19.4.2005

PGP_Kurzanleitung

default

 

PGP und GnuPG allgemein

PGP kann 4 Dinge:

  • Etwas verschlüsseln
  • Etwas entschlüsseln
  • Etwas signieren
  • Eine Signatur prüfen

"Etwas", damit ist gemeint: Ein Text, eine Mail oder eine Datei.

Wenn eine Signatur "geprüft" ist, weiß man, wer das "Etwas" signiert hat.

Verschlüsseln und signieren kann man natürlich auch kombinieren.

 

Versionen von PGP/GnuPG

  • PGP 6.5.3 war die letzte frei verfügbare Version, für private und kommerzielle Nutzung. Zum Arbeiten wird die Zwischenablage benutzt, das ist etwas umständlich, aber erträglich.
  • PGP 8.0 ist frei für private Nutzung, kostenpflichtig für kommerzielle Nutzung, man muß sich registrieren. Es hat Plugins für viele Mailprogramme, das ist angenehm zum Arbeiten.
  • GnuPG ist frei verfügbar für private und kommerzielle Nutzung. Es gibt im Internet Plugins für einige Mailprogramme.

Unter Linux benutzt man normalerweise GnuPG, unter Windows eher PGP. GnuPG und PGP sind kompatibel. Beides kann man herunterladen z.B. von http://www.pgpi.org/

 

PGP 6.5.3 arbeitet mit der Zwischenablage

Senden:

  • Text schreiben (mit dem kleinen Editor)
  • alles markieren (mit der Maus)
  • Bearbeiten - Kopieren (in die Zwischenablage) <strg-c>
  • PGP: "Verschlüssele/signiere" die Zwischenablage
  • Mailprogramm: "Mail verfassen", ins Eingabefenster klicken
  • einfügen aus der Zwischenablage <strg-v>

Empfangen:

  • Mailprogramm: "Empfangene Mail ansehen"
  • alles markieren (mit der Maus)
  • Bearbeiten - Kopieren (in die Zwischenablage) <strg-c>
  • PGP: "Entschlüssele/prüfe" die Zwischenablage
  • PGP zeigt in einem Fenster das Ergebnis

 

Dateien verschlüsseln/signieren

Beim Verschlüsseln einer Datei wird an die verschlüsselte ".pgp" angehängt. Beim Signieren einer Datei wird eine kleine Datei erzeugt mit dem Namen <ursprünglicher-name>.sig, die die Signatur enthält. Man verschickt die Originaldatei und zusätzlich die Signaturdatei. Wenn man die Signatur prüfen will, gibt man PGP den Namen der Signaturdatei.

 

PGP erzeugt 2 Schlüssel

  • einen privaten, den zeigt man niemandem
  • einen öffentlichen, den gibt man jedem, der ihn möchte

Angenommen, Hans und Paula haben beide PGP, dann haben beide einen privaten ("secret") und einen öffentlichen ("public") Schlüssel ("Key"). Hans hat außerdem Paulas öffentlichen Schlüssel, und Paula hat Hans' öffentlichen Schlüssel.

Zum Verschlüsseln benutzt man den öffentlichen Schlüssel des Empfängers
 
pgp-crypt
Zum Signieren benutzt man den eigenen privaten Schlüssel
 
pgp-sign

 

Die Schlüssel müssen gut verwahrt werden

Das größte Problem bei PGP ist gar nicht mal, daß es die Mail etwas umständlicher macht, sondern: Die User verlieren ihre Schlüssel und vergessen ihre Paßphrasen.

Die Paßphrase dient zum Entsperren des privaten Schlüssels. Sie soll den Eigentümer des Schlüssels vor Identitätsdiebstahl schützen. Man muß sie jedesmal eintippen, wenn man den privaten Schlüssel benutzen will. Man muß also eine Paßphrase wählen, die leicht zu tippen und leicht zu merken, aber schwer zu raten ist. "qwertz" ist z.B. leicht zu tippen und leicht zu merken, aber auch leicht zu raten. "ölk-.," ist leicht zu tippen und leicht zu merken, weil die Tasten auf der Tastatur ein einfaches Muster ergeben, und es war schwer zu raten - bis jetzt. Aber man sieht schon, in welche Richtung man seine Phantasie spielen lassen muß.

Den privaten Schlüssel verliert man, wenn man z.B. Windows neu installieren muß und nicht an die Schlüssel denkt.

Den öffentlichen Schlüssel verliert man nicht, sondern man macht ihn unbenutzbar, indem man entweder den privaten Schlüssel verliert oder die Paßphrase vergißt. Wenn man ihn auf einen Keyserver hochgeladen hatte, kriegt man ihn dort nicht wieder weg, sondern er liegt für immer unbenutzbar auf den Keyservern im Internet.

 

Wenn man sein Schlüsselpaar macht, muß man also ...

  • Gleich ein "Revocation Certificate" machen, einen Extraschlüssel, um den öffentlichen Schlüssel von den Keyservern wieder runterzukriegen
  • Beide "Schlüsselringe", "secret" und "public", und das "Revocation Certificate" auf eine Diskette kopieren und sie gut verwahren
  • Die Paßphrase zwar nicht auf die Diskette schreiben, aber doch einen Hinweis, um sich wieder zu erinnern, was man als Paßphrase gewählt hatte

Wenn man zum ersten Mal ein Schlüsselpaar macht, sollte man den public Key nicht gleich auf einen Keyserver hochladen, sondern erstmal den Schlüssel so an Bekannte weitergeben. Aber nicht per Email, dann könnte ihn jemand austauschen und Ihre Identität annehmen.

 

Der öffentliche Schlüssel auf einem Keyserver

Die Keyserver sind ein Netz von Servern im Internet, die speziell PGP-Schlüssel speichern und bereithalten. Sie tauschen sich untereinander aus. Wenn man also den Schlüssel eines Bekannten sucht, kann man irgendeinen Keyserver fragen.

Ein Keyserver ist z.B. http://wwwkeys.pgp.net/

abatz.de Jörn Abatz - Technische Software Impressum