Debian GNU/Linux Anwenderhandbuch | ||
---|---|---|
Zurück | Kapitel 8. Internet | Nach vorne |
PGP – Pretty Good Privacy (in deutsch etwa: ziemlich gute Privatsphäre) – war lange Jahre der Standard zur Verschlüsselung und wurde hauptsächlich zur Verschlüsselung von E-Mails verwendet (obwohl sich auch andere Daten damit verschlüsseln lassen). PGP benutzt ein Verfahren mit digitalen Schlüsseln und ermöglicht damit einen sicheren Austausch von Daten zwischen Personen, die sich noch nie getroffen haben. Durch die Verfügbarkeit der Quellcodes wurde PGP von Entwicklern in der ganzen Welt auf so ziemlich jedes Betriebssystem portiert.
PGP verwendet die Algorithmen IDEA und RSA, die leider lange Zeit durch Softwarepatente geschützt waren. Diese Tatsache führte zur Entwicklung einer komplett freien Alternative, deren Entwicklung mittlerweile soweit fortgeschritten ist, daß wir auf eine weitere Beschreibung von PGP verzichten möchten und auf GnuPG verweisen. Mittlerweile ist dieses Patent aber abgelaufen, so das auch GPG die RSA Verschlüsselung nutzen kann.
GnuPG steht für „GNU Privacy Guard“ und ist ein kompletter, freier Ersatz für PGP. Die Algorithmen IDEA oder RSA werden nicht benutzt, so daß GnuPG ohne Einschränkungen benutzt werden kann. GnuPG implementiert den OpenPGP-Standard, der aus den Datenformaten von PGP 5.x und 6.x entwickelt wurde. Die Homepage von GnuPG finden Sie unter folgender URL: http://www.gnupg.org/de/gnupg.html.
Folgende Eigenschaften zeichnen GnuPG aus:
Vollständiger PGP-Ersatz.
Es werden keine patentierten Verfahren verwendet.
GPL - GNU Public Lizenz.
Kann als Filterprogramm verwendet werden.
Vollständige OpenPGP-Implementierung.
Gegenüber PGP erweiterte Funktionalität und Sicherheitserweiterungen.
Ver- und entschlüsselt PGP-5.x-Daten.
ElGamal (unterschreiben und verschlüsseln), DSA, 3DES, Blowfish, Twofish, CAST5, MD5, SHA-1.
RIPE-MD-160 und TIGER werden unterstützt.
Einfache Implementierung neuer Verfahren durch Erweiterungsmodule.
Benutzer-ID wird im Standardformat erzeugt.
Unterstützung für Schlüsselverfallsdatum.
Benutzerführung in Englisch, Französisch, Deutsch, Italienisch, Polnisch, brasilianischem Portugiesisch, Russisch und Spanisch.
Online-Hilfe.
Wahlweise anonyme Adressaten.
Eingebaute Unterstützung für Schlüsselserver (http://wwwkeys.pgp.net).
Um verschlüsselte E-Mails austauschen zu können, müssen Sie sich zuerst ein eigenes Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel, erzeugen. Mit einem geeigneten Mailprogramm (dieses muß die Verschlüsselung von Mails per PGP/GnuPG unterstützen, mutt oder spruce sind dazu in der Lage) können Sie dann verschlüsselte Mail austauschen. Lassen Sie sich von Ihrem Mailpartner hierzu seinen öffentlichen Schlüssel (public key) zuschicken und schicken Sie ihm im Gegenzug Ihren .
Sie können nun Mails mit Ihrem privaten Schlüssel und dem öffentlichen Schlüssel Ihres Partners verschlüsseln. Im Gegenzug kann dieser die von Ihnen verschlüsselte Mail nur mit seinem privaten und Ihrem öffentlichen Schlüssel entschlüsseln.
Dieses Verfahren schützt jedoch noch nicht vor gefälschten Schlüsseln. Um sicherzugehen, daß ein öffentlicher Schlüssel auch wirklich von der entsprechenden Person stammt, können Sie Ihren Schlüssel von verschiedenen Leuten unterschreiben (signieren) lassen. Hierzu müssen Sie sich persönlich mit Leuten treffen, die GnuPG/PGP einsetzen und dieser Person Ihren öffentlichen Schlüssel übergeben (auf Diskette) sowie sich ausweisen. Wenn Sie niemanden kennen, der GnuPG/PGP einsetzt, wenden Sie sich an eine Linux User Group in Ihrer Nähe, dort finden Sie mit Sicherheit jemanden, der Wert auf sichere Kommunikation legt. Eine weitere Möglichkeit bietet die Zeitschrift c't an. Auf größeren Messen wie der CeBIT bietet die c't ebenfalls die Gelegenheit, Schlüssel zu signieren (http://www.heise.de/ct/pgpCA/).
Mit dem Kommando gpg --gen-key erzeugen Sie sich ein neues Schlüsselpaar.
bash-2.03$ gpg --gen-key gpg (GnuPG) 0.9.3; Copyright (C) 1999 Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details. gpg: Warnung: Sensible Daten könnten auf Platte ausgelagert werden. Um dies zu vermeiden, kann das Programm suid(root) installiert werden. Bitte wenden Sie sich hierzu an den Systemadministrator. gpg: /home/fr/.gnupg: Verzeichnis erzeugt gpg: /home/fr/.gnupg/options: neue Optionendatei erstellt gpg: /home/fr/.gnupg/secring.gpg: Schlüsselbund erstellt gpg: /home/fr/.gnupg/pubring.gpg: Schlüsselbund erstellt gpg: /home/fr/.gnupg/trustdb.gpg: trust-db erzeugt Bitte wählen Sie, welche Art von Schlüssel Sie möchten: (1) DSA und ElGamal (voreingestellt) (2) DSA (nur signieren/beglaubigen) (4) ElGamal (signieren/beglaubigen und verschlüsseln) Ihre Auswahl? |
Der DSA Schlüssel wird 1024 Bits haben. Es wird ein neues ELG-E Schlüsselpaar erzeugt. kleinste Schlüssellänge ist 768 Bit standard Schlüssellänge ist 1024 Bit größte sinnvolle Schlüssellänge ist 2048 Bit Welche Schlüssellänge wünschen Sie? (1024) |
Die verlangte Schlüssellänge beträgt 1024 Bit Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll. 0 = Schlüssel verfällt nie <n> = Schlüssel verfällt nach n Tagen <n>w = Schlüssel verfällt nach n Wochen <n>m = Schlüssel verfällt nach n Monaten <n>y = Schlüssel verfällt nach n Jahren Der Schlüssel bleibt wie lange gültig? (0) |
Der Schlüssel verfällt nie. Ist dies richtig? (j/n) j |
Sie benötigen eine User-ID, um Ihren Schlüssel eindeutig zu machen; das Programm baut diese User-ID aus Ihrem echten Namen, einem Kommentar und Ihrer E-Mail-Adresse in dieser Form auf: "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>" Ihr Name ("Vorname Nachname"): Frank Ronneburg E-Mail-Adresse: fr@leenuks.de Kommentar: Sie haben diese User-ID gewählt: "Frank Ronneburg <fr@leenuks.de>" Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden? f |
Sie benötigen ein Mantra, um den geheimen Schlüssel zu schützen. Geben Sie das Mantra ein: Geben Sie das Mantra nochmal ein: |
Wir müßen eine ganze Menge Zufallszahlen erzeugen. Sie können dies unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas tippen oder irgendwelche anderen Programme benutzen. +++++.....+++++...............+++++......++++++++++.......+++++.................. +++++...........+++++....++++++++++++++++++++.+++++...+++++...................... ..+++++....+++++....++++++++++++++++++++...+++++.+++++.....+++++..+++++...+++++.. ......+++++>+++++.+++++.....................+++++ Wir müßen eine ganze Menge Zufallszahlen erzeugen. Sie können dies unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas tippen oder irgendwelche anderen Programme benutzen. .++++++++++......+++++........++++++++++.........................+++++.....++++++ ++++.+++++.+++++......+++++.+++++++++++++++.....+++++......+++++.+++++...+++++... ..................+++++.+++++....+++++...........++++++++++.......++++++++++..... ....+++++>........+++++............>..+++++..<.........+++++........>.....+++++.. ...................+++++^^^ Öffentlichen und geheimen Schlüssel erzeugt und signiert. bash-2.03$ |
In diesem Abschnitt werden die grundlegenden Schritte der Schlüsselverwaltung beschrieben. Eine ausführliche Anleitung, auch zu allen anderen Funktionen von GnuPG, finden Sie in der deutschen Übersetzung des „GNU Privacy Handbook“ unter http://www.gnupg.org/gph/de/manual/.
Um mit anderen zu kommunizieren, müssen Sie untereinander Ihre öffentlichen Schlüssel austauschen. Dies kann per E-Mail, über einen Key-Server oder auch per persönlicher Übergabe erfolgen. Zum Auflisten der Schlüssel in Ihrem öffentlichen Schlüsselbund verwenden Sie die Befehlszeilen-Option --list-keys.
fr@surimi:~$ gpg --list-keys /home/fr/.gnupg/pubring.gpg --------------------------- pub 1024D/887EB817 2000-12-12 Frank Ronneburg <fr@leenuks.de> sub 1024g/B91B2CCC 2000-12-12 pub 768R/3B54E019 1996-02-14 Frank Ronneburg <fr@hoshi.in-berlin.de> |
Wenn Sie bereits weitere öffentliche Schlüssel, oder weitere IDs, hinzugefügt haben wird diese Liste länger ausfallen. Beispielhaft findet sich in dieser Auflistung auch ein alter PGP-Key.
Um jemandem Ihren öffentlichen Schlüssel zu schicken, müssen Sie diesen zunächst exportieren. Hierzu benutzt man die Kommandozeilen-Option --export. Zur Indentifikation des zu exportierenden öffentlichen Schlüssels dient entweder die Schlüssel-ID oder irgendein Teil der Benutzer-ID.
gpg --output Ronneburg.gpg --export Ronneburg |
Der Schlüssel wird in einem binären Format exportiert, doch kann dies unerwünscht sein, wenn Sie den Schlüssel per E-Mail verschicken oder auf einer WWW-Seite veröffentlichen wollen. GnuPG unterstützt daher die Kommandozeilen-Option --armor die bewirkt, daß der Output im ASCII-Format ausgegeben wird. (Im Allgemeinen kann jeder Output von GnuPG - beispielsweise Schlüssel, verschlüsselte Dokumente oder Unterschriften - im ASCII-Format dargestellt werden, indem man die --armor-Option hinzufügt.)
fr@surimi:~$ gpg --armor --export Ronneburg -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.0.4 (GNU/Linux) Comment: Weitere Infos: siehe http://www.gnupg.org mQGiBDo2SPYRBACkgxUYL30WWgBFybJWKc8eENKDC/8fWbmsKLVFlmvayYu8ykeW GiiUvh6zKhidoa7Vve796kq9N1v5VRvy4qKDMUvLlLA/4k4OHZg0rKcQIIOzuGba d3dGGCUcNqFYjlgnML2NP40+Kr4Rs6MAWk7gqZ4IofP4n9VmgOil1WzMmwCghZMB orTO/atjGfWz/m30IgbpSisD/iw6mKPYdz7PJB50jCn6bpZt7dFAaQVJrlfSPS4J iRUGPghVEPSfNtNd3N1PymRWv3j1CYC41Nl92wxLI8QFXdQv44smNdao7YDSdpkR 4+y+pWBCeitXqCj/9eVOVGvEM+mLmsvpg/M/qa6a+EF/iJW+3Mb63xmrumeHGBD6 GUllA/0f7B9u2Hqx4078QWZmxycpD8XI43Yq3r1pkHb28BryMi6tE/qkfsgxywlD Blnl6WTpzBxgsMLdm7BNz/B41fk8AnCAtnftoOa8+Q0TKodrDtLkrXdW0z0RltNZ ... 2NSr7iQUlIhGBBgRAgAGBQI6Nkj6AAoJEF+d1jKIfrgXJBwAnj038AMs+feNTOyP qkdlhcd+kHHTAJ0dKZe7keaAIJkz4FJQhBhrk/bHpw== =yDka -----END PGP PUBLIC KEY BLOCK----- |
Ein öffentlicher Schlüssel kann zu Ihrem öffentlichen Schlüsselbund hinzugefügt werden, und zwar mit folgender Option: --import
fr@surimi:~$ gpg --import /tmp/frank.gpg gpg: Schlüssel 887EB817: Öffentlicher Schlüssel importiert gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1 gpg: importiert: 1 |
Wenn ein Schlüssel einmal importiert ist, sollte er auf Authentizität überprüft werden. GnuPG arbeitet mit einem wirksamen und flexiblen Vertrauensmodell, bei dem Sie nicht jeden Schlüssel persönlich zu authentifizieren brauchen, den Sie importieren. Einige Schlüssel können dies jedoch erfordern. Ein Schlüssel wird dadurch authentifiziert, daß Sie den Fingerabdruck des Schlüssels überpüfen und dann den Schlüssel unterschreiben, um seine Gültigkeit zu bestätigen. Der Fingerabdruck eines Schlüssels kann schnell mit der Befehlszeilen-Option --fingerprint geprüft werden, um aber den Schlüssel zu bestätigen, müssen Sie ihn editieren.
fr@surimi:~$ gpg --edit-key Borgert gpg (GnuPG) 1.0.4; Copyright (C) 2000 Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details. pub 1024R/9B668109 erstellt: 1998-06-28 verfällt: never Vertrauen: -/q (1) W. Borgert <debacle@knorke.in-berlin.de> Befehl> fpr pub 1024R/9B668109 1998-06-28 W. Borgert <debacle@knorke.in-berlin.de> Fingerabdruck: 6F 74 32 AB 53 DD 09 F1 3B 69 E6 3F 79 8A 70 53 |
Nach dem Prüfen des Fingerabdrucks können Sie den Schlüssel unterschreiben, um ihn zu authentifizieren. Da die Schlüsselüberprüfung ein Schwachpunkt in der Kryptographie mit öffentlichem Schlüssel ist, sollten Sie äußerste Sorgfalt walten lassen und den Fingerabdruck eines Schlüssels immer gemeinsam mit dem Eigentümer prüfen, bevor Sie den Schlüssel unterschreiben.
Befehl> sign pub 1024R/9B668109 erstellt: 1998-06-28 verfällt: never Vertrauen: -/q Fingerabdruck: 6F 74 32 AB 53 DD 09 F1 3B 69 E6 3F 79 8A 70 53 W. Borgert <debacle@knorke.in-berlin.de> Sind Sie wirklich sicher, daß Sie vorstehenden Schlüssel mit Ihrem Schlüssel beglaubigen wollen: "Frank Ronneburg <fr@leenuks.de>" Wirklich unterschreiben? |
Sie können sich jederzeit vergewissern, welche Unterschrift Sie hinzugefügt haben. Jede Benutzer-ID auf dem Schlüssel hat dann sowohl eine oder mehrere Eigenbeglaubigungen als auch eine Unterschrift von jedem Benutzer, der den Schlüssel authentifiziert hat.
Befehl> check uid Frank Ronneburg <fr@leenuks.de> sig! 887EB817 2000-12-12 [Eigenbeglaubigung] sig! 9B668109 2001-01-26 W. Borgert <debacle@knorke.in-berlin.de> sig! 801EA932 2001-04-02 Martin Schulze <joey@infodrom.north.de> sig! 13282FF2 2000-12-18 Werner Heuser (none) <wehe@debian.org> sig! EF439690 2000-12-21 Michael Piefel <piefel@informatik.hu-ber sig! 258D8781 2001-03-31 Michael Bramer <grisu@debian.org> sig! DA4A1116 2001-04-04 Bernhard Reiter <bernhard@intevation.de> sig! 86574ACA 2001-04-04 Georg C. F. Greve <greve@gnu.org> sig! 496A1827 2001-04-06 Sebastian Rittau <srittau@jroger.in-berl sig! 9C6D5E59 2001-04-10 Karl Bartel <karlb@gmx.net> Befehl> |
Im Idealfall wird ein Schlüssel durch persönliche Übergabe an Ihre Korrespondenzpartner weitergegeben. In der Praxis werden jedoch Schlüssel oft per E-Mail oder irgendein anderes elektronisches Kommunikationsmittel weitergegeben. Die Weitergabe per E-Mail ist durchaus annehmbar, wenn Sie nur einige wenige Korrespondenzpartner haben. Wenn Sie viele Korrespondenzpartner haben, könnten Sie beispielsweise Ihre(n) öffentlichen Schlüssel auf Ihrer Homepage im Web publizieren. Das setzt jedoch voraus, daß Ihre Korrespondenzpartner auch wissen, wo sie Ihre(n) Schlüssel finden können.
Um dieses Problem zu lösen, gibt es Key-Server, die öffentliche Schlüssel sammeln und weitergeben. Ein bei dem Server eingegangener öffentlicher Schlüssel wird entweder der Datenbank des Servers hinzugefügt oder mit Ihrem eventuell schon vorhandenen Schlüssel zusammengeführt. Wenn eine Anfrage nach einem Schlüssel beim Server eingeht, durchsucht dieser seine Datenbank und sendet den angeforderten öffentlichen Schlüssel zurück, wenn er ihn gefunden hat.
Ein oder mehr Schlüssel können unter Verwendung der Kommandozeilen-Option --send-keys an den Key-Server geschickt werden. Die Option erwartet eine Schlüssel-ID oder Benutzer-ID als Argument und schickt die so spezifizierten Schlüssel an den Key-Server. Der Key-Server, an den die Schlüssel geschickt werden sollen, wird durch die Kommandozeilen-Option --keyserver spezifiziert. In ähnlicher Weise wird die Option --recv-keys benutzt, um Schlüssel von einem Key-Server zu holen, doch müssen Sie hier den Schlüssel mit einer Schlüssel-ID spezifizieren.
Hier ein Beispiel mit dem der Autor seinen Public-Key auf dem Server aktualisiert.
fr@surimi:~$ gpg --keyserver wwwkeys.eu.pgp.net --send-key 887EB817 gpg: Senden an `wwwkeys.eu.pgp.net' erfolgreich (status=200) |
fr@surimi:~$ gpg --keyserver wwwkeys.eu.pgp.net --recv-key 86574ACA gpg: Schlüssel 86574ACA von wwwkeys.eu.pgp.net wird angefordert ... gpg: Schlüssel 86574ACA: 3 neue User-IDs gpg: Schlüssel 86574ACA: 15 neue Signaturen gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1 gpg: neue User-IDs: 3 gpg: neue Signaturen: 15 |
Neben dem im Beispiel gezeigten Server gibt es noch eine ganze Reihe weiterer Key-Server im Netz. Dies sind beispielsweise http://www.pca.dfn.de/dfnpca/pgpkserv/ und http://germany.keyserver.net/en/.
Die Einbindung von GnuPG in mutt ist durch ein mitgeliefertes Beispiel sehr einfach zu realisieren. Wenn Sie keine individuellen Einstellungen benötigen reicht das einfügen der Zeile
source /usr/share/doc/mutt/examples/gpg.rc |
Zurück | Zum Anfang | Nach vorne |
Eigene Homepage | Nach oben |