Mit der OpenPGP-Smartcard GnuPG sicher nutzen

Aus LinuxUser 08/2021

Mit der OpenPGP-Smartcard GnuPG sicher nutzen

© Kzenon / 123RF.com

Schlüsselkarte

Verwenden Sie zum Verschlüsseln und Signieren von E-Mails GnuPG und die OpenPGP-Smartcard, erhöhen Sie die Sicherheit der Kommunikation erheblich.

Es brauchen nicht immer große Firmengeheimnisse oder die neuesten Forschungsergebnisse zu sein – schon der Gedanke, dass ein Fremder private E-Mails mitliest, hinterlässt bei vielen Nutzern ein unangenehmes Gefühl. Für Abhilfe sorgt GnuPG [1], dessen Einsatz sich im Verbund mit der OpenPGP-Smartcard sicherer und einfacher gestaltet.

Auf dieser Karte erzeugen und speichern Sie Ihren privaten Schlüssel, wo er verbleibt und über die Sie zukünftig alle kryptografischen Operationen ausführen. So bleibt Ihr privater Schlüssel selbst vor einem neugierigen Systemadministrator oder einem Trojaner, der sich im Arbeitsspeicher einnistet, sicher.

Smartcard und Kartenleser

Zunächst gilt es, die nötige Hard- und Software zu beschaffen. Eine OpenPGP-Smartcard, die zurzeit in Version 3.4 vorliegt, erhalten Sie etwa im Floss Shop [2] oder im Cryptoshop [3] für rund zwanzig Euro. Um mit der Smartcard zu arbeiten, brauchen Sie zusätzlich einen Kartenleser [4]. Grundsätzlich ist jedes Modell geeignet, das mit kontaktbehafteten Chipkarten zurechtkommt.

Im Test kam der Kartenleser Cyber Jack RFID Standard von Reiner SCT [5] zum Einsatz. Der Vorteil dieses Geräts liegt darin, dass es über eine integrierte Tastatur verfügt. So geben Sie die PIN der Karte direkt am Lesegerät ein, sodass sich Ihre PIN nicht über die Eingabe an der Tastatur Ihres Systems ausspionieren lässt (Abbildung 1).

Abbildung 1: Mit einer GnuPGP-Smartcard nutzen Sie GnuPG noch sicherer.

Abbildung 1: Mit einer GnuPGP-Smartcard nutzen Sie GnuPG noch sicherer.

Als ersten Schritt installieren Sie die nötige Software. Die Kommunikation mit einem Kartenleser erfolgt über das Protokoll CCID. Laden Sie die aktuelle Version, zurzeit 1.4.33, herunter und entpacken das Archiv über die Shell mit dem Befehl tar xfvj ccid-1.4.33.tar.bz2. Wechseln Sie anschließend ins Verzeichnis, in das Sie die Dateien entpackt haben, und führen dort nacheinander die Befehle aus Listing 1 aus.

Listing 1

Programme kompilieren

./configure
make
sudo make install

Für verschiedene Distributionen stehen außerdem eigene Pakete bereit. So nutzen Sie unter Ubuntu alternativ den Befehl aus Listing 2, Zeile 1 zur Installation. Bei einigen Kartenlesern kommt es vor, dass Sie einen zusätzlichen Treiber benötigen. Wieder andere Kartenleser brauchen über den Standard-Treiber hinaus keine weitere Software mehr. Diese sind nach dem Einstecken sofort einsatzbereit [7].

Listing 2

Installation unter Ubuntu

sudo apt install libccid
sudo apt install pcscd
sudo apt install pcsc-tools
sudo apt install gnupg2
sudo apt install gpa

Als Schnittstelle zum Chipkartenleser kommt der PC/SC-Standard zum Einsatz. Unter Linux steht dazu PC/SC Lite [8] bereit. Laden Sie sich das Programm von der Projektseite herunter. Die aktuelle Version 1.9 entpacken Sie über die Shell mit dem Befehl tar xfvj pcsc-lite-1.9.0.tar.bz2. Wechseln Sie anschließend ins Verzeichnis, in das Sie die Dateien entpackt haben und führen dort abermals die Kommandos aus Listing 1 aus. Je nach Distribution installieren Sie das Programm alternativ über den Paketmanager – unter Ubuntu etwa mit dem Befehl aus Listing 2, Zeile 2.

