Gnomogram

Seahorse

Seahorse [4] ist ein GNOME-Frontend für GPG [5] (Gnu Privacy Guard), einer freien Implementation von OpenPGP [6]. GPG versteht sich weitestgehend mit PGP 5 und 6, obwohl es bei manchen Versionen von PGP 5 zu Problemen kommen kann. PGP 2 (2 kommt vor 5) benutzt den patentierten Algorithmus IDEA, der nicht von GPG unterstützt wird, sowie den RSA-Algorithmus, dessen Patent gerade ausgelaufen ist. GPG ist (und war) übrigens nicht anfällig für das ADK-Sicherheitsloch [7], das letztens in PGP entdeckt (und geschlossen) wurde.

Die Bedienung von GPG ist teilweise recht kryptisch, insofern ist ein Frontend wie Seahorse gerade für Anfänger sehr nützlich, auch wenn noch nicht die gesammelte Funktionalität von GPG unterstützt wird.

Der erste Schritt bei GPG (und PGP) ist, ein eigenes Schlüsselpaar zu erzeugen, das aus einem geheimen und einem öffentlichen Schlüssel besteht. Mit dem öffentlichen Schlüssel kann jeder Daten verschlüsseln, aber nur der Besitzer des privaten Schlüssels (und des Passworts) kann die Daten entschlüsseln - das Ganze wird auch asymmetrische Verschlüsselung genannt. Seahorse erledigt das über einen Dialog, wenn noch kein Schlüssel existiert, oder über die Option Schlüssel/Generiere Schlüssel. Jetzt kann man Daten aus einer Datei, dem Zwischenspeicher oder dem Hauptfenster verschlüsseln und signieren. Natürlich kann man auch entschlüsseln und Signaturen prüfen. Zumindest beim Prüfen braucht man aber den öffentlichen Schlüssel des Unterzeichners. Seahorse kann außerdem Schlüssel aus Dateien oder von Keyservern importieren bzw. exportieren. Eventuell auftretende Probleme kann man lösen, wenn man den Befehl

mv /usr/share/locale/de/LC_MESSAGES/gnupg.mo /usr/share/locale/de/LC_MESSAGES/gnupg.bck

als root ausführt, der die deutsche Übersetzung von GPG abschaltet.

Im Schlüsselverwalter zeigt Seahorse den gesamten "Schlüsselbund" an, außerdem kann man die Schlüssel unterschreiben bzw. das Vertrauen zu den Schlüsseln einstellen. Das Ganze basiert auf einem sogenannten Web of Trust, d. h. jemand erkennt einen Schlüssel als "echt" an, wenn dieser von jemandem unterschrieben wurde, dessen Schlüssel er traut, oder wenn er von zwei Leuten unterschrieben wurde, denen er fast traut usw.. Bei Schlüsseln, die man persönlich (nicht via Computer) erhalten hat, kann man den Schlüssel unter Adjust Trust auf "Trust Fully" setzen. Ansonsten sollte man die Fingerprints (gpg --fingerprint Name) über Telefon oder real vergleichen, bevor man einen Schlüssel auf "Trust Fully" setzt. Im Schlüsselverwalter kann man auch Schlüssel löschen und unterschreiben. Wenn ein Schlüssel lokal unterschrieben wird, bedeutet das, dass die Signatur nicht exportiert wird. Öffentliche Schlüssel, denen man nicht traut bzw. die von keiner vertrauenswürdigen Person (wie einem selber) unterschrieben worden sind, kann man nicht zum Verschlüsseln benutzen. Falls der eigene Schlüssel einmal ungültig werden sollte, kann man diesen widerrufen, wozu man den geheimen Schlüssel und und das Mantra (Passwort) braucht, da sonst ja jeder den Schlüssel widerrufen könnte.

Seahorse bei der Arbeit