GnuPG und PQK

Die aktuelle Version von GnuPG 2.5.16 unterstützt für die Verschlüsselung das hybride Keywrapping mit ML-KEM und elliptischen Kurven. Dabei werden Brainpool P256r1 und P384r1 sowie X25519 und X448 unterstützt. Kleopatra unterstützt bei der Schlüsselerzeugung in der aktuellen Version (aus GPG4win 5.0.0) nur die beiden Brainpool Varianten (ky786_bp256 und ky1024_bp384).

Um einen ML-KEM-Schlüssel zu erzeugen muss bei der Eingabeaufforderung 

gpg --full-gen-key
eingeben werden. Im ersten Menu wird wird die "16" ausgewählt. Dann kann eine der vier Optionen 

Bitte wählen Sie, welche Art von Kyber Schlüssel Sie möchten:
   (1) Kyber 768 *standard*
   (2) Kyber 1024
   (3) Kyber 768 (X25519)
   (4) Kyber 1024 (X448)
ausgewählt werden. Die ersten beiden Optionen verwenden Brainpool Kurven.

Vollständig an der Kommandozeile kann ein entsprechender Schlüssel wie folgt 


gpg --quick-gen-key "Name <name@email>> ed25519
gpg --quick-add-key fpr ky768_cv25519
erzeugt werden. "Name <name@email>" muss mit den eigenen Daten ersetzt werden. fpr ist der Fingerabdruck, der Ihnen bei der ersten Eingabe angezeigt wird. Mit 

gpg -k name@email
pub   ed25519 2026-01-25 [SC] [verfällt: 2029-01-24]
      E510EC631C07E07536B0C5B417044DFFB03FB074
uid        [ ultimativ ] Name <name@email>
sub   ky768_cv25519 2026-01-25 [E]
      60B208AF2078A82DD27E48EB882CCF45B68EF9446BC1B9AE159EB724C1A57C58
zeigen Sie dann den soeben erzeugen Schlüssel an. Als Optionen für die ML-KEM Schlüsselgenerierung können Sie verwenden: ky768_bp256, ky1024_bp384, ky768_cv25519 und ky768_cv448. Ein solcher Schlüssel kann von GnuPG Versionen älter als 2.5.16 nicht verwendet werden. Auch in Kleopatra kann ein solcher Schlüssel angezeigt werden.

GnuPG Zertifikat Kyber Kleopatra