HowTo PGP

Aus Piratenwiki
Wechseln zu: Navigation, Suche

Einleitung

PGP und GnuPG bieten die Möglichkeit, seine E-Mails und Dateien nach dem OpenPGP-Standard zu verschlüsseln und/oder zu signieren. GnuPG unterstützt Smartcards und bietet auch die Möglichkeit, entsprechend konfigurierte OpenPGP-Schlüssel für SSH-Logins zu verwenden.

Bei uns wird OpenPGP verwendet, um euch die Passwörter für Mailinglisten und E-Mail-Postfächer verschlüsselt zu senden.

Dieses kleine HowTo soll euch zeigen, wie man ein OpenPGP-Schlüsselpaar erzeugt und eurem Mail-Client OpenPGP beibringt.

Qualität der Schlüsselerzeugung

Viele Entscheidungen bei der Schlüsselerzeugung beeinflussen das Sicherheitsniveau, die Verwendbarkeit und die Lebensdauer des Schlüssels in einer Weise, die sich später nicht oder nur schwer korrigieren lässt. Es ist deshalb leider so, dass schon bei der Schlüsselerzeugung relativ viel Know-How vorhanden sein sollte. Man braucht sich das natürlich nicht selber anzueignen, man kann sich auch von kompetenten, vertrauenswürdigen Leuten helfen lassen. Empfehlenswert ist, sich vorab zumindest die Unterschiede zwischen guten und schlechten Schlüsseln zu vergegenwärtigen. Auch ohne viel Fachwissen kann man hochwertige Schlüssel erzeugen, indem man (nach Berücksichtigung der oben genannten Qualitätsmaßnahmen) in einer sicheren Umgebung dieses Schlüsselerzeugungsscript ausführt. Grundsätzlich sollte man sich aber von jemandem mit Ahnung dabei helfen lassen, wenn das praktikabel ist (Cryptopartys, OpenPGP-Schulungen).

Windows

Unter Windows nutzt man am besten das Programm Gpg4win

1. Programm herunterladen und installieren

2. Privates Schlüsselpaar erstellen mittels Gnu Privacy Assistant (GPA) Diesen findest du im Startmenü -- > GnuPG for Windows-- > GPA.

3. Öffentlichen Schlüssel exportieren

4. Mailprogramm zum Verschlüsseln einrichten.

Linux

Unter den meisten Linuxdistributionen ist das Programm GnuPG schon vorinstalliert.

Schlüssel generieren

Die folgende Anleitung erzeugt einen ganz einfachen Schlüssel (einen nach den im obigen Abschnitt "Qualität der Schlüsselerzeugung" genannten Kriterien nicht besonders guten Schlüssel). Es gibt keinen Grund, einen Schlüssel in der Konsole zu erzeugen, wenn man keine der besonderen Möglichkeiten der Konsole nutzt. So einen Schlüssel kann man genauso mit jedem GUI erzeugen.

Ihr öffnet eine Konsole

befrenze@rose-tyler:~$ gpg --gen-key

Nun Startet der Keygenerator

gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
   (1) RSA und RSA (voreingestellt)
   (2) DSA und Elgamal
   (3) DSA (nur unterschreiben/beglaubigen)
   (4) RSA (nur signieren/beglaubigen)
Ihre Auswahl? 1

Hier Wählen wir nun die Art der Schlüssel aus, die wir generieren wollen (1 ist immer eine gute Wahl :-P)

RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein. 
Welche Schlüssellänge wünschen Sie? (2048) 

Nun müssen wir entscheiden, wie lang unser Schlüssel sein soll. 2048 Bit sind ausreichend (ich nehme immer 4096 Bit).

Die verlangte Schlüssellänge beträgt 2048 Bit
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
        0 = Schlüssel verfällt nie
     <n>  = Schlüssel verfällt nach n Tagen
     <n>w = Schlüssel verfällt nach n Wochen
     <n>m = Schlüssel verfällt nach n Monaten
     <n>y = Schlüssel verfällt nach n Jahren 
Wie lange bleibt der Schlüssel gültig? (0) 1y

Nun werden wir gefragt, wie lange unser Key gültig sein soll. Wir nehmen jetzt mal ein Jahr (1y)

Key verfällt am So 20 Mai 2012 13:51:09 CEST
Ist dies richtig? (j/N) y

Nun bestätigen wir unsere Auswahl mit j oder y

Sie benötigen eine User-ID, um Ihren Schlüssel eindeutig zu machen; das
Programm baut diese User-ID aus Ihrem echten Namen, einem Kommentar und
Ihrer Email-Adresse in dieser Form auf:
    "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"

Ihr Name ("Vorname Nachname"): Benedikt Frenzel 
Email-Adresse: benedikt.frenzel@it.piratenpartei.de
Kommentar: Test Key fürs Wiki
Sie benutzen den Zeichensatz `utf-8'
Sie haben diese User-ID gewählt:
    "Benedikt Frenzel (Test Key fürs Wiki) <benedikt.frenzel@it.piratenpartei.de>"

Damit alle auch wissen, wessen Schlüssel das ist, müssen wir noch ein paar Daten wie Name, und E-Mail Adresse angeben. Der Kommentar ist optional.

Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden? F
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu schützen.

Hier haben wir nun die Letzte Möglichkeit, etwas zu ändern. Wenn wir fertig sind reicht ein groß F.

Jetzt heißt es Warten, während euer Systen versucht "Zufallzahlen" zu generieren. Am besten ihr surft noch ein wenig.

gpg: Schlüssel CF73CA87 ist als uneingeschränkt vertrauenswürdig gekennzeichnet
Öffentlichen und geheimen Schlüssel erzeugt und signiert.

Nun kommt eine Statusmeldung

gpg: "Trust-DB" wird überprüft
gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
gpg: Tiefe: 0  gültig:   3  unterschrieben:   0  Vertrauen: 0-, 0q, 0n, 0m, 0f,  3u
gpg: nächste "Trust-DB"-Pflichtüberprüfung am 2012-05-20

Nun noch eine!

pub   2048R/CF73CA87 2011-05-21 [verfällt: 2012-05-20]
  Schl.-Fingerabdruck = 637F 534B DFAF D36E 646A  829C 3D10 B8D4 CF73 CA87
uid                  Benedikt Frenzel (Test Key fürs Wiki)  <benedikt.frenzel@it.piratenpartei.de>
sub   2048R/2BCFC1E5 2011-05-21 [verfällt: 2012-05-20]


Und TADA: Da ist euer Schlüssel mit Fingerabdruck, User ID und Verfallsdatum :)

Mac

Für Mac OS X bieten sich die GPGTools an.

Quellen


PGPComputer und TechnikPrivacyMailsPGP