Debian GNU/Linux Anwenderhandbuch
ZurückKapitel 8. InternetNach vorne

Verschlüsselung

PGP

PGP – Pretty Good Privacy (in deutsch etwa: ziemlich gute Privatsphäre) – war lange Jahre der Standard zur Verschlüsselung und wurde hauptsächlich zur Verschlüsselung von E-Mails verwendet (obwohl sich auch andere Daten damit verschlüsseln lassen). PGP benutzt ein Verfahren mit digitalen Schlüsseln und ermöglicht damit einen sicheren Austausch von Daten zwischen Personen, die sich noch nie getroffen haben. Durch die Verfügbarkeit der Quellcodes wurde PGP von Entwicklern in der ganzen Welt auf so ziemlich jedes Betriebssystem portiert.

PGP verwendet die Algorithmen IDEA und RSA, die leider lange Zeit durch Softwarepatente geschützt waren. Diese Tatsache führte zur Entwicklung einer komplett freien Alternative, deren Entwicklung mittlerweile soweit fortgeschritten ist, daß wir auf eine weitere Beschreibung von PGP verzichten möchten und auf GnuPG verweisen. Mittlerweile ist dieses Patent aber abgelaufen, so das auch GPG die RSA Verschlüsselung nutzen kann.

GnuPG

GnuPG steht für „GNU Privacy Guard“ und ist ein kompletter, freier Ersatz für PGP. Die Algorithmen IDEA oder RSA werden nicht benutzt, so daß GnuPG ohne Einschränkungen benutzt werden kann. GnuPG implementiert den OpenPGP-Standard, der aus den Datenformaten von PGP 5.x und 6.x entwickelt wurde. Die Homepage von GnuPG finden Sie unter folgender URL: http://www.gnupg.org/de/gnupg.html.

Folgende Eigenschaften zeichnen GnuPG aus:

Um verschlüsselte E-Mails austauschen zu können, müssen Sie sich zuerst ein eigenes Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel, erzeugen. Mit einem geeigneten Mailprogramm (dieses muß die Verschlüsselung von Mails per PGP/GnuPG unterstützen, mutt oder spruce sind dazu in der Lage) können Sie dann verschlüsselte Mail austauschen. Lassen Sie sich von Ihrem Mailpartner hierzu seinen öffentlichen Schlüssel (public key) zuschicken und schicken Sie ihm im Gegenzug Ihren .

Sie können nun Mails mit Ihrem privaten Schlüssel und dem öffentlichen Schlüssel Ihres Partners verschlüsseln. Im Gegenzug kann dieser die von Ihnen verschlüsselte Mail nur mit seinem privaten und Ihrem öffentlichen Schlüssel entschlüsseln.

Dieses Verfahren schützt jedoch noch nicht vor gefälschten Schlüsseln. Um sicherzugehen, daß ein öffentlicher Schlüssel auch wirklich von der entsprechenden Person stammt, können Sie Ihren Schlüssel von verschiedenen Leuten unterschreiben (signieren) lassen. Hierzu müssen Sie sich persönlich mit Leuten treffen, die GnuPG/PGP einsetzen und dieser Person Ihren öffentlichen Schlüssel übergeben (auf Diskette) sowie sich ausweisen. Wenn Sie niemanden kennen, der GnuPG/PGP einsetzt, wenden Sie sich an eine Linux User Group in Ihrer Nähe, dort finden Sie mit Sicherheit jemanden, der Wert auf sichere Kommunikation legt. Eine weitere Möglichkeit bietet die Zeitschrift c't an. Auf größeren Messen wie der CeBIT bietet die c't ebenfalls die Gelegenheit, Schlüssel zu signieren (http://www.heise.de/ct/pgpCA/).

Mit dem Kommando gpg --gen-key erzeugen Sie sich ein neues Schlüsselpaar. 
bash-2.03$ gpg --gen-key
gpg (GnuPG) 0.9.3; Copyright (C) 1999 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.

gpg: Warnung: Sensible Daten könnten auf Platte ausgelagert werden.
  Um dies zu vermeiden, kann das Programm suid(root) installiert werden.
  Bitte wenden Sie sich hierzu an den Systemadministrator.
gpg: /home/fr/.gnupg: Verzeichnis erzeugt
gpg: /home/fr/.gnupg/options: neue Optionendatei erstellt
gpg: /home/fr/.gnupg/secring.gpg: Schlüsselbund erstellt
gpg: /home/fr/.gnupg/pubring.gpg: Schlüsselbund erstellt
gpg: /home/fr/.gnupg/trustdb.gpg: trust-db erzeugt
Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
   (1) DSA und ElGamal (voreingestellt)
   (2) DSA (nur signieren/beglaubigen)
   (4) ElGamal (signieren/beglaubigen und verschlüsseln)
Ihre Auswahl?
Sie können hier zwischen verschiedenen Schlüsseln wählen, die voreingestellten Werte sind aber auf jeden Fall sinnvoll. Sie sollten diese einfach akzeptieren. 
Der DSA Schlüssel wird 1024 Bits haben.
Es wird ein neues ELG-E Schlüsselpaar erzeugt.
              kleinste Schlüssellänge ist  768 Bit
              standard Schlüssellänge ist 1024 Bit
      größte sinnvolle Schlüssellänge ist 2048 Bit
Welche Schlüssellänge wünschen Sie? (1024)
Hier können Sie die Länge des zu erzeugenden Schlüssels festlegen. Längere Schlüssel sind schwerer zu „knacken“, allerdings benötigen diese auch etwas mehr Zeit, wenn man mit Ihnen arbeitet. 1024 Bit sind ein sinnvoller Wert. 
Die verlangte Schlüssellänge beträgt 1024 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
         0 = Schlüssel verfällt nie
      <n>  = Schlüssel verfällt nach n Tagen
      <n>w = Schlüssel verfällt nach n Wochen
      <n>m = Schlüssel verfällt nach n Monaten
      <n>y = Schlüssel verfällt nach n Jahren
Der Schlüssel bleibt wie lange gültig? (0)
GnuPG unterstützt auch ein Verfallsdatum bei Schlüsseln. Vielleicht möchten Sie ja für die Mitarbeiter in Ihrer Firma mit Zeitverträgen verhindern, daß diese den Schlüssel auch später noch verwenden können. Für Ihren privaten Schlüssel benötigen Sie ein solches Verfallsdatum im Normalfall nicht. 
Der Schlüssel verfällt nie.
Ist dies richtig? (j/n) j
Sie ben&ouml;tigen eine User-ID, um Ihren Schlüssel eindeutig zu machen; das
Programm baut diese User-ID aus Ihrem echten Namen, einem Kommentar und
Ihrer E-Mail-Adresse in dieser Form auf:
    "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"

Ihr Name ("Vorname Nachname"): Frank Ronneburg
E-Mail-Adresse: fr@leenuks.de
Kommentar:
Sie haben diese User-ID gewählt:
    "Frank Ronneburg <fr@leenuks.de>"

Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden? f
Geben Sie hier mindestens Ihren Namen und Ihre E-Mail Adresse ein. 
Sie ben&ouml;tigen ein Mantra, um den geheimen Schlüssel zu schützen.

Geben Sie das Mantra ein:
Geben Sie das Mantra nochmal ein:
Sie benötigen nun noch ein „Mantra“, also ein Paßwort für Ihren privaten, geheimen Schlüssel. 
Wir müßen eine ganze Menge Zufallszahlen erzeugen.  Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen oder irgendwelche anderen Programme benutzen.
+++++.....+++++...............+++++......++++++++++.......+++++..................
+++++...........+++++....++++++++++++++++++++.+++++...+++++......................
..+++++....+++++....++++++++++++++++++++...+++++.+++++.....+++++..+++++...+++++..
......+++++>+++++.+++++.....................+++++
Wir müßen eine ganze Menge Zufallszahlen erzeugen.  Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen oder irgendwelche anderen Programme benutzen.
.++++++++++......+++++........++++++++++.........................+++++.....++++++
++++.+++++.+++++......+++++.+++++++++++++++.....+++++......+++++.+++++...+++++...
..................+++++.+++++....+++++...........++++++++++.......++++++++++.....
....+++++>........+++++............>..+++++..<.........+++++........>.....+++++..
...................+++++^^^
Öffentlichen und geheimen Schlüssel erzeugt und signiert.
bash-2.03$
GnuPG erzeugt nun aus Ihren Angaben ein Schlüsselpaar und legt dieses im Verzeichniss .gnupg in Ihrem Homeverzeichnis ab. Damit ist die eigentliche Erzeugung des Schlüssels schon abgeschlossen.

GnuPG Schlüsselverwaltung

In diesem Abschnitt werden die grundlegenden Schritte der Schlüsselverwaltung beschrieben. Eine ausführliche Anleitung, auch zu allen anderen Funktionen von GnuPG, finden Sie in der deutschen Übersetzung des „GNU Privacy Handbook“ unter http://www.gnupg.org/gph/de/manual/.

Austauschen von Schlüsseln

Um mit anderen zu kommunizieren, müssen Sie untereinander Ihre öffentlichen Schlüssel austauschen. Dies kann per E-Mail, über einen Key-Server oder auch per persönlicher Übergabe erfolgen. Zum Auflisten der Schlüssel in Ihrem öffentlichen Schlüsselbund verwenden Sie die Befehlszeilen-Option --list-keys. 

fr@surimi:~$ gpg --list-keys
/home/fr/.gnupg/pubring.gpg
---------------------------
pub  1024D/887EB817 2000-12-12 Frank Ronneburg <fr@leenuks.de>
sub  1024g/B91B2CCC 2000-12-12

pub   768R/3B54E019 1996-02-14 Frank Ronneburg <fr@hoshi.in-berlin.de>

Wenn Sie bereits weitere öffentliche Schlüssel, oder weitere IDs, hinzugefügt haben wird diese Liste länger ausfallen. Beispielhaft findet sich in dieser Auflistung auch ein alter PGP-Key.

Exportieren eines öffentlichen Schlüssels

Um jemandem Ihren öffentlichen Schlüssel zu schicken, müssen Sie diesen zunächst exportieren. Hierzu benutzt man die Kommandozeilen-Option --export. Zur Indentifikation des zu exportierenden öffentlichen Schlüssels dient entweder die Schlüssel-ID oder irgendein Teil der Benutzer-ID.

gpg --output Ronneburg.gpg --export Ronneburg

Der Schlüssel wird in einem binären Format exportiert, doch kann dies unerwünscht sein, wenn Sie den Schlüssel per E-Mail verschicken oder auf einer WWW-Seite veröffentlichen wollen. GnuPG unterstützt daher die Kommandozeilen-Option --armor die bewirkt, daß der Output im ASCII-Format ausgegeben wird. (Im Allgemeinen kann jeder Output von GnuPG - beispielsweise Schlüssel, verschlüsselte Dokumente oder Unterschriften - im ASCII-Format dargestellt werden, indem man die --armor-Option hinzufügt.) 
fr@surimi:~$ gpg --armor --export Ronneburg
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.0.4 (GNU/Linux)
Comment: Weitere Infos: siehe http://www.gnupg.org
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...

2NSr7iQUlIhGBBgRAgAGBQI6Nkj6AAoJEF+d1jKIfrgXJBwAnj038AMs+feNTOyP
qkdlhcd+kHHTAJ0dKZe7keaAIJkz4FJQhBhrk/bHpw==
=yDka
-----END PGP PUBLIC KEY BLOCK-----

Importieren eines öffentlichen Schlüssels

Ein öffentlicher Schlüssel kann zu Ihrem öffentlichen Schlüsselbund hinzugefügt werden, und zwar mit folgender Option: --import 
fr@surimi:~$  gpg --import /tmp/frank.gpg 
gpg: Schlüssel 887EB817: Öffentlicher Schlüssel importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg:            importiert: 1

Bearbeiten eines Schlüssels

Wenn ein Schlüssel einmal importiert ist, sollte er auf Authentizität überprüft werden. GnuPG arbeitet mit einem wirksamen und flexiblen Vertrauensmodell, bei dem Sie nicht jeden Schlüssel persönlich zu authentifizieren brauchen, den Sie importieren. Einige Schlüssel können dies jedoch erfordern. Ein Schlüssel wird dadurch authentifiziert, daß Sie den Fingerabdruck des Schlüssels überpüfen und dann den Schlüssel unterschreiben, um seine Gültigkeit zu bestätigen. Der Fingerabdruck eines Schlüssels kann schnell mit der Befehlszeilen-Option --fingerprint geprüft werden, um aber den Schlüssel zu bestätigen, müssen Sie ihn editieren. 
fr@surimi:~$ gpg --edit-key Borgert 
gpg (GnuPG) 1.0.4; Copyright (C) 2000 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.


pub  1024R/9B668109  erstellt: 1998-06-28 verfällt: never      Vertrauen: -/q
(1)  W. Borgert <debacle@knorke.in-berlin.de>

Befehl> fpr
pub  1024R/9B668109 1998-06-28 W. Borgert <debacle@knorke.in-berlin.de>
           Fingerabdruck: 6F 74 32 AB 53 DD 09 F1  3B 69 E6 3F 79 8A 70 53
Um den Fingerabdruck zu überprüfen, müssen Sie den Eigentümer des Schlüssels kontaktieren und die Fingerabdrücke vergleichen. Sie können persönlich oder per Telefon mit ihm sprechen oder auf beliebigem anderen Wege kommunizieren, solange nur garantiert ist, daß es sich um den rechtmäßigen Eigentümer handelt. Stimmen beide Fingerabdrücke überein, dann können Sie sicher sein, daß Sie eine echte Kopie des öffentlichen Schlüssels haben.

Nach dem Prüfen des Fingerabdrucks können Sie den Schlüssel unterschreiben, um ihn zu authentifizieren. Da die Schlüsselüberprüfung ein Schwachpunkt in der Kryptographie mit öffentlichem Schlüssel ist, sollten Sie äußerste Sorgfalt walten lassen und den Fingerabdruck eines Schlüssels immer gemeinsam mit dem Eigentümer prüfen, bevor Sie den Schlüssel unterschreiben. 
Befehl> sign
            
pub  1024R/9B668109  erstellt: 1998-06-28 verfällt: never      Vertrauen: -/q
           Fingerabdruck: 6F 74 32 AB 53 DD 09 F1  3B 69 E6 3F 79 8A 70 53

     W. Borgert <debacle@knorke.in-berlin.de>

Sind Sie wirklich sicher, daß Sie vorstehenden Schlüssel mit Ihrem
Schlüssel beglaubigen wollen: "Frank Ronneburg <fr@leenuks.de>"

Wirklich unterschreiben?

Sie können sich jederzeit vergewissern, welche Unterschrift Sie hinzugefügt haben. Jede Benutzer-ID auf dem Schlüssel hat dann sowohl eine oder mehrere Eigenbeglaubigungen als auch eine Unterschrift von jedem Benutzer, der den Schlüssel authentifiziert hat. 
Befehl> check
uid  Frank Ronneburg <fr@leenuks.de>
sig!       887EB817 2000-12-12   [Eigenbeglaubigung]
sig!       9B668109 2001-01-26   W. Borgert <debacle@knorke.in-berlin.de>
sig!       801EA932 2001-04-02   Martin Schulze <joey@infodrom.north.de>
sig!       13282FF2 2000-12-18   Werner Heuser (none) <wehe@debian.org>
sig!       EF439690 2000-12-21   Michael Piefel <piefel@informatik.hu-ber
sig!       258D8781 2001-03-31   Michael Bramer <grisu@debian.org>
sig!       DA4A1116 2001-04-04   Bernhard Reiter <bernhard@intevation.de>
sig!       86574ACA 2001-04-04   Georg C. F. Greve <greve@gnu.org>
sig!       496A1827 2001-04-06   Sebastian Rittau <srittau@jroger.in-berl
sig!       9C6D5E59 2001-04-10   Karl Bartel <karlb@gmx.net>

Befehl>

Schlüsselverteilung

Im Idealfall wird ein Schlüssel durch persönliche Übergabe an Ihre Korrespondenzpartner weitergegeben. In der Praxis werden jedoch Schlüssel oft per E-Mail oder irgendein anderes elektronisches Kommunikationsmittel weitergegeben. Die Weitergabe per E-Mail ist durchaus annehmbar, wenn Sie nur einige wenige Korrespondenzpartner haben. Wenn Sie viele Korrespondenzpartner haben, könnten Sie beispielsweise Ihre(n) öffentlichen Schlüssel auf Ihrer Homepage im Web publizieren. Das setzt jedoch voraus, daß Ihre Korrespondenzpartner auch wissen, wo sie Ihre(n) Schlüssel finden können.

Um dieses Problem zu lösen, gibt es Key-Server, die öffentliche Schlüssel sammeln und weitergeben. Ein bei dem Server eingegangener öffentlicher Schlüssel wird entweder der Datenbank des Servers hinzugefügt oder mit Ihrem eventuell schon vorhandenen Schlüssel zusammengeführt. Wenn eine Anfrage nach einem Schlüssel beim Server eingeht, durchsucht dieser seine Datenbank und sendet den angeforderten öffentlichen Schlüssel zurück, wenn er ihn gefunden hat.

Ein oder mehr Schlüssel können unter Verwendung der Kommandozeilen-Option --send-keys an den Key-Server geschickt werden. Die Option erwartet eine Schlüssel-ID oder Benutzer-ID als Argument und schickt die so spezifizierten Schlüssel an den Key-Server. Der Key-Server, an den die Schlüssel geschickt werden sollen, wird durch die Kommandozeilen-Option --keyserver spezifiziert. In ähnlicher Weise wird die Option --recv-keys benutzt, um Schlüssel von einem Key-Server zu holen, doch müssen Sie hier den Schlüssel mit einer Schlüssel-ID spezifizieren.

Hier ein Beispiel mit dem der Autor seinen Public-Key auf dem Server aktualisiert. 
fr@surimi:~$ gpg --keyserver wwwkeys.eu.pgp.net --send-key 887EB817
gpg: Senden an `wwwkeys.eu.pgp.net' erfolgreich (status=200)
Hier wird ein bereits vorhandener Key aktualisiert. 
fr@surimi:~$ gpg --keyserver wwwkeys.eu.pgp.net --recv-key 86574ACA
gpg: Schlüssel 86574ACA von wwwkeys.eu.pgp.net wird angefordert ...
gpg: Schlüssel 86574ACA: 3 neue User-IDs
gpg: Schlüssel 86574ACA: 15 neue Signaturen
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg:                           neue User-IDs: 3
gpg:                         neue Signaturen: 15
Weltweit gibt es eine Vielzahl bekannter Key-Server. Die größeren Key-Server synchronisieren sich wechselseitig. Am Besten benutzen Sie einen gut erreichbaren Key-Server im Internet und tauschen dann regelmäßig über diesen Schlüssel aus.

Neben dem im Beispiel gezeigten Server gibt es noch eine ganze Reihe weiterer Key-Server im Netz. Dies sind beispielsweise http://www.pca.dfn.de/dfnpca/pgpkserv/ und http://germany.keyserver.net/en/.

GnuPG und mutt

Die Einbindung von GnuPG in mutt ist durch ein mitgeliefertes Beispiel sehr einfach zu realisieren. Wenn Sie keine individuellen Einstellungen benötigen reicht das einfügen der Zeile 
source /usr/share/doc/mutt/examples/gpg.rc
in der Datei ~/.muttrc aus. Natürlich können Sie auch eine Kopie der Beispieldatei in Ihrem Heimatverzeichnis erzeugen und die Werte Ihren Bedürfnissen anpassen.

ZurückZum AnfangNach vorne
Eigene HomepageNach obenDrucken