GnuPG. Verschlüsselte Kommunikation. Beni Buess. Swiss Privacy Foundation

GnuPG Verschlüsselte Kommunikation Beni Buess Swiss Privacy Foundation

Inhaltsverzeichnis Warum verschlüsseln Grundlagen Verschlüsselungstechniken Software Schlüssel verwalten GnuPG installieren Schlüssel generieren Verwaltungssoftware Schlüssel verteilen Schlüssel importieren Mails verschlüsseln mit Desktopclient Thunderbird & Enigmail Apple Mail & GPGMail Microsoft Outlook Mit Webclient Mit Texteditoren 2/57

Inhaltsverzeichnis Warum verschlüsseln Grundlagen Verschlüsselungstechniken Software Schlüssel verwalten GnuPG installieren Schlüssel generieren Verwaltungssoftware Schlüssel verteilen Schlüssel importieren Mails verschlüsseln mit Desktopclient Thunderbird & Enigmail Apple Mail & GPGMail Microsoft Outlook Mit Webclient Mit Texteditoren 2/57

Inhaltsverzeichnis Warum verschlüsseln Grundlagen Verschlüsselungstechniken Software Schlüssel verwalten GnuPG installieren Schlüssel generieren Verwaltungssoftware Schlüssel verteilen Schlüssel importieren Mails verschlüsseln mit Desktopclient Thunderbird & Enigmail Apple Mail & GPGMail Microsoft Outlook Mit Webclient Mit Texteditoren 2/57

Inhaltsverzeichnis Warum verschlüsseln Grundlagen Verschlüsselungstechniken Software Schlüssel verwalten GnuPG installieren Schlüssel generieren Verwaltungssoftware Schlüssel verteilen Schlüssel importieren Mails verschlüsseln mit Desktopclient Thunderbird & Enigmail Apple Mail & GPGMail Microsoft Outlook Mit Webclient Mit Texteditoren 2/57

Übersicht Warum verschlüsseln Grundlagen Verschlüsselungstechniken Software Schlüssel verwalten GnuPG installieren Schlüssel generieren Verwaltungssoftware Schlüssel verteilen Schlüssel importieren Mails verschlüsseln mit Desktopclient Thunderbird & Enigmail Apple Mail & GPGMail Microsoft Outlook Mit Webclient Mit Texteditoren 3/57

Mails im Klartext Emails sind auf den Mailservern (und auf ihrem Weg) im Klartext einsehbar! Merke: Daran ändert sich auch nichts, wenn die Kommunikation mit dem Mailserver mit SSL verschlüsselt wird. 4/57

Mails im Klartext Emails sind auf den Mailservern (und auf ihrem Weg) im Klartext einsehbar! Merke: Daran ändert sich auch nichts, wenn die Kommunikation mit dem Mailserver mit SSL verschlüsselt wird. 4/57

Nichts zu verbergen? Wir entscheiden selber, wer unsere Nachrichten lesen kann. Durch die Signatur kann der Absender verifiziert werden.? Aus welchem Grund wollt ihr verschlüsseln? 5/57

Nichts zu verbergen? Wir entscheiden selber, wer unsere Nachrichten lesen kann. Durch die Signatur kann der Absender verifiziert werden.? Aus welchem Grund wollt ihr verschlüsseln? 5/57

Nichts zu verbergen? Wir entscheiden selber, wer unsere Nachrichten lesen kann. Durch die Signatur kann der Absender verifiziert werden.? Aus welchem Grund wollt ihr verschlüsseln? 5/57

Übersicht Warum verschlüsseln Grundlagen Verschlüsselungstechniken Software Schlüssel verwalten GnuPG installieren Schlüssel generieren Verwaltungssoftware Schlüssel verteilen Schlüssel importieren Mails verschlüsseln mit Desktopclient Thunderbird & Enigmail Apple Mail & GPGMail Microsoft Outlook Mit Webclient Mit Texteditoren 6/57

Verschlüsselungstechniken einfache Verschlüsselung Caesar-Chiffre Schon Julius Caesar setzte Verschlüsselung zur militärischen Kommunikation ein. Die sogenannte Caesar-Chiffre setzte auf ein einfaches Substitutionsverfahren. Dabei werden alle Buchstaben des Alphabets um eine bestimmte Anzahl rotiert. 7/57

Verschlüsselungstechniken Symmetrische Verschlüsselung Bei Symmetrischen Verschlüsselungsverfahren benutzen beide Seiten den gleichen Schlüssel. Dabei ist der sichere Austausch des Schlüssels ein Problem. 8/57

