AA_PO-24771_ellirra-123RF.jpg

© Ellirra, 123RF

PGP/GnuPG-Schlüsselringe sauber verwalten und handhaben

Schlüsseldienst

PGP/GnuPG wird immer populärer, nicht zuletzt dank NSA und Konsorten. Wir schauen hinter die Kulissen und zeigen, wie und womit Sie Ihre Schlüsselsammlung aktuell halten.

Von der Verschlüsselung mithilfe von PGP/GnuPG hören viele Benutzer das erste Mal in einem Vortrag auf einer Linux-Veranstaltung oder auf einer "Crypto Party". Oft sympathisieren sie zunächst nur mit der Idee, finden das Vorgehen dann toll und richtig und ziehen am Ende am gleichen Strang.

Möchten auch Sie Ihren Datenverkehr verschlüsseln, müssen Sie zunächst einmal ein allgemeines Verständnis für Verschlüsselung und die dafür notwendigen Begriffe und Einzelschritte erlangen [1]. Anschließend erzeugen Sie mittels Pretty Good Privacy (PGP) oder GNU Privacy Guard (GnuPG) Ihr eigenes Schlüsselpaar mit einem öffentlichen und einem privaten Schlüssel.

Im zweiten Schritt übermitteln Sie Ihren öffentlichen Schlüssel Ihren Kommunikationspartnern. Traditionell geschieht das entweder direkt als Zeichenkette in Form einer Datei als E-Mail-Anhang [2], in ausgedruckter Form (etwa während einer Keysigning-Party [3]) oder über einen Download der Datei von Ihrer Internetpräsenz. Seit einiger Zeit kommen auch QR-Codes dazu, die man mit dem Smartphone aufnehmen, überprüfen und verwalten kann. In Abbildung 1 sehen Sie Monkeysign [4] – die grafische Oberfläche zu Monkeyscan – mit der Visualisierung eines Schlüssels.

Abbildung 1: Ein GnuPG-Schlüssel als QR-Code.

Mit jedem Kommunikationspartner einzeln den Schlüssel auszutauschen, kompliziert die Dinge ein wenig. Als Erleichterung für den Alltag haben sich Keyserver etabliert [5] (siehe Tabelle "Keyserver (Auswahl)"). Dort hinterlegen Sie Ihren öffentlichen Schlüssel, sodass ihn dort jedermann herunterladen, validieren und unverzüglich zur Kommunikation mit Ihnen nutzen kann. Listing 1 zeigt ein Beispiel für den Aufruf mithilfe von GnuPG [6].

Listing 1

$ gpg --keyserver hkp://keys.gnupg.net --send-keys Schlüsselkennung
gpg: sending key Schlüsselkennung to hkp server

Auf der Kommandozeile heißt das Programm schlicht gpg beziehungsweise in der Version 2 gpg2. Über den Schalter --send-keys geben Sie die Kennung des Schlüssels an, den Sie veröffentlichen möchten. Der Schalter --keyserver spezifiziert den zu verwendenden Keyserver. Dabei spielt es keine Rolle, welchen Keyserver Sie initial beim Aufruf benennen oder bereits vorab in der Datei ~/.gnupg/gpg.conf [7] festgelegt haben. Alle größeren Keyserver [8] agieren in einem Verbund und gleichen regelmäßig miteinander die Datenbank der hinterlegten Schlüssel ab [9]. Innerhalb von 48 Stunden verbreitet sich der publizierte Schlüssel in der Regel so weit, dass er sich automatisch weltweit auf Gültigkeit prüfen lässt.

Beachten Sie bitte, dass Sie nur solche Schlüssel hochladen können, zu denen Sie auch den privaten Schlüssel besitzen. Eine Übersicht der privaten Schlüssel liefert GnuPG beim Aufruf des Schalters --list-secret-keys. Listing 2 zeigt das ausschnittsweise für einen ausgewählten Schlüssel des Autors. Dabei bezeichnet sec das Verfahren und die Kennung des Schlüssels, uid die Beschreibung ("user ID"), und ssb steht für das Verfahren und die Kennung des geheimen Unterschlüssels ("secret subkey") [10]. In der Ausgabe sehen Sie auch, dass GnuPG dazu die Datei .gnupg/secring.gpg auswertet, in der es Ihre privaten Schlüssel speichert.

Listing 2

$ gpg --list-secret-keys
/home/frank/.gnupg/secring.gpg
------------------------------
sec  4096R/D431AC07 2014-09-05
uid  Frank Hofmann (Hofmann EDV) <frank.hofmann@efho.de>
ssb  4096R/3B074F29 2014-09-05

Einbinden in den Mailclient

Im letzten Schritt ergänzen Sie Ihr Mailprogramm [11] um die passende kryptografische Signatur (siehe Kasten "Orientierung im Signaturwirrwar"). Somit sind Sie in der Lage, ab sofort Ihre Daten signiert und/oder auch gleich verschlüsselt auszutauschen [12].

Orientierung im Signaturwirrwar

Bei der kryptografischen Signatur handelt es sich um etwas völlig anderes als bei der ähnlich klingenden elektronischen Signatur [3] oder der Signatur für E-Mails im Geschäftsverkehr [21]. Mit einer kryptografischen Signatur ergänzen Sie versendete E-Mails um einen zusätzlichen Textblock samt Kopfzeile. Er beinhaltet neben der Kennung Ihres GnuPG-/PGP-Schlüssels die kryptografisch gesicherte Prüfsumme des E-Mail-Inhalts und sichert damit sowohl den Absender als auch den Inhalt ab. Sowohl die elektronische Signatur als auch die Signatur für E-Mails im Geschäftsverkehr sind Varianten von X.509-Zertifikaten [22]. Sie hängen ebenfalls als Textblock im Klartext am Ende einer E-Mail und erfüllen in etwa die Funktion einer Visitenkarte oder des Dokumentenkopfs auf dem Briefpapier eines Unternehmens.

Abbildung 2 zeigt ein Beispiel anhand des textbasierten E-Mail-Clients Mutt [13]. Die gelb dargestellten Textzeilen zeigen, dass der Absender diese Nachricht kryptografisch signiert hat. Der dabei verwendete GnuPG-Schlüssel besitzt die Kennung D431AC07, basiert auf dem Verfahren RSA und wurde als gültig erkannt. Das bedeutet im Klartext, dass diese E-Mail mit hoher Wahrscheinlichkeit tatsächlich vom in der Mail genannten Absender stammt.

Abbildung 2: E-Mail mit verifizierter kryptografischer Signatur.

Alle derzeit verfügbaren Mailclients bieten eine passende Erweiterung an, um mit signierten und verschlüsselten E-Mails umzugehen. Sie unterscheiden sich aber deutlich hinsichtlich der Komplexität beim Einrichten und Benutzen der Erweiterung. Eine ausführliche Schritt-für-Schritt-Anleitung für Mozilla Thunderbird/Icedove in Kombination mit dem Verschlüsselungsplugin Enigmail [14] finden Sie beispielsweise im Debian-Wiki [15].

Bestehende Schlüssel anzeigen

Abbildung 3 zeigt eine Auswahl der öffentlichen Schlüssel mit dem Namen des Autors, auf die alle Interessierten weltweit uneingeschränkt via Keyserver zugreifen können. Diese Form der internetbasierten Abfrage kann im Alltag als verlässliche Referenz dienen. Jede Zeile umfasst nacheinander den Schlüsseltyp (pub als Abkürzung für "public" – öffentlicher Teil des Schlüssels), die Schlüssellänge samt Verfahren (die Angabe 4096R entspricht einem 4096-Bit-RSA-Schlüssel), die Schlüsselkennung (ID), das Datum der Schlüsselerzeugung und den Namen (User-ID) samt hinterlegter E-Mail-Adresse.

Abbildung 3: Die öffentlichen Schlüssel mit dem Namen des Autors.

Wenn Sie Abbildung 2 und Abbildung 3 miteinander vergleichen, stellen Sie fest, dass die Schlüsselkennung der E-Mail mit jener im vierten Eintrag der Liste identisch ist. Wie aus Abbildung 3 ebenfalls hervorgeht, gibt es mehr als einen "Frank Hofmann" – zum Autor gehören aus der Liste lediglich die Schlüssel in den Zeilen 2 bis 4.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • E-Mails mit GnuPG verschlüsseln
    Monatlich greift der US-Geheimdienst etwa eine halbe Milliarde Verbindungsdaten und E-Mails alleine an deutschen Backbones ab. Ein guter Grund, sich über einen sicheren E-Mail-Verkehr Gedanken zu machen.
  • The Answer Girl: Umgang mit GnuPG-Schlüsseln
    Das Ver- und Entschlüsseln mit GnuPG übernehmen moderne Mail-Clients fast von alleine. Nur um die Schlüssel muss man sich selbst kümmern – und das ist eine Wissenschaft für sich.
  • Schlüsselfrage
    Nicht nur Firmen, sondern auch immer mehr Privatanwender verschlüsseln Ihre E-Mails – Schäuble lässt grüßen. Dank Enigmail geht der Umgang mit den Schlüsseln bequem von der Hand.
  • Schlüsselerlebnis
    E-Mails kryptografisch zu sichern, ist längst keine Hexerei mehr: GnuPG und moderne Mailclients sorgen für Komfort.
  • E-Mails verschlüsseln mit KMail, Mozilla Thunderbird und Evolution
    Wer das Postgeheimnis auch bei elektronischer Post wahren will, verschlüsselt seine E-Mails. So wird aus einer öffentlich lesbaren Postkarte ein Brief mit versiegeltem Umschlag. Dieser Artikel zeigt, wie Sie mit den Mail-Clients Thunderbird, KMail und Evolution verschlüsseln und signieren.
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 0 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...
Tinte sparen bei neuem Drucker
Lars Schmitt, 30.11.2017 17:43, 2 Antworten
Hi Leute, ich habe mir Anfang diesen Monats einen Tintenstrahldrucker angeschafft, der auch su...
Für Linux programmieren
Alexander Kramer, 25.11.2017 08:47, 3 Antworten
Ich habe einen Zufallsgenerator entworfen und bereits in c++ programmiert. Ich möchte den Zufalls...