HowTo GnuPG/Extrakt

Aus Freiheit statt Angst!

(Unterschied zwischen Versionen)
Wechseln zu: Navigation, Suche
(wikifiziert...)
K (Exportieren - code-box "zu groß")
Zeile 14: Zeile 14:
=== Exportieren ===
=== Exportieren ===
Mit
Mit
-
gpg --export [UID] wird der Schlüssel mit der User ID UID exportiert. Wird keine UID angegeben, so wird der ganze Schlüsselbund exportiert. Voreingestellt ist Ausgabe auf stdout, man kann aber mit der Option -o [Datei] in eine Datei ausgeben. Es empfiehlt sich noch, mit der Option -a (--armor) zu arbeiten, da ich andernfalls Probleme hatte. Mit dieser Option werden die Schlüssel nicht im Binärformat ausgegeben, sondern als ASCII (7 Bit) Dateien.
+
gpg --export [UID]
-
Den exportierten Schlüssel kann man dann in der Welt verbreiten, wahlweise auf der Homepage, via finger, über Keyserver, ... .
+
wird der Schlüssel mit der User ID UID exportiert. Wird keine UID angegeben, so wird der ganze Schlüsselbund exportiert. Voreingestellt ist Ausgabe auf stdout, man kann aber mit der Option -o [Datei] in eine Datei ausgeben. Es empfiehlt sich noch, mit der Option -a (--armor) zu arbeiten, da ich andernfalls Probleme hatte. Mit dieser Option werden die Schlüssel nicht im Binärformat ausgegeben, sondern als ASCII (7 Bit) Dateien.
 +
Den exportierten Schlüssel kann man dann in der Welt verbreiten, wahlweise auf der Homepage, via finger, über Keyserver, ... .
=== Importieren ===
=== Importieren ===

Version vom 19:28, 7. Sep. 2008

Dieses Extrakt ist ein Auszug des des Textes "Gnu Privacy Guard" von Michael Fischer v. Mollard und würde überarbeitet von Juergen

Inhaltsverzeichnis

Umgang mit Schlüsseln

Erzeugen

Mit

gpg --gen-key 

wird ein neues Schlüsselpaar erzeugt. Als Erstes wird man nach dem zu verwendenden Algorithmen gefragt. Genaueres zu den Algorithmen steht in der PGP DH vs. RSA FAQ oder in Schneier (1996) Man kann (und sollte) einfach den default Wert (DSA/ ElGamal) nehmen. Bei der Schlüssellänge muss man zwischen Sicherheit und Rechenzeit abwägen. Je länger ein Schlüssel, desto sicherer ist er, desto länger dauern aber auch Operationen mit ihm. Bei der Rechenzeit muss man aber berücksichtigen, dass der Schlüssel möglicherweise auch noch in einigen Jahren benutzt werden soll, wenn die durchschnittliche Rechenleistung stark angewachsen sein wird. GnuPG fragt ab einer Schlüssellänge von mehr als 1536 Bits, ob ein so großer Schlüssel wirklich nötig sei, andere Leute empfehlen mindestens 2048 Bits. Für DSA ist 1024 Bits Standard. Dann wird nach Namen, Kommentar und Email Adresse gefragt. Anhand dieser Angaben wird der Schlüssel identifiziert. Man kann die Angaben aber später noch ändern beziehungsweise ergänzen. Siehe “Schlüsselbund verwalten” Man sollte eine länger gültige Email Adresse wählen, da die komplette Benutzerkennung unterschrieben wird. Wird dann etwas geändert, gelten die Unterschriften unter die geänderten Angaben nicht mehr. Als letztes wird nach dem Passwort (beziehungsweise Passsatz (in der deutschen Übersetzung: Mantra) denn es können Leerzeichen vorkommen) gefragt, mit dem der private Schlüssel gesichert werden soll. Verwenden Sie ein gutes Mantra. Ein gutes Mantra ist nicht zu kurz, enthält Sonderzeichen, ist kein Name und nicht mit Kenntnis des Benutzers leicht zu erraten (wie Telefonnummer, Bankleitzahl, Name und Anzahl der Kinder, ...)

Man kann durch willkürlich eingestreute GRoß/KlEinSchReibung und Leerzeichen weitere Sicherheit erhalten. Außerdem muss man es sich merken können, da der geheime Schlüssel ohne Mantra wertlos ist. Es kann in diesem Zusammenhang ein guter Gedanke sein, gleich ein Rückrufzertifikat zu erstellen. Siehe “Widerrufen”.

Exportieren

Mit

gpg --export [UID]

wird der Schlüssel mit der User ID UID exportiert. Wird keine UID angegeben, so wird der ganze Schlüsselbund exportiert. Voreingestellt ist Ausgabe auf stdout, man kann aber mit der Option -o [Datei] in eine Datei ausgeben. Es empfiehlt sich noch, mit der Option -a (--armor) zu arbeiten, da ich andernfalls Probleme hatte. Mit dieser Option werden die Schlüssel nicht im Binärformat ausgegeben, sondern als ASCII (7 Bit) Dateien. Den exportierten Schlüssel kann man dann in der Welt verbreiten, wahlweise auf der Homepage, via finger, über Keyserver, ... .

Importieren

Wenn man von irgendwoher einen öffentlichen Schlüssel bekommen hat, sollte man ihn in sein Schlüsselbund aufnehmen. Das wird mit

gpg --import [Datei]

erreicht. Wenn man den Dateinamen weglässt, wird von stdin gelesen.

Widerrufen

Es gibt verschiedene Gründe, einen alten Schlüssel zu widerrufen: Er könnte in fremde Hände geraten sein, die UID stimmt nicht mehr oder er ist einfach zu klein geworden. In all diesen Fällen ist der Befehl der Wahl

gpg --gen-revoke

Damit wird ein Schlüsselwiderruf-Zertifikat erzeugt. Dafür braucht man den privaten Schlüssel, denn sonst könnten solche Zertifikate auch von Fremden erzeugt werden. Das hat aber einen Nachteil: Ein Schlüssel, dessen Mantra ich nicht weiß, ist offensichtlich nutzlos. Aber weil ich das Mantra nicht weiß, kann ich ihn nicht widerrufen. Deshalb ist es geschickt, sich gleich bei der Erzeugung des Schlüssels ein Widerruf-Zertifikat zu erzeugen. Das sollte dann aber sicher verwahrt werden, am besten auf Diskette und auf Papier, damit es nicht in falsche Hände gerät.

Schlüsselbund verwalten

Der Schlüsselbund ist eine Datei, in der alle Schlüssel mit den dazugehörigen Informationen (bis auf die Ownertrust Werte, was das ist steht in “Schlüssel signieren”) gespeichert werden. Mit

gpg --list-keys

können alle Schlüssel des öffentlichen Schlüsselbundes angezeigt werden. Mit

gpg --list-sigs

werden zusätzlich noch die Signaturen angezeigt (siehe “Schlüssel signieren”). Mit

gpg --fingerprint

werden die Schlüssel mit ihren ‘Fingerabdrücken’ aufgelistet. Das sind (verhältnismäßig) kurze Zahlenfolgen, an denen sich der Schlüssel identifizieren lässt. Das kann praktisch sein, um sich über Telefon zu vergewissern, dass ein öffentlicher Schlüssel vom Gesprächspartner stammt. Fingerabdrücke im Abspann von Email oder Usenet Artikeln zu verschicken ist übrigens nicht sinnvoll.

gpg --list-secret-keys

listet die Schlüssel des privaten Schlüsselbundes auf. Unterschriften und Fingerabdrücke von privaten Schlüsseln haben keinen Informationswert. Mit dem Befehl

gpg --delete-key UID bzw. gpg --delete-secret-key

kann man Schlüssel aus dem entsprechenden Schlüsselbund löschen. Der letzte wichtige Befehl für den Umgang mit Schlüsseln lautet

gpg --edit-key UID

In dem dann folgenden Menü kann man unter anderem das Mantra und das Verfallsdatum ändern, Fingerabdrücke anzeigen lassen und Schlüssel signieren, womit wir beim nächsten Abschnitt wären. Schlüssel signieren Wie in der Einleitung erwähnt, ist die Echtheit eines öffentlichen Schlüssels die Achillesferse des Systems. Deshalb gibt es die Möglichkeit, Schlüssel zu unterschreiben. Damit bestätigt der Unterzeichnende, dass der in der User ID angegeben User tatsächlich der Besitzer des Schlüssels ist. Nachdem man mit

gpg --edit-key UID

den zu unterzeichnenden Schlüssel ausgewählt hat, kann man ihn mit dem Kommando sign unterschreiben. Unterschreiben Sie nur Schlüssel von deren Echtheit sie sich überzeugt haben. Das kann geschehen, in dem man entweder den Schlüssel persönlich bekommen hat (zum Beispiel auf einer Keysigning Party), oder man über Telefon den Fingerprint vergleicht. Man sollte keinen Schlüssel nur deshalb unterschreiben, weil man den anderen Unterschriften vertraut. Anhand der Unterschriften und des ‘ownertrusts’ ermittelt GnuPG die Gültigkeit des Schlüssels. Der Ownertrust ist ein Wert mit dem der Benutzer festlegt, in welchem Maße er dem Schlüsselinhaber zutraut, andere Schlüssel verlässlich zu unterzeichnen. Die möglichen Abstufungen sind ‘gar nicht’, ‘weiß nicht’, ‘teilweise’ und ‘vollständig’. Wenn der Benutzer also einem anderem nicht traut, kann er GnuPG über diesen Mechanismus anweisen, dessen Unterschrift zu ignorieren. Der Ownertrust wird nicht im Schlüsselbund gespeichert, sondern in einer separaten Datei.

Keyserver benutzen

Keyserver sind große Datenbanken mit öffentlichen Schlüsseln. GnuPG kann von Haus aus Schlüssel von Keyservern importieren und zu Keyservern exportieren. GnuPG kommuniziert mit dem Keyserver über HTTP, benutzt aber den Port 11371. Man muss darauf achten, dass eine eventuell vorhandene Firewall diesen Port nicht blockiert. Die Adresse des Keyservers übergibt man mit der Option --keyserver beim Aufruf auf der Kommandozeile, man kann den Eintrag aber auch in Konfigurationsdatei ˜/.gnupg/options anlegen:

  1. Tragen Sie hier Ihren Lieblingserver ein:

keyserver search.keyserver.net Den Server gibt es übrigens wirklich. Hat man nun dafür gesorgt, dass GnuPG weiß, wo die Schlüssel zu finden sind, importiert man mittels

gpg --recv-keys UID

und exportiert mittels

gpg --send-key UID

Verschlüsseln und entschlüsseln

Falls man mehrere private Schlüssel hat, kann man mit der Option -u UID oder --local-user UID einen (oder mehrere) Schlüssel nach seiner UID auswählen. Diese Auswahl ersetzt den im Konfigurationsfile mit dem Befehl default-key KeyID einen Schlüssel standardmäßig ausgewählten Schlüssel. Mit -r UID oder --recipient UID kann man den Empfänger in der Kommandozeile auswählen.

Verschlüsseln

Das Kommando zum Verschlüsseln lautet

gpg -e Empfänger [Datei]

oder

gpg --encrypt Empfänger [Datei]

Es ist sinnvoll, die Dateien auch zu signieren, genaueres siehe “Signieren und Signaturen prüfen”.

Entschlüsseln

Das Kommando zum Entschlüsseln lautet

gpg [-d] [Datei]

oder

gpg [--decrypt] [Datei]

Auch hier gilt: Voreingestellt ist Ausgabe auf stdout, man kann aber mit der Option -o [Datei] in eine Datei ausgeben. Signieren und Signaturen prüfen Mit dem Befehl

gpg -s (oder --sign)[Datei]

unterschreibt man eine Datei mit seinem privaten Schlüssel. Sie wird dabei gleichzeitig komprimiert, ist dann also nicht mehr ohne weiteres lesbar. Mit

gpg --clearsign [Datei]

belässt man die Datei lesbar, mit

gpg -b (oder --detach-sign) [Datei]

erzeugt man eine Unterschrift in einer separaten Datei. Letzteres ist insbesondere zum signieren von Binärdateien wie Archiven zu empfehlen. Auch bei diesen Befehlen kann die Option --armor nützlich sein. Üblicherweise wird sowohl signiert als auch verschlüsselt, der Befehl lautet dann vollständig

gpg [-u Sender] [-r Empfänger] [--armor] --sign --encrypt [Datei]

Die Optionen -u (--local) und -r (--recipient) funktionieren wie oben erläutert. Wenn eine verschlüsselte Datei signiert ist, so wird beim Entschlüsseln die Signatur mitgeprüft. Die Signatur einer unverschlüsselten Datei prüft man mit

gpg [--verify] [Datei]

immer natürlich vorausgesetzt, dass man im Besitz des entsprechenden öffentlichen Schlüssels ist.

Persönliche Werkzeuge
Werkzeuge