Verschlüsselungstechniken Asymmetrische Verschlüsselung 9/57

Verschlüsselungstechniken Asymmetrische Entschlüsselung 10/57

Software GnuPG Asymmetrische Verschlüsselung (Public-/Private-Key) Erweiterungen für alle gängigen Mailclients Erweiterungen für Texteditoren 11/57

Übersicht Warum verschlüsseln Grundlagen Verschlüsselungstechniken Software Schlüssel verwalten GnuPG installieren Schlüssel generieren Verwaltungssoftware Schlüssel verteilen Schlüssel importieren Mails verschlüsseln mit Desktopclient Thunderbird & Enigmail Apple Mail & GPGMail Microsoft Outlook Mit Webclient Mit Texteditoren 12/57

GnuPG installieren GnuPG installieren Linux Kommandozeile: sudo apt-get install gnupg 13/57

GnuPG installieren GnuPG installieren OSX macgpg Unter http://macgpg.sourceforge.net/de/#files die passende Version von *GNU Privacy Guard* auswählen. Wir verwenden die Version 1.* von GnuPG Doppelklick auf GnuPG1.*.dmg Doppelklick auf GnuPG for Mac OS X 1.*.mpkg Merke: Lass die MacGPG Seite offen. Du brauchst sie wieder. 14/57

GnuPG installieren GnuPG installieren OSX macgpg Unter http://macgpg.sourceforge.net/de/#files die passende Version von *GNU Privacy Guard* auswählen. Wir verwenden die Version 1.* von GnuPG Doppelklick auf GnuPG1.*.dmg Doppelklick auf GnuPG for Mac OS X 1.*.mpkg Merke: Lass die MacGPG Seite offen. Du brauchst sie wieder. 14/57

GnuPG installieren GnuPG Einschränkungen Microsoft Outlook Einschränkungen Das Plugin für Microsoft Outlook funktioniert nur mit Outlook 2003 und 2007. Falls möglich alternativ Mozilla Thunderbird verwenden. 15/57

GnuPG installieren GnuPG installieren Windows GnuPT Auf http://www.gpg4win.org gibts eine Windowsversion zum download. Gpg4win herunterladen und entpacken 16/57

GnuPG installieren GnuPG installieren Windows GnuPT uf http://www.gpg4win.org gibts eine Windowsversion zum download. pg4win herunterladen und entpacken Gpg4win Installer starten 16/57

GnuPG installieren GnuPG installieren Windows GnuPT uf http://www.gpg4win.org gibts eine Windowsversion zum download. pg4win herunterladen und entpacken Komponenten auswählen 16/57

GnuPG installieren GnuPG installieren Windows GnuPT uf http://www.gpg4win.org gibts eine Windowsversion zum download. pg4win herunterladen und entpacken S/MIME Konfiguration überspringen 16/57

GnuPG installieren GnuPG installieren Windows GnuPT uf http://www.gpg4win.org gibts eine Windowsversion zum download. pg4win herunterladen und entpacken zusätzliche Aufgaben 16/57

Schlüssel generieren Schlüssel generieren Schlüsselpaar Wir generieren ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel. Die Sicherheit basiert auf der absoluten Geheimhaltung des privaten Schlüssels. Die Passphrase ist wichtig! Damit wird der private Schlüssel verschlüsselt. richtiger Name? Ob der richtige Name angeben wird für die User-ID liegt im eigenen Ermessen. Hat jemand gute Gründe dafür oder dagegen? 17/57

Schlüssel generieren Schlüssel generieren Linux Kommandozeile: gpg gen-key Merke: default generiert einen RSA Schlüssel zum Signieren mit 1024 Bit sowie einen RSA Schlüssel für die Verschlüsselung mit 2048 Bit Schlüsselstärke. Die Schlüsselstärke kann auch nach oben angepasst werden, bis auf 4096 Bit. Merke: Bei alten Versionen von gnupg wird ein DSA/ElGamal Schlüsselpaar erzeugt. DSA ist aber weniger sicher als RSA, wir erzeugen RSA Schlüssel. 18/57

Schlüssel generieren Schlüssel generieren Linux gpg gen-key Please select what kind of key you want: default (RSA) What keysize do you want? 4096 Key is valid for? 0 Is this correct (y/n)? y 19/57

Schlüssel generieren Schlüssel generieren OSX Kommandozeile: gpg gen-key Merke: default generiert einen DSA Schlüssel zum Signieren mit 1024 Bit sowie einen ElGamal für die Verschlüsselung Schlüssel mit 2048 Bit Schlüsselstärke. neuere Versionen erstellen default ein RSA/RSA Schlüsselpaar. Das 20/57 ist was wir wollen.

Schlüssel generieren Schlüssel generieren OSX gpg gen-key Bitte wählen Sie, welche Art von Schlüssel Sie möchten: Ihre Auswahl? RSA und RSA (Auswahl je nach Version) Welche Schlüssellänge wünschen Sie? 4096 Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll? 0 Schlüssel verfällt nie. Ist dies richtig (j/n)? j Name und Email angeben, dann (F)ertig Passphrase eingeben 21/57

Schlüssel generieren Schlüssel generieren Windows Kleopatra starten 22/57

Schlüssel generieren Schlüssel generieren Windows Neues Zertifikat 22/57

Schlüssel generieren Schlüssel generieren Windows OpenPGP Schlüsselpaar erzeugen 22/57

Schlüssel generieren Schlüssel generieren Windows Emailadresse und Namen angeben 22/57

Schlüssel generieren Schlüssel generieren Windows Erweiterte Einstellungen: RSA 3072 Bits verwenden 22/57

Schlüssel generieren Schlüssel generieren Windows Einstellungen überprüfen 22/57

Schlüssel generieren Schlüssel generieren Windows Passphrase eingebene: sichere Passphrase verwenden! 22/57

Verwaltungssoftware Schlüssel verwalten Linux Seahorse eignet sich für die Schlüsselverwaltung unter Gnome. Kommandozeile: sudo apt-get install seahorse 23/57

Verwaltungssoftware Schlüssel verwalten Linux KGpg eignet sich für die Schlüsselverwaltung unter KDE. Kommandozeile: sudo apt-get install kgpg 24/57

Verwaltungssoftware Schlüssel verwalten OSX GPGPreferences Von der MacGPG Seite GPGPreferences herunterladen und installieren. Read Me lesen! Damit können die Einstellungen von GnuPG mit einem GUI kontrolliert werden. 25/57

Verwaltungssoftware Schlüssel verwalten OSX GPGKeys Von der MacGPG Seite GPGKeys (GPG Schlüsselbund) herunterladen und installieren. GPGKeys ist ein GUI zur Schlüsselverwaltung. 26/57

Verwaltungssoftware Schlüssel verwalten Windows Kleopatra ist zur Verwaltung der Schlüssel geeignet 27/57

Schlüssel verteilen Schlüssel verteilen öffentlichen Schlüssel Damit uns andere verschlüsselte Nachrichten schicken können, brauchen sie unseren öffentlichen Schlüssel. Wir können diesen auf elektronischem Weg verteilen. 28/57

Schlüssel verteilen web of trust Merke: Es ist fraglich, ob die Keyserver verwendet werden sollten. Argumente? Keyserver Auf Keyservern werden öffentliche Schlüssel gespeichert. Diese können von den Benutzern signiert und diese Signaturen auf den Keyservern gespeichert werden. Ich kann dann vertrauen, wem vertraut, dem ich vertraue. Merke: Dieses Netzwerk der Signaturen nennt sich das web of trust. http: // wikipedia. de/ Web_ of_ Trust 29/57

Schlüssel verteilen web of trust Merke: Es ist fraglich, ob die Keyserver verwendet werden sollten. Argumente? Keyserver Auf Keyservern werden öffentliche Schlüssel gespeichert. Diese können von den Benutzern signiert und diese Signaturen auf den Keyservern gespeichert werden. Ich kann dann vertrauen, wem vertraut, dem ich vertraue. Merke: Dieses Netzwerk der Signaturen nennt sich das web of trust. http: // wikipedia. de/ Web_ of_ Trust 29/57

Schlüssel verteilen web of trust Merke: Es ist fraglich, ob die Keyserver verwendet werden sollten. Argumente? Keyserver Auf Keyservern werden öffentliche Schlüssel gespeichert. Diese können von den Benutzern signiert und diese Signaturen auf den Keyservern gespeichert werden. Ich kann dann vertrauen, wem vertraut, dem ich vertraue. Merke: Dieses Netzwerk der Signaturen nennt sich das web of trust. http: // wikipedia. de/ Web_ of_ Trust 29/57

Schlüssel verteilen web of trust Merke: Es ist fraglich, ob die Keyserver verwendet werden sollten. Argumente? Keyserver Auf Keyservern werden öffentliche Schlüssel gespeichert. Diese können von den Benutzern signiert und diese Signaturen auf den Keyservern gespeichert werden. Ich kann dann vertrauen, wem vertraut, dem ich vertraue. Merke: Dieses Netzwerk der Signaturen nennt sich das web of trust. http: // wikipedia. de/ Web_ of_ Trust 29/57

Schlüssel verteilen Schlüssel exportieren mit Seahorse Mit Seahorse kann der öffentliche Schlüssel exportiert werden. Unter eigene Schlüssel Rechtsklick auf den eigenen Schlüssel - Export 30/57

Schlüssel verteilen Schlüssel exportieren mit GPGKeys öffentlichen Schlüssel markieren Exportieren Haken vor ASCII-Hülle 31/57

Schlüssel verteilen Schlüssel exportieren mit GPGKeys öffentlichen Schlüssel markieren Exportieren Haken vor ASCII-Hülle 31/57

Schlüssel verteilen Schlüssel exportieren mit Kleopatra Schlüssel auswählen Rechtsklick - Zertifikat exportieren Speicherort auswählen 32/57

Schlüssel verteilen Schlüsselstreifen Fingerprint Schlüsselstreifen sind geeignet um den Fingerprint des öffentlichen Schlüssels zu verteilen. Damit kann dieser von anderen verifiziert werden. Kommandozeile: gpg list-secret-keys fingerprint 33/57

Schlüssel importieren Schlüssel importieren mit Seahorse Via Menu Datei - Import kann eine *.asc Schlüsseldatei importiert werden. Alternativ kann man den Schlüsselblock aus einer Webseite kopiert und via Menu Bearbeiten - Einfügen importieren. 34/57

Schlüssel importieren Schlüssel importieren mit GPGKeys Via Menu Ablage - Importieren kann eine *.asc Schlüsseldatei importiert werden. 35/57

Schlüssel importieren Schlüssel importieren mit Kleopatra Via Menu Datei - Zertifikate importieren kann eine *.asc Schlüsseldatei importiert werden. 36/57

Schlüssel importieren Schlüssel signieren Fingerprint überprüfen Gehört der Fingerprint wirklich dieser Person? Und ist sie es wirklich? Zur Kontrolle bieten sich Ausweis und Schlüsselstreifen an. Achtung! Dieser Schritt ist enorm wichtig. Darauf basiert die Sicherheit des Systems. Der Signatur-Level kann pro Signatur gewählt werden. Achtet darauf, die signierten Schlüssel nicht auf Keyserver hochzuladen. Jeder soll selbst entscheiden, wo seine Keys landen. 37/57

Schlüssel importieren Schlüssel signieren Fingerprint überprüfen Gehört der Fingerprint wirklich dieser Person? Und ist sie es wirklich? Zur Kontrolle bieten sich Ausweis und Schlüsselstreifen an. Achtung! Dieser Schritt ist enorm wichtig. Darauf basiert die Sicherheit des Systems. Der Signatur-Level kann pro Signatur gewählt werden. Achtet darauf, die signierten Schlüssel nicht auf Keyserver hochzuladen. Jeder soll selbst entscheiden, wo seine Keys landen. 37/57

Schlüssel importieren Schlüssel signieren mit Seahorse Schlüssel aus der Liste andere Schlüssel öffnen und im Reiter Vertrauen den Schlüssel signieren. 38/57

Schlüssel importieren Schlüssel signieren mit GPGKeys Betreffenden Schlüssel markieren Menu Schlüssel - Signieren Terminal öffnet sich 39/57

Schlüssel importieren Schlüssel signieren mit Kleopatra Rechte Maustaste auf importierten Schlüssel - Zertifikat beglaubigen Zertifikat auswählen, Fingerprint kontrollieren! Beglaubigen 40/57

Schlüssel importieren Schlüssel signieren mit Kleopatra Rechte Maustaste auf importierten Schlüssel - Zertifikat beglaubigen Zertifikat auswählen, Fingerprint kontrollieren! Beglaubigen 40/57

Schlüssel importieren Schlüssel signieren mit Kleopatra Rechte Maustaste auf importierten Schlüssel - Zertifikat beglaubigen Zertifikat auswählen, Fingerprint kontrollieren! Beglaubigen 40/57

Übersicht Warum verschlüsseln Grundlagen Verschlüsselungstechniken Software Schlüssel verwalten GnuPG installieren Schlüssel generieren Verwaltungssoftware Schlüssel verteilen Schlüssel importieren Mails verschlüsseln mit Desktopclient Thunderbird & Enigmail Apple Mail & GPGMail Microsoft Outlook Mit Webclient Mit Texteditoren 41/57

mit Desktopclient Thunderbird & Enigmail Enigmail ist eine Erweiterung für Thunderbird. Merke: Enigmail 1.0 läuft nur mit Thunderbird 3.* 42/57

mit Desktopclient Enigmail installieren Kommandozeile: sudo apt-get install enigmail enigmail-locale-de Download von http://enigmail.mozdev.org/download/index.php In Thunderbird unter Tools - Addons das Plugin auswählen. 43/57

mit Desktopclient Enigmail installieren Kommandozeile: sudo apt-get install enigmail enigmail-locale-de Download von http://enigmail.mozdev.org/download/index.php In Thunderbird unter Tools - Addons das Plugin auswählen. 43/57

mit Desktopclient Enigmail Einstellungen Im neuen Menu OpenPGP unter Einstellungen: Eigenen Schlüssel zur Empfängerliste hinzufügen.... 44/57

mit Desktopclient Mail signieren & verschlüsseln neue Email Im Fenster zum Erfassen neuer Nachrichten erscheint ein OpenPGP Button. Da lässt sich auswählen, ob das Mail signiert und/oder verschlüsselt werden soll. 45/57

mit Desktopclient Mail entschlüsseln Wenn eine verschlüsselte Nachricht geöffnet werden soll, wird die Passphrase abgefragt. Hier kann kontrolliert werden, ob die Passphrase für einige Minuten gecacht werden soll. 46/57

mit Desktopclient Apple Mail & GPGMail Achtung! Apple Mail vor der Installation beenden! GPGMail GPGMail ist eine Erweiterung für Apple Mail. Projektwebseite: http://www.sente.ch/software/gpgmail/ Download von http://sourceforge.net/projects/gpgmail/files/ Merke: GPGMail für 10.3 und 10.4 findet man auf der sente.ch Seite unter Downloads Öld Versions... 47/57

mit Desktopclient GPGMail Einstellungen Nach der Installation von GPGMail kann Apple Mail wieder gestartet werden. In den Apple Mail Einstellungen befindet sich nun ein Reiter PGP. 48/57

mit Desktopclient GPGMail Einstellungen Einstellungen Unter Schlüssel: Standartschlüssel auswählen Immer das Kennwort abfragen Unter Verfassen: Generell alle Nachrichten signieren Immer auch mit eigenem Schlüssel verschlüsseln Symbole beim Verfassen der Email anzeigen 49/57

mit Desktopclient Mail signieren & verschlüsseln Mail erstellen Checkboxen zum Signieren resp. Verschlüsseln setzten. Unter Signieren den eigenen Schlüssel wählen. Unter Verschlüsseln den öffentlichen Schlüssel des Empfängers wählen. Merke: Bei bekannten Empfänger wird der richtige Schlüssel automatisch gewählt. 50/57

mit Desktopclient Mails entschlüsseln Beim öffnen einer verschlüsselten Nachricht wird die Passphrase abgefragt. 51/57

mit Desktopclient Microsoft Outlook GPGOL Die Erweiterung GPGOL zur Verwendung vom GPG mit Outlook wurde bereits bei der Installation von Gpg4win installiert. Diese ist nache einem Neustart von Outlook verfügbar. 52/57

mit Desktopclient Mail signieren & verschlüsseln Mail erstellen Checkboxen zum Signieren resp. Verschlüsseln setzten. Schlüssel des Empfängers auswählen Merke: Bei bekannten Empfänger wird der richtige Schlüssel automatisch gewählt. 53/57

mit Desktopclient Mail signieren & verschlüsseln Mail erstellen Checkboxen zum Signieren resp. Verschlüsseln setzten. Schlüssel des Empfängers auswählen Merke: Bei bekannten Empfänger wird der richtige Schlüssel automatisch gewählt. 53/57

mit Desktopclient Mails entschlüsseln Beim öffnen einer verschlüsselten Nachricht wird die Passphrase abgefragt. 54/57

Mit Webclient Firegpg Firegpg ist eine Extension für Firefox. Damit können verschlüsselte Mails (und anderer direkt im Browserfenster entschlüsselt werden. 55/57

Mit Texteditoren gedit Kommandozeile: sudo apt-get install seahorse-plugins gedit ist ein auf GTK basierender Editor. Um gedit zum Ver- und Entschlüsseln zu verwenden, muss ein Plugin aktiviert werden: Bearbeiten - Einstellungen - Plugins - Text-Verschlüsselung Neue Menupunkte unter Bearbeiten (Verschlüsseln, Entschlüsseln, Signieren) 56/57

Danke fürs Mitmachen! Slides Die Slides werden unter https://privacyfoundation.ch zum Download angeboten. Lizenz http://creativecommons.org/licenses/by-nc-sa/2.5/ch/ Kontakt Anregungen werden gerne per Mail entgegen genommen. Die Adresse kann dem Public-Key des Autors entnommen werden. http://benel.net/pubkey.html