Verschlüsselung mit PGP (Pretty Good Privacy)

Transkript

1 Verschlüsselung mit PGP (Pretty Good Privacy) Funktionsweise, Installation, Konfiguration, Benutzung und Integration in -Clients Referent: Dominique Petersen Linux User Group Datteln Verschlüsselung mit PGP

2 Inhalt: 1. Warum überhaupt Verschlüsselung? 2. Funktionsweise von PGP 3. Geschichte 4. PGP-Programme 5. Installation von GnuPG 6. Erstellung eines eigenen Schlüssels 7. Konfiguration von GnuPG 8. Wichtige Parameter von GnuPG 9. Graphische Oberflächen für GnuPG 10. Integration in KMail 11. Integration in Evolution 12. Keysigning-Party 13. Rück- und Ausblick Linux User Group Datteln 2 Verschlüsselung mit PGP

3 1. Warum überhaupt Verschlüsselung? (1/2) Eine ist mindestens genauso unsicher, wie eine Postkarte auf dem altmodischen Weg. Im Internet werden Daten meist nur im Klartext übermittelt (verschlüsselte s nur zu 4,3% [1]). Eine wird über viele Mail-Server geschickt, bevor sie beim Empfänger eintrifft. Jeder Postbote und Mitbenutzer des eigenen Rechners kann die Mail lesen. So etwas wie die IAO [2] wird es immer wieder und weiterhin geben. Linux User Group Datteln 3 Verschlüsselung mit PGP

4 1. Warum überhaupt Verschlüsselung? (2/2) Was tun, wenn man wichtige Informationen wie Passwörter, Kontodaten oder andere sensible Nachrichten verschicken muss? Was bei Dateianhängen wie wichtigen Dokumenten, MP3's oder Programmen, ohne dass man diese mühsam und umständlich mit einem Passwort packen und entpacken muss? Wie schicke ich dann das Passwort? Wie kann man sicherstellen, ob die Nachricht so geschrieben, und nicht unterwegs verändert wurde? --> Lösung: Verschlüsselung mit PGP Linux User Group Datteln 4 Verschlüsselung mit PGP

5 2. Funktionsweise von PGP (1/4) Sog. Public-Key-Verfahren. Es gibt ein eindeutig zugeordnetes Schlüsselpaar. Einen öffentlichen Schlüssel, der jedem zugänglich ist. Einen privaten Schlüssel, den nur der Empfänger besitzt und der durch ein Kennwort geschützt ist. Nachrichten an den Empfänger werden mit dem öffentlichen Schlüssel kodiert. Diese Nachrichten kann der Empfänger mit seinem privaten Schlüssel wieder dekodieren. Linux User Group Datteln 5 Verschlüsselung mit PGP

6 2. Funktionsweise von PGP (2/4) Eigentliche Ver- und Entschlüsselung ist durch Verfahren wie RSA [3] (nach Rivest, Shamir und Adleman) und Elgamal [4] realisiert, welche diese Schlüssel benutzen. Öffentliche Schlüssel liegen zusammen auf weltweiten PGP-Key-Servern, die sich untereinander synchronisieren. Somit lässt sich leicht der öffentliche Schlüssel einer beliebigen Person finden und importieren. Linux User Group Datteln 6 Verschlüsselung mit PGP

7 2. Funktionsweise von PGP (3/4) Falls der Empfänger keinen PGP-Schlüssel benutzt oder man doppelt sicher gehen möchte, dass gefälschte Übertragungen erkannt werden, besteht die Möglichkeit der Signierung von Nachrichten. Eine Signatur ist ähnlich einer digitalen Unterschrift. Der Absender erstellt per DSA [5] eine Prüfsumme der Nachricht, welche dann selbst verschlüsselt und mitgeschickt wird. Der Empfänger dekodiert diese und vergleicht die Prüfsumme mit der selber erstellten auf Gleichheit. Linux User Group Datteln 7 Verschlüsselung mit PGP

8 2. Funktionsweise von PGP (4/4) Öffentliche Schlüssel können von anderen Schlüsselinhabern signiert werden, um ihre Echtheit zu verifizieren (z.b. gehört der Schlüssel 0xBD97403D wirklich Dominique Petersen?). Wenn dies viele Leute machen, ergibt sich so ein Netzwerk des Vertrauens, das sog. Web of Trust. Somit können Dritte leichter Rückschlüsse auf die Vertrauenswürdigkeit des Schlüssels führen. Weitere Echtheitsprüfung ist der Fingerabdruck, der eine Prüfsumme der Schlüsseldaten darstellt. Linux User Group Datteln 8 Verschlüsselung mit PGP

9 3. Geschichte (1/2) PGP wurde von Phil Zimmermann 1991 geschrieben. Sein Ziel war es, dass Atomkraftgegner sicher Nachrichten austauschen und Daten speichern konnten. PGP war von Anfang an OpenSource. Da PGP unter das US-Waffengesetz fiel, weil es mehr als eine 40Bit-Verschlüsselung aufwies, wurde dessen Export verboten. Eine spätere Version wurde als Quelltext in Form eines Buches aus den USA legal exportiert und von über 60 Freiwilligen per Hand eingescannt. -> PGPi Linux User Group Datteln 9 Verschlüsselung mit PGP

10 3. Geschichte (2/2) Da nicht alle Quelltexte von PGP nicht veröffentlicht werden durften, wurde 1998 der OpenPGP-Standard (RFC 2440 [6]) freigegeben. Vertrieben wird PGP z.zt. von der Firma PGP Corporation, und mittlerweile ist das Programm PGP kostenpflichtig geworden (teilweise gab es bis dahin eine freie Version). Linux User Group Datteln 10 Verschlüsselung mit PGP

11 4. PGP-Programme (1/2) PGP: Original PGP der Firma PGP Corporation. Allerdings unterstützt PGP noch nicht vollständig den OpenPGP-Standard. Quellcode steht nicht zur Verfügung, also kann nicht überprüft werden, ob PGP selber den Benutzer ausspioniert. Kostet richtig viel. :-( Linux User Group Datteln 11 Verschlüsselung mit PGP

12 4. PGP-Programme (2/2) GnuPG: Freie Alternative: GnuPG (Gnu Privacy Guard) Basiert vollständig auf dem OpenPGP-Standard. Benutzt nur patentfreie Algorithmen. Quellcode steht offen zur Verfügung und das Programm ist somit für alle Systeme verfügbar. Entwicklung wurde vom BMWA und BMI im Rahmen der Aktion Sicherheit im Internet [7] unterstützt. Linux User Group Datteln 12 Verschlüsselung mit PGP

13 5. Installation von GnuPG GnuPG kann kostenlos unter heruntergeladen werden. GnuPG ist wohl eines der Pakete, die bei jeder guten Linux-Distribution automatisch dabei sind. Ansonsten: Entpacken: $ tar -xjvf gnupg tar.bz2 Ins Verzeichnis wechseln: $ cd gnupg Konfigurieren: $./configure Kompilieren: $ make Installieren: $ make install Linux User Group Datteln 13 Verschlüsselung mit PGP

14 6. Erstellung eines eigenen Schlüssels (1/12) Angeben des Befehls zur Schlüsselerzeugung: Linux User Group Datteln 14 Verschlüsselung mit PGP

15 6. Erstellung eines eigenen Schlüssels (2/12) Angeben der Schlüssellänge: Linux User Group Datteln 15 Verschlüsselung mit PGP

16 6. Erstellung eines eigenen Schlüssels (3/12) Angeben des Gültigkeitzeitraumes: Linux User Group Datteln 16 Verschlüsselung mit PGP

17 6. Erstellung eines eigenen Schlüssels (4/12) Verifikation: Linux User Group Datteln 17 Verschlüsselung mit PGP

18 6. Erstellung eines eigenen Schlüssels (5/12) Angeben des eigenen Namens: Linux User Group Datteln 18 Verschlüsselung mit PGP

19 6. Erstellung eines eigenen Schlüssels (6/12) Angeben der -Adresse: Linux User Group Datteln 19 Verschlüsselung mit PGP

20 6. Erstellung eines eigenen Schlüssels (7/12) Angabe des Kommentars (optional): Linux User Group Datteln 20 Verschlüsselung mit PGP

21 6. Erstellung eines eigenen Schlüssels (8/12) Bestätigen: Linux User Group Datteln 21 Verschlüsselung mit PGP

22 6. Erstellung eines eigenen Schlüssels (9/12) Erzeugen des Schlüssels mit Zufallsaktionen: Linux User Group Datteln 22 Verschlüsselung mit PGP

23 6. Erstellung eines eigenen Schlüssels (10/12) Angabe weiterer Identitäten ( -Adressen): Linux User Group Datteln 23 Verschlüsselung mit PGP

24 6. Erstellung eines eigenen Schlüssels (11/12) Erstellen eines Widerrufschlüssels: (1) Linux User Group Datteln 24 Verschlüsselung mit PGP

25 6. Erstellung eines eigenen Schlüssels (12/12) Erstellen eines Widerrufschlüssels: (2) Linux User Group Datteln 25 Verschlüsselung mit PGP

26 7. Konfiguration von GnuPG Wichtige Optionen in der Datei ~/.gnupg/options: Linux User Group Datteln 26 Verschlüsselung mit PGP

27 8. Wichtige Parameter von GnuPG Datei verschlüsseln: Datei entschlüsseln: Schlüsselbund anzeigen: Fremden Key signieren: Signatur überprüfen: Key in Datei exportieren: Keys zum Server senden: Key aus Datei importieren: Keys vom Server holen: $ gpg -e geheim.txt $ gpg -d geheim.txt $ gpg --list-keys $ gpg --sign-key uid $ gpg --verify file $ gpg --export uid $ gpg --send-keys uid $ gpg --import key.txt $ gpg --recv-keys uid Vorhandenen Key bearbeiten: $ gpg --edit-key uid Linux User Group Datteln 27 Verschlüsselung mit PGP

28 9. Graphische Oberflächen für GnuPG (1/3) Alle bislang vorgestellte Funktionen braucht man natürlich nicht unbedingt mühsam in einer Konsole einzutippen. ;-) Für die an eine graphische Oberfläche gewohnten Benutzer gibt es natürlich auch auch hierfür Programme, die einem das Leben leichter machen. Linux User Group Datteln 28 Verschlüsselung mit PGP

29 9. Graphische Oberflächen für GnuPG (2/3) KGpg (in KDE fest eingebunden): Linux User Group Datteln 29 Verschlüsselung mit PGP

30 9. Graphische Oberflächen für GnuPG (3/3) Seahorse (Gnome): Linux User Group Datteln 30 Verschlüsselung mit PGP

31 10. Integration in KMail (1/8) Schlüssel für die jeweilige Identität eingeben: Linux User Group Datteln 31 Verschlüsselung mit PGP

32 10. Integration in KMail (2/8) Sicherheitsoptionen eingeben: Linux User Group Datteln 32 Verschlüsselung mit PGP

33 10. Integration in KMail (3/8) Vorhandene Krypto-Module verwalten: Linux User Group Datteln 33 Verschlüsselung mit PGP

34 10. Integration in KMail (4/8) Nachricht signiert abschicken: Linux User Group Datteln 34 Verschlüsselung mit PGP

35 10. Integration in KMail (5/8) Nachricht signiert und verschlüsselt abschicken: Linux User Group Datteln 35 Verschlüsselung mit PGP

36 10. Integration in KMail (6/8) Korrekt übermittelte Nachricht anzeigen: Linux User Group Datteln 36 Verschlüsselung mit PGP

37 10. Integration in KMail (7/8) Korrekt übermittelte und entschlüsselte Nachricht: Linux User Group Datteln 37 Verschlüsselung mit PGP

38 10. Integration in KMail (8/8) Falsch übermittelte Nachricht: Linux User Group Datteln 38 Verschlüsselung mit PGP

39 11. Integration in Evolution GnuPG Konfiguration von Evolution: Linux User Group Datteln 39 Verschlüsselung mit PGP

40 12. Keysigning-Party Was ist eine Keysigning-Party? Gibt's da Alkohol? --> möglicherweise ;-) Treffen, bei dem sich Leute zusammenfinden, die das PGP-Verschlüsselungssystem verwenden. Wunsch ist es, ihre Schlüssel gegenseitig zu signieren, mit dem Ziel, das Web of Trust zu einem größeren Grad auszudehnen. Wenn Interesse daran besteht, kann so eine Party auch innerhalb der LUG-Datteln bei den Treffen realisiert werden, also einfach fragen! Linux User Group Datteln 40 Verschlüsselung mit PGP

41 13. Rück- und Ausblick PGP kann beliebige Dateien ver- und entschlüsseln. Nur der gewünschte Empfänger kann mit seinem geheimen Schlüssel eine verschlüsselte Datei entschlüsseln, die der Absender mit dem öffentlichen Schlüssel des Empfängers kodiert hat. Öffentliche Schlüssel werden auf im Internet öffentlichen KeyServern verwaltet. Knacken eines Schlüssels oder verschlüsselten Datei mit BruteForce würde Tausende von Jahren dauern. PGP kann effektiv dazu eingesetzt werden, SPAM radikal zu bekämpfen. Funzt auch prima mit einem Palm/PDA. Linux User Group Datteln 41 Verschlüsselung mit PGP

42 Appendix: Wichtige Links OpenPGP: PGPi: GnuPG: KGpg: SeaHorse: PGP KeyServer vom DFN: OpenPGP für Thunderbird: Linux User Group Datteln 42 Verschlüsselung mit PGP

43 Appendix: Referenzen [1] Institut für Internet-Sicherheit (ifis) Umfrage: [2] Informationen über die IAO: [3] Informationen über die RSA-Verschlüsselung: [4] Informationen über die Elgamal-Verschlüsselung: [5] Information über den DSA-Algorithmus: [6] RFC 2440: [7] Sicherheit im Internet: Linux User Group Datteln 43 Verschlüsselung mit PGP

44 That's all folks! Fragen? Linux User Group Datteln 44 Verschlüsselung mit PGP