Amb l'ordre
$ gpg --gen-key
podeu general un nou parell de claus (el parell es composa de clau p�blica i clau privada). La primera pregunta �s quin algoritme s'emprar�. Podeu llegir m�s a prop�sit dels algoritmes a PGP DH vs. RSA FAQ o a Applied Cryptography. L'algoritme recomanat per GnuPG �s DSA/ElGamal, ja que no est� patentat.
La seg�ent pregunta �s la longitud de la clau. Aquesta decisi� dep�n molt de cada usuari. Heu d'escollir entre la seguretat i el temps de c�lcul. Si una clau �s m�s llarga, el risc de trencar el missatge si �s interceptat decreix. Per� amb claus m�s llarges el temps de c�lcul tamb� augmenta. Si el temps de c�lcul �s un problema, heu de tenir en compte que voleu emprar la clau durant algun temps. Tothom sap que el rendiment aritm�tic augmenta molt r�pidament, ja que els nous processadors s�n cada vegada m�s r�pids. Tingueu aix� en compte. La llargada m�nima requerida per GnuPG �s de 768 bits, encara que molta gent opina que hauria de ser de 2048 (que �s el m�xim de GnuPG en aquest moment). Per a DSA, 1024 �s una llargada fixa. Si la seguretat t� prioritat envers el temps de c�lcul, haur�eu d'escollir la mida de clau m�s llarga disponible.
El sistema demana a continuaci� que introdu�u el nom, un comentari i l'adre�a de correu electr�nic. La clau es clacula en base a aquestes dades. Podeu canviar aquesta informaci� m�s tard (vegeu Administraci� de claus. La direcci� de correu electr�nic que escolliu hauria de ser v�lida, ja que ser� emprada per signar l'identificador d'usuari. Si aquesta direcci� es modifica d'alguna manera, la signatura no es correspondria.
Finalment heu d'introduir una contrasenya. Noteu la difer�ncia entre els termes anglesos per la paraula «contrasenya»: el terme "password" denota una "paraula de pas", mentre que el terme "passphase" denota una "frase de pas". Per tant, aquesta contrasenya s'ha de composar de m�s d'una paraula. Per a que una contrasenya sigui efectiva (segura), haur� de contenir els elements seg�ents:
En general, per tal d'aconseguir una contrasenya forta �s aconsellable intercal�lar maJ�sCUlEs amb mIn�ScuLEs, nombres, i d'altres car�cters no alfanum�rics. En escollir les paraules i les frases s'han d'evitar les paraules massa �bvies, dates significatives, i no heu d'emprar mai cites de llibres o frases c�lebres. Dit aix�, heu d'assegurar-vos que la contrasenya que escolliu sigui suficientment dif�cil perqu� no pugui ser vulnerada amb un «atac de for�a bruta», ni tan sols per un «atac de diccionari», per� suficientment f�cil perqu� NO LA OBLIDEU. Si oblid�ssiu la vostra contrasenya, la clau quedaria totalment inutilitzada, i tota la informaci� que s'hagi xifrat amb aquesta clau no podria ser desxifrada. Per tal d'evitar aquesta possibilitat es recomana crear certificats de revocaci� junt amb les claus (vegeu Revocaci�).
Una vegada que s'han introdu�t totes les dades necess�ries, el sistema comen�a a generar les claus. Aquest proc�s triga un temps que dep�n de la llargada de les claus. Durant aquest proc�s, el programa recull dades aleat�ries que emprar� per generar les claus; una manera d'ajudar a fer m�s aleatori aquest proc�s �s cambiar a una consola virtual diferent i emprar el teclat mentre el proc�s est� en marxa. La clau que genereu sempre ser� diferent. Si genereu una clau ara i una altra d'aqu� 5 minuts amb exactament la mateixa informaci�, obtindreu dues claus diferents. Aquesta �s la ra� per la qual no heu d'oblidar mai la vostra contrasenya.
L'ordre per exportar una clau d'un usuari �s la seg�ent:
$ gpg --export [UID]
Si no es designa cap identificador d'usuari (UID) s'exportaran totes
les claus presents. El resultat s'envia per defecta a stdout,
per� amb l'opci� -o podem especificar que s'env�i a un fitxer. Es
recomana emprar l'opci� -a per tal de que el resultat sigui un
fitxer de ASCII de 7 bits en comptes d'un fitxer binari.
Si exporteu les vostra clau p�blica, la podeu facilitar a les persones amb les que voleu comunicar-vos de forma segura. La clau es pot exportar publicant-la a la vostra plana web, emprant finger, ftp, enviant-la a un servidor de claus p�bliques com per exemple http://www.pca.dfn.de/dfnpca/pgpkserv/, o qualsevol altre m�tode.
En rebre la clau p�blica d'alg� (o v�ries claus p�bliques), les heu d'afegir a la vostra base de dades de claus per tal de poder-les utilitzar. Per importar-les a la base de dades, heu d'executar l'ordre seg�ent:
$ gpg --import [nom del fitxer]
Si s'omet el nom del fitxer, les dades es llegiran de stdin.
El fitxer pot contenir una sola clau o m�s d'una, que pertanyin a una
o m�s persones.
Hi ha diverses raons per les quals podeu voler revocar una clau existent. Per exemple, que la clau privada hagi estat robada, hagi canviat el UID (identificador d'usuari), que ja no sigui prou llarga, etc. En tots aquests casos, el comandament per revocar la clau �s:
$ gpg --gen-revoke
Aix� crea un certificat de revocaci�. Per poder-ho fer, necessiteu la clau privada, sin� qualsevol podria crear un certificat i revocar una clau que no fos seva. Aix� t� un desavantatge, si hem oblidat la contrasenya, la clau no serveix de res, i tampoc es pot generar un certificat de revocaci�. Per aquesta ra�, �s aconsellable generar un certificat de revocaci� en crear el parell de claus. Si ho feu, per�, guardeu-lo en un lloc segur perqu� ning� no pugui emprar-lo i revocar la clau.
En el sistema GnuPG hi ha un fitxer que actua com una mena de base de dades. En aquest fitxer es desen totes les dades relacionades amb les claus, inclosos els valors que fan refer�ncia al grau de confian�a (Ownertrust); per a m�s informaci� sobre el grau de confian�a llegiu Signant les claus).
Amb l'ordre
$ gpg --list-keys
es mostraran totes les claus presents. Per veure tamb� totes les signatures escriviu:
$ gpg --list-sigs
(vegeu Signant les claus per a m�s informaci�).
Per veure les empremtes digitals (fingerprints) escriviu:
$ gpg --fingerprint
Les "empremtes digitals" serveixen per confirmar la identitat d'una persona. Aquesta ordre ens mostra una llista alfanum�rica (relacionada amb la clau) que podem compravar, per exemple, per tel�fon.
Per veure el llistat de claus privades escriviu:
$ gpg --list-secret-keys
Nota: el llistat d'empremtes digitals i de signatures de les claus privades no t� cap utilitat directa m�s de la de donar-nos aquesta informaci�.
Per tal d'esborrar una clau p�blica executeu l'ordre:
$ gpg --delete-key UID
Per eliminar una clau privada escriviu:
$ gpg --delete-secret-key
Hi ha encara un altre comandament important que t� relaci� amb la gesti� de les claus:
$ gpg --edit-key UID
Emprant aquesta ordre podeu editar (entre d'altres coses) la data d'expiraci�, afegir una empremta digital i signar la vostra clau. Per realitzar aquestes operacions necessiteu la contrasenya. En executar aquesta ordre veureu una linia de comandaments.
Com s'ha comentat anteriorment, hi ha un tal� d'Aquil�les al sistema: l'autentificaci� de les claus p�bliques. Si teniu una clau p�blica err�nia, ja us podeu oblidar dels valor del xifratge. Per tal d'evitar aquests riscos existeix la possibilitat de signar les claus. Quan tenim la certesa que una clau �s v�lida i que pertany a qui diu que pertany, podem signar-la digitalment, de manera que la nostra signatura donar� fe (als que confien en la nostra signatura) que aquella clau p�blica correspon a aquell ID d'usuari.
Si executeu l'ordre:
$ gpg --edit-key UID
per la clau que voleu signar, podreu signar-la amb la subordre:
Command> sign
Nom�s heu de signar una clau quan estigueu ABSOLUTAMENT SEGURS que la clau �s aut�ntica!!! En realitat, nom�s es pot estar segur quan la clau ha estat rebuda en m�, o, per exemple, si s'ha rebut per correu i a continuaci� s'ha comprovar l'empremta digital de la clau per algun altre mitj� (per exemple, per tel�fon). No heu de signar mai cap clau basant-vos en una suposici�.
Basant-se en les signatures disponibles en una clau i en el
«grau de confian�a», GnuPG determina la validesa de
les claus. El grau de confian�a (Ownertrust) �s un valor que el
propietari d'una clau empra per determinar el nivell de confian�a per
una clau concreta. Aquests valors s�n:
Si l'usuari no es refia d'una signatura, ho pot indicar i refusar la confian�a en la mateixa. La informaci� sobre la confian�a no es desa en el mateix fitxer que el de les claus, sin� que en un altre diferent.