann rotiert oder revoked werden.
Klick Generieren. Du kriegst Public Key, Private Key, Fingerprint (kurzer Identifier) und Key-ID.

Wann nutzen

Sechs typische Situationen, in denen ein PGP-Key das Problem loest:

Mail in ProtonMail/Tutanota/Thunderbird verschluesseln. Tausche Public Keys mit einem Freund; von da an koennt ihr beide fuereinander verschluesseln.
Git-Commits auf GitHub signieren. Public Key zu deinem Account, Commits kriegen einen gruenen "Verified"-Badge.
Linux-Paket-Signatur pruefen. Die PGP-Signatur beweist, dass das Paket vom Original-Autor kommt (apt-get, pacman).
Identitaet auf Keybase, ProtonMail-Keyserver, GitHub. Dein Public Key ist deine kryptografische Identitaet.
Passwort oder API-Key sichern. Datei mit eigenem Public Key verschluesseln, du kannst sie sogar sicher in ein oeffentliches Repo pushen.
Anonyme Whistleblower-Tipps. Journalisten und Organisationen (Wikileaks, ProPublica) veroeffentlichen ihren Public Key, damit Quellen sicher Dokumente einreichen koennen.

Um Text ohne Keys (nur mit Passwort) zu verschluesseln, AES-Verschluesselung. Fuer JWT-Signieren den JWT-Signierer/Verifizierer.

Fragen und Antworten

Ed25519 ist der moderne Default. Kleinere Keys (256 Bit vs. RSA-4096), schnellere Generierung (Millisekunden vs. Sekunden), trotzdem stark. RSA nur, wenn du Legacy-Systeme unterstuetzen musst, die kein Ed25519 verstehen (selten 2025). GitHub, GPG 2.1+, ProtonMail akzeptieren alle Ed25519.

Das könnte auch passen

Passende Tools

JWT-Schlüsselpaar-Generator

JWT-Signaturschlüsselpaar erzeugen: RS256/RS384/RS512, PS256, ES256/ES384/ES512 oder EdDSA. PEM + JWK + Beispiel-JWT.

CSR-Generator

CSR (Certificate Signing Request) und passenden Private Key im Browser erzeugen. RSA, ECDSA, SANs, PEM.

AES Verschlüsseln / Entschlüsseln

Text mit Passwort verschlüsseln (AES-GCM 256). Läuft im Browser, nichts verlässt das Gerät.

DKIM-Schlüsselpaar-Generator

RSA-DKIM-Schlüsselpaar und einen fertigen DNS-TXT-Eintrag erzeugen. 1024 / 2048 / 4096 Bit, nicht gespeichert.

JWT signieren / verifizieren

Ein JWT mit Secret oder Private Key signieren. Ein bestehendes Token verifizieren. HS/RS/ES/PS 256/384/512.

PGP-Schlüsselpaar-Generator

OpenPGP-Schlüsselpaar (Ed25519 oder RSA) direkt im Browser erzeugen. ASCII-armored, sofort importierbar.

LiveLäuft im Browser

PGP-Schlüsselpaar-Generator

Erzeuge ein OpenPGP-Schlüsselpaar zum Verschlüsseln von E-Mails, Signieren von Git-Commits und Verifizieren von Software. Die gesamte Mathematik läuft in deinem Browser.

PGP-Schlüsselpaar-Generator

E-Mail

Kommentar (optional)

Passphrase des privaten Schlüssels (optional)

Ohne Passphrase kann sich jeder mit Zugriff auf die private Schlüsseldatei als du ausgeben. Wir empfehlen dringend, eine festzulegen.

Kurve / Algorithmus

Schlüssel-Ablauf

Alles läuft lokal. Der private Schlüssel verlässt deinen Browser nie.

Was ist ein PGP-Key und warum brauchst du einen?

Alles laeuft im Browser. Der Private Key verlaesst dein Geraet nie. Das ist die Kernregel von PGP, nur du kennst den Private Key.

So nutzt du das Tool

Gib Name und E-Mail ein, die Felder werden als "User ID" in den Public Key eingebettet.
Optional Kommentar (z.B. "GitHub", "Arbeit", "privat"), wenn du mehrere Keys fuer verschiedene Zwecke haeltst.
Passphrase fuer den Private Key: dringend empfohlen. Ohne kann jeder mit Dateizugriff in deinem Namen Commits signieren.
Waehl die Kurve: Ed25519 fuer modernen Einsatz (GitHub, ProtonMail), RSA-2048 fuer Legacy-Systeme, RSA-4096 fuer groesste Sicherheitsmarge (Generierung dauert paar Sekunden).
Waehl den Ablauf: 1, 2, 5 Jahre oder nie. Kuerzerer Ablauf ist bessere Praxis; der Key kann rotiert oder revoked werden.
Klick Generieren. Du kriegst Public Key, Private Key, Fingerprint (kurzer Identifier) und Key-ID.

Wann nutzen

Sechs typische Situationen, in denen ein PGP-Key das Problem loest:

Mail in ProtonMail/Tutanota/Thunderbird verschluesseln. Tausche Public Keys mit einem Freund; von da an koennt ihr beide fuereinander verschluesseln.
Git-Commits auf GitHub signieren. Public Key zu deinem Account, Commits kriegen einen gruenen "Verified"-Badge.
Linux-Paket-Signatur pruefen. Die PGP-Signatur beweist, dass das Paket vom Original-Autor kommt (apt-get, pacman).
Identitaet auf Keybase, ProtonMail-Keyserver, GitHub. Dein Public Key ist deine kryptografische Identitaet.
Passwort oder API-Key sichern. Datei mit eigenem Public Key verschluesseln, du kannst sie sogar sicher in ein oeffentliches Repo pushen.
Anonyme Whistleblower-Tipps. Journalisten und Organisationen (Wikileaks, ProPublica) veroeffentlichen ihren Public Key, damit Quellen sicher Dokumente einreichen koennen.

Um Text ohne Keys (nur mit Passwort) zu verschluesseln, AES-Verschluesselung. Fuer JWT-Signieren den JWT-Signierer/Verifizierer.

Fragen und Antworten

Das könnte auch passen