GnuPG digitale Signatur und Verschlüsselung in der Praxis René Engelhard rene@fsinfo.cs.uni-dortmund.de 21. Dezember 2001 Folien abrufbar unter http://plichta.cs.uni-dortmund.de/linux/vortraege/vortraege.html GnuPG-Key: http://plichta.cs.uni-dortmund.de/ rene/mykey.asc v 0.90 Folien erstellt mit LATEX 2ɛ und dem Makro-Paket TEXPower...
Gliederung 1 Sinn dieses Vortrages 3 2 Grundprinzipien der Kryptographie 4 2.1 Öffentlicher/privater Schlüssel............................... 4 3 Schlüssel - Allgemeines, Erstellen, Verwalten 6 3.1 Voraussetzungen....................................... 6 3.2 Generieren eines Schlüssels................................. 7 3.3 Ein öffentlicher Schlüssel.................................. 14 3.4 Schlüsselweitergabe und -verwaltung............................ 15 4 Benutzung von GnuPG 29 4.1 Verschlüsselung....................................... 29 4.2 Signierung / digitale Signatur................................ 30 5 GnuPG direkt aus Mail-Programmen benutzen 31 6 Das Web of Trust 34
21. Dezember 2001 Rene Engelhard 3 1 Sinn dieses Vortrages Sinn/Grundprinzipien von digitaler Signatur und Verschlüsselung
21. Dezember 2001 Rene Engelhard 3 1 Sinn dieses Vortrages Sinn/Grundprinzipien von digitaler Signatur und Verschlüsselung Benutzung von GnuPG
21. Dezember 2001 Rene Engelhard 3 1 Sinn dieses Vortrages Sinn/Grundprinzipien von digitaler Signatur und Verschlüsselung Benutzung von GnuPG 1. auf der Kommandozeile
21. Dezember 2001 Rene Engelhard 3 1 Sinn dieses Vortrages Sinn/Grundprinzipien von digitaler Signatur und Verschlüsselung Benutzung von GnuPG 1. auf der Kommandozeile 2. Einbindung in Mailprogramme (mutt, KMail, Mozilla/Netscape, pine)
21. Dezember 2001 Rene Engelhard 3 1 Sinn dieses Vortrages Sinn/Grundprinzipien von digitaler Signatur und Verschlüsselung Benutzung von GnuPG 1. auf der Kommandozeile 2. Einbindung in Mailprogramme (mutt, KMail, Mozilla/Netscape, pine) Web of Trust
21. Dezember 2001 Rene Engelhard 4 2 Grundprinzipien der Kryptographie 2.1 Öffentlicher/privater Schlüssel zwei Schlüssel (öffentlich und privat)
21. Dezember 2001 Rene Engelhard 4 2 Grundprinzipien der Kryptographie 2.1 Öffentlicher/privater Schlüssel zwei Schlüssel (öffentlich und privat) öffentlicher Schüssel kannn und soll weitergegeben werden
21. Dezember 2001 Rene Engelhard 4 2 Grundprinzipien der Kryptographie 2.1 Öffentlicher/privater Schlüssel zwei Schlüssel (öffentlich und privat) öffentlicher Schüssel kannn und soll weitergegeben werden der private auf gar keinen Fall
21. Dezember 2001 Rene Engelhard 4 2 Grundprinzipien der Kryptographie 2.1 Öffentlicher/privater Schlüssel zwei Schlüssel (öffentlich und privat) öffentlicher Schüssel kannn und soll weitergegeben werden der private auf gar keinen Fall der private wird durch das Mantra/die Passphrase geschützt
21. Dezember 2001 Rene Engelhard 5 man verschüsselt mit dem öffentlichen Schlüssel des Empfängers, dieser entschlüsselt mit seinem privaten
21. Dezember 2001 Rene Engelhard 5 man verschüsselt mit dem öffentlichen Schlüssel des Empfängers, dieser entschlüsselt mit seinem privaten man signiert mit seinem eigenen privaten Schlüssel
21. Dezember 2001 Rene Engelhard 5 man verschüsselt mit dem öffentlichen Schlüssel des Empfängers, dieser entschlüsselt mit seinem privaten man signiert mit seinem eigenen privaten Schlüssel privaten Schlüssel für andere unzugänglich aufbewahren
21. Dezember 2001 Rene Engelhard 6 3 Schlüssel - Allgemeines, Erstellen, Verwalten 3.1 Voraussetzungen Je nach Sicherheitsanspruch: sicherer Rechner
21. Dezember 2001 Rene Engelhard 6 3 Schlüssel - Allgemeines, Erstellen, Verwalten 3.1 Voraussetzungen Je nach Sicherheitsanspruch: sicherer Rechner Rechner mit vertrauenswürdigem root
21. Dezember 2001 Rene Engelhard 7 3.2 Generieren eines Schlüssels # gpg --gen-key (2x, wenn man GnuPG nie vorher verwendet hat...
21. Dezember 2001 Rene Engelhard 7 3.2 Generieren eines Schlüssels # gpg --gen-key (2x, wenn man GnuPG nie vorher verwendet hat... gpg (GnuPG) 1.0.6; Copyright (C) Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details. gpg: Warnung: Sensible Daten könnten auf Platte ausgelagert werden. gpg: /home/gnupg1/.gnupg: Verzeichnis erzeugt gpg: /home/gnupg1/.gnupg/options: neue Optionendatei erstellt gpg: Sie müssen GnuPG noch einmal starten, damit es die neue Optionsdatei liest
21. Dezember 2001 Rene Engelhard 8 gpg (GnuPG) 1.0.6; Copyright (C) 2001 Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details. gpg: Warnung: Sensible Daten könnten auf Platte ausgelagert werden. gpg: /home/gnupg1/.gnupg/secring.gpg: Schlüsselbund erstellt gpg: /home/gnupg1/.gnupg/pubring.gpg: Schlüsselbund erstellt Bitte wählen Sie, welche Art von Schlüssel Sie möchten: (1) DSA und ElGamal (voreingestellt) (2) DSA (nur signieren/beglaubigen) (4) ElGamal (signieren/beglaubigen und verschlüsseln) Ihre Auswahl?
21. Dezember 2001 Rene Engelhard 8 gpg (GnuPG) 1.0.6; Copyright (C) 2001 Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details. gpg: Warnung: Sensible Daten könnten auf Platte ausgelagert werden. gpg: /home/gnupg1/.gnupg/secring.gpg: Schlüsselbund erstellt gpg: /home/gnupg1/.gnupg/pubring.gpg: Schlüsselbund erstellt Bitte wählen Sie, welche Art von Schlüssel Sie möchten: (1) DSA und ElGamal (voreingestellt) (2) DSA (nur signieren/beglaubigen) (4) ElGamal (signieren/beglaubigen und verschlüsseln) Ihre Auswahl? Wir wählen die voreingestellte Option (1) und benutzen DSA und ElGamal.
21. Dezember 2001 Rene Engelhard 9 Der DSA Schlüssel wird 1024 Bit haben. Es wird ein neues ELG-E Schlüsselpaar erzeugt. kleinste Schlüssellänge ist 768 Bit standard Schlüssellänge ist 1024 Bit größte sinnvolle Schlüssellänge ist 2048 Bit Welche Schlüssellänge wünschen Sie? (1024)
21. Dezember 2001 Rene Engelhard 9 Der DSA Schlüssel wird 1024 Bit haben. Es wird ein neues ELG-E Schlüsselpaar erzeugt. kleinste Schlüssellänge ist 768 Bit standard Schlüssellänge ist 1024 Bit größte sinnvolle Schlüssellänge ist 2048 Bit Welche Schlüssellänge wünschen Sie? (1024) 1024 bit sind im Allgemeinen OK, am kompatibelsten und auch schon voreingestellt. Wir bestätigen.
21. Dezember 2001 Rene Engelhard 9 Der DSA Schlüssel wird 1024 Bit haben. Es wird ein neues ELG-E Schlüsselpaar erzeugt. kleinste Schlüssellänge ist 768 Bit standard Schlüssellänge ist 1024 Bit größte sinnvolle Schlüssellänge ist 2048 Bit Welche Schlüssellänge wünschen Sie? (1024) 1024 bit sind im Allgemeinen OK, am kompatibelsten und auch schon voreingestellt. Wir bestätigen. Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll. 0 = Schlüssel verfällt nie <n> = Schlüssel verfällt nach n Tagen <n>w = Schlüssel verfällt nach n Wochen <n>m = Schlüssel verfällt nach n Monaten <n>y = Schlüssel verfällt nach n Jahren Der Schlüssel bleibt wie lange gültig? (0)
21. Dezember 2001 Rene Engelhard 9 Der DSA Schlüssel wird 1024 Bit haben. Es wird ein neues ELG-E Schlüsselpaar erzeugt. kleinste Schlüssellänge ist 768 Bit standard Schlüssellänge ist 1024 Bit größte sinnvolle Schlüssellänge ist 2048 Bit Welche Schlüssellänge wünschen Sie? (1024) 1024 bit sind im Allgemeinen OK, am kompatibelsten und auch schon voreingestellt. Wir bestätigen. Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll. 0 = Schlüssel verfällt nie <n> = Schlüssel verfällt nach n Tagen <n>w = Schlüssel verfällt nach n Wochen <n>m = Schlüssel verfällt nach n Monaten <n>y = Schlüssel verfällt nach n Jahren Der Schlüssel bleibt wie lange gültig? (0) Am besten man läßt ihn lebenslang gültig, dann hat man keinen Ärger mit abgelaufenen Schlüsseln, wenn man mal vergißt, sie zu erneueren/verlängern.
21. Dezember 2001 Rene Engelhard 10 Der Schlüssel verfällt nie. Ist dies richtig? (j/n)
21. Dezember 2001 Rene Engelhard 10 Der Schlüssel verfällt nie. Ist dies richtig? (j/n) Ja, das wollen wir, also antworten wir mit j...
21. Dezember 2001 Rene Engelhard 10 Der Schlüssel verfällt nie. Ist dies richtig? (j/n) Ja, das wollen wir, also antworten wir mit j... Sie benötigen eine User-ID, um Ihren Schlüssel eindeutig zu machen; das Programm baut diese User-ID aus Ihrem echten Namen, einem Kommentar und Ihrer E-Mail-Adresse in dieser Form auf: "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>" Ihr Name ("Vorname Nachname"): Name eingeben.
21. Dezember 2001 Rene Engelhard 10 Der Schlüssel verfällt nie. Ist dies richtig? (j/n) Ja, das wollen wir, also antworten wir mit j... Sie benötigen eine User-ID, um Ihren Schlüssel eindeutig zu machen; das Programm baut diese User-ID aus Ihrem echten Namen, einem Kommentar und Ihrer E-Mail-Adresse in dieser Form auf: "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>" Ihr Name ("Vorname Nachname"): Name eingeben. Ihr Name ("Vorname Nachname"): GnuPG Test 1 E-Mail-Adresse: E-Mail-Adresse ist natürlich genauso wichtig wie der Name...
21. Dezember 2001 Rene Engelhard 10 Der Schlüssel verfällt nie. Ist dies richtig? (j/n) Ja, das wollen wir, also antworten wir mit j... Sie benötigen eine User-ID, um Ihren Schlüssel eindeutig zu machen; das Programm baut diese User-ID aus Ihrem echten Namen, einem Kommentar und Ihrer E-Mail-Adresse in dieser Form auf: "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>" Ihr Name ("Vorname Nachname"): Name eingeben. Ihr Name ("Vorname Nachname"): GnuPG Test 1 E-Mail-Adresse: E-Mail-Adresse ist natürlich genauso wichtig wie der Name...
21. Dezember 2001 Rene Engelhard 11 Ihr Name ("Vorname Nachname"): GnuPG Test 1 E-Mail-Adresse: gnupg1@testaccount Kommentar:
21. Dezember 2001 Rene Engelhard 11 Ihr Name ("Vorname Nachname"): GnuPG Test 1 E-Mail-Adresse: gnupg1@testaccount Kommentar: Häh? Kommentar? Wofür??
21. Dezember 2001 Rene Engelhard 11 Ihr Name ("Vorname Nachname"): GnuPG Test 1 E-Mail-Adresse: gnupg1@testaccount Kommentar: Häh? Kommentar? Wofür?? Ein Kommentar ist nützlich bei
21. Dezember 2001 Rene Engelhard 11 Ihr Name ("Vorname Nachname"): GnuPG Test 1 E-Mail-Adresse: gnupg1@testaccount Kommentar: Häh? Kommentar? Wofür?? Ein Kommentar ist nützlich bei Privat- und Firmenmails
21. Dezember 2001 Rene Engelhard 11 Ihr Name ("Vorname Nachname"): GnuPG Test 1 E-Mail-Adresse: gnupg1@testaccount Kommentar: Häh? Kommentar? Wofür?? Ein Kommentar ist nützlich bei Privat- und Firmenmails wenn man Allerweltsnamen hat (z.b. Stefan Müller davon kenne ich 3)
21. Dezember 2001 Rene Engelhard 11 Ihr Name ("Vorname Nachname"): GnuPG Test 1 E-Mail-Adresse: gnupg1@testaccount Kommentar: Häh? Kommentar? Wofür?? Ein Kommentar ist nützlich bei Privat- und Firmenmails wenn man Allerweltsnamen hat (z.b. Stefan Müller davon kenne ich 3) Kann man aber auch leer lassen.
21. Dezember 2001 Rene Engelhard 12 Sie haben diese User-ID gewählt: "GnuPG Test 1 <gnupg1@testaccount>" Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden?
21. Dezember 2001 Rene Engelhard 12 Sie haben diese User-ID gewählt: "GnuPG Test 1 <gnupg1@testaccount>" Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden? Wir sind fertig, also machen wir mit F weiter...
21. Dezember 2001 Rene Engelhard 12 Sie haben diese User-ID gewählt: "GnuPG Test 1 <gnupg1@testaccount>" Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden? Wir sind fertig, also machen wir mit F weiter... Sie benötigen ein Mantra, um den geheimen Schlüssel zu schützen. Geben Sie das Mantra ein:
21. Dezember 2001 Rene Engelhard 12 Sie haben diese User-ID gewählt: "GnuPG Test 1 <gnupg1@testaccount>" Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden? Wir sind fertig, also machen wir mit F weiter... Sie benötigen ein Mantra, um den geheimen Schlüssel zu schützen. Geben Sie das Mantra ein: Nun muß das Mantra (auch Passphrase genannt) eingegeben werden. Es schützt den privaten Schlüssel. Nach der Eingabe muß es nocheinmal zur Überfrüfung eingegeben werden.
21. Dezember 2001 Rene Engelhard 13 Anschließend werden Zufallszahlen erzeugt: Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies unterstützen, indem Sie z.b. in einem anderen Fenster/Konsole irgendetwas tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen..+++++++++++++++.+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++++++++++++++++++.+++++++++++++++>+++++...+++++^^^^^^^^ ^^^^^^^
21. Dezember 2001 Rene Engelhard 13 Anschließend werden Zufallszahlen erzeugt: Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies unterstützen, indem Sie z.b. in einem anderen Fenster/Konsole irgendetwas tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen..+++++++++++++++.+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++++++++++++++++++.+++++++++++++++>+++++...+++++^^^^^^^^ ^^^^^^^ Nun hat GnuPG die öffentlichen und privaten Schlüssel erzeugt und signiert.
21. Dezember 2001 Rene Engelhard 14 3.3 Ein öffentlicher Schlüssel -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.0.5 (GNU/Linux) Comment: Weitere Infos: siehe http://www.gnupg.org mqghbdvv0r8rbacz2uqalnxbwqoggpkfuqrmf/q5knab1kul9ohyid+2j++okoet hblu4c0yyjku1zh79bzoj55+brz2siv6c0ecgfrb1ppawaq1niljjxwy3sbiatp1 gjq9y51u/tuby6qjq2i1wkwf/baydl4wiqipik0pnqnczudk6jimlblbcwcghger J54cicEf3RbyuGs48MLjIfED/2JJEIzsySrYFFhut+uSMMiKjC4AwcE+aMizQhST Gwe4x4+6TltILJ5mVs1FeY+O4f7KGKysKj5inA2vA4bHbi0biMX53oDDVSzO4Odd cjglxlc21xcbhdxvnmtamnvecltfqqia8mrl64npjwby1xkrt8fhgchsuwdy3d1f kdhba/dla+qrtna7n6tyhnkcuhvl1qtvcafudvt47qfu/6jfrphy9myranyzkrfj RXQIB8Bc/cHh7FjtJHwAxYP9LdAmcDYB1BuRMHpr0rQEz7r7eCdYGlWzPCkXbvvz HMQQ3kKGRrZ9hTRFhuWkuay9pyQGCX9z2Yq1jSo54ylVpuaqtCdSZW5lIEVuZ2Vs agfyzca8bwfpbebyzw5llwvuz2vsagfyzc5kzt6ivwqteqiafwuco9xrhwulbwod [...] 63MGTACfREs+2YU/a8zrtGWDE9HwNFr577EAn25LeslWWkoRnclnTdHMOBV4exna =AtC8 -----END PGP PUBLIC KEY BLOCK-----
21. Dezember 2001 Rene Engelhard 15 3.4 Schlüsselweitergabe und -verwaltung 3.4.1 Schlüsselweitergabe durch sicheren Kanal (Diskette, Ausdruck, Telefon,...)
21. Dezember 2001 Rene Engelhard 15 3.4 Schlüsselweitergabe und -verwaltung 3.4.1 Schlüsselweitergabe durch sicheren Kanal (Diskette, Ausdruck, Telefon,...) durch unsicheren Kanal (Internet, Keyserver, procmail,...) Überprüfung des Fingerprints nötig
21. Dezember 2001 Rene Engelhard 16 Schlüssel exportieren bzw. importieren Schlüssel exportieren:
21. Dezember 2001 Rene Engelhard 16 Schlüssel exportieren bzw. importieren Schlüssel exportieren: gpg [--armor] [--output <file>] --export <uid>
21. Dezember 2001 Rene Engelhard 16 Schlüssel exportieren bzw. importieren Schlüssel exportieren: gpg [--armor] [--output <file>] --export <uid> Die Datei kann dann verteilt werden.
21. Dezember 2001 Rene Engelhard 16 Schlüssel exportieren bzw. importieren Schlüssel exportieren: gpg [--armor] [--output <file>] --export <uid> Die Datei kann dann verteilt werden. Schlüssel importieren:
21. Dezember 2001 Rene Engelhard 16 Schlüssel exportieren bzw. importieren Schlüssel exportieren: gpg [--armor] [--output <file>] --export <uid> Die Datei kann dann verteilt werden. Schlüssel importieren: gpg --import <file>
21. Dezember 2001 Rene Engelhard 17 Fingerprint exportieren gpg --fingerprint <uid> [ > <file> ]
21. Dezember 2001 Rene Engelhard 17 Fingerprint exportieren gpg --fingerprint <uid> [ > <file> ] Die Datei (ASCII) kann man dann mehrfach auf ein Blatt Papier drucken (und ausschneiden)
21. Dezember 2001 Rene Engelhard 18 Keyserver Keyserver ist wwwkeys.de.pgp.net
21. Dezember 2001 Rene Engelhard 18 Keyserver Keyserver ist wwwkeys.de.pgp.net in die ~/.gnupg/options keyserver wwwkeys.de.pgp.net eintragen
21. Dezember 2001 Rene Engelhard 18 Keyserver Keyserver ist wwwkeys.de.pgp.net in die ~/.gnupg/options keyserver wwwkeys.de.pgp.net eintragen Key-Download mit gpg --recv-keys <uid>... <uid>
21. Dezember 2001 Rene Engelhard 18 Keyserver Keyserver ist wwwkeys.de.pgp.net in die ~/.gnupg/options keyserver wwwkeys.de.pgp.net eintragen Key-Download mit gpg --recv-keys <uid>... <uid> Key-Upload mit gpg --send-keys <uid>... <uid>
21. Dezember 2001 Rene Engelhard 18 Keyserver Keyserver ist wwwkeys.de.pgp.net in die ~/.gnupg/options keyserver wwwkeys.de.pgp.net eintragen Key-Download mit gpg --recv-keys <uid>... <uid> Key-Upload mit gpg --send-keys <uid>... <uid>
21. Dezember 2001 Rene Engelhard 19 Schlüsselweitergabe durch procmail
21. Dezember 2001 Rene Engelhard 19 Schlüsselweitergabe durch procmail in die /.procmailrc: (auf eigene Pfade und Dateien anpassen)
21. Dezember 2001 Rene Engelhard 19 Schlüsselweitergabe durch procmail in die /.procmailrc: (auf eigene Pfade und Dateien anpassen) MAILDIR=$HOME/Mail LOGFILE=~/promaillog VERBOSE=on SENDMAIL="/usr/sbin/sendmail" ########################################################### ## öffentlichen GnuPG-Key auf Anfrage verschicken ## ########################################################### :0 c *!^Subject: Re: *!^Subject: AW: *!^FROM_DAEMON * ^Subject: get gnupgkey ( formail -r -A \ "X-Loop: rene@plichta.cs.uni-dortmund.de" ; \ cat < $HOME/.gnupg/mypubkey.asc ) \ $SENDMAIL -t -oi
21. Dezember 2001 Rene Engelhard 20 3.4.2 Schlüsselverwaltung Überprüfung von Fingerprints
21. Dezember 2001 Rene Engelhard 20 3.4.2 Schlüsselverwaltung Überprüfung von Fingerprints Erstellung/Überprüfung von Zertifikaten
21. Dezember 2001 Rene Engelhard 20 3.4.2 Schlüsselverwaltung Überprüfung von Fingerprints Erstellung/Überprüfung von Zertifikaten Web of Trust mit trust-levels
21. Dezember 2001 Rene Engelhard 20 3.4.2 Schlüsselverwaltung Überprüfung von Fingerprints Erstellung/Überprüfung von Zertifikaten Web of Trust mit trust-levels Hinzufügen/Löschen von User-IDs und Subkeys
21. Dezember 2001 Rene Engelhard 20 3.4.2 Schlüsselverwaltung Überprüfung von Fingerprints Erstellung/Überprüfung von Zertifikaten Web of Trust mit trust-levels Hinzufügen/Löschen von User-IDs und Subkeys Löschen von Signaturen
21. Dezember 2001 Rene Engelhard 20 3.4.2 Schlüsselverwaltung Überprüfung von Fingerprints Erstellung/Überprüfung von Zertifikaten Web of Trust mit trust-levels Hinzufügen/Löschen von User-IDs und Subkeys Löschen von Signaturen Widerruf eigener Keys
21. Dezember 2001 Rene Engelhard 21 gpg --edit-key <uid>
21. Dezember 2001 Rene Engelhard 21 gpg --edit-key <uid> Liste der verfügbaren Befehle mit help
21. Dezember 2001 Rene Engelhard 21 gpg --edit-key <uid> Liste der verfügbaren Befehle mit help Überprüfen von Fingerprints
21. Dezember 2001 Rene Engelhard 21 gpg --edit-key <uid> Liste der verfügbaren Befehle mit help Überprüfen von Fingerprints gpg --fingerprint <uid> bzw. fpr
21. Dezember 2001 Rene Engelhard 21 gpg --edit-key <uid> Liste der verfügbaren Befehle mit help Überprüfen von Fingerprints gpg --fingerprint <uid> bzw. fpr Fingerprint und User-ID gehören unbedingt zusammen immer beides prüfen
21. Dezember 2001 Rene Engelhard 21 gpg --edit-key <uid> Liste der verfügbaren Befehle mit help Überprüfen von Fingerprints gpg --fingerprint <uid> bzw. fpr Fingerprint und User-ID gehören unbedingt zusammen immer beides prüfen Identität der übergebenden Person sicherstellen (z.b. durch Überprüfung des Ausweises dieser muß dessen Namen enthalten
21. Dezember 2001 Rene Engelhard 22 Zertifikate
21. Dezember 2001 Rene Engelhard 22 Zertifikate 1. Zertifikate erstellen gpg --sign-key <uid> bzw. gpg --lsign-key <uid> oder sign bzw. lsign
21. Dezember 2001 Rene Engelhard 22 Zertifikate 1. Zertifikate erstellen gpg --sign-key <uid> bzw. gpg --lsign-key <uid> oder sign bzw. lsign wenn man Zertikate mit lsign erstellt, werden diese nicht mit exportiert!!!
21. Dezember 2001 Rene Engelhard 22 Zertifikate 1. Zertifikate erstellen gpg --sign-key <uid> bzw. gpg --lsign-key <uid> oder sign bzw. lsign wenn man Zertikate mit lsign erstellt, werden diese nicht mit exportiert!!! User-ID und Fingerpint nach Eingabe des Befehls überprüfen und nur bei Korrektheit wirklich zerifizieren!!
21. Dezember 2001 Rene Engelhard 22 Zertifikate 1. Zertifikate erstellen gpg --sign-key <uid> bzw. gpg --lsign-key <uid> oder sign bzw. lsign wenn man Zertikate mit lsign erstellt, werden diese nicht mit exportiert!!! User-ID und Fingerpint nach Eingabe des Befehls überprüfen und nur bei Korrektheit wirklich zerifizieren!!
21. Dezember 2001 Rene Engelhard 23 2. Zertifikate überprüfen check dazu werden die entsprachenden public keys benötigt.
21. Dezember 2001 Rene Engelhard 24 UserIDs & Subkeys erstellen/löschen adduid/addkey erstellen neue User-ID/neuen Subkey
21. Dezember 2001 Rene Engelhard 24 UserIDs & Subkeys erstellen/löschen adduid/addkey erstellen neue User-ID/neuen Subkey uid/key wählen User-ID bzw. Subkey aus
21. Dezember 2001 Rene Engelhard 24 UserIDs & Subkeys erstellen/löschen adduid/addkey erstellen neue User-ID/neuen Subkey uid/key wählen User-ID bzw. Subkey aus deluid/delkey löscht ausgewählte User-ID/ausgewählten Subkey
21. Dezember 2001 Rene Engelhard 24 UserIDs & Subkeys erstellen/löschen adduid/addkey erstellen neue User-ID/neuen Subkey uid/key wählen User-ID bzw. Subkey aus deluid/delkey löscht ausgewählte User-ID/ausgewählten Subkey Gelöschte User-IDs/Subkeys können nach einem merge wieder auftauchen!
21. Dezember 2001 Rene Engelhard 25 Signaturen löschen
21. Dezember 2001 Rene Engelhard 25 Signaturen löschen delsig löscht Signaturen von Subkeys
21. Dezember 2001 Rene Engelhard 25 Signaturen löschen delsig löscht Signaturen von Subkeys Keys (in)aktivieren
21. Dezember 2001 Rene Engelhard 25 Signaturen löschen delsig löscht Signaturen von Subkeys Keys (in)aktivieren disable und enable (de)aktivieren den Key
21. Dezember 2001 Rene Engelhard 25 Signaturen löschen delsig löscht Signaturen von Subkeys Keys (in)aktivieren disable und enable (de)aktivieren den Key Mantra (Passphrase) setzen
21. Dezember 2001 Rene Engelhard 25 Signaturen löschen delsig löscht Signaturen von Subkeys Keys (in)aktivieren disable und enable (de)aktivieren den Key Mantra (Passphrase) setzen passwd setzt die Passphrase.
21. Dezember 2001 Rene Engelhard 25 Signaturen löschen delsig löscht Signaturen von Subkeys Keys (in)aktivieren disable und enable (de)aktivieren den Key Mantra (Passphrase) setzen passwd setzt die Passphrase. Nur in sehr seltenen Ausnahmen nötig
21. Dezember 2001 Rene Engelhard 26 Key wiederrufen Gründe einen Key zu widerrufen sind:
21. Dezember 2001 Rene Engelhard 26 Key wiederrufen Gründe einen Key zu widerrufen sind: 1. (geheimer) Key und/oder Passphrase könnten in andere Hände gefallen sein
21. Dezember 2001 Rene Engelhard 26 Key wiederrufen Gründe einen Key zu widerrufen sind: 1. (geheimer) Key und/oder Passphrase könnten in andere Hände gefallen sein 2. (geheimer) Key und/oder Passphrase sind verloren gegangen / vergessen worden
21. Dezember 2001 Rene Engelhard 26 Key wiederrufen Gründe einen Key zu widerrufen sind: 1. (geheimer) Key und/oder Passphrase könnten in andere Hände gefallen sein 2. (geheimer) Key und/oder Passphrase sind verloren gegangen / vergessen worden 3. beides
21. Dezember 2001 Rene Engelhard 26 Key wiederrufen Gründe einen Key zu widerrufen sind: 1. (geheimer) Key und/oder Passphrase könnten in andere Hände gefallen sein 2. (geheimer) Key und/oder Passphrase sind verloren gegangen / vergessen worden 3. beides 4. es besteht Verdacht auf 1., 2. oder 3., der nicht ausgeschlossen werden kann.
21. Dezember 2001 Rene Engelhard 27 revsig widerruft eine User-ID
21. Dezember 2001 Rene Engelhard 27 revsig widerruft eine User-ID revkey widerruft den ausgewählten Subkey
21. Dezember 2001 Rene Engelhard 27 revsig widerruft eine User-ID revkey widerruft den ausgewählten Subkey gpg --gen-revoke <uid> erstellt ein Revocation Certificate für den gesamten Key.
21. Dezember 2001 Rene Engelhard 27 revsig widerruft eine User-ID revkey widerruft den ausgewählten Subkey gpg --gen-revoke <uid> erstellt ein Revocation Certificate für den gesamten Key. Der Key wird noch nicht widerrufen, für späteren Zeitpunkt sicher aufbewahren!
21. Dezember 2001 Rene Engelhard 28 Trust Level einstellen trust setzt den trust level (= Vertrauenswürdigkeit) - nicht gesetzt
21. Dezember 2001 Rene Engelhard 28 Trust Level einstellen trust setzt den trust level (= Vertrauenswürdigkeit) - nicht gesetzt e fehlgeschlagen (z.b. Key abgelaufen)
21. Dezember 2001 Rene Engelhard 28 Trust Level einstellen trust setzt den trust level (= Vertrauenswürdigkeit) - nicht gesetzt e fehlgeschlagen (z.b. Key abgelaufen) q unbekannt
21. Dezember 2001 Rene Engelhard 28 Trust Level einstellen trust setzt den trust level (= Vertrauenswürdigkeit) - nicht gesetzt e fehlgeschlagen (z.b. Key abgelaufen) q unbekannt n nicht vertrauenswürdig
21. Dezember 2001 Rene Engelhard 28 Trust Level einstellen trust setzt den trust level (= Vertrauenswürdigkeit) - nicht gesetzt e fehlgeschlagen (z.b. Key abgelaufen) q unbekannt n nicht vertrauenswürdig m marginal vertrauenswürdig
21. Dezember 2001 Rene Engelhard 28 Trust Level einstellen trust setzt den trust level (= Vertrauenswürdigkeit) - nicht gesetzt e fehlgeschlagen (z.b. Key abgelaufen) q unbekannt n nicht vertrauenswürdig m marginal vertrauenswürdig f voll vertrauenswürdig
21. Dezember 2001 Rene Engelhard 28 Trust Level einstellen trust setzt den trust level (= Vertrauenswürdigkeit) - nicht gesetzt e fehlgeschlagen (z.b. Key abgelaufen) q unbekannt n nicht vertrauenswürdig m marginal vertrauenswürdig f voll vertrauenswürdig u ultimativ vertrauenswürdig (eigene Person)
21. Dezember 2001 Rene Engelhard 29 4 Benutzung von GnuPG 4.1 Verschlüsselung
21. Dezember 2001 Rene Engelhard 29 4 Benutzung von GnuPG 4.1 Verschlüsselung Verschlüsselung mit gpg [--armor] --recipient Empfaenger-ID --encrypt Datei (--armor für ASCII-Output) Entschlüsselung mit:
21. Dezember 2001 Rene Engelhard 29 4 Benutzung von GnuPG 4.1 Verschlüsselung Verschlüsselung mit gpg [--armor] --recipient Empfaenger-ID --encrypt Datei (--armor für ASCII-Output) Entschlüsselung mit: gpg --decrypt Datei
21. Dezember 2001 Rene Engelhard 29 4 Benutzung von GnuPG 4.1 Verschlüsselung Verschlüsselung mit gpg [--armor] --recipient Empfaenger-ID --encrypt Datei (--armor für ASCII-Output) Entschlüsselung mit: gpg --decrypt Datei Eingabe des Mantras
21. Dezember 2001 Rene Engelhard 30 4.2 Signierung / digitale Signatur
21. Dezember 2001 Rene Engelhard 30 4.2 Signierung / digitale Signatur Signierung mit gpg [--armor] {--sign,--clearsign,--detach-sign} Datei
21. Dezember 2001 Rene Engelhard 30 4.2 Signierung / digitale Signatur Signierung mit gpg [--armor] {--sign,--clearsign,--detach-sign} Datei Mantra
21. Dezember 2001 Rene Engelhard 30 4.2 Signierung / digitale Signatur Signierung mit gpg [--armor] {--sign,--clearsign,--detach-sign} Datei Mantra Überprüfung einer Signatur mit gpg --verify [[Sig-Datei] [Datei]]
21. Dezember 2001 Rene Engelhard 31 5 GnuPG direkt aus Mail-Programmen benutzen
21. Dezember 2001 Rene Engelhard 31 5 GnuPG direkt aus Mail-Programmen benutzen mutt
21. Dezember 2001 Rene Engelhard 31 5 GnuPG direkt aus Mail-Programmen benutzen mutt einfach in die /.muttrc bzw. folgende Zeile eintragen: source /pfad/zu/der/datei/gpg.rc
21. Dezember 2001 Rene Engelhard 31 5 GnuPG direkt aus Mail-Programmen benutzen mutt einfach in die /.muttrc bzw. folgende Zeile eintragen: source /pfad/zu/der/datei/gpg.rc Anschließend kann man im Senden -Dialog dann p drücken und man hat die Funktionen direkt verfügbar.
21. Dezember 2001 Rene Engelhard 32 KMail
21. Dezember 2001 Rene Engelhard 32 KMail Hier liegt KMail 1.3.1 (aus KDE 2.2.1) zugrunde, ob das in früheren Versionen auch so geht, weiß ich nicht; ich benutze kein KMail...
21. Dezember 2001 Rene Engelhard 32 KMail Hier liegt KMail 1.3.1 (aus KDE 2.2.1) zugrunde, ob das in früheren Versionen auch so geht, weiß ich nicht; ich benutze kein KMail... In den Indentitäts-Einstellungen muß die PGP Nutzeridentität angegeben werden. Entweder eindeutiges Merkmal oder Schlüssel-ID
21. Dezember 2001 Rene Engelhard 32 KMail Hier liegt KMail 1.3.1 (aus KDE 2.2.1) zugrunde, ob das in früheren Versionen auch so geht, weiß ich nicht; ich benutze kein KMail... In den Indentitäts-Einstellungen muß die PGP Nutzeridentität angegeben werden. Entweder eindeutiges Merkmal oder Schlüssel-ID KMail versucht das verwendete Programm automatisch zu erkennen, wenn das nicht klappt, GnuPG in den Sicherheits-Einstellungen (PGP) einstellen.
21. Dezember 2001 Rene Engelhard 33 Dann kann man beim Erstellen einer Nachricht mit diesen Icons Verschlüsseln und signieren...
21. Dezember 2001 Rene Engelhard 33 Dann kann man beim Erstellen einer Nachricht mit diesen Icons Verschlüsseln und signieren... Mit zwei Menüpunkten in Anhängen kann man öffentliche Schlüssel zur Verbreitung verschicken...
21. Dezember 2001 Rene Engelhard 33 Dann kann man beim Erstellen einer Nachricht mit diesen Icons Verschlüsseln und signieren... Mit zwei Menüpunkten in Anhängen kann man öffentliche Schlüssel zur Verbreitung verschicken... sonstige
21. Dezember 2001 Rene Engelhard 33 Dann kann man beim Erstellen einer Nachricht mit diesen Icons Verschlüsseln und signieren... Mit zwei Menüpunkten in Anhängen kann man öffentliche Schlüssel zur Verbreitung verschicken... sonstige Pine: PGP4PINE http://pgp4pine.flatline.de/
21. Dezember 2001 Rene Engelhard 33 Dann kann man beim Erstellen einer Nachricht mit diesen Icons Verschlüsseln und signieren... Mit zwei Menüpunkten in Anhängen kann man öffentliche Schlüssel zur Verbreitung verschicken... sonstige Pine: PGP4PINE http://pgp4pine.flatline.de/ Netscape 6.x/Mozilla Enigmail http://enigmail.mozdev.org
21. Dezember 2001 Rene Engelhard 34 6 Das Web of Trust flexibles und komfortables Verfahren zur Key-Authentisierung Schlüssel K ist gültig, wenn: K ist von genügend gültigen Schlüsseln unterschrieben d.h entweder 1. von einem persönlich
21. Dezember 2001 Rene Engelhard 34 6 Das Web of Trust flexibles und komfortables Verfahren zur Key-Authentisierung Schlüssel K ist gültig, wenn: K ist von genügend gültigen Schlüsseln unterschrieben d.h entweder 1. von einem persönlich 2. von einem Schlüssel mit vollem Vertrauen
21. Dezember 2001 Rene Engelhard 34 6 Das Web of Trust flexibles und komfortables Verfahren zur Key-Authentisierung Schlüssel K ist gültig, wenn: K ist von genügend gültigen Schlüsseln unterschrieben d.h entweder 1. von einem persönlich 2. von einem Schlüssel mit vollem Vertrauen 3. von drei Schlüsseln teilweisen Vertrauens Der Pfad unterschriebener Schlüssel von K zurück zum eigenen Schlüssel ist 5 Schritte
21. Dezember 2001 Rene Engelhard 35 Die Optionen (Zahlen) kann man auch verändern: complets-needed Anzahl der voll vertrauenswürdigen Signaturen, um den Key als weiteren Zertifizierer anzuerkennen. marginals-needed Anzahl der marginal vertrauendwürdigen Signaturen, um den Key als weiteren Zertifizierer anzuerkennen max-cert-depth maximale Zertifizierungstiefe
21. Dezember 2001 Rene Engelhard 36 Beispiel Web of Trust Annahme: Benötigt werden zwei Schlüssel mit teilweisem oder einen mit vollem Vertrauen. Max. Pfadlänge ist 3 Vertrauen Gültigkeit teilweise völlig teilweise völlig Dharma Blake, Chloe, Dharma Francis Blake, Dharma Francis Blake, Chloe, Dharma Chloe, Dharma Chloe, Francis Blake, Dharma Blake, Chloe, Dharma Elena Blake, Chloe, Dharma, Blake, Chloe, Elena Francis Blake, Chloe, Elena Francis Tabelle 1: Ein hypothetisches Vertauensnetz (von Alice)
21. Dezember 2001 Rene Engelhard 37 Programme im Zusammenhang mit GnuPG 1. Unix und Unix-Derivate
21. Dezember 2001 Rene Engelhard 37 Programme im Zusammenhang mit GnuPG 1. Unix und Unix-Derivate GnuPG http://www.gnupg.org/de/download.html
21. Dezember 2001 Rene Engelhard 37 Programme im Zusammenhang mit GnuPG 1. Unix und Unix-Derivate GnuPG http://www.gnupg.org/de/download.html Geheimnis http://geheimnis.sourceforge.net Grafische Oberfläche zur Schlüsselverwaltung
21. Dezember 2001 Rene Engelhard 37 Programme im Zusammenhang mit GnuPG 1. Unix und Unix-Derivate GnuPG http://www.gnupg.org/de/download.html Geheimnis http://geheimnis.sourceforge.net Grafische Oberfläche zur Schlüsselverwaltung 2. Windows
21. Dezember 2001 Rene Engelhard 37 Programme im Zusammenhang mit GnuPG 1. Unix und Unix-Derivate GnuPG http://www.gnupg.org/de/download.html Geheimnis http://geheimnis.sourceforge.net 2. Windows Grafische Oberfläche zur Schlüsselverwaltung GnuPP (bestehend aus GnuPG, GPA a, WinPT b http://www.gnupp.de/download.html GnuPG Outlook Express PlugIn GPGOE http://www.winpt.org/gpgoe.html Mail-Programm Sylpheed a GNU Privacy Assistant b Win Privacy Tray
21. Dezember 2001 Rene Engelhard 38 Links
21. Dezember 2001 Rene Engelhard 38 Links 1. GNU Privacy Project (Seite des BMWI a ) http://www.gnupp.de a Bundesministerium für Wirtschaft und Technologie
21. Dezember 2001 Rene Engelhard 38 Links 1. GNU Privacy Project (Seite des BMWI a ) http://www.gnupp.de 2. GnuPG Projektseite http://www.gnupg.org/de/ a Bundesministerium für Wirtschaft und Technologie
21. Dezember 2001 Rene Engelhard 38 Links 1. GNU Privacy Project (Seite des BMWI a ) http://www.gnupp.de 2. GnuPG Projektseite http://www.gnupg.org/de/ 3. GNU Handbuch zum Schutz der Privatsphäre http://www.gnupg.org/docs.html#guides a Bundesministerium für Wirtschaft und Technologie
21. Dezember 2001 Rene Engelhard 38 Links 1. GNU Privacy Project (Seite des BMWI a ) http://www.gnupp.de 2. GnuPG Projektseite http://www.gnupg.org/de/ 3. GNU Handbuch zum Schutz der Privatsphäre http://www.gnupg.org/docs.html#guides 4. GnuPG FAQ http://www.gnupg.org/faq.html a Bundesministerium für Wirtschaft und Technologie
21. Dezember 2001 Rene Engelhard 38 Links 1. GNU Privacy Project (Seite des BMWI a ) http://www.gnupp.de 2. GnuPG Projektseite http://www.gnupg.org/de/ 3. GNU Handbuch zum Schutz der Privatsphäre http://www.gnupg.org/docs.html#guides 4. GnuPG FAQ http://www.gnupg.org/faq.html 5. http://raoul.home.pages.de/elug.html#tgnupg 6. Mailinglisten http://www.gnupg.org/docs-mls.html a Bundesministerium für Wirtschaft und Technologie
21. Dezember 2001 Rene Engelhard 38 Links 1. GNU Privacy Project (Seite des BMWI a ) http://www.gnupp.de 2. GnuPG Projektseite http://www.gnupg.org/de/ 3. GNU Handbuch zum Schutz der Privatsphäre http://www.gnupg.org/docs.html#guides 4. GnuPG FAQ http://www.gnupg.org/faq.html 5. http://raoul.home.pages.de/elug.html#tgnupg 6. Mailinglisten http://www.gnupg.org/docs-mls.html a) gnupg-users - User von GnuPG (incl. Werner Koch Hauptentwickler) a Bundesministerium für Wirtschaft und Technologie
21. Dezember 2001 Rene Engelhard 38 Links 1. GNU Privacy Project (Seite des BMWI a ) http://www.gnupp.de 2. GnuPG Projektseite http://www.gnupg.org/de/ 3. GNU Handbuch zum Schutz der Privatsphäre http://www.gnupg.org/docs.html#guides 4. GnuPG FAQ http://www.gnupg.org/faq.html 5. http://raoul.home.pages.de/elug.html#tgnupg 6. Mailinglisten http://www.gnupg.org/docs-mls.html a) gnupg-users - User von GnuPG (incl. Werner Koch Hauptentwickler) b) announce - neue Versionen und andere wichtige Nachrichten a Bundesministerium für Wirtschaft und Technologie
21. Dezember 2001 Rene Engelhard 38 Links 1. GNU Privacy Project (Seite des BMWI a ) http://www.gnupp.de 2. GnuPG Projektseite http://www.gnupg.org/de/ 3. GNU Handbuch zum Schutz der Privatsphäre http://www.gnupg.org/docs.html#guides 4. GnuPG FAQ http://www.gnupg.org/faq.html 5. http://raoul.home.pages.de/elug.html#tgnupg 6. Mailinglisten http://www.gnupg.org/docs-mls.html a) gnupg-users - User von GnuPG (incl. Werner Koch Hauptentwickler) b) announce - neue Versionen und andere wichtige Nachrichten c) und weitere Mailinglisten zur Entwicklung und Übersetzung von GnuPG a Bundesministerium für Wirtschaft und Technologie
21. Dezember 2001 Rene Engelhard 39 Viel Spaß und Erfolg bei der Benutzung von GnuPG!