Mit den PCSC-Tools [9] testen Sie, ob der Kartenleser richtig installiert ist und die Smartcard korrekt erkennt. Das Programm, das aktuell in der Version 1.5.7 vorliegt, laden Sie von der Projektseite herunter. Das Archiv entpacken Sie in der Shell mit dem Befehl tar xfvj pcsc-tools-1.5.7.tar.bz2. Auch in diesem Fall bauen Sie das Programm aus dem in der Kommandozeile entpackten Archiv heraus mit dem üblichen Dreisatz (Listing 1). Alternativ spielen Sie das Programm aus den Paketquellen ein, unter Ubuntu erfolgt die Installation über Listing 2, Zeile 3.

Haben Sie einen Kartenleser ans System angeschlossen und die nötige Software installiert, führen Sie den Befehl pcsc_scan in der Shell aus, um zu testen, ob das Gerät korrekt funktioniert. Legen Sie Ihre Smartcard in den Kartenleser ein. Zeigt das Gerät diese wie in Abbildung 2 als OpenPGP Card V3 an, sind Karte und Leser einsatzbereit.

Abbildung 2: Die Ausgabe des Befehls <code>pcsc_scan</code> erkennt den Kartenleser vom Typ "REINER SCT CyberJack RFID Standard" mit eingelegter OpenPGP-Card.

Abbildung 2: Die Ausgabe des Befehls pcsc_scan erkennt den Kartenleser vom Typ “REINER SCT CyberJack RFID Standard” mit eingelegter OpenPGP-Card.

Bevor Sie endgültig startklar sind, fehlt noch GnuPG [10], das zurzeit in Version 2.3.1 vorliegt (siehe Kasten “Aktuelles GPG”). Haben Sie die aktuelle Version heruntergeladen, entpacken Sie das Archiv über die Shell mit dem Befehl tar xfvj gnupg-2.3.1.tar.bz2. Wechseln Sie anschließend ins Verzeichnis, in das Sie die Dateien entpackt haben, und führen Sie dort wie zuvor den Build-Dreisatz aus (Listing 1). Unter Ubuntu nutzen Sie alternativ den Befehl aus Listing 2, Zeile 4. Bei anderen Distributionen installieren Sie das Programm über den entsprechenden Paketmanager.

Aktuelles GPG

Achten Sie darauf, dass Sie GnuPG in der aktuellsten Version installieren, in jedem Fall aber in einer höheren Version als dem veralteten Zweig 1.x. Bei älteren Distributionen kommt es vor, dass nur diese veraltete Version in den Paketquellen vorhanden ist. Die installierte Version prüfen Sie in der Shell mit dem Befehl gpg --version.

Version 1.x und Version 2.x lassen sich nebeneinander installieren. In diesem Artikel kommt der Befehl gpg bei der Arbeit mit GnuPG zum Einsatz. Sollten Sie sich nicht sicher sein, ob noch eine veraltete Version parallel installiert ist, verwenden Sie stattdessen den Befehl gpg2. So stellen Sie sicher, dass Sie immer mit Version 2 arbeiten.

GNU Privacy Assistant

Wollen Sie GnuPG lieber über eine grafische Benutzeroberfläche bedienen, ist der GNU Privacy Assistant die richtige Wahl. Das Programm installieren Sie über die Paketverwaltung Ihrer Distribution. Unter Ubuntu nutzen Sie den Befehl aus Listing 2, Zeile 5.

Nach der Installation finden Sie in den Anwendungsmenüs einen entsprechenden Starter. Alternativ rufen Sie das Tool mit dem Befehl gpa im Terminal auf. Ihre Smartcard richten Sie dann über das Menü Fenster | Kartenverwaltung ein.

OpenPGP-Smartcard einrichten

Haben Sie sich die nötige Hardware besorgt und die erforderliche Software installiert, steht als Nächstes an, dass Sie einmalig Ihre neue OpenPGP-Smartcard einrichten. Legen Sie dazu die Karte in den Kartenleser ein und führen Sie den Befehl gpg --card-status aus. Die Ausgabe sollte aussehen wie in Abbildung 3. Die noch leere Karte gilt es nun zu befüllen.

Abbildung 3: Das <code>[none]</code> in den letzten vier Zeilen der Ausgabe von <code>gpg --card-status</code> zeigt, dass die Karte bislang noch keine Schl&uuml;ssel enth&auml;lt.

Abbildung 3: Das [none] in den letzten vier Zeilen der Ausgabe von gpg --card-status zeigt, dass die Karte bislang noch keine Schlüssel enthält.

Die auf der Karte gespeicherten Daten bearbeiten Sie mit gpg --card-edit. Die Ausgabe des Befehls zeigt Ihnen zunächst den aktuellen Inhalt der Karte an. Danach sehen Sie die Eingabeaufforderung gpg/card>, die Befehle zum Bearbeiten der OpenPGP-Smartcard erwartet. Tippen Sie dort admin ein, um das Bearbeiten der Karte zu starten. Anschließend geben Sie help ein, um eine Übersicht der möglichen Befehle zu erhalten.

Als Erstes bietet es sich an, über passwd am GPG-Prompt die PIN und die Admin-PIN der Karte zu ändern. Entscheiden Sie sich im Auswahlmenü für 1 — change PIN, fragt die Software zunächst nach der alten PIN der Karte. Die voreingestellte Standard-PIN lautet 123456. Anschließend tippen Sie eine neue PIN ein. Haben Sie sich für einen Kartenleser mit integrierter Tastatur entschieden, erfolgt die Eingabe über die Tasten am Lesegerät, was die Sicherheit erhöht.

Sollten Sie später beim Einsatz der Karte die PIN dreimal hintereinander falsch eingeben, ist die Smartcard gesperrt. In diesem Fall entsperren Sie die Karte mit dem Befehl unblock über das Admin-Menü. Unter anderem brauchen Sie dazu die Admin-PIN, die Sie in gleicher Weise festlegen wie die PIN.

Wählen Sie dazu im PIN-Menü die Option 3 — change Admin PIN aus. Die voreingestellte Standard-Admin-PIN lautet 12345678. Geben Sie die Admin-PIN bei Einsatz der Karte dreimal hintereinander falsch ein, ist die Karte endgültig gesperrt. Haben Sie beide PINs erfolgreich abgeändert, verlassen Sie über den Menüpunkt Q — quit das PIN-Menü wieder.

Sie können Ihre OpenPGP-Smartcard individualisieren, indem Sie Ihren Namen mit dem Befehl name und Ihre Anrede mit dem Befehl salutation am GPG-Prompt speichern. Eine andere Sprache stellen Sie mit dem Befehl lang ein.

Auf der Karte

Nach dem Einrichten der OpenPGP-Smartcard steht an, einen neuen Schlüssel zu erstellen. Diesen erzeugen Sie mit dem Befehl generate direkt auf der OpenPGP-Smartcard. Als Erstes müssen Sie entscheiden, ob Sie eine Sicherungskopie des neuen Schlüsselpaares außerhalb der Karte speichern möchten. Meist ist das eine gute Idee, da das Schlüsselpaar sonst unwiederbringlich verloren geht, falls die Karte nicht mehr funktioniert. Bestätigen Sie die Frage daher mit [J]. Danach fragt die Software die eben festgelegte PIN ab.

Als Nächstes entscheiden Sie, wie lange der neue Schlüssel gültig ist. Möchten Sie, dass der Schlüssel nie verfällt, tippen Sie [0] ein. Dann tragen Sie Namen sowie E-Mail-Adresse ein und legen ein Passwort für den Schlüssel fest. Zum Berechnen des Schlüssels greift das System auf Zufallsdaten zurück, die es anhand der Aktivität am Computer erzeugt. Daher empfiehlt es sich, während es den Schlüssel erzeugt, die Maus zu bewegen und verschiedene Tasten zu drücken (Abbildung 4). Im Test brauchte das System für das Erstellen des Schlüssels nur wenige Sekunden. Damit ist Ihr neuer Schlüssel schon einsatzbereit.

Abbildung 4: Einen neuen Schl&uuml;ssel erstellen Sie entweder direkt auf der OpenPGP-Smartcard oder wie in der Abbildung lokal auf Ihrem Computer und verschieben ihn anschlie&szlig;end auf die Karte.

Abbildung 4: Einen neuen Schlüssel erstellen Sie entweder direkt auf der OpenPGP-Smartcard oder wie in der Abbildung lokal auf Ihrem Computer und verschieben ihn anschließend auf die Karte.

Auf dem PC

Erzeugen Sie den Schlüssel direkt auf der Smartcard, funktioniert das nur bis zu einer Schlüssellänge von 2048 Bit. Möchten Sie hingegen einen sichereren Schlüssel mit noch höherer Länge von bis zu 4096 Bit erstellen, muss der Kartenleser das Extended-APDU-Format beherrschen, was nicht bei allen Geräten der Fall ist. Kann Ihr Kartenleser diese Funktion nicht bieten, erstellen Sie Ihr GnuPG-Schlüsselpaar mit bis zu 4096 Bit auf Ihrem PC und verschieben anschließend den privaten Schlüssel auf Ihre Karte.

Auf Ihrem PC erstellen Sie mit dem Befehl gpg --full-generate-key in der Shell einen neuen Schlüssel. Zunächst wählen Sie, welche Art von Schlüssel Sie möchten. Die OpenPGP-Smartcard beherrscht nur RSA, sodass aus dem Auswahlmenü nur die voreingestellte Option (1) RSA und RSA infrage kommt. Danach entscheiden Sie sich für eine Schlüssellänge zwischen 1024 und 4096 Bit. Zum Schluss werden Sie nach Ablaufzeit des Schlüssels, nach Ihrem Namen, Ihrer E-Mail-Adresse sowie einem Passwort für den Schlüssel gefragt. Damit ist der neue Schlüssel fertig.

Nun gilt es den eben erstellten privaten Schlüssel auf die Smartcard zu verschieben. Der öffentliche Schlüssel verbleibt weiterhin auf Ihrem PC. Diesen Weg gehen Sie auch, wenn Sie bereits ein GnuPG-Schlüsselpaar im Einsatz haben, das Sie fortan mit Ihrer Smartcard verwenden möchten.

Beim Verschieben auf die Karte wird Ihr privater Schlüssel von Ihrem Computer gelöscht, daher empfiehlt es sich vorher eine Sicherungskopie zu erstellen. Nutzen Sie dazu das Kommando aus Listing 3, Zeile 1. Ändern Sie die E-Mail-Adresse entsprechend ab. Der Befehl legt eine Kopie Ihres privaten Schlüssels in der Datei myseckey.asc auf Ihrem Schreibtisch ab.

Listing 3

Geheimen Schlüssel exportieren

gpg -a --export-secret-key user@example.com >> ~/Schreibtisch/myseckey.asc
gpg -a --export user@example.com >> ~/Schreibtisch/mypubkey.asc
gpg --expert --edit-key user@example.com

Die Datei mit dem privaten Schlüssel verschieben Sie an einen sicheren Ort, etwa auf einen USB-Stick. Um für alle Fälle gerüstet zu sein, machen Sie mit dem Befehl aus Listing 3, Zeile 2 gleich eine Sicherungskopie des öffentlichen Schlüssels, wobei Sie auch hier Ihre eigene Mail-Adresse verwenden.

Auf dem Schreibtisch finden Sie die Datei mypubkey.asc mit Ihrem öffentlichen Schlüssel, den Sie etwa auf einem USB-Stick sichern. Lassen Sie ihn aber zunächst noch auf dem Schreibtisch, denn Sie brauchen ihn gleich noch für die Konfiguration des Mail-Programms.

Private Schlüssel kopieren

Den privaten Schlüssel auf die OpenPGP-Smartcard zu verschieben, ist aufwendiger als es sich anhört, denn die Karte begnügt sich nicht mit einem Schlüssel, sondern erwartet drei Unterschlüssel: einen zum Signieren, einen zum Ver- und Entschlüsseln sowie einen zum Authentifizieren. Ihr eben erstellter Schlüssel beherrscht aber nur Signieren sowie Ver- und Entschlüsseln, sodass es gilt, einen Unterschlüssel zum Authentifizieren hinzuzufügen. Nutzen Sie dazu den Befehl aus Listing 3, Zeile 3, auch hier wieder mit Ihrer eigenen Mail-Adresse.

Es erscheint eine Liste Ihrer Schlüssel. Sie sehen, dass nur Schlüssel zum Signieren (Nutzung: S) und zum Ver- und Entschlüsseln (Nutzung: E) vorhanden sind. Den fehlenden Unterschlüssel zum Authentifizieren (Nutzung: A) fügen Sie am GPG-Prompt mit dem Befehl addkey hinzu. Das System fragt Sie nun nach der Art des Schlüssels, den Sie erstellen möchten. Hier entscheiden Sie sich aus dem Auswahlmenü für (8) RSA (Nutzung selber einstellbar), danach für (A) Umschalten der Authentisierungsnutzbarkeit und zum Schluss für (Q) Beenden.

Nun erstellt das Programm den neuen Unterschlüssel. Dazu möchte es zunächst die Länge des Schlüssels und das Ablaufdatum von Ihnen wissen. Bei der ersten Frage ist 4096 für einen langen und sicheren Schlüssel eine gute Wahl, bei der zweiten Frage geben Sie 0 ein, falls Sie möchten, dass der Schlüssel nicht abläuft. Den privaten Hauptschlüssel verschieben Sie anschließend mit dem Befehl keytocard am GPG-Prompt auf die OpenPGP-Smartcard. Auf die Frage, welchen Schlüssel Sie auf die Karte verschieben möchten, entscheiden Sie sich für (1) Signatur-Schlüssel.

Nun fehlen noch die Unterschlüssel zum Ver- und Entschlüsseln sowie zum Authentifizieren. Geben Sie an der GPG-Eingabeaufforderung key 1 ein. Damit haben Sie den Unterschlüssel zum Ver- und Entschlüsseln ausgewählt. Sie erkennen das daran, dass in der Ausgabe, die auf diesen Befehl folgt, einer der Schlüssel mit einem Stern gekennzeichnet ist (etwa ssb* rsa4096/Schlüssel-ID). Am Ende der Zeile sollte Nutzung: E stehen, also die Nutzung zum Ver- und Entschlüsseln. Zum Kopieren dieses ausgewählten Schlüssels kommt wieder der Befehl keytocard zum Einsatz. Als Speicherort geben Sie (2) Verschlüsselungs-Schlüssel an. Anschließend wählen Sie mit key 1 den Schlüssel wieder ab.

Dies wiederholen Sie nun für den Schlüssel zum Authentifizieren. Diesen wählen Sie mit key 2 aus. Wiederum sehen Sie einen Stern hinter einem der Schlüssel in der Schlüsselliste, hinter dem diesmal Nutzung: A stehen sollte. Mit keytocard verschieben Sie den ausgewählten Schlüssel auf die Karte. Als Speicherort entscheiden Sie sich diesmal für (3) Authentisierungs-Schlüssel.

Das Verschieben der Schlüssel auf die Karte haben Sie damit geschafft. Vergessen Sie zum Schluss nicht Ihre Änderungen mit save auf der Smartcard zu speichern. Geben Sie dann wie am Anfang gpg --card-status in der Shell ein, sollten auf der Karte ein Signature key, ein Encryption key und ein Authentication key vorhanden sein (Abbildung 5).

Abbildung 5: Nach dem Kopieren der zuvor angelegten Schl&uuml;ssel ist die OpenPGP-Smartcard nun einsatzbereit.

Abbildung 5: Nach dem Kopieren der zuvor angelegten Schlüssel ist die OpenPGP-Smartcard nun einsatzbereit.

Konfiguration von Thunderbird

Das Einrichten der OpenPGP-Smartcard ist geschafft, nun gilt es, die neue Karte einzusetzen. Hier erfahren Sie, wie dies mit Thunderbird [11] funktioniert: Seit Version 78 greift Thunderbird zum Verwalten der PGP-Schlüssel nicht mehr über das Plugin Enigmail auf das Programm GnuPG zu, sondern verwaltet die Schlüssel selbst. Daher gibt es in Thunderbird aktuell nicht mehr wie in früheren Versionen eine GUI zur Arbeit mit der OpenPGP-Smartcard und es ist zunächst einiges an Konfigurationsarbeit zu leisten.

Als Erstes steht an, das Plugin Enigmail [12] zu installieren. Wählen Sie dazu in Thunderbird den Menüeintrag Add-ons. Sie sehen nun eine Liste der installierten Erweiterungen. Dort suchen Sie dann über Weitere Add-ons finden nach Enigmail. Das Addon installieren Sie über die Schaltfläche Zu Thunderbird hinzufügen.

Danach konfigurieren Sie Thunderbird so, dass das Programm nicht nur die eigene Schlüsselverwaltung nutzt, sondern auch auf GnuPG zurückgreift. Rufen Sie dazu das Menü Einstellungen | Allgemein auf und klicken Sie ganz unten auf die Schaltfläche Konfiguration bearbeiten. Dort suchen Sie nach der Einstellung mail.openpgp.allow_external_gnupg und setzen den Wert auf true.

Zum Schluss importieren Sie Ihren privaten und Ihren öffentlichen GnuPG-Schlüssel in Thunderbird. Da sich der private Schlüssel auf der OpenPGP-Smartcard befindet und der entsprechende öffentliche Schlüssel lokal gespeichert ist, braucht es dafür zwei Schritte. Alle nötigen Einstellungen nehmen Sie im Menü Konteneinstellungen | Ende-zu-Ende-Verschlüsselung vor. Um nun Ihren privaten Schlüssel in Thunderbird einzurichten, klicken Sie auf Schlüssel hinzufügen und entscheiden sich im Dialog, der sich daraufhin öffnet, für die Option Externen Schlüssel mittels GnuPG nutzen (Abbildung 6).

Abbildung 6: M&ouml;chten Sie die OpenPGP-Smartcard unter Thunderbird nutzen, gilt es zun&auml;chst, die Verwendung Ihres auf der Karte gespeicherten privaten Schl&uuml;ssels einzurichten.

Abbildung 6: Möchten Sie die OpenPGP-Smartcard unter Thunderbird nutzen, gilt es zunächst, die Verwendung Ihres auf der Karte gespeicherten privaten Schlüssels einzurichten.

Nun fragt Thunderbird Sie nach der ID Ihres privaten Schlüssels. Um diese herauszufinden, legen Sie Ihre Smartcard in den Kartenleser und führen Sie das Kommando gpg --card-status aus. Die Ausgabe sollte aussehen wie in Abbildung 4. Im unteren Drittel der Ausgabe sehen Sie die Zeile sec> rsa2048/AE2C19BC520E5401. Das verrät Ihnen, dass es sich um den privaten Schlüssel vom Typ RSA mit einer Länge von 2048 Bit handelt. Der Wert hinter dem Schrägstrich ist die ID des Schlüssels. Diesen Wert übertragen Sie in das Dialogfeld in Thunderbird, im Beispiel also AE2C19BC520E5401, und bestätigen mit Schlüssel-ID speichern. Nun zeigt Ihnen Thunderbird an, dass ein externer GnuPG-Schlüssel verwendet wird (Abbildung 7).

Abbildung 7: Thunderbird verwaltet ab Version&nbsp;78 die Schl&uuml;ssel selbst. Daher verf&uuml;gt das Mail-Programm nicht mehr &uuml;ber ein GUI f&uuml;r den Einsatz der OpenPGP-Smartcard.

Abbildung 7: Thunderbird verwaltet ab Version 78 die Schlüssel selbst. Daher verfügt das Mail-Programm nicht mehr über ein GUI für den Einsatz der OpenPGP-Smartcard.

Ihren öffentlichen Schlüssel fügen Sie mit einem Klick auf die Schaltfläche OpenPG-Schlüssel verwalten hinzu. Im darauf folgenden Dialog wählen Sie den Menüeintrag Datei | Öffentlichen Schlüssel aus Datei importieren aus. Ihr öffentlicher Schlüssel liegt vermutlich noch unter dem Namen mypubkey.asc auf dem Schreibtisch. Auf diese Weise richten Sie den öffentlichen Schlüssel Ihrer Mail-Kommunikationspartner ein.

Verschlüsselte E-Mails

Ist die etwas aufwendigere Einrichtung abgeschlossen, gestaltet sich das Versenden von verschlüsselten E-Mails deutlich einfacher: Klicken Sie dazu in Thunderbird wie gewohnt auf den Schalter Verfassen im Hauptfenster. Um Ihre E-Mail nun zu verschlüsseln, wählen Sie Sicherheit | Mit Verschlüsselung senden aus dem Menü aus.

Sie können Ihre E-Mail auch signieren, sowohl zusätzlich zur Verschlüsselung als auch ohne Verschlüsselung. Entscheiden Sie sich dazu für Sicherheit | Nachricht unterschreiben. Zum Versenden Ihrer E-Mail legen Sie Ihre OpenPGP-Smartcard in den Kartenleser und klicken Sie auf Senden. Thunderbird fragt Sie nun nach der PIN für Ihre Karte und dem Passwort für Ihren Schlüssel. Damit ist die E-Mail auf dem Weg zum Empfänger.

Dateien verschlüsseln

Die verbreitetste Anwendung von GnuPG ist wohl das Verschlüsseln und Signieren von E-Mails. Mit GnuPG sichern Sie aber auch Dateien vor allzu neugierigen Blicken, und zwar sowohl asymmetrisch als auch symmetrisch. Also sowohl Dateien, die sie an eine andere Person weitergeben möchten, als auch Dateien, die Sie verschlüsselt auf dem eigenen PC archivieren möchten.

Im ersten Fall nutzen Sie den Befehl aus Listing 4, Zeile 1. Dies veranlasst GnuPG, die am Ende des Kommandos genannte Datei asymmetrisch zu verschlüsseln, sodass außer Ihnen selbst auch der Empfänger mit der E-Mail-Adresse user@example.com die Datei mit dem eigenen GnuPG-Schlüssel entschlüsseln kann.

Listing 4

gpg --output datei.gpg --encrypt --recipient user@example.com Datei
gpg --output datei.gpg --symmetric Datei
gpg --output Datei --decrypt datei.gpg

Wollen Sie die Datei stattdessen symmetrisch verschlüsseln, also nicht weitergeben, nutzen Sie den Befehl aus Listing 4, Zeile 2. In diesem Fall fragt Sie GnuPG nach einem Passwort zur Verschlüsselung der Datei. Die verschlüsselte Datei datei.gpg sperren Sie in beiden Fällen wieder mit dem Befehl aus Listing 4, Zeile 3 auf.

Fazit

Mit GnuPG erhöhen Sie die Sicherheit im E-Mail-Verkehr und verschlüsseln wichtige Dateien. Noch sicherer nutzen Sie GnuPG mit der OpenPGP-Smartcard. Das einmalige Einrichten gestaltet sich etwas aufwendiger, aber danach funktioniert der Einsatz problemlos.

Sollten Sie neben den hier beschriebenen Funktionen Bedarf für einen digitalen Passwort-Safe und einen Generator für Einmalpasswörter haben, lohnt sich ein Blick auf den Nitrokey Pro 2, der neben diesen Funktionen auch eine integrierte OpenPGP-Card mitbringt. Er ist allerdings auch deutlich teurer. (tle/cla)

Glossar

CCID

Das Protokoll CCID (kurz für “Chip Card Interface Device”) dient zur Kommunikation mