Anleitung zum Ändern des ADSK

Stand: GnuPG VS-Desktop® 3.3.2 und 3.3.3, November 2025

Ihre Organisation hat den sogenannten ADSK (Additional Decryption Subkey) gewechselt. Dieser zusätzliche Schlüssel dient als zentraler Archivierungsschlüssel für interne Sicherheits- und Aufbewahrungszwecke. Damit künftig ausschließlich der neue ADSK verwendet wird, müssen Sie Ihren Schlüssel einmalig aktualisieren und den alten ADSK widerrufen.

GnuPG berücksichtigt den ADSK-Eintrag in der Registry nur, wenn Sie einen neuen OpenPGP-Schlüssel erzeugen oder einen ADSK zu einem bestehenden Schlüssel hinzufügen. Der bisherige ADSK bleibt deshalb aktiv, bis Sie ihn manuell widerrufen. Ohne diesen Widerruf verschlüsseln Kommunikationspartner weiterhin für den alten ADSK.

Diese Anleitung erklärt Schritt für Schritt, wie Sie Ihren Schlüssel aktualisieren und den neuen ADSK hinzufügen.

Voraussetzungen

Bevor Sie beginnen, stellen Sie Folgendes sicher:

  • Der neue ADSK wurde bereits von Ihrer Administratorin oder Ihrem Administrator eingerichtet (in der Regel über die Windows Registry).
  • Sowohl das alte, widerrufene als auch das neue Zertifikat des ADSK-Ursprungsschlüssels wurden bereits verteilt und auf Ihrem Rechner importiert.

Ob Ihr Schlüssel noch den alten ADSK enthält, können Sie in Kleopatra unter Zertifikatsdetails prüfen. Öffnen Sie dazu Ihr eigenes Zertifikat per Doppelklick.

Vorbereitung

Backup anlegen

Bevor Sie Änderungen an Ihrem Schlüssel vornehmen, sollten Sie eine Sicherungskopie Ihres geheimen Schlüssels erstellen. Achten Sie darauf, dass diese VS-NfD-konform aufbewahrt wird.

So gehen Sie vor:

  1. Wählen Sie in Kleopatra Ihr eigenes (fett dargestelltes) Zertifikat aus.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie Sicherungskopie geheimer Schlüssel erstellen.
  3. Geben Sie den Speicherort an und anschließend Ihr Passwort ein.

Tipp: Erstellen Sie regelmäßig ein Backup Ihres Schlüssels – insbesondere, wenn Sie Änderungen wie den ADSK-Wechsel durchführen.

Ausgangspunkt

In der Kleopatra-Zertifikatsliste sollte mindestens Ihr eigener Schlüssel (fett dargestellt) sowie das Zertifikat des neuen ADSK-Ursprungsschlüssels angezeigt werden. Dieser wurde bereits auf Ihrem Rechner konfiguriert.

Hinweis: Falls eines der Zertifikate fehlt, wenden Sie sich bitte an die zuständige Person in Ihrer Organisation.

Vermutlich ist in der Liste auch noch das Zertifikat des alten, widerrufenen ADSK-Ursprungsschlüssels vorhanden. Die Ansicht kann dann etwa so aussehen:

Kleopatra-Zertifikatsliste mit drei Zertifikaten, darunter alter und neuer ADSK-Ursprungsschlüssel

Diese Anleitung verwendet den Namen Bernd Beispiel als Platzhalter für den eigenen OpenPGP-Schlüssel. Ersetzen Sie ihn durch den Namen Ihres eigenen Schlüssels.

Alten ADSK widerrufen

GnuPG liest den Registry-Eintrag für den ADSK nur, wenn Sie einen neuen OpenPGP-Schlüssel erstellen oder einen ADSK zu einem bestehenden Schlüssel hinzufügen. Der alte ADSK bleibt daher aktiv, bis Sie ihn selbst widerrufen. Dieser Schritt ist wichtig, damit nicht weiter an den alten ADSK verschlüsselt wird, zum Beispiel, wenn er kompromittiert oder abgelaufen ist oder die Richtlinie Ihrer Organisation einen regelmäßigen Austausch vorsieht.

Der alte ADSK kann derzeit nicht direkt in Kleopatra widerrufen werden. Der Widerruf erfolgt daher über die Kommandozeile.

  1. Öffnen Sie die Windows-Suche, geben Sie cmd ein und starten Sie die Eingabeaufforderung.
  2. Geben Sie den folgenden Befehl ein und ersetzen Sie dabei den Namen in Anführungszeichen durch den Ihres eigenen Schlüssels, wie er in Kleopatra angezeigt wird:
gpg --edit-key "Bernd Beispiel"

(Beispielbefehl, ersetzen Sie Bernd Beispiel durch den Namen Ihres Schlüssels.)

Die Ausgabe sollte ähnlich wie im folgenden Beispiel aussehen: 

 Geheimer Schlüssel ist vorhanden.

sec  rsa3072/35853386D2D1C40C
     erzeugt: 2025-11-10  verfällt: 2028-11-10  Nutzung: SC
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa3072/A1BFBADBCCC0969A
     erzeugt: 2025-11-10  verfällt: 2028-11-10  Nutzung: E
sub  rsa3072/ACFC1A994BED59B1
     erzeugt: 2025-11-10  verfällt: 2028-11-10  Nutzung: R
[ ultimativ ] (1). Bernd Beispiel

gpg>

Die Ausgabe listet Ihren Hauptschlüssel und alle zugehörigen Unterschlüssel auf. In der Regel sind es drei, manchmal auch mehr.

Suchen Sie in der Ausgabe den Unterschlüssel, bei dem in der Zeile Nutzung: R steht. Das R kennzeichnet den Schlüssel, der für die Entschlüsselung verwendet wird. Die Zeile beginnt mit sub.

Beachten Sie, dass die Zählung bei 0 beginnt. Im Beispiel wählen wir also mit folgendem Befehl den dritten Unterschlüssel aus: 

gpg> key 2

sec  rsa3072/35853386D2D1C40C
     erzeugt: 2025-11-10  verfällt: 2028-11-10  Nutzung: SC
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa3072/A1BFBADBCCC0969A
     erzeugt: 2025-11-10  verfällt: 2028-11-10  Nutzung: E
sub* rsa3072/ACFC1A994BED59B1
     erzeugt: 2025-11-10  verfällt: 2028-11-10  Nutzung: R
[ ultimativ ] (1). Bernd Beispiel

gpg>

Der Stern (*) zeigt an, welcher Unterschlüssel aktuell ausgewählt ist. Wenn versehentlich der falsche markiert wurde, wiederholen Sie den Befehl mit der richtigen Zahl, bis der gewünschte Eintrag gekennzeichnet ist.

Um den ausgewählten Unterschlüssel zu widerrufen, geben Sie nun revkey ein und bestätigen Sie die folgende Abfrage. Wenn Ihnen kein anderer Grund vorgegeben wurde, wählen Sie 0 = Kein Grund angegeben und drücken Sie erneut die Eingabetaste. Bestätigen Sie anschließend den Widerruf noch einmal: 

gpg> revkey
Möchten Sie diesen Schlüssel wirklich widerrufen? (j/N) j
Grund für den Widerruf:
  0 = Kein Grund angegeben
  1 = Hinweis: Dieser Schlüssel ist nicht mehr sicher
  2 = Schlüssel ist überholt
  3 = Schlüssel wird nicht mehr benutzt
  Q = Abbruch
Ihre Auswahl? 0
Geben Sie eine optionale Beschreibung ein. Beenden mit einer leeren Zeile:
>
Grund für Widerruf: Kein Grund angegeben
(Keine Beschreibung angegeben)
Ist das OK? (j/N) j

sec  rsa3072/35853386D2D1C40C
     erzeugt: 2025-11-10  verfällt: 2028-11-10  Nutzung: SC
     Vertrauen: ultimativ     Gültigkeit: ultimativ
ssb  rsa3072/A1BFBADBCCC0969A
     erzeugt: 2025-11-10  verfällt: 2028-11-10  Nutzung: E
Der folgende Schlüssel wurde am 2025-11-11 von RSA Schlüssel 35853386D2D1C40C Bernd Beispiel widerrufen
sub  rsa3072/ACFC1A994BED59B1
     erzeugt: 2025-11-10  widerrufen: 2025-11-11  Nutzung: R
[ ultimativ ] (1). Bernd Beispiel

Die Ausgabe bestätigt, dass der ausgewählte Unterschlüssel (ADSK) erfolgreich widerrufen wurde.

Wichtig: Beenden Sie die gpg-Kommandozeile mit save, damit der Widerruf dauerhaft gespeichert wird. 

gpg> save

Der alte ADSK ist nun widerrufen. Im nächsten Schritt fügen Sie den neuen ADSK hinzu.

Neuen ADSK hinzufügen

Öffnen Sie Kleopatra und doppelklicken Sie auf Ihr eigenes Zertifikat, um die Details anzuzeigen. Wechseln Sie zum Tab Unterschlüssel und klicken Sie auf Mehr Optionen.

Ansicht der Unterschlüssel-Details in Kleopatra, Schaltfläche Mehr Optionen hervorgehoben

In der Liste sollte jetzt als letzte Option ADSK hinzufügen erscheinen:

Ansicht der Unterschlüssel-Details in Kleopatra mit ausgeklappten weiteren Optionen

Wenn die Option ADSK hinzufügen in Kleopatra nicht erscheint, wurde der neue ADSK möglicherweise noch nicht konfiguriert oder Kleopatra wurde seit der Änderung nicht neu gestartet. Beenden Sie Kleopatra in diesem Fall vollständig (nicht nur das Fenster schließen), starten Sie das Programm neu und versuchen Sie es erneut. Sollte die Option weiterhin fehlen, wenden Sie sich an Ihre Administratorin oder Ihren Administrator.

Wählen Sie ADSK hinzufügen und bestätigen Sie den Befehl im angezeigten Dialogfenster.

Dialogfenster in Kleopatra mit der Option ADSK hinzufügen

Geben Sie danach das Passwort zu Ihrem eigenen Schlüssel ein, um das Hinzufügen des ADSK zu bestätigen.

Kleopatra-Passwortdialog zum Bestätigen des ADSK-Hinzufügens

Nach dem Bestätigen zeigt Kleopatra eine Erfolgsmeldung. In den Unterschlüssel-Details sehen Sie nun den neu hinzugefügten ADSK.

Kleopatra-Ansicht der Unterschlüssel-Details mit Erfolgsmeldung nach dem Hinzufügen des ADSK

Zertifikat exportieren und verteilen

Nachdem Sie Ihr Zertifikat aktualisiert haben, exportieren Sie es und verteilen Sie es auf dem in Ihrer Organisation vorgesehenen Weg, zum Beispiel auf einer internen Website, auf einem Netzlaufwerk, per E-Mail oder Datenträger oder automatisiert über einen internen Keyserver (LDAP, LDS) oder WKD/WKS.

Hinweis: Der Export und die Verteilung des aktualisierten Zertifikats sind die Voraussetzung dafür, dass alle Kommunikationspartner künftig mit dem aktuellen ADSK verschlüsseln können.

In der Übergangszeit kann es vorkommen, dass einige Nutzer:innen den alten ADSK noch nicht widerrufen oder ihr Zertifikat noch nicht aktualisiert haben. Das führt zu keinen Fehlermeldungen oder Problemen beim Versenden verschlüsselter E-Mails. Allerdings wird dann ein Teil der Kommunikation weiterhin für den alten ADSK verschlüsselt statt für den neuen, bis alle Beteiligten die neuen Zertifikate importiert haben. Sorgen Sie deshalb dafür, dass das aktualisierte Zertifikat innerhalb Ihrer Organisation möglichst schnell verteilt wird.

Sofern nicht anderweitig angemerkt, sind diese Seiten: Copyright 2025 g10 Code GmbH. Die Erstellung und Verbreitung wortgetreuer Kopien auf beliebigen Medien ist erlaubt, sofern auch diese Genehmigung erhalten bleibt. Weitere Details im Impressum & Datenschutzerklärung. Diese Seite wurde zuletzt geändert am: 2025-11-18.