Pengelolaan Kunci GPG

Connor Lim Versi F35 onwards Last review: 2021-02-09
Dokumen ini menjelaskan secara rinci cara mendapatkan kunci GPG menggunakan utilitas Fedora yang umum. Dokumen ini juga memberikan informasi tentang cara mengelola kunci Anda sebagai kontributor Fedora.

Membuat Kunci GPG

Membuat kunci GPG menggunakan desktop GNOME

Instal utilitas Seahorse, yang memudahkan pengelolaan kunci GPG.

  1. Pilih Aktivitas  Perangkat Lunak.

  2. Klik tombol Search dan masukkan nama ‘Seahorse’.

  3. Klik paket Seahorse dan klik Install untuk menambahkan perangkat lunak. Anda juga dapat menginstal Seahorse menggunakan baris perintah dengan perintah sudo dnf install seahorse.

Untuk membuat kunci:

  1. Pilih Aktivitas  Kata Sandi dan Kunci Enkripsi, yang akan membuka aplikasi Seahorse.

  2. Di pojok kiri atas, klik menu:Tombol Plus [Kunci GPG].

  3. Tuliskan nama lengkap Anda, alamat email, dan komentar opsional yang menjelaskan siapa Anda (misalnya: John C. Smith, jsmith@example.com, The Man).

  4. Klik Buat.

  5. Pilih frasa sandi yang kuat namun juga mudah diingat pada dialog yang ditampilkan.

  6. Klik OK dan kunci akan dibuat.

Sekarang lihat [backup-gpg-keys-gnome].

Membuat Kunci GPG Menggunakan Desktop KDE

  1. Jalankan program KGpg dari menu utama dengan memilih Aplikasi  Utilitas  KGpg. Jika Anda belum pernah menggunakan KGpg sebelumnya, program ini akan memandu Anda melalui proses pembuatan pasangan kunci GPG Anda sendiri.

  2. Masukkan nama Anda, alamat email, dan komentar opsional di kotak dialog yang muncul saat Anda diminta untuk membuat pasangan kunci baru. Anda juga dapat memilih waktu kedaluwarsa untuk kunci Anda, serta kekuatan kunci (jumlah bit) dan algoritma yang digunakan.

  3. Masukkan frasa sandi Anda di kotak dialog berikutnya. Pada tahap ini, kunci Anda akan muncul di jendela utama KGpg.

Untuk menemukan ID kunci GPG Anda, lihat kolom ID di sebelah kunci yang baru dibuat. Dalam kebanyakan kasus, jika Anda diminta untuk memasukkan ID kunci, Anda harus menambahkan 0x di depan 8 karakter terakhir dari ID kunci, seperti 0x6789ABCD.

Sekarang lihat Membuat Cadangan Kunci Menggunakan Desktop KDE.

Membuat Kunci GPG Menggunakan Baris Perintah

  1. Gunakan perintah shell berikut:

    gpg --full-generate-key

    Perintah ini menghasilkan pasangan kunci yang terdiri dari kunci publik dan kunci pribadi. Orang lain menggunakan kunci publik Anda untuk mengautentikasi dan/atau mendekripsi komunikasi Anda. Sebarkan kunci publik Anda sebanyak mungkin, terutama kepada orang-orang yang Anda ketahui ingin menerima komunikasi yang terautentikasi dari Anda, seperti daftar distribusi email.

  2. Tekan tombol Enter untuk menetapkan nilai default jika diinginkan. Prompt pertama meminta Anda untuk memilih jenis tombol yang Anda inginkan:

    Silakan pilih jenis kunci yang Anda inginkan:
(1) RSA dan RSA (default)
(2) DSA dan Elgamal
(3) DSA (hanya tanda tangan)
(4) RSA (hanya tanda tangan)
(14) Kunci yang sudah ada dari kartu
Pilihan Anda?

    Dalam hampir semua kasus, pilihan default adalah pilihan yang tepat. Kunci RSA/RSA memungkinkan Anda tidak hanya untuk menandatangani komunikasi, tetapi juga untuk mengenkripsi file.

  3. Pilih ukuran kunci:

    Kunci RSA dapat memiliki panjang antara 1024 dan 4096 bit.
Ukuran kunci apa yang Anda inginkan? (3072)

    Sekali lagi, pengaturan default sudah cukup untuk hampir semua pengguna, dan mewakili tingkat keamanan yang sangat tinggi.

  4. Pilih kapan kunci akan kadaluwarsa. Disarankan untuk memilih tanggal kadaluwarsa daripada menggunakan pengaturan default, yaitu none. Misalnya, jika alamat email pada kunci menjadi tidak valid, tanggal kadaluwarsa akan mengingatkan orang lain untuk berhenti menggunakan kunci publik tersebut.

    Silakan tentukan berapa lama kunci harus berlaku.
0 = Kunci tidak kadaluwarsa
<n> = Kunci kadaluwarsa dalam n hari
<n>w = Kunci kadaluwarsa dalam n minggu
<n>m = Kunci kadaluwarsa dalam n bulan
<n>y = Kunci kadaluwarsa dalam n tahun
Berapa lama kunci berlaku? (0)

    Menginput nilai 1y, misalnya, membuat kunci berlaku selama satu tahun. (Anda dapat mengubah tanggal kedaluwarsa ini setelah kunci dihasilkan, jika Anda berubah pikiran.) Sebelum program gpg meminta informasi tanda tangan, prompt berikut akan muncul:

    Apakah ini benar (ya/tidak)?

  5. Masukkan y untuk menyelesaikan proses.

  6. Masukkan nama dan alamat email Anda. Proses ini bertujuan untuk memverifikasi bahwa Anda adalah individu yang sebenarnya. Oleh karena itu, gunakan nama asli Anda. Jangan gunakan nama samaran atau nama panggilan, karena hal ini dapat menyembunyikan atau menyamarkan identitas Anda.

  7. Masukkan alamat email asli Anda untuk kunci GPG Anda. Jika Anda menggunakan alamat email palsu, orang lain akan kesulitan menemukan kunci publik Anda. Hal ini akan menyulitkan proses autentikasi komunikasi Anda. Jika Anda menggunakan kunci GPG ini untuk pengenalan diri di daftar milis, misalnya, masukkan alamat email yang Anda gunakan di daftar milis tersebut.

  8. Gunakan bidang komentar untuk menyertakan alias atau informasi lain. (Beberapa orang menggunakan kunci yang berbeda untuk tujuan yang berbeda dan mengidentifikasi setiap kunci dengan komentar, seperti "Kantor" atau "Proyek Sumber Terbuka.")

  9. Masukkan huruf O pada prompt konfirmasi untuk melanjutkan jika semua entri benar, atau gunakan opsi lain untuk memperbaiki masalah apa pun.

  10. Enter a passphrase for your secret key. The gpg program asks you to enter your passphrase twice to ensure you made no typing errors.

Akhirnya, gpg menghasilkan data acak untuk membuat kunci Anda sespesifik mungkin. Gerakkan mouse Anda, ketik tombol acak, atau lakukan tugas lain di sistem selama langkah ini untuk mempercepat proses. Setelah langkah ini selesai, kunci Anda sudah selesai dan siap digunakan:

pub   rsa3072 2021-02-09 [SC] [expires: 2022-02-09]
      3782CBB60147010B330523DD26FBCC7836BF353A
uid                      John Doe (Fedora Docs) <johndoe@example.com>
sub   rsa3072 2021-02-09 [E] [expires: 2022-02-09]

Jari tangan kunci adalah tanda tangan singkat untuk kunci Anda. Hal ini memungkinkan Anda untuk memastikan kepada orang lain bahwa mereka telah menerima kunci publik Anda yang sebenarnya tanpa adanya manipulasi. Anda tidak perlu mencatat jari tangan kunci ini. Untuk menampilkan jari tangan kunci kapan saja, gunakan perintah ini, ganti alamat email Anda:

gpg --fingerprint johndoe@example.com

Jari tangan kunci Anda sebenarnya adalah hash SHA-1 160 bit dari kunci tersebut, yang diwakili oleh string 40 karakter angka heksadesimal. Meskipun lebih pendek daripada kunci publik itu sendiri, tetap saja agak sulit untuk digunakan, jadi orang cenderung menggunakan ID kunci GPG yang lebih pendek untuk merujuk pada kunci, misalnya saat mencari kunci di server kunci. ID kunci GPG adalah sejumlah kecil digit heksadesimal yang diambil dari karakter yang mewakili bit-bit rendah sidik jari. ID kunci GPG "pendek" terdiri dari 8 karakter terakhir dari sidik jari heksadesimal, yaitu 32 bit terakhir dari sidik jari. Kunci pendek tidak aman dan tidak lagi direkomendasikan karena kemungkinan terjadinya tabrakan sehingga kunci palsu penyerang memiliki ID pendek yang sama dengan kunci Anda. Oleh karena itu, jika Anda memberikan ID kunci GPG pendek Anda kepada seseorang, mereka mungkin akan mengambil kunci penyerang dari server kunci.

Oleh karena itu, disarankan untuk menggunakan ID Kunci GPG "panjang", yang terdiri dari 16 karakter terakhir dari sidik jari heksadesimal kunci Anda. Ini mewakili 64 bit bawah dari sidik jari Anda, yang cukup untuk memastikan ketahanan terhadap tabrakan. Program gpg memudahkan Anda untuk menemukan ID Kunci GPG panjang kunci Anda:

gpg --list-keys --fingerprint --keyid-format 0xlong johndoe@example.com

Format 0xlong menambahkan "0x" di depan ID kunci untuk menunjukkan bahwa ini adalah rangkaian digit heksadesimal; hal ini dianggap sebagai praktik yang baik. Output dari perintah di atas terlihat seperti ini:

pub   rsa3072/0x26FBCC7836BF353A 2021-02-09 [SC] [expires: 2022-02-09]
      Key fingerprint = 3782 CBB6 0147 010B 3305  23DD 26FB CC78 36BF 353A
uid                      John Doe (Fedora Docs) <johndoe@example.com>
sub   rsa3072/0xF834D62672E88A6F 2021-02-09 [E] [expires: 2022-02-09]

Baris pertama (dimulai dengan "pub") memberitahu Anda jenis kunci (yaitu, RSA 3072 bit) dan ID kunci panjangnya (yaitu, 0x26FBCC7836BF353A). Anda dapat melihat bahwa ini sesuai dengan 16 karakter terakhir dari sidik jari kunci dalam output.

Sekarang lihat Membuat Cadangan Kunci Menggunakan Baris Perintah. Pastikan untuk membackup kunci pencabutan untuk semua kunci aktif, karena hal ini memungkinkan Anda untuk mencabut kunci jika kata sandi kunci hilang atau kunci diretas.

Membuat Cadangan

Membuat Cadangan Kunci Menggunakan Desktop GNOME

  1. Klik kanan pada tombol Anda dan pilih Properties.

  2. Pilih tab Detail, lalu pilih Ekspor ke file  Ekspor kunci rahasia.

  3. Pilih nama file tujuan dan klik Ekspor.

Simpan salinan tersebut di tempat yang aman, seperti kotak yang terkunci.

Sekarang lihat Ekspor Kunci GPG Menggunakan Desktop GNOME.

Membuat Cadangan Kunci Menggunakan Desktop KDE

  1. Klik kanan pada kunci Anda dan pilih Ekspor Kunci Rahasia.

  2. Klik Lanjutkan untuk melanjutkan di dialog konfirmasi.

  3. Pilih nama file tujuan.

  4. Klik Simpan.

Simpan salinan tersebut di tempat yang aman, seperti kotak yang terkunci.

Sekarang lihat Ekspor Kunci GPG Menggunakan Desktop KDE.

Membuat Cadangan Kunci Menggunakan Baris Perintah

Gunakan perintah berikut untuk membuat cadangan, yang kemudian dapat Anda salin ke lokasi tujuan yang Anda inginkan:

gpg --export-secret-keys --armor johndoe@example.com > johndoe-privkey.asc

Simpan salinan tersebut di tempat yang aman, seperti kotak yang terkunci.

Sekarang lihat Ekspor Kunci GPG Menggunakan Baris Perintah.

Membuat Kunci Publik Anda Tersedia

Ketika Anda membagikan kunci publik Anda kepada orang lain, mereka dapat memverifikasi komunikasi yang Anda tandatangani, atau mengirimkan komunikasi terenkripsi kepada Anda jika diperlukan. Prosedur ini juga dikenal sebagai ekspor.

Lihat Menyalin Kunci Publik Secara Manual ke dalam berkas jika Anda ingin mengirimkannya melalui email kepada individu atau kelompok.

Ekspor Kunci GPG Menggunakan Desktop GNOME

  1. Klik tombol Tombol Menu  Sinkronisasi dan Publikasikan Kunci…​

  2. Klik Server Utama.

  3. Pilih ldap://keyserver.pgp.com dalam kotak kombinasi Publish Keys To.

  4. Klik Tutup.

  5. Klik Sinkronisasi.

Sekarang lihat Melindungi Kunci Rahasia Anda.

Ekspor Kunci GPG Menggunakan Desktop KDE

Setelah kunci Anda dihasilkan, Anda dapat mengekspor kunci tersebut ke server kunci publik

  1. Klik kanan pada tombol di jendela utama.

  2. Pilih Ekspor Kunci Publik.

  3. Dari sana, Anda dapat mengekspor kunci publik Anda ke clipboard, berkas ASCII, ke email, atau langsung ke server kunci.

  4. Ekspor kunci publik Anda ke server kunci default.

Sekarang lihat Melindungi Kunci Rahasia Anda.

Ekspor Kunci GPG Menggunakan Baris Perintah

Gunakan perintah berikut untuk mengirim kunci Anda ke server kunci publik:

gpg --send-key KEYNAME

Untuk KEYNAME, ganti dengan ID kunci atau sidik jari kunci utama Anda. Ini akan mengirimkan kunci Anda ke server kunci default GNUPG. Jika Anda ingin menggunakan server kunci lain, gunakan:

gpg --keyserver hkp://pgp.mit.edu --send-key KEYNAME

Ganti pgp.mit.edu dengan server pilihan Anda.

Sekarang lihat Melindungi Kunci Rahasia Anda.

Menyalin Kunci Publik Secara Manual

Jika Anda ingin memberikan atau mengirim salinan file kunci Anda kepada seseorang, gunakan perintah ini untuk menuliskannya ke dalam file teks ASCII:

gpg --export --armor johndoe@example.com > johndoe-pubkey.asc

Sekarang lihat Melindungi Kunci Rahasia Anda.

Melindungi Kunci Rahasia Anda

Perlakukan kunci rahasia Anda seperti halnya dokumen penting atau kunci fisik. (Beberapa orang selalu menyimpan kunci rahasia mereka di dekat tubuh, baik di media magnetik maupun flash.) Jika Anda kehilangan kunci rahasia Anda, Anda tidak akan dapat menandatangani komunikasi atau membuka komunikasi terenkripsi yang dikirimkan kepada Anda.

Opsi Token Hardware

Jika Anda mengikuti langkah-langkah di atas, Anda memiliki kunci rahasia yang berupa file biasa. Model yang lebih aman daripada menyimpan kunci di disk adalah menggunakan token hardware.

Tersedia beberapa opsi di pasaran, misalnya YubiKey. Cari token yang mendukung OpenPGP. Lihat artikel blog ini untuk cara membuat kunci dengan cadangan offline, dan gunakan token untuk akses online.

Pencabutan Kunci GPG

Ketika Anda mencabut kunci, Anda menariknya dari penggunaan publik. Anda hanya perlu melakukan ini jika kunci tersebut diretas, hilang, atau Anda lupa frasa sandi.

Membuat Sertifikat Pembatalan

Saat Anda membuat pasangan kunci, Anda juga harus membuat sertifikat pencabutan kunci. Jika Anda kemudian menerbitkan sertifikat pencabutan, hal ini akan memberitahu pihak lain bahwa kunci publik tidak boleh digunakan. Pengguna masih dapat menggunakan kunci publik yang dicabut untuk memverifikasi tanda tangan lama, tetapi tidak dapat mengenkripsi pesan. Selama Anda masih memiliki akses ke kunci pribadi, pesan yang diterima sebelumnya masih dapat didekripsi. Jika Anda lupa frasa sandi, Anda tidak akan dapat mendekripsi pesan yang dienkripsi menggunakan kunci tersebut.

gpg --output revoke.asc --gen-revoke KEYNAME

Jika Anda tidak menggunakan bendera --output, sertifikat akan dicetak ke output standar.

Untuk KEYNAME, ganti dengan ID kunci dari pasangan kunci utama Anda atau bagian dari ID pengguna yang mengidentifikasi pasangan kunci Anda. Setelah Anda membuat sertifikat (berkas revoke.asc), Anda harus melindunginya. Jika sertifikat tersebut dipublikasikan secara tidak sengaja atau melalui tindakan jahat pihak lain, kunci publik akan menjadi tidak dapat digunakan. Disarankan untuk menyimpan sertifikat pencabutan pada media penyimpanan yang dapat dilepas atau mencetak salinan fisik untuk penyimpanan yang aman guna menjaga kerahasiaan.

Membatalkan kunci

  1. Cabut kunci secara lokal:

    gpg --import revoke.asc

    Setelah Anda mencabut kunci secara lokal, Anda harus mengirimkan sertifikat yang dicabut ke server kunci, terlepas dari apakah kunci tersebut awalnya diterbitkan dengan cara ini. Distribusi melalui server membantu pengguna lain untuk segera mengetahui bahwa kunci tersebut telah disusupi.

  2. Ekspor ke server kunci dengan perintah berikut:

    gpg --keyserver hkp://pgp.mit.edu --send-keys KEYNAME

    Untuk KEYNAME, ganti dengan ID kunci dari pasangan kunci utama Anda atau bagian mana pun dari ID pengguna yang mengidentifikasi pasangan kunci Anda.

Sumber daya tambahan

Menemukan kesalahan ketik, informasi yang hilang atau sudah tidak relevan, atau hal lain yang dapat diperbaiki? Edit dokumen ini di repositori Git quick-docs.

Want to help? Learn how to contribute to Fedora Docs