HowTo PGP

Einleitung

PGP und GnuPG bieten die Möglichkeit, seine E-Mails und Dateien nach dem OpenPGP-Standard zu verschlüsseln und/oder zu signieren. GnuPG unterstützt Smartcards und bietet auch die Möglichkeit, entsprechend konfigurierte OpenPGP-Schlüssel für SSH-Logins zu verwenden.

Bei uns wird OpenPGP verwendet, um euch die Passwörter für Mailinglisten und E-Mail-Postfächer verschlüsselt zu senden.

Dieses kleine HowTo soll euch zeigen, wie man ein OpenPGP-Schlüsselpaar erzeugt und eurem Mail-Client OpenPGP beibringt.

Qualität der Schlüsselerzeugung

Viele Entscheidungen bei der Schlüsselerzeugung beeinflussen das Sicherheitsniveau, die Verwendbarkeit und die Lebensdauer des Schlüssels in einer Weise, die sich später nicht oder nur schwer korrigieren lässt. Es ist deshalb leider so, dass schon bei der Schlüsselerzeugung relativ viel Know-How vorhanden sein sollte. Man braucht sich das natürlich nicht selber anzueignen, man kann sich auch von kompetenten, vertrauenswürdigen Leuten helfen lassen. Empfehlenswert ist, sich vorab zumindest die Unterschiede zwischen guten und schlechten Schlüsseln zu vergegenwärtigen. Auch ohne viel Fachwissen kann man hochwertige Schlüssel erzeugen, indem man (nach Berücksichtigung der oben genannten Qualitätsmaßnahmen) in einer sicheren Umgebung dieses Schlüsselerzeugungsscript ausführt. Grundsätzlich sollte man sich aber von jemandem mit Ahnung dabei helfen lassen, wenn das praktikabel ist (Cryptopartys, OpenPGP-Schulungen).

Windows

Unter Windows nutzt man am besten das Programm Gpg4win

1. Programm herunterladen und installieren

2. Privates Schlüsselpaar erstellen mittels Gnu Privacy Assistant (GPA) Diesen findest du im Startmenü -- > GnuPG for Windows-- > GPA.

3. Öffentlichen Schlüssel exportieren

4. Mailprogramm zum Verschlüsseln einrichten.

Linux

Unter den meisten Linuxdistributionen ist das Programm GnuPG schon vorinstalliert.

Schlüssel generieren

Grafische Oberfläche

Die Generierung eines Schlüssels kann mittels einer grafischen Oberfläche erfolgen, dafür bieten sich z.B. die Pakete seahorse für GNOME bzw. KGpg für KDE an.

Konsole

gpg mit der Option "--full-generate-key" aufrufen, um die Schlüssellänge und weitere Optionen festlegen zu können.

$ gpg --full-generate-key

gpg gibt vier Auswahlmöglichkeiten vor, wobei die erste (RSA und RSA) den meisten Gebrauch findet und auch von den meisten Applikationen unterstützt wird.

gpg (GnuPG) 2.1.18; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
  (1) RSA und RSA (voreingestellt)
  (2) DSA und Elgamal
  (3) DSA (nur signieren/beglaubigen)
  (4) RSA (nur signieren/beglaubigen)
Ihre Auswahl? 

Nach der Wahl der Art des Schlüssels (hier RSA und RSA) kommt die Abfrage, welche Schlüssellänge gewünscht wird. 2048 Bit sind zwar (momentan) ausreichend, jedoch ergeben sich keinerlei Nachteile durch Nutzung eines längeren Keys (Außer bestimmte Software unterstützt diese Länge nicht).

RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein. 
Welche Schlüssellänge wünschen Sie? (2048) 

Nun wird die Gültigkeit des Schlüssels festgelegt.

Die verlangte Schlüssellänge beträgt 4096 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
        0 = Schlüssel verfällt nie
     <n>  = Schlüssel verfällt nach n Tagen
     <n>w = Schlüssel verfällt nach n Wochen
     <n>m = Schlüssel verfällt nach n Monaten
     <n>y = Schlüssel verfällt nach n Jahren 
Wie lange bleibt der Schlüssel gültig? (0)

In diesem Beispiel verfällt der Schlüssel nach einem Jahr - er bleibt nutzbar, jedoch sagt das Gültigkeitsdatum aus, dass ab dann ein neuer Key genutzt werden soll. Die Eingabe wird mit 'j' bestätigt.

Key verfällt am Fr 09 Feb 2018 16:00:24 CET
Ist dies richtig? (j/N)

Nun fragt gpg, mit welchen Daten der Schlüssel identifizierbar sein soll:

GnuPG erstellt eine User-ID, um Ihren Schlüssel identifizierbar zu machen.

Ihr Name ("Vorname Nachname"):
Email-Adresse:
Kommentar:

Die Angabe von Email-Adresse und der Kommentar sind optional. gpg zeigt die eingegebenen Daten an und fragt nach Änderungen. Sobald (mit 'F') die Änderungen bestätigt bzw. übersprungen werden, wird der Key erzeugt, danach gibt es keine Möglichkeit mehr, die Daten zu ändern.

Email-Adresse: max@mustermann.de
Sie haben diese User-ID gewählt:
   "Max Mustermann <max@mustermann.de>"

Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(A)bbrechen?

Nun wird eine passphrase verlangt, nach der Eingabe startet die Generierung der Schlüssel. Dieser Vorgang kann durch zufällige Mausbewegungen beschleunigt und verbessert werden, da hierdurch dem Algorithmus bessere Zufallswerte zugrunde liegen.

Wir müssen eine ganze Menge Zufallswerte erzeugen.  Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.
Wir müssen eine ganze Menge Zufallswerte erzeugen.  Sie können dies
unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.

Wird folgende Meldung angezeigt, war das Erzeugen erfolgreich und das Schlüsselpaar wurde im Schlüsselbund hinterlegt.

gpg: Schlüssel FAC8F11DBE35E1CD ist als ultimativ vertrauenswürdig gekennzeichnet
gpg: Widerrufzertifikat wurde als '/home/username/.gnupg/openpgp-revocs.d/4D460307343D18BE24CF8831FAC8F11DBE35E1CD.rev' gespeichert.
Öffentlichen und geheimen Schlüssel erzeugt und signiert.

pub   rsa4096 2017-02-09 [SC] [verfällt: 2018-02-09]
     4D460307343D18BE24CF8831FAC8F11DBE35E1CD
     4D460307343D18BE24CF8831FAC8F11DBE35E1CD
uid                      Max Mustermann <max@mustermann.de>
sub   rsa4096 2017-02-09 [E] [verfällt: 2018-02-09]

Mac

GPGTools

Für Mac OS X bieten sich die GPGTools an, deren Integration in Apple Mail inzwischen leider kostenpflichtig ist; die Nutzung von GnuPG aus den GPGTools mit anderen Mailclients ist natürlich weiterhin möglich, sofern diese den Aufruf von GnuPG aus der Kommandozeile unterstützen.

GnuPG aus pkgsrc

1. Installiert pkgsrc für macOS.
2. Installiert GnuPG aus pkgsrc: pkgin install gnupg2
3. Die Integration in Mailclients und die Einrichtung entsprechen der Installation unter Linux (siehe oben).

MailMate

Alternativ hat sich in der Piratenpartei der (ebenso kostenpflichtige) Mailclient MailMate bewährt, der die Unterstützung von GnuPG bereits an Bord hat.

Quellen

• www.openpgp-schulungen.de

• Was gute OpenPGP-Schlüssel ausmacht
• Empfehlungen zur Vorbereitung der Erzeugung hochwertiger OpenPGP-Schlüssel
• Script zur Erzeugung hochwertiger OpenPGP-Schlüssel
• verbreitete Irrtümer
• Möglichkeiten, die Verbreitung von Kryptografie zu fördern
• detaillierte Beschreibung von GnuPG

• KDE Userbase Wiki: OpenPGP-Konzepte für Anfänger
• KDE Userbase Wiki: erste Schritte mit OpenPGP (Vorbereitung)
• Ausführliche Anleitung GnuPG/PGP

PGPComputer und TechnikPrivacyMailsPGP