GnuPG-(VS-)Desktop-Daten auf einen neuen Rechner umziehen

GnuPG (VS-)Desktop®: Konfigurationsdaten und Schlüssel auf einen neuen Rechner umziehen

Einleitung

Diese Anleitung erklärt, wie Sie Ihre GnuPG-Daten vollständig und sicher auf einen neuen Rechner übertragen, einschließlich aller relevanten Konfigurationsdateien.

Tipp: Ein unter Windows erstelltes Backup lässt sich auch unter Linux wiederherstellen, und umgekehrt. Die gespeicherten Daten sind plattformunabhängig.

GnuPG speichert alle sicherheitsrelevanten Daten in einem zentralen Verzeichnis, dem GnuPG-Home. Es entspricht dem Pfad, der über die Umgebungsvariable GNUPGHOME definiert ist. Dieses Verzeichnis muss vollständig übertragen werden, unabhängig davon, ob Sie Windows oder Linux verwenden und ob Sie allein arbeiten oder eine größere Organisation betreuen. Die folgenden Abschnitte erklären, welche Dateien Sie sichern müssen und wie die Übertragung unter Windows und Linux abläuft.

Im ersten Schritt erfahren Sie, welche Dateien und Ordner gesichert werden müssen. Danach folgen praktische Schritt-für-Schritt-Anleitungen für die Übertragung unter Windows und Linux – jeweils mit Hinweisen für typische Einsatzszenarien und Besonderheiten bei der Migration.

Wichtige Dateien sichern

Damit Sie Ihre GnuPG-Nutzerdaten vollständig auf einen neuen Rechner übertragen können, müssen Sie das gesamte GnuPG-Home sichern. Dieses persönliche Datenverzeichnis enthält unter anderem:

private Schlüssel
öffentliche Schlüssel (OpenPGP-Zertifikate)
S/MIME-Zertifikate
Vertrauensdatenbank
Konfigurationsdateien

Je nach System kann das Verzeichnis unterschiedlich heißen:

unter Windows: %APPDATA%\gnupg
unter Linux: ~/.gnupg oder ~/.gnupg-vsd

Hinweis: Unter Linux verwendet GnuPG VS-Desktop^® standardmäßig ~/.gnupg-vsd als Home-Verzeichnis. Beachten Sie, dass die meisten Systeme zusätzlich eine separate GnuPG-Installation in ~/.gnupg enthalten. Dabei handelt es sich um die systemeigene GnuPG-Installation, die für Aufgaben wie die Paketverwaltung benötigt wird. Sie können sie auch selbst für Verschlüsselung verwenden, die nicht VS-NfD-relevant ist. Achten Sie beim Erstellen des Backups darauf, ~/.gnupg-vsd zu sichern und nicht das Systemverzeichnis. Im Zweifel sichern Sie beide Verzeichnisse. Das schadet nie.

Wenn Sie Ihre Kleopatra-Einstellungen angepasst haben, sollten Sie außerdem die folgenden Konfigurationsdateien sichern. Das ist nur erforderlich, wenn diese Dateien in der auf dem Quellsystem installierten Version noch außerhalb des GnuPG-Home-Verzeichnisses gespeichert sind:

kleopatragroupsrc: Kleopatra-Gruppen (relevant für Versionen vor 3.3.x)
kleopatrarc: nutzerspezifische Kleopatra-Einstellungen (unter Windows relevant für Versionen vor 3.4.0)

Hinweis: Ab GnuPG VS-Desktop^® 3.3.x bzw. 3.4.x sind diese Dateien im GnuPG-Home-Verzeichnis enthalten. Sie müssen sie nur dann explizit sichern, wenn Sie von einer älteren Version migrieren und wesentliche Änderungen an diesen Dateien vorgenommen haben.

Übersicht: Speicherorte wichtiger Dateien

Je nach Betriebssystem kann der Speicherort der relevanten Konfigurationsdateien variieren. Die folgenden Tabellen zeigen, wo GnuPG und Kleopatra ab Version 3.3.x ihre Daten standardmäßig ablegen.

Windows

Komponente	Speicherort	Hinweis
GnuPG-Home	`%APPDATA%\gnupg`	enthält Schlüssel, `trustdb`, nutzerspezifische Konfiguration
`kleopatragroupsrc`	`%APPDATA%\gnupg\kleopatra`	für die Kleopatra-Gruppen-Funktion
`kleopatrarc`	• 3.3.x: `%LOCALAPPDATA%` • 3.4.x: `%APPDATA%\GnuPG VS-Desktop` oder `%APPDATA%\GnuPG Desktop`	nutzerspezifische Kleopatra-Einstellungen

Hinweis: Vor Version 3.3.x (veraltet) wurden sowohl kleopatragroupsrc als auch kleopatrarc in %LOCALAPPDATA% gespeichert. Wenn Sie von einer Version vor 3.3.x migrieren, prüfen Sie auch diesen Speicherort.

Linux

Komponente	Speicherort	Hinweis
GnuPG-Home	`~/.gnupg-vsd`	für GnuPG VS-Desktop
`kleopatragroupsrc`	`~/.gnupg-vsd/kleopatra`	für die Kleopatra-Gruppen-Funktion, GnuPG VS-Desktop
`kleopatrarc`	`~/.config`	oder `$XDG_CONFIG_HOME`, falls gesetzt (gilt für alle Kleopatra-Versionen)

Hinweis: Vor Version 3.3.x (veraltet) wurde kleopatragroupsrc in ~/.config (bzw. $XDG_CONFIG_HOME, falls gesetzt) gespeichert und nicht in ~/.gnupg-vsd/kleopatra. Wenn Sie von einer älteren Version migrieren, prüfen Sie auch diesen Speicherort.

Sicherung und Wiederherstellung unter Windows

Installieren Sie GnuPG (VS-)Desktop^® auf dem neuen Rechner entweder vor oder nach dem Kopieren des GnuPG-Home. Wichtig ist nur: Beim betroffenen Benutzer darf das GnuPG-Home noch nicht existieren – sonst drohen Konflikte mit bestehenden Konfigurationen.

Bevor Sie die Daten übertragen, beenden Sie Kleopatra vollständig – am sichersten ist es, sich vom alten System abzumelden. Nur so stellen Sie sicher, dass keine Prozesse mehr auf die Dateien zugreifen.

Beispiel: manuelle Sicherung

Kopieren Sie den Ordner %APPDATA%\gnupg vom alten auf den neuen Rechner – und zwar vollständig und benutzerbezogen, also in das Verzeichnis %APPDATA%\gnupg des neuen Benutzerprofils.

Beispiel (als Administrator in der Eingabeaufforderung):

xcopy /E /H /K /R /Y "%APPDATA%\gnupg" "E:\Backup\gnupg"

Dieser Befehl kopiert das komplette Verzeichnis gnupg auf ein Wechsellaufwerk (hier: E:) und berücksichtigt dabei:

alle Unterverzeichnisse, auch leere (/E)
versteckte Dateien (/H)
Dateiattribute (/K)
schreibgeschützte Dateien (/R)
automatisches Überschreiben ohne Rückfrage (/Y)

Beim Übertragen auf den neuen Rechner passen Sie den Befehl entsprechend an:

xcopy /E /H /K /R /Y "E:\Backup\gnupg" "%APPDATA%\gnupg"

Tipp: Der Ordner %APPDATA% ist in der Windows-Standardkonfiguration versteckt. Sie können ihn erreichen, indem Sie im Explorer %APPDATA% in die Adresszeile eingeben oder die Anzeige versteckter Dateien aktivieren.

Hinweise für größere Organisationen

In Umgebungen mit vielen Benutzer:innen und zentraler Backup-Strategie empfiehlt sich eine strukturierte Migration:

Automatisieren Sie Sicherung und Rücksicherung per Skript oder Softwareverteilung.
Verwenden Sie für die Ablage strukturierte Zielverzeichnisse wie D:\Backup\<Benutzername>\gnupg, um Benutzerprofile sauber zu trennen.
Dokumentieren Sie die Speicherorte zusätzlicher Konfigurationsdateien wie kleopatragroupsrc und kleopatrarc.

Ersetzen Sie Platzhalter wie <Benutzername> immer durch den tatsächlichen Profilnamen. Beispiel:

xcopy /E /H /K /R /Y "%APPDATA%\gnupg" "D:\Backup\t.tester\gnupg"

Tipp: Für wiederholbare Migrationen ist ein einheitliches Sicherungskonzept sinnvoll – idealerweise mit Logging, Versionsstand und Prüfsumme.

Geplante Vereinheitlichung

Künftig ist geplant, alle Konfigurationsdateien im Verzeichnis %APPDATA%\gnupg zusammenzuführen. Damit wird die Migration und das Backup in den kommenden Versionen weiter vereinfacht.

VS-NfD: Besonderheiten beim Backup

Das Backup des Verzeichnisses %APPDATA%\gnupg enthält in der Regel geheimes Schlüsselmaterial – sofern keine Smartcards verwendet werden. Es ist daher gemäß VS-NfD einzustufen und entsprechend sicher zu behandeln.

Bewährt hat sich die Aufbewahrung auf einem transportablen, verschlüsselten Medium (z. B. USB-Stick), das gemäß VSA (Verschlusssachenanweisung) geschützt wird.

Sicherung und Wiederherstellung unter Linux

Auch unter Linux lässt sich ein bestehendes GnuPG-Profil auf einen neuen Rechner übertragen. Achten Sie darauf, dass alle relevanten Dateien vollständig und im richtigen Benutzerkontext kopiert werden.

Verzeichnisse und Konfigurationsdateien

Unter Linux speichert GnuPG standardmäßig alle Daten im Verzeichnis ~/.gnupg. Wenn Sie GnuPG VS-Desktop^® verwenden, kommt stattdessen das Verzeichnis ~/.gnupg-vsd zum Einsatz – insbesondere bei VS-NfD-konformer Nutzung. Der Hintergrund: Viele Linux-Systeme enthalten bereits eine nicht konforme GnuPG-Version, sodass das Standardverzeichnis nicht verwendet werden darf.

Hinweis: Achten Sie darauf, genau das Verzeichnis zu sichern, das auf Ihrem System tatsächlich verwendet wird.

Sichern Sie zudem kleopatragroupsrc aus:

$XDG_CONFIG_HOME/kleopatragroupsrc oder
~/.config/kleopatragroupsrc

Verzeichnis auf externes Medium kopieren

Nutzen Sie beispielsweise den folgenden Befehl, um das GnuPG-Verzeichnis auf ein externes Medium zu kopieren:

cp -a ~/.gnupg{,-vsd} /media/usb-stick/backup-gnupg/

Die Option -a sorgt dafür, dass Dateirechte, Zeitstempel und symbolische Links erhalten bleiben.

Alternativ: Inkrementelles Backup mit rsync

Für wiederkehrende oder automatisierte Backups eignet sich rsync besonders gut. Der folgende Befehl kopiert nur geänderte Dateien und setzt die passenden Zugriffsrechte:

rsync -av --chmod=700 ~/.gnupg{,-vsd} /media/usb-stick/backup-gnupg/

Sie können rsync auch dazu verwenden, den Ordner auf den neuen Rechner zu übertragen:

rsync -av --chmod=700 ~/.gnupg{,-vsd} user@neuer-rechner:~/

Hinweis: Da rsync bei Remote-Zugriffen standardmäßig ssh verwendet, ist die Verbindung automatisch verschlüsselt.

Hinweise zur Sicherheit

Private Schlüssel sind besonders sensibel. Wenn Sie den alten Rechner nicht mehr verwenden, sollten Sie alle vertraulichen Daten – insbesondere den Ordner %APPDATA%\gnupg unter Windows und ~/.gnupg (bzw. ~/.gnupg-vsd bei GnuPG VS-Desktop^®) unter Linux – vollständig und sicher löschen.

Sofern Sie GnuPG (VS-)Desktop^® im Kontext von VS-NfD-konformer Kommunikation einsetzen, ist das Backup des Verzeichnisses %APPDATA%\gnupg bzw. ~/.gnupg-vsd gemäß der Vorgaben der Verschlusssachenanweisung (VSA) zu behandeln. Das bedeutet insbesondere, dass private Schlüssel (sofern keine Smartcards verwendet werden) auf einem geeigneten Speichermedium gesichert und entsprechend der VSA-Richtlinien aufbewahrt werden müssen.

Tipp: Wenn Sie Smartcards nutzen, ist auf dem System selbst kein geheimes Schlüsselmaterial gespeichert. Dennoch sollten Sie auch in diesem Fall das Verzeichnis %APPDATA%\gnupg bzw. ~/.gnupg(-vsd) sichern, um die öffentlichen Schlüssel (Zertifikate) und die Konfiguration mitzunehmen.