GnuPG (VS-)Desktop®: Daten und Schlüssel auf einen neuen Rechner umziehen

Einleitung

Diese Anleitung erklärt, wie Sie Ihre GnuPG-Daten auf einen neuen Rechner übertragen – sicher, vollständig und inklusive aller relevanten Konfigurationsdateien.

Tipp: Ein unter Windows erstelltes Backup lässt sich auch unter Linux wiederherstellen – und umgekehrt. Die gespeicherten Daten sind plattformunabhängig.

Das Wichtigste zuerst: GnuPG speichert alle sicherheitsrelevanten Daten in einem zentralen Verzeichnis (GnuPG-Home), das vollständig übertragen werden muss – unabhängig davon, ob Sie Windows oder Linux verwenden, ob Sie allein arbeiten oder eine größere Organisation betreuen.

Hinweis: In dieser Anleitung bezieht sich der Begriff GnuPG-Home auf das persönliche Datenverzeichnis von GnuPG, in dem Schlüssel, Konfigurationsdateien und weitere nutzerspezifische Informationen gespeichert werden. Es entspricht dem Pfad, der über die Umgebungsvariable GNUPGHOME definiert ist.

Im ersten Schritt erfahren Sie, welche Dateien und Ordner gesichert werden müssen. Danach folgen praktische Anleitungen für die Übertragung unter Windows und Linux – jeweils mit Hinweisen für typische Einsatzszenarien und Besonderheiten bei der Migration.

Wichtige Dateien sichern

Damit Sie Ihre GnuPG-Nutzerdaten vollständig auf einen neuen Rechner übertragen können, müssen Sie das gesamte GnuPG-Home sichern. Dieses persönliche Datenverzeichnis enthält unter anderem:

  • private Schlüssel
  • öffentliche Schlüssel (OpenPGP-Zertifikate)
  • S/MIME-Zertifikate
  • Vertrauensdatenbank
  • Konfigurationsdateien

Je nach System kann das Verzeichnis unterschiedlich heißen:

  • unter Windows: %APPDATA%\gnupg
  • unter Linux: ~/.gnupg oder ~/.gnupg-vsd

Hinweis: Bei GnuPG VS-Desktop® für Linux wird standardmäßig das Verzeichnis ~/.gnupg-vsd verwendet. In manchen Umgebungen (z. B. bei Nutzung der Kommandozeile oder älteren Installationen) kann jedoch auch ~/.gnupg aktiv sein. Prüfen Sie im Zweifel beide Verzeichnisse. Das aktuell genutzte GnuPG-Home zeigen Sie mit gpgconf --list-dirs homedir an.

Zusätzlich sollten Sie folgende Kleopatra-Konfigurationsdateien sichern – sofern sie auf dem Quellsystem noch außerhalb des GnuPG-Home liegen:

  • kleopatragroupsrc: Kleopatra-Gruppen (relevant bei Versionen < 3.3.0)
  • kleopatrarc: benutzerspezifische Einstellungen (unter Windows relevant bei Versionen < 3.4.0)

Hinweis: Seit GnuPG VS-Desktop® 3.3.0 bzw. 3.4.0 werden diese Dateien ins GnuPG-Home integriert. Eine separate Sicherung ist daher nur nötig, wenn auf dem alten System noch ältere Versionen verwendet wurden oder wenn in diesen Dateien größere Anpassungen vorgenommen wurden.

Übersicht: Speicherorte wichtiger Dateien

Je nach Betriebssystem und Version unterscheiden sich die Speicherorte der relevanten Konfigurationsdateien. Die folgende Tabelle zeigt, wo GnuPG und Kleopatra ihre Daten standardmäßig ablegen:

Komponente Plattform bis Version 3.2.x ab Version 3.3.0 Bemerkung
GnuPG-Home Windows %APPDATA%\gnupg %APPDATA%\gnupg enthält Schlüssel, trustdb, Konfiguration
GnuPG-Home Linux ~/.gnupg oder ~/.gnupg-vsd ~/.gnupg oder ~/.gnupg-vsd abhängig von VS-Desktop und Einsatzkontext
kleopatrarc Windows %LOCALAPPDATA% %APPDATA% benutzerspezifische Kleopatra-Einstellungen
kleopatragroupsrc Windows %LOCALAPPDATA% %APPDATA%\gnupg bei Gruppenfunktion in Kleopatra
kleopatragroupsrc Linux ~/.config ~/.config oder $XDG_CONFIG_HOME, falls gesetzt

Sicherung und Wiederherstellung unter Windows

Installieren Sie GnuPG (VS-)Desktop® auf dem neuen Rechner entweder vor oder nach dem Kopieren des GnuPG-Home. Wichtig ist nur: Beim betroffenen Benutzer darf das GnuPG-Home noch nicht existieren – sonst drohen Konflikte mit bestehenden Konfigurationen.

Bevor Sie die Daten übertragen, beenden Sie Kleopatra vollständig – am sichersten ist es, sich vom alten System abzumelden. Nur so stellen Sie sicher, dass keine Prozesse mehr auf die Dateien zugreifen.

Beispiel: manuelle Sicherung

Kopieren Sie den Ordner %APPDATA%\gnupg vom alten auf den neuen Rechner – und zwar vollständig und benutzerbezogen, also in das Verzeichnis %APPDATA%\gnupg des neuen Benutzerprofils.

Beispiel (als Administrator in der Eingabeaufforderung): 

xcopy /E /H /K /R /Y "%APPDATA%\gnupg" "E:\Backup\gnupg"

Dieser Befehl kopiert das komplette Verzeichnis gnupg auf ein Wechsellaufwerk (hier: E:) und berücksichtigt dabei:

  • alle Unterverzeichnisse, auch leere (/E)
  • versteckte Dateien (/H)
  • Dateiattribute (/K)
  • schreibgeschützte Dateien (/R)
  • automatisches Überschreiben ohne Rückfrage (/Y)

Beim Übertragen auf den neuen Rechner passen Sie den Befehl entsprechend an: 

xcopy /E /H /K /R /Y "E:\Backup\gnupg" "%APPDATA%\gnupg"

Tipp: Der Ordner %APPDATA% ist in der Windows-Standardkonfiguration versteckt. Sie können ihn erreichen, indem Sie im Explorer %APPDATA% in die Adresszeile eingeben oder die Anzeige versteckter Dateien aktivieren.

Hinweise für größere Organisationen

In Umgebungen mit vielen Benutzer:innen und zentraler Backup-Strategie empfiehlt sich eine strukturierte Migration:

  • Automatisieren Sie Sicherung und Rücksicherung per Skript oder Softwareverteilung.
  • Verwenden Sie für die Ablage strukturierte Zielverzeichnisse wie D:\Backup\<Benutzername>\gnupg, um Benutzerprofile sauber zu trennen.
  • Dokumentieren Sie die Speicherorte zusätzlicher Konfigurationsdateien wie kleopatragroupsrc und kleopatrarc.

Ersetzen Sie Platzhalter wie <Benutzername> immer durch den tatsächlichen Profilnamen. Beispiel: 

xcopy /E /H /K /R /Y "%APPDATA%\gnupg" "D:\Backup\t.tester\gnupg"

Tipp: Für wiederholbare Migrationen ist ein einheitliches Sicherungskonzept sinnvoll – idealerweise mit Logging, Versionsstand und Prüfsumme.

Geplante Vereinheitlichung

Künftig ist geplant, alle Konfigurationsdateien im Verzeichnis %APPDATA%\gnupg zusammenzuführen. Damit wird die Migration und das Backup in den kommenden Versionen weiter vereinfacht.

VS-NfD: Besonderheiten beim Backup

Das Backup des Verzeichnisses %APPDATA%\gnupg enthält in der Regel geheimes Schlüsselmaterial – sofern keine Smartcards verwendet werden. Es ist daher gemäß VS-NfD einzustufen und entsprechend sicher zu behandeln.

Bewährt hat sich die Aufbewahrung auf einem transportablen, verschlüsselten Medium (z. B. USB-Stick), das gemäß VSA (Verschlusssachenanweisung) geschützt wird.

Sicherung und Wiederherstellung unter Linux

Auch unter Linux lässt sich ein bestehendes GnuPG-Profil auf einen neuen Rechner übertragen. Achten Sie darauf, dass alle relevanten Dateien vollständig und im richtigen Benutzerkontext kopiert werden.

Verzeichnisse und Konfigurationsdateien

Unter Linux speichert GnuPG standardmäßig alle Daten im Verzeichnis ~/.gnupg. Wenn Sie GnuPG VS-Desktop® verwenden, kommt stattdessen das Verzeichnis ~/.gnupg-vsd zum Einsatz – insbesondere bei VS-NfD-konformer Nutzung. Der Hintergrund: Viele Linux-Systeme enthalten bereits eine nicht konforme GnuPG-Version, sodass das Standardverzeichnis nicht verwendet werden darf.

Hinweis: Achten Sie darauf, genau das Verzeichnis zu sichern, das auf Ihrem System tatsächlich verwendet wird.

Sichern Sie zudem kleopatragroupsrc aus:

  • $XDG_CONFIG_HOME/kleopatragroupsrc oder
  • ~/.config/kleopatragroupsrc

Verzeichnis auf externes Medium kopieren

Nutzen Sie beispielsweise den folgenden Befehl, um das GnuPG-Verzeichnis auf ein externes Medium zu kopieren: 

cp -a ~/.gnupg{,-vsd} /media/usb-stick/backup-gnupg/

Die Option -a sorgt dafür, dass Dateirechte, Zeitstempel und symbolische Links erhalten bleiben.

Alternativ: Inkrementelles Backup mit rsync

Für wiederkehrende oder automatisierte Backups eignet sich rsync besonders gut. Der folgende Befehl kopiert nur geänderte Dateien und setzt die passenden Zugriffsrechte: 

rsync -av --chmod=700 ~/.gnupg{,-vsd} /media/usb-stick/backup-gnupg/

Sie können rsync auch dazu verwenden, den Ordner auf den neuen Rechner zu übertragen: 

rsync -av --chmod=700 ~/.gnupg{,-vsd} user@neuer-rechner:~/

Hinweis: Da rsync bei Remote-Zugriffen standardmäßig ssh verwendet, ist die Verbindung automatisch verschlüsselt.

Hinweise zur Sicherheit

Private Schlüssel sind besonders sensibel. Wenn Sie den alten Rechner nicht mehr verwenden, sollten Sie alle vertraulichen Daten – insbesondere den Ordner %APPDATA%\gnupg unter Windows und ~/.gnupg (bzw. ~/.gnupg-vsd bei GnuPG VS-Desktop®) unter Linux – vollständig und sicher löschen.

Sofern Sie GnuPG (VS-)Desktop® im Kontext von VS-NfD-konformer Kommunikation einsetzen, ist das Backup des Verzeichnisses %APPDATA%\gnupg bzw. ~/.gnupg-vsd gemäß der Vorgaben der Verschlusssachenanweisung (VSA) zu behandeln. Das bedeutet insbesondere, dass private Schlüssel (sofern keine Smartcards verwendet werden) auf einem geeigneten Speichermedium gesichert und entsprechend der VSA-Richtlinien aufbewahrt werden müssen.

Tipp: Wenn Sie Smartcards nutzen, ist auf dem System selbst kein geheimes Schlüsselmaterial gespeichert. Dennoch sollten Sie auch in diesem Fall das Verzeichnis %APPDATA%\gnupg bzw. ~/.gnupg(-vsd) sichern, um die öffentlichen Schlüssel (Zertifikate) und die Konfiguration mitzunehmen.

Sofern nicht anderweitig angemerkt, sind diese Seiten: Copyright 2025 g10 Code GmbH. Die Erstellung und Verbreitung wortgetreuer Kopien auf beliebigen Medien ist erlaubt, sofern auch diese Genehmigung erhalten bleibt. Weitere Details im Impressum & Datenschutzerklärung. Diese Seite wurde zuletzt geändert am: 2025-07-29.