GnuPG digitale Signatur und Verschlüsselung in der Praxis

Transkript

1 GnuPG digitale Signatur und Verschlüsselung in der Praxis René Engelhard 21. Dezember 2001 Folien abrufbar unter GnuPG-Key: rene/mykey.asc v 0.90 Folien erstellt mit LATEX 2ɛ und dem Makro-Paket TEXPower...

2 Gliederung 1 Sinn dieses Vortrages 3 2 Grundprinzipien der Kryptographie Öffentlicher/privater Schlüssel Schlüssel - Allgemeines, Erstellen, Verwalten Voraussetzungen Generieren eines Schlüssels Ein öffentlicher Schlüssel Schlüsselweitergabe und -verwaltung Benutzung von GnuPG Verschlüsselung Signierung / digitale Signatur GnuPG direkt aus Mail-Programmen benutzen 31 6 Das Web of Trust 34

3 21. Dezember 2001 Rene Engelhard 3 1 Sinn dieses Vortrages Sinn/Grundprinzipien von digitaler Signatur und Verschlüsselung

4 21. Dezember 2001 Rene Engelhard 3 1 Sinn dieses Vortrages Sinn/Grundprinzipien von digitaler Signatur und Verschlüsselung Benutzung von GnuPG

5 21. Dezember 2001 Rene Engelhard 3 1 Sinn dieses Vortrages Sinn/Grundprinzipien von digitaler Signatur und Verschlüsselung Benutzung von GnuPG 1. auf der Kommandozeile

6 21. Dezember 2001 Rene Engelhard 3 1 Sinn dieses Vortrages Sinn/Grundprinzipien von digitaler Signatur und Verschlüsselung Benutzung von GnuPG 1. auf der Kommandozeile 2. Einbindung in Mailprogramme (mutt, KMail, Mozilla/Netscape, pine)

7 21. Dezember 2001 Rene Engelhard 3 1 Sinn dieses Vortrages Sinn/Grundprinzipien von digitaler Signatur und Verschlüsselung Benutzung von GnuPG 1. auf der Kommandozeile 2. Einbindung in Mailprogramme (mutt, KMail, Mozilla/Netscape, pine) Web of Trust

8 21. Dezember 2001 Rene Engelhard 4 2 Grundprinzipien der Kryptographie 2.1 Öffentlicher/privater Schlüssel zwei Schlüssel (öffentlich und privat)

9 21. Dezember 2001 Rene Engelhard 4 2 Grundprinzipien der Kryptographie 2.1 Öffentlicher/privater Schlüssel zwei Schlüssel (öffentlich und privat) öffentlicher Schüssel kannn und soll weitergegeben werden

10 21. Dezember 2001 Rene Engelhard 4 2 Grundprinzipien der Kryptographie 2.1 Öffentlicher/privater Schlüssel zwei Schlüssel (öffentlich und privat) öffentlicher Schüssel kannn und soll weitergegeben werden der private auf gar keinen Fall

11 21. Dezember 2001 Rene Engelhard 4 2 Grundprinzipien der Kryptographie 2.1 Öffentlicher/privater Schlüssel zwei Schlüssel (öffentlich und privat) öffentlicher Schüssel kannn und soll weitergegeben werden der private auf gar keinen Fall der private wird durch das Mantra/die Passphrase geschützt

12 21. Dezember 2001 Rene Engelhard 5 man verschüsselt mit dem öffentlichen Schlüssel des Empfängers, dieser entschlüsselt mit seinem privaten

13 21. Dezember 2001 Rene Engelhard 5 man verschüsselt mit dem öffentlichen Schlüssel des Empfängers, dieser entschlüsselt mit seinem privaten man signiert mit seinem eigenen privaten Schlüssel

14 21. Dezember 2001 Rene Engelhard 5 man verschüsselt mit dem öffentlichen Schlüssel des Empfängers, dieser entschlüsselt mit seinem privaten man signiert mit seinem eigenen privaten Schlüssel privaten Schlüssel für andere unzugänglich aufbewahren

15 21. Dezember 2001 Rene Engelhard 6 3 Schlüssel - Allgemeines, Erstellen, Verwalten 3.1 Voraussetzungen Je nach Sicherheitsanspruch: sicherer Rechner

16 21. Dezember 2001 Rene Engelhard 6 3 Schlüssel - Allgemeines, Erstellen, Verwalten 3.1 Voraussetzungen Je nach Sicherheitsanspruch: sicherer Rechner Rechner mit vertrauenswürdigem root

17 21. Dezember 2001 Rene Engelhard Generieren eines Schlüssels # gpg --gen-key (2x, wenn man GnuPG nie vorher verwendet hat...

18 21. Dezember 2001 Rene Engelhard Generieren eines Schlüssels # gpg --gen-key (2x, wenn man GnuPG nie vorher verwendet hat... gpg (GnuPG) 1.0.6; Copyright (C) Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details. gpg: Warnung: Sensible Daten könnten auf Platte ausgelagert werden. gpg: /home/gnupg1/.gnupg: Verzeichnis erzeugt gpg: /home/gnupg1/.gnupg/options: neue Optionendatei erstellt gpg: Sie müssen GnuPG noch einmal starten, damit es die neue Optionsdatei liest

19 21. Dezember 2001 Rene Engelhard 8 gpg (GnuPG) 1.0.6; Copyright (C) 2001 Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details. gpg: Warnung: Sensible Daten könnten auf Platte ausgelagert werden. gpg: /home/gnupg1/.gnupg/secring.gpg: Schlüsselbund erstellt gpg: /home/gnupg1/.gnupg/pubring.gpg: Schlüsselbund erstellt Bitte wählen Sie, welche Art von Schlüssel Sie möchten: (1) DSA und ElGamal (voreingestellt) (2) DSA (nur signieren/beglaubigen) (4) ElGamal (signieren/beglaubigen und verschlüsseln) Ihre Auswahl?

20 21. Dezember 2001 Rene Engelhard 8 gpg (GnuPG) 1.0.6; Copyright (C) 2001 Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details. gpg: Warnung: Sensible Daten könnten auf Platte ausgelagert werden. gpg: /home/gnupg1/.gnupg/secring.gpg: Schlüsselbund erstellt gpg: /home/gnupg1/.gnupg/pubring.gpg: Schlüsselbund erstellt Bitte wählen Sie, welche Art von Schlüssel Sie möchten: (1) DSA und ElGamal (voreingestellt) (2) DSA (nur signieren/beglaubigen) (4) ElGamal (signieren/beglaubigen und verschlüsseln) Ihre Auswahl? Wir wählen die voreingestellte Option (1) und benutzen DSA und ElGamal.

21 21. Dezember 2001 Rene Engelhard 9 Der DSA Schlüssel wird 1024 Bit haben. Es wird ein neues ELG-E Schlüsselpaar erzeugt. kleinste Schlüssellänge ist 768 Bit standard Schlüssellänge ist 1024 Bit größte sinnvolle Schlüssellänge ist 2048 Bit Welche Schlüssellänge wünschen Sie? (1024)

22 21. Dezember 2001 Rene Engelhard 9 Der DSA Schlüssel wird 1024 Bit haben. Es wird ein neues ELG-E Schlüsselpaar erzeugt. kleinste Schlüssellänge ist 768 Bit standard Schlüssellänge ist 1024 Bit größte sinnvolle Schlüssellänge ist 2048 Bit Welche Schlüssellänge wünschen Sie? (1024) 1024 bit sind im Allgemeinen OK, am kompatibelsten und auch schon voreingestellt. Wir bestätigen.

23 21. Dezember 2001 Rene Engelhard 9 Der DSA Schlüssel wird 1024 Bit haben. Es wird ein neues ELG-E Schlüsselpaar erzeugt. kleinste Schlüssellänge ist 768 Bit standard Schlüssellänge ist 1024 Bit größte sinnvolle Schlüssellänge ist 2048 Bit Welche Schlüssellänge wünschen Sie? (1024) 1024 bit sind im Allgemeinen OK, am kompatibelsten und auch schon voreingestellt. Wir bestätigen. Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll. 0 = Schlüssel verfällt nie <n> = Schlüssel verfällt nach n Tagen <n>w = Schlüssel verfällt nach n Wochen <n>m = Schlüssel verfällt nach n Monaten <n>y = Schlüssel verfällt nach n Jahren Der Schlüssel bleibt wie lange gültig? (0)

24 21. Dezember 2001 Rene Engelhard 9 Der DSA Schlüssel wird 1024 Bit haben. Es wird ein neues ELG-E Schlüsselpaar erzeugt. kleinste Schlüssellänge ist 768 Bit standard Schlüssellänge ist 1024 Bit größte sinnvolle Schlüssellänge ist 2048 Bit Welche Schlüssellänge wünschen Sie? (1024) 1024 bit sind im Allgemeinen OK, am kompatibelsten und auch schon voreingestellt. Wir bestätigen. Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll. 0 = Schlüssel verfällt nie <n> = Schlüssel verfällt nach n Tagen <n>w = Schlüssel verfällt nach n Wochen <n>m = Schlüssel verfällt nach n Monaten <n>y = Schlüssel verfällt nach n Jahren Der Schlüssel bleibt wie lange gültig? (0) Am besten man läßt ihn lebenslang gültig, dann hat man keinen Ärger mit abgelaufenen Schlüsseln, wenn man mal vergißt, sie zu erneueren/verlängern.

25 21. Dezember 2001 Rene Engelhard 10 Der Schlüssel verfällt nie. Ist dies richtig? (j/n)

26 21. Dezember 2001 Rene Engelhard 10 Der Schlüssel verfällt nie. Ist dies richtig? (j/n) Ja, das wollen wir, also antworten wir mit j...

27 21. Dezember 2001 Rene Engelhard 10 Der Schlüssel verfällt nie. Ist dies richtig? (j/n) Ja, das wollen wir, also antworten wir mit j... Sie benötigen eine User-ID, um Ihren Schlüssel eindeutig zu machen; das Programm baut diese User-ID aus Ihrem echten Namen, einem Kommentar und Ihrer -Adresse in dieser Form auf: "Heinrich Heine (Der Dichter) Ihr Name ("Vorname Nachname"): Name eingeben.

28 21. Dezember 2001 Rene Engelhard 10 Der Schlüssel verfällt nie. Ist dies richtig? (j/n) Ja, das wollen wir, also antworten wir mit j... Sie benötigen eine User-ID, um Ihren Schlüssel eindeutig zu machen; das Programm baut diese User-ID aus Ihrem echten Namen, einem Kommentar und Ihrer -Adresse in dieser Form auf: "Heinrich Heine (Der Dichter) Ihr Name ("Vorname Nachname"): Name eingeben. Ihr Name ("Vorname Nachname"): GnuPG Test 1 -Adresse: -Adresse ist natürlich genauso wichtig wie der Name...

29 21. Dezember 2001 Rene Engelhard 10 Der Schlüssel verfällt nie. Ist dies richtig? (j/n) Ja, das wollen wir, also antworten wir mit j... Sie benötigen eine User-ID, um Ihren Schlüssel eindeutig zu machen; das Programm baut diese User-ID aus Ihrem echten Namen, einem Kommentar und Ihrer -Adresse in dieser Form auf: "Heinrich Heine (Der Dichter) Ihr Name ("Vorname Nachname"): Name eingeben. Ihr Name ("Vorname Nachname"): GnuPG Test 1 -Adresse: -Adresse ist natürlich genauso wichtig wie der Name...

30 21. Dezember 2001 Rene Engelhard 11 Ihr Name ("Vorname Nachname"): GnuPG Test 1 -Adresse: gnupg1@testaccount Kommentar:

31 21. Dezember 2001 Rene Engelhard 11 Ihr Name ("Vorname Nachname"): GnuPG Test 1 -Adresse: gnupg1@testaccount Kommentar: Häh? Kommentar? Wofür??

32 21. Dezember 2001 Rene Engelhard 11 Ihr Name ("Vorname Nachname"): GnuPG Test 1 -Adresse: gnupg1@testaccount Kommentar: Häh? Kommentar? Wofür?? Ein Kommentar ist nützlich bei

33 21. Dezember 2001 Rene Engelhard 11 Ihr Name ("Vorname Nachname"): GnuPG Test 1 -Adresse: gnupg1@testaccount Kommentar: Häh? Kommentar? Wofür?? Ein Kommentar ist nützlich bei Privat- und Firmenmails

34 21. Dezember 2001 Rene Engelhard 11 Ihr Name ("Vorname Nachname"): GnuPG Test 1 -Adresse: gnupg1@testaccount Kommentar: Häh? Kommentar? Wofür?? Ein Kommentar ist nützlich bei Privat- und Firmenmails wenn man Allerweltsnamen hat (z.b. Stefan Müller davon kenne ich 3)

35 21. Dezember 2001 Rene Engelhard 11 Ihr Name ("Vorname Nachname"): GnuPG Test 1 -Adresse: gnupg1@testaccount Kommentar: Häh? Kommentar? Wofür?? Ein Kommentar ist nützlich bei Privat- und Firmenmails wenn man Allerweltsnamen hat (z.b. Stefan Müller davon kenne ich 3) Kann man aber auch leer lassen.

36 21. Dezember 2001 Rene Engelhard 12 Sie haben diese User-ID gewählt: "GnuPG Test 1 <gnupg1@testaccount>" Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden?

37 21. Dezember 2001 Rene Engelhard 12 Sie haben diese User-ID gewählt: "GnuPG Test 1 <gnupg1@testaccount>" Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden? Wir sind fertig, also machen wir mit F weiter...

38 21. Dezember 2001 Rene Engelhard 12 Sie haben diese User-ID gewählt: "GnuPG Test 1 <gnupg1@testaccount>" Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden? Wir sind fertig, also machen wir mit F weiter... Sie benötigen ein Mantra, um den geheimen Schlüssel zu schützen. Geben Sie das Mantra ein:

39 21. Dezember 2001 Rene Engelhard 12 Sie haben diese User-ID gewählt: "GnuPG Test 1 <gnupg1@testaccount>" Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden? Wir sind fertig, also machen wir mit F weiter... Sie benötigen ein Mantra, um den geheimen Schlüssel zu schützen. Geben Sie das Mantra ein: Nun muß das Mantra (auch Passphrase genannt) eingegeben werden. Es schützt den privaten Schlüssel. Nach der Eingabe muß es nocheinmal zur Überfrüfung eingegeben werden.

40 21. Dezember 2001 Rene Engelhard 13 Anschließend werden Zufallszahlen erzeugt: Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies unterstützen, indem Sie z.b. in einem anderen Fenster/Konsole irgendetwas tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen > ^^^^^^^^ ^^^^^^^

41 21. Dezember 2001 Rene Engelhard 13 Anschließend werden Zufallszahlen erzeugt: Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies unterstützen, indem Sie z.b. in einem anderen Fenster/Konsole irgendetwas tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen > ^^^^^^^^ ^^^^^^^ Nun hat GnuPG die öffentlichen und privaten Schlüssel erzeugt und signiert.

42 21. Dezember 2001 Rene Engelhard Ein öffentlicher Schlüssel -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.0.5 (GNU/Linux) Comment: Weitere Infos: siehe mqghbdvv0r8rbacz2uqalnxbwqoggpkfuqrmf/q5knab1kul9ohyid+2j++okoet hblu4c0yyjku1zh79bzoj55+brz2siv6c0ecgfrb1ppawaq1niljjxwy3sbiatp1 gjq9y51u/tuby6qjq2i1wkwf/baydl4wiqipik0pnqnczudk6jimlblbcwcghger J54cicEf3RbyuGs48MLjIfED/2JJEIzsySrYFFhut+uSMMiKjC4AwcE+aMizQhST Gwe4x4+6TltILJ5mVs1FeY+O4f7KGKysKj5inA2vA4bHbi0biMX53oDDVSzO4Odd cjglxlc21xcbhdxvnmtamnvecltfqqia8mrl64npjwby1xkrt8fhgchsuwdy3d1f kdhba/dla+qrtna7n6tyhnkcuhvl1qtvcafudvt47qfu/6jfrphy9myranyzkrfj RXQIB8Bc/cHh7FjtJHwAxYP9LdAmcDYB1BuRMHpr0rQEz7r7eCdYGlWzPCkXbvvz HMQQ3kKGRrZ9hTRFhuWkuay9pyQGCX9z2Yq1jSo54ylVpuaqtCdSZW5lIEVuZ2Vs agfyzca8bwfpbebyzw5llwvuz2vsagfyzc5kzt6ivwqteqiafwuco9xrhwulbwod [...] 63MGTACfREs+2YU/a8zrtGWDE9HwNFr577EAn25LeslWWkoRnclnTdHMOBV4exna =AtC END PGP PUBLIC KEY BLOCK-----

43 21. Dezember 2001 Rene Engelhard Schlüsselweitergabe und -verwaltung Schlüsselweitergabe durch sicheren Kanal (Diskette, Ausdruck, Telefon,...)

44 21. Dezember 2001 Rene Engelhard Schlüsselweitergabe und -verwaltung Schlüsselweitergabe durch sicheren Kanal (Diskette, Ausdruck, Telefon,...) durch unsicheren Kanal (Internet, Keyserver, procmail,...) Überprüfung des Fingerprints nötig

45 21. Dezember 2001 Rene Engelhard 16 Schlüssel exportieren bzw. importieren Schlüssel exportieren:

46 21. Dezember 2001 Rene Engelhard 16 Schlüssel exportieren bzw. importieren Schlüssel exportieren: gpg [--armor] [--output <file>] --export <uid>

47 21. Dezember 2001 Rene Engelhard 16 Schlüssel exportieren bzw. importieren Schlüssel exportieren: gpg [--armor] [--output <file>] --export <uid> Die Datei kann dann verteilt werden.

48 21. Dezember 2001 Rene Engelhard 16 Schlüssel exportieren bzw. importieren Schlüssel exportieren: gpg [--armor] [--output <file>] --export <uid> Die Datei kann dann verteilt werden. Schlüssel importieren:

49 21. Dezember 2001 Rene Engelhard 16 Schlüssel exportieren bzw. importieren Schlüssel exportieren: gpg [--armor] [--output <file>] --export <uid> Die Datei kann dann verteilt werden. Schlüssel importieren: gpg --import <file>

50 21. Dezember 2001 Rene Engelhard 17 Fingerprint exportieren gpg --fingerprint <uid> [ > <file> ]

51 21. Dezember 2001 Rene Engelhard 17 Fingerprint exportieren gpg --fingerprint <uid> [ > <file> ] Die Datei (ASCII) kann man dann mehrfach auf ein Blatt Papier drucken (und ausschneiden)

52 21. Dezember 2001 Rene Engelhard 18 Keyserver Keyserver ist wwwkeys.de.pgp.net

53 21. Dezember 2001 Rene Engelhard 18 Keyserver Keyserver ist wwwkeys.de.pgp.net in die ~/.gnupg/options keyserver wwwkeys.de.pgp.net eintragen

54 21. Dezember 2001 Rene Engelhard 18 Keyserver Keyserver ist wwwkeys.de.pgp.net in die ~/.gnupg/options keyserver wwwkeys.de.pgp.net eintragen Key-Download mit gpg --recv-keys <uid>... <uid>

55 21. Dezember 2001 Rene Engelhard 18 Keyserver Keyserver ist wwwkeys.de.pgp.net in die ~/.gnupg/options keyserver wwwkeys.de.pgp.net eintragen Key-Download mit gpg --recv-keys <uid>... <uid> Key-Upload mit gpg --send-keys <uid>... <uid>

56 21. Dezember 2001 Rene Engelhard 18 Keyserver Keyserver ist wwwkeys.de.pgp.net in die ~/.gnupg/options keyserver wwwkeys.de.pgp.net eintragen Key-Download mit gpg --recv-keys <uid>... <uid> Key-Upload mit gpg --send-keys <uid>... <uid>

57 21. Dezember 2001 Rene Engelhard 19 Schlüsselweitergabe durch procmail

58 21. Dezember 2001 Rene Engelhard 19 Schlüsselweitergabe durch procmail in die /.procmailrc: (auf eigene Pfade und Dateien anpassen)

59 21. Dezember 2001 Rene Engelhard 19 Schlüsselweitergabe durch procmail in die /.procmailrc: (auf eigene Pfade und Dateien anpassen) MAILDIR=$HOME/Mail LOGFILE=~/promaillog VERBOSE=on SENDMAIL="/usr/sbin/sendmail" ########################################################### ## öffentlichen GnuPG-Key auf Anfrage verschicken ## ########################################################### :0 c *!^Subject: Re: *!^Subject: AW: *!^FROM_DAEMON * ^Subject: get gnupgkey ( formail -r -A \ "X-Loop: rene@plichta.cs.uni-dortmund.de" ; \ cat < $HOME/.gnupg/mypubkey.asc ) \ $SENDMAIL -t -oi

60 21. Dezember 2001 Rene Engelhard Schlüsselverwaltung Überprüfung von Fingerprints

61 21. Dezember 2001 Rene Engelhard Schlüsselverwaltung Überprüfung von Fingerprints Erstellung/Überprüfung von Zertifikaten

62 21. Dezember 2001 Rene Engelhard Schlüsselverwaltung Überprüfung von Fingerprints Erstellung/Überprüfung von Zertifikaten Web of Trust mit trust-levels

63 21. Dezember 2001 Rene Engelhard Schlüsselverwaltung Überprüfung von Fingerprints Erstellung/Überprüfung von Zertifikaten Web of Trust mit trust-levels Hinzufügen/Löschen von User-IDs und Subkeys

64 21. Dezember 2001 Rene Engelhard Schlüsselverwaltung Überprüfung von Fingerprints Erstellung/Überprüfung von Zertifikaten Web of Trust mit trust-levels Hinzufügen/Löschen von User-IDs und Subkeys Löschen von Signaturen

65 21. Dezember 2001 Rene Engelhard Schlüsselverwaltung Überprüfung von Fingerprints Erstellung/Überprüfung von Zertifikaten Web of Trust mit trust-levels Hinzufügen/Löschen von User-IDs und Subkeys Löschen von Signaturen Widerruf eigener Keys

66 21. Dezember 2001 Rene Engelhard 21 gpg --edit-key <uid>

67 21. Dezember 2001 Rene Engelhard 21 gpg --edit-key <uid> Liste der verfügbaren Befehle mit help

68 21. Dezember 2001 Rene Engelhard 21 gpg --edit-key <uid> Liste der verfügbaren Befehle mit help Überprüfen von Fingerprints

69 21. Dezember 2001 Rene Engelhard 21 gpg --edit-key <uid> Liste der verfügbaren Befehle mit help Überprüfen von Fingerprints gpg --fingerprint <uid> bzw. fpr

70 21. Dezember 2001 Rene Engelhard 21 gpg --edit-key <uid> Liste der verfügbaren Befehle mit help Überprüfen von Fingerprints gpg --fingerprint <uid> bzw. fpr Fingerprint und User-ID gehören unbedingt zusammen immer beides prüfen

71 21. Dezember 2001 Rene Engelhard 21 gpg --edit-key <uid> Liste der verfügbaren Befehle mit help Überprüfen von Fingerprints gpg --fingerprint <uid> bzw. fpr Fingerprint und User-ID gehören unbedingt zusammen immer beides prüfen Identität der übergebenden Person sicherstellen (z.b. durch Überprüfung des Ausweises dieser muß dessen Namen enthalten

72 21. Dezember 2001 Rene Engelhard 22 Zertifikate

73 21. Dezember 2001 Rene Engelhard 22 Zertifikate 1. Zertifikate erstellen gpg --sign-key <uid> bzw. gpg --lsign-key <uid> oder sign bzw. lsign

74 21. Dezember 2001 Rene Engelhard 22 Zertifikate 1. Zertifikate erstellen gpg --sign-key <uid> bzw. gpg --lsign-key <uid> oder sign bzw. lsign wenn man Zertikate mit lsign erstellt, werden diese nicht mit exportiert!!!

75 21. Dezember 2001 Rene Engelhard 22 Zertifikate 1. Zertifikate erstellen gpg --sign-key <uid> bzw. gpg --lsign-key <uid> oder sign bzw. lsign wenn man Zertikate mit lsign erstellt, werden diese nicht mit exportiert!!! User-ID und Fingerpint nach Eingabe des Befehls überprüfen und nur bei Korrektheit wirklich zerifizieren!!

76 21. Dezember 2001 Rene Engelhard 22 Zertifikate 1. Zertifikate erstellen gpg --sign-key <uid> bzw. gpg --lsign-key <uid> oder sign bzw. lsign wenn man Zertikate mit lsign erstellt, werden diese nicht mit exportiert!!! User-ID und Fingerpint nach Eingabe des Befehls überprüfen und nur bei Korrektheit wirklich zerifizieren!!

77 21. Dezember 2001 Rene Engelhard Zertifikate überprüfen check dazu werden die entsprachenden public keys benötigt.

78 21. Dezember 2001 Rene Engelhard 24 UserIDs & Subkeys erstellen/löschen adduid/addkey erstellen neue User-ID/neuen Subkey

79 21. Dezember 2001 Rene Engelhard 24 UserIDs & Subkeys erstellen/löschen adduid/addkey erstellen neue User-ID/neuen Subkey uid/key wählen User-ID bzw. Subkey aus

80 21. Dezember 2001 Rene Engelhard 24 UserIDs & Subkeys erstellen/löschen adduid/addkey erstellen neue User-ID/neuen Subkey uid/key wählen User-ID bzw. Subkey aus deluid/delkey löscht ausgewählte User-ID/ausgewählten Subkey

81 21. Dezember 2001 Rene Engelhard 24 UserIDs & Subkeys erstellen/löschen adduid/addkey erstellen neue User-ID/neuen Subkey uid/key wählen User-ID bzw. Subkey aus deluid/delkey löscht ausgewählte User-ID/ausgewählten Subkey Gelöschte User-IDs/Subkeys können nach einem merge wieder auftauchen!

82 21. Dezember 2001 Rene Engelhard 25 Signaturen löschen

83 21. Dezember 2001 Rene Engelhard 25 Signaturen löschen delsig löscht Signaturen von Subkeys

84 21. Dezember 2001 Rene Engelhard 25 Signaturen löschen delsig löscht Signaturen von Subkeys Keys (in)aktivieren

85 21. Dezember 2001 Rene Engelhard 25 Signaturen löschen delsig löscht Signaturen von Subkeys Keys (in)aktivieren disable und enable (de)aktivieren den Key

86 21. Dezember 2001 Rene Engelhard 25 Signaturen löschen delsig löscht Signaturen von Subkeys Keys (in)aktivieren disable und enable (de)aktivieren den Key Mantra (Passphrase) setzen

87 21. Dezember 2001 Rene Engelhard 25 Signaturen löschen delsig löscht Signaturen von Subkeys Keys (in)aktivieren disable und enable (de)aktivieren den Key Mantra (Passphrase) setzen passwd setzt die Passphrase.

88 21. Dezember 2001 Rene Engelhard 25 Signaturen löschen delsig löscht Signaturen von Subkeys Keys (in)aktivieren disable und enable (de)aktivieren den Key Mantra (Passphrase) setzen passwd setzt die Passphrase. Nur in sehr seltenen Ausnahmen nötig

89 21. Dezember 2001 Rene Engelhard 26 Key wiederrufen Gründe einen Key zu widerrufen sind:

90 21. Dezember 2001 Rene Engelhard 26 Key wiederrufen Gründe einen Key zu widerrufen sind: 1. (geheimer) Key und/oder Passphrase könnten in andere Hände gefallen sein

91 21. Dezember 2001 Rene Engelhard 26 Key wiederrufen Gründe einen Key zu widerrufen sind: 1. (geheimer) Key und/oder Passphrase könnten in andere Hände gefallen sein 2. (geheimer) Key und/oder Passphrase sind verloren gegangen / vergessen worden

92 21. Dezember 2001 Rene Engelhard 26 Key wiederrufen Gründe einen Key zu widerrufen sind: 1. (geheimer) Key und/oder Passphrase könnten in andere Hände gefallen sein 2. (geheimer) Key und/oder Passphrase sind verloren gegangen / vergessen worden 3. beides

93 21. Dezember 2001 Rene Engelhard 26 Key wiederrufen Gründe einen Key zu widerrufen sind: 1. (geheimer) Key und/oder Passphrase könnten in andere Hände gefallen sein 2. (geheimer) Key und/oder Passphrase sind verloren gegangen / vergessen worden 3. beides 4. es besteht Verdacht auf 1., 2. oder 3., der nicht ausgeschlossen werden kann.

94 21. Dezember 2001 Rene Engelhard 27 revsig widerruft eine User-ID

95 21. Dezember 2001 Rene Engelhard 27 revsig widerruft eine User-ID revkey widerruft den ausgewählten Subkey

96 21. Dezember 2001 Rene Engelhard 27 revsig widerruft eine User-ID revkey widerruft den ausgewählten Subkey gpg --gen-revoke <uid> erstellt ein Revocation Certificate für den gesamten Key.

97 21. Dezember 2001 Rene Engelhard 27 revsig widerruft eine User-ID revkey widerruft den ausgewählten Subkey gpg --gen-revoke <uid> erstellt ein Revocation Certificate für den gesamten Key. Der Key wird noch nicht widerrufen, für späteren Zeitpunkt sicher aufbewahren!

98 21. Dezember 2001 Rene Engelhard 28 Trust Level einstellen trust setzt den trust level (= Vertrauenswürdigkeit) - nicht gesetzt

99 21. Dezember 2001 Rene Engelhard 28 Trust Level einstellen trust setzt den trust level (= Vertrauenswürdigkeit) - nicht gesetzt e fehlgeschlagen (z.b. Key abgelaufen)

100 21. Dezember 2001 Rene Engelhard 28 Trust Level einstellen trust setzt den trust level (= Vertrauenswürdigkeit) - nicht gesetzt e fehlgeschlagen (z.b. Key abgelaufen) q unbekannt

101 21. Dezember 2001 Rene Engelhard 28 Trust Level einstellen trust setzt den trust level (= Vertrauenswürdigkeit) - nicht gesetzt e fehlgeschlagen (z.b. Key abgelaufen) q unbekannt n nicht vertrauenswürdig

102 21. Dezember 2001 Rene Engelhard 28 Trust Level einstellen trust setzt den trust level (= Vertrauenswürdigkeit) - nicht gesetzt e fehlgeschlagen (z.b. Key abgelaufen) q unbekannt n nicht vertrauenswürdig m marginal vertrauenswürdig

103 21. Dezember 2001 Rene Engelhard 28 Trust Level einstellen trust setzt den trust level (= Vertrauenswürdigkeit) - nicht gesetzt e fehlgeschlagen (z.b. Key abgelaufen) q unbekannt n nicht vertrauenswürdig m marginal vertrauenswürdig f voll vertrauenswürdig

104 21. Dezember 2001 Rene Engelhard 28 Trust Level einstellen trust setzt den trust level (= Vertrauenswürdigkeit) - nicht gesetzt e fehlgeschlagen (z.b. Key abgelaufen) q unbekannt n nicht vertrauenswürdig m marginal vertrauenswürdig f voll vertrauenswürdig u ultimativ vertrauenswürdig (eigene Person)

105 21. Dezember 2001 Rene Engelhard 29 4 Benutzung von GnuPG 4.1 Verschlüsselung

106 21. Dezember 2001 Rene Engelhard 29 4 Benutzung von GnuPG 4.1 Verschlüsselung Verschlüsselung mit gpg [--armor] --recipient Empfaenger-ID --encrypt Datei (--armor für ASCII-Output) Entschlüsselung mit:

107 21. Dezember 2001 Rene Engelhard 29 4 Benutzung von GnuPG 4.1 Verschlüsselung Verschlüsselung mit gpg [--armor] --recipient Empfaenger-ID --encrypt Datei (--armor für ASCII-Output) Entschlüsselung mit: gpg --decrypt Datei

108 21. Dezember 2001 Rene Engelhard 29 4 Benutzung von GnuPG 4.1 Verschlüsselung Verschlüsselung mit gpg [--armor] --recipient Empfaenger-ID --encrypt Datei (--armor für ASCII-Output) Entschlüsselung mit: gpg --decrypt Datei Eingabe des Mantras

109 21. Dezember 2001 Rene Engelhard Signierung / digitale Signatur

110 21. Dezember 2001 Rene Engelhard Signierung / digitale Signatur Signierung mit gpg [--armor] {--sign,--clearsign,--detach-sign} Datei

111 21. Dezember 2001 Rene Engelhard Signierung / digitale Signatur Signierung mit gpg [--armor] {--sign,--clearsign,--detach-sign} Datei Mantra

112 21. Dezember 2001 Rene Engelhard Signierung / digitale Signatur Signierung mit gpg [--armor] {--sign,--clearsign,--detach-sign} Datei Mantra Überprüfung einer Signatur mit gpg --verify [[Sig-Datei] [Datei]]

113 21. Dezember 2001 Rene Engelhard 31 5 GnuPG direkt aus Mail-Programmen benutzen

114 21. Dezember 2001 Rene Engelhard 31 5 GnuPG direkt aus Mail-Programmen benutzen mutt

115 21. Dezember 2001 Rene Engelhard 31 5 GnuPG direkt aus Mail-Programmen benutzen mutt einfach in die /.muttrc bzw. folgende Zeile eintragen: source /pfad/zu/der/datei/gpg.rc

116 21. Dezember 2001 Rene Engelhard 31 5 GnuPG direkt aus Mail-Programmen benutzen mutt einfach in die /.muttrc bzw. folgende Zeile eintragen: source /pfad/zu/der/datei/gpg.rc Anschließend kann man im Senden -Dialog dann p drücken und man hat die Funktionen direkt verfügbar.

117 21. Dezember 2001 Rene Engelhard 32 KMail

118 21. Dezember 2001 Rene Engelhard 32 KMail Hier liegt KMail (aus KDE 2.2.1) zugrunde, ob das in früheren Versionen auch so geht, weiß ich nicht; ich benutze kein KMail...

119 21. Dezember 2001 Rene Engelhard 32 KMail Hier liegt KMail (aus KDE 2.2.1) zugrunde, ob das in früheren Versionen auch so geht, weiß ich nicht; ich benutze kein KMail... In den Indentitäts-Einstellungen muß die PGP Nutzeridentität angegeben werden. Entweder eindeutiges Merkmal oder Schlüssel-ID

120 21. Dezember 2001 Rene Engelhard 32 KMail Hier liegt KMail (aus KDE 2.2.1) zugrunde, ob das in früheren Versionen auch so geht, weiß ich nicht; ich benutze kein KMail... In den Indentitäts-Einstellungen muß die PGP Nutzeridentität angegeben werden. Entweder eindeutiges Merkmal oder Schlüssel-ID KMail versucht das verwendete Programm automatisch zu erkennen, wenn das nicht klappt, GnuPG in den Sicherheits-Einstellungen (PGP) einstellen.

121 21. Dezember 2001 Rene Engelhard 33 Dann kann man beim Erstellen einer Nachricht mit diesen Icons Verschlüsseln und signieren...

122 21. Dezember 2001 Rene Engelhard 33 Dann kann man beim Erstellen einer Nachricht mit diesen Icons Verschlüsseln und signieren... Mit zwei Menüpunkten in Anhängen kann man öffentliche Schlüssel zur Verbreitung verschicken...

123 21. Dezember 2001 Rene Engelhard 33 Dann kann man beim Erstellen einer Nachricht mit diesen Icons Verschlüsseln und signieren... Mit zwei Menüpunkten in Anhängen kann man öffentliche Schlüssel zur Verbreitung verschicken... sonstige

124 21. Dezember 2001 Rene Engelhard 33 Dann kann man beim Erstellen einer Nachricht mit diesen Icons Verschlüsseln und signieren... Mit zwei Menüpunkten in Anhängen kann man öffentliche Schlüssel zur Verbreitung verschicken... sonstige Pine: PGP4PINE

125 21. Dezember 2001 Rene Engelhard 33 Dann kann man beim Erstellen einer Nachricht mit diesen Icons Verschlüsseln und signieren... Mit zwei Menüpunkten in Anhängen kann man öffentliche Schlüssel zur Verbreitung verschicken... sonstige Pine: PGP4PINE Netscape 6.x/Mozilla Enigmail

126 21. Dezember 2001 Rene Engelhard 34 6 Das Web of Trust flexibles und komfortables Verfahren zur Key-Authentisierung Schlüssel K ist gültig, wenn: K ist von genügend gültigen Schlüsseln unterschrieben d.h entweder 1. von einem persönlich

127 21. Dezember 2001 Rene Engelhard 34 6 Das Web of Trust flexibles und komfortables Verfahren zur Key-Authentisierung Schlüssel K ist gültig, wenn: K ist von genügend gültigen Schlüsseln unterschrieben d.h entweder 1. von einem persönlich 2. von einem Schlüssel mit vollem Vertrauen

128 21. Dezember 2001 Rene Engelhard 34 6 Das Web of Trust flexibles und komfortables Verfahren zur Key-Authentisierung Schlüssel K ist gültig, wenn: K ist von genügend gültigen Schlüsseln unterschrieben d.h entweder 1. von einem persönlich 2. von einem Schlüssel mit vollem Vertrauen 3. von drei Schlüsseln teilweisen Vertrauens Der Pfad unterschriebener Schlüssel von K zurück zum eigenen Schlüssel ist 5 Schritte

129 21. Dezember 2001 Rene Engelhard 35 Die Optionen (Zahlen) kann man auch verändern: complets-needed Anzahl der voll vertrauenswürdigen Signaturen, um den Key als weiteren Zertifizierer anzuerkennen. marginals-needed Anzahl der marginal vertrauendwürdigen Signaturen, um den Key als weiteren Zertifizierer anzuerkennen max-cert-depth maximale Zertifizierungstiefe

130 21. Dezember 2001 Rene Engelhard 36 Beispiel Web of Trust Annahme: Benötigt werden zwei Schlüssel mit teilweisem oder einen mit vollem Vertrauen. Max. Pfadlänge ist 3 Vertrauen Gültigkeit teilweise völlig teilweise völlig Dharma Blake, Chloe, Dharma Francis Blake, Dharma Francis Blake, Chloe, Dharma Chloe, Dharma Chloe, Francis Blake, Dharma Blake, Chloe, Dharma Elena Blake, Chloe, Dharma, Blake, Chloe, Elena Francis Blake, Chloe, Elena Francis Tabelle 1: Ein hypothetisches Vertauensnetz (von Alice)

131 21. Dezember 2001 Rene Engelhard 37 Programme im Zusammenhang mit GnuPG 1. Unix und Unix-Derivate

132 21. Dezember 2001 Rene Engelhard 37 Programme im Zusammenhang mit GnuPG 1. Unix und Unix-Derivate GnuPG

133 21. Dezember 2001 Rene Engelhard 37 Programme im Zusammenhang mit GnuPG 1. Unix und Unix-Derivate GnuPG Geheimnis Grafische Oberfläche zur Schlüsselverwaltung

134 21. Dezember 2001 Rene Engelhard 37 Programme im Zusammenhang mit GnuPG 1. Unix und Unix-Derivate GnuPG Geheimnis Grafische Oberfläche zur Schlüsselverwaltung 2. Windows

135 21. Dezember 2001 Rene Engelhard 37 Programme im Zusammenhang mit GnuPG 1. Unix und Unix-Derivate GnuPG Geheimnis 2. Windows Grafische Oberfläche zur Schlüsselverwaltung GnuPP (bestehend aus GnuPG, GPA a, WinPT b GnuPG Outlook Express PlugIn GPGOE Mail-Programm Sylpheed a GNU Privacy Assistant b Win Privacy Tray

136 21. Dezember 2001 Rene Engelhard 38 Links

137 21. Dezember 2001 Rene Engelhard 38 Links 1. GNU Privacy Project (Seite des BMWI a ) a Bundesministerium für Wirtschaft und Technologie

138 21. Dezember 2001 Rene Engelhard 38 Links 1. GNU Privacy Project (Seite des BMWI a ) 2. GnuPG Projektseite a Bundesministerium für Wirtschaft und Technologie

139 21. Dezember 2001 Rene Engelhard 38 Links 1. GNU Privacy Project (Seite des BMWI a ) 2. GnuPG Projektseite 3. GNU Handbuch zum Schutz der Privatsphäre a Bundesministerium für Wirtschaft und Technologie

140 21. Dezember 2001 Rene Engelhard 38 Links 1. GNU Privacy Project (Seite des BMWI a ) 2. GnuPG Projektseite 3. GNU Handbuch zum Schutz der Privatsphäre 4. GnuPG FAQ a Bundesministerium für Wirtschaft und Technologie

141 21. Dezember 2001 Rene Engelhard 38 Links 1. GNU Privacy Project (Seite des BMWI a ) 2. GnuPG Projektseite 3. GNU Handbuch zum Schutz der Privatsphäre 4. GnuPG FAQ Mailinglisten a Bundesministerium für Wirtschaft und Technologie

142 21. Dezember 2001 Rene Engelhard 38 Links 1. GNU Privacy Project (Seite des BMWI a ) 2. GnuPG Projektseite 3. GNU Handbuch zum Schutz der Privatsphäre 4. GnuPG FAQ Mailinglisten a) gnupg-users - User von GnuPG (incl. Werner Koch Hauptentwickler) a Bundesministerium für Wirtschaft und Technologie

143 21. Dezember 2001 Rene Engelhard 38 Links 1. GNU Privacy Project (Seite des BMWI a ) 2. GnuPG Projektseite 3. GNU Handbuch zum Schutz der Privatsphäre 4. GnuPG FAQ Mailinglisten a) gnupg-users - User von GnuPG (incl. Werner Koch Hauptentwickler) b) announce - neue Versionen und andere wichtige Nachrichten a Bundesministerium für Wirtschaft und Technologie

144 21. Dezember 2001 Rene Engelhard 38 Links 1. GNU Privacy Project (Seite des BMWI a ) 2. GnuPG Projektseite 3. GNU Handbuch zum Schutz der Privatsphäre 4. GnuPG FAQ Mailinglisten a) gnupg-users - User von GnuPG (incl. Werner Koch Hauptentwickler) b) announce - neue Versionen und andere wichtige Nachrichten c) und weitere Mailinglisten zur Entwicklung und Übersetzung von GnuPG a Bundesministerium für Wirtschaft und Technologie

145 21. Dezember 2001 Rene Engelhard 39 Viel Spaß und Erfolg bei der Benutzung von GnuPG!