Einf\xFChrung in OpenPGP

Vor 25 Jahren basierte jegliche Verschl\xFCsselung auf einem einzigen gemeinsam benutzten geheimen Schl\xFCssel - da alle Parteien, welche die Verschl\xFCsselung nutzten, den gleichen Schl\xFCssel zum dekodieren nahmen, konnte der Code einfach dadurch geknackt werden, indem man einem dieser Schl\xFCssel habhaft wurde.

Danach kam das Konzept des "\xF6ffentlicher Schl\xFCssel - privater Schl\xFCssel". In Kurzform, ein \xF6ffentlicher Schl\xFCssel ist etwas was du quasi jedem schicken kannst, da er es nur erlaubt Dinge zu verschl\xFCsseln die mit deinem privatem Schl\xFCssel dekodiert werden k\xF6nnen. \xD6ffentliche Schl\xFCssel verschl\xFCsseln, private Schl\xFCssel entschl\xFCsseln.

Du kannst auch Dokumente mit deinem privatem Schl\xFCssel "unterzeichnen", das heisst das du damit eine Verschl\xFCsselungs-Pr\xFCfsumme des Dokumentes erstellst, die andere gegenpr\xFCfen k\xF6nnen um sicher zu gehen das du in der Tat dieses Dokument erstellt hast und es nicht modifiziert ist.

Sicherheits-Themen

Die einfachste (und am h\xE4ufigsten angewandte) Methode diese Verschl\xFCsselung zu "brechen" nennt sich "Man In the Middle" und funktioniert so: Wenn eine Person A versucht ein verschl\xFCsseltes Dokument an eine Person B zu schicken, kann eine dritte Person, Person C dazuwischen stehen und Person A glauben machen, das sie (C) Person B ist und umgekehrt. Es ist einfache Trickserei, aber das funktioniert gut bei Menschen, die nicht aufpassen.

Es gibt ein paar Wege diese betr\xFCgerischen Impersonations-Attacken zu bek\xE4mpfen. Die erste und direkteste M\xF6glichkeit ist es, Menschen den Fingerabdruck deines \xF6ffentlichen Schl\xFCssels zu geben. F\xFCr durch GnuPG erstellte DSA-Schl\xFCssel ist dies eine 40-stellige heaxadezimale (base 16) Zahl, die letzten 8 Stellen davon sind deine Schl\xFCssel-ID. W\xE4hrend einzelne Schl\xFCssel sich m\xF6glicherweise den gleichen Fingerabdruck teilen k\xF6nnten, ist dagegen die Anzahl an Schl\xFCssel die man generieren m\xFC\xDFte um ein Treffer zu erzielen astronomisch hoch.

Die zweite M\xF6glichkeit, die oft dazu verwandt wird, wenn du die Person zum ersten Mal kontaktierst, ist, die Signatur des \xF6ffentlichen Schl\xFCssel zu verifizieren. Wie die Signaturen von Dateien, k\xF6nnen Freunde ihre privaten Schl\xFCssel dazu verwenden ihren \xF6ffentlichen Schl\xFCssel zu unterzeichnen. Im Gegensatz zum Unterzeichnen von Dateien allerdings, indizieren unterzeichnete Schl\xFCssel keinen Besitzer - es indiziert das man aus erster Hand, von Angesicht zu Angesicht, wei\xDF das der Schl\xFCssel in der Tat von der Person stammt die dies von sich behauptet. Wenn du einen Schl\xFCssel zum ersten Mal bekommst und du findest die Signatur eines Freundes darin, kannst du hoffentlich dem Urteil deines Freundes genug vertrauen um dem Schl\xFCssel der neuen Person ebenfalls zu vertrauen. Wenn du keine Signaturen in dem Schl\xFCssel wiedererkennst, k\xF6nntest du sogar ein Schritt weitergehen und alle Signaturen derjenigen \xFCberrp\xFCfen die diesen Schl\xFCssel unterzeichnen. Dies nennt man "Netz des Vertrauens" (Web of Trust). Aufgrund der Tatsache das die meisten IMC'ler sich gegenseitig \xFCber ein oder zwei Leuten kennen, sollten es uns m\xF6glich sein uns neue Personen \xFCber Kontakte mit ihrem lokalen IMC oder jemanden eines anderen IMC zu verifizieren.

Jedes Mal wenn du ein Bit hinzuf\xFCgst, verdoppelt sich die anzahl von m\xF6glichen Kombinationen. Unter Beachtung das sich die Geschwindigkeit von Computern alle 18 Monate verdoppeln, w\xFCrde es eine vielzahl deiner Lebenzeit beanspruchen einen 1024Bit-Schl\xFCssel zu knacken. Es w\xFCrde viel einfacher f\xFCr sie sein in deine Wohung einzubrechen und eine Kopie deines privaten Schl\xFCssels von der Festplatte zu stehlen. Dies ist der Grund warum wir nur dann eine Passphrase zum verschl\xFCsseln/entschl\xFCsseln unserer privaten Schl\xFCssel nutzen, wenn wir sie benutzen. Wenn du richtig sichergehen willst, nutze eine lange, nicht-w\xF6rtliche, alphanumerische (mit Gro\xDF- und Kleinschreibung), zuf\xE4llige Passphrase und bewahre deinen Schl\xFCsselring (keyring) an einem dorgf\xE4ltig versteckten Diskette, anstatt auf deiner Festplatte, auf.

Der Anfang

Falls du es nicht bereits getan hast, gehe auf http://www.gnupgp.org/ und lade dir die Software herunter. Aus der Shell heraus (Windows-Benutzer: Shell = DOS) lasse die folgendes Zeile zweimal laufen:

gpg --gen-key

Beim ersten Mal sollte es melden das dein Schl\xFCsselring (keyring) erstellt wurde. Beim zweiten Durchlauf sollte das Men\xFC zur Generierung des Schl\xFCssel erscheinen. Benutze dort die vorgegebenen Werte, mit Ausnahme deines echten Namens, Emailadresse und Passphrase. Du kannst ein Ablaufdatum von einem Jahr eingeben, da dies dein erster Schl\xFCssel ist, gibt keinen Kommentar ein, au\xDFer du erstelst mehr als einen Schl\xFCssel (z.B. verschiedene Home-/Arbeits-Schl\xFCssel). Bewege die Maus umher, tippe zuf\xE4llige Tasten auf der Tastatur, ect. w\xE4hrend versucht wird Entropie zu generieren - wenn es nicht ausreicht, mache damit weiter.

An diesem Punkt solltest du mit dem Generieren fertig sein, also versuche dies:

gpg --fingerprint

Dies sollte dir deinen Schl\xFCssel mit dem Fingerabdruck und m\xF6glicherweise mit anderen Angaben wie Subschl\xFCssel ect. anzeigen. Jetzt, sehr wichtig, bevor du irgendetwas anderes machst, nehme eine NEUE DISKETTE und kopiere die *gpg Dateien dorthin damit du eine Sicherheitskopie hast. Mit deinem privatem Schl\xFCssel hast du immer die M\xF6glichkeit einen neuen Key f\xFCr dich zu unterzeichnen und Ung\xFCltigkeits-Zertifikate f\xFCr den alten Schl\xFCssel zu erstellen, oder einfach eine neue Emailadresse auf deinen Schl\xFCssel anzuwenden (und die alte Emailadresse zu l\xF6schen), aber ohne den privaten Schl\xFCssel verlierst du all diese Berechtigungen, solange bis dein Schl\xFCssel abl\xE4uft/verf\xE4llt.

Nun ist es Zeit deinen Schl\xFCssel an den IMC Keyserver zu schicken. Es ist v\xF6llig egal an welchen Server, da alle zusammen im Netzwerk sind, w\xE4hle einfach einem aus der am n\xE4chsten ist und nutze ihn daf\xFCr. Wenn es nicht klappt nimm einfach einen anderen. Tippe z.B. dies um deinen Schl\xFCssel an den keys.indymedia.org Server zu schicken:

gpg --keyserver keys.indymedia.org --send-key <deine Schl\xFCssel-ID>

Als du deinen Fingerabdruck herangezogen hattest, hast du deine Schl\xFCssel-ID bekommen, sie ist hinter 1024D/ aufgelistet und sie entspricht ebenfalls den letzten 8 Ziffern deines Fingerabdruckes. Wenn du diesen Schritt abgeschlossen hast, liegt dein Schl\xFCssel zum Benutzen f\xFCr andere bereit. Du kannst die Schl\xFCssel von Freunden oder eine aktualisierte Kopie deines, von einem/r FreundIn signierten Schl\xFCssels, mit dem folgendem Kommando empfangen:

gpg --keyserver keys.indymedia.org --recv-key <keyid>

Um ein Vertrauenslevel zuzuweisen und den Schl\xFCssel eines/r Freundes/Freundin zu unterzeichen (FreundIn im Sinne einer Person die du getroffen hast und die G\xFCltigkeit deren Schl\xFCssels verifiziert hast):

gpg --edit-key <keyid>

Danach nutze das Men\xFC zum "vertrauen" (trust), "unterzeichnen" (sign) und zum "abspeichern" (save). Ein letzter Tipp f\xFCr den Gebrauch, um zu vermeiden jedes Mal --keyserver einzugeben, kannst du die GnuPG options Datei editieren und keyserver dort eintragen.

Benutzung

Die herk\xF6mmlichste Art GnuPG zu nutzen ist \xFCber deinen MailClient. Schaue unter Frontends bei http://www.gnupg.org/ um zu sehen, wie dein Client arbeitet. Wenn du ein web-basiertes Standard-Mailprogramm verwendest mu\xDFt du es auf die harte Tour versuchen, oder du besorgst die einen E-Mail Service.

Um etwas "manuell" zu verschl\xFCsseln, speichere das File als *txt und tippe:

gpg --armor --encrypt <filename> -r <keyid>

eine alternative Kurzform davon ist dies:

 
gpg -ea <filename> -r <keyid>

[ -e = --encrypt ; -a = --armor ; -r = recipient ]

So erstellst du eine neue verschl\xFCsselte Datei .asc - um etwas zu entschl\xFCsseln was mit deinem Schl\xFCssel verschl\xFCsselt wurde (zu Testzwecken verschl\xFCssel etwas mit deinem eigenem Schl\xFCssel) tippe dies:

gpg --decrypt <filename>

or, alternatively,

gpg -d <filename>

[ hier: -d = --decrypt ]

Du kannst mittels > (oder --output) die entschl\xFCsselten Daten in eine Datei umleiten, anstatt sie in der Shell angezeigt zu bekommen.

Es gibt tausende anderer Nutzungsm\xF6glichkeiten, aber ich lasse euch die Anleitung lesen, welche mit GnuPG mitgeliefert ist um sie herauszufinden. smile Hab Spa\xDF, und bitte, lasst dich nicht von all den Technikgeplapper entmutigen. Es ist wirklich einfach zu nutzen und die Vorteile sind es wirklich wert sich die Zeit zum erlernen zu nehmen.

Diverses

F\xFCr mehr Informationen besuche die KeyServer working group page.

Quelle: http://lists.indymedia.org/mailman/public/keyservers/2002-March/000001.html

This topic: Sysadmin > GnuPGde
Topic revision: 14 Apr 2005, SkeP
This site is powered by FoswikiCopyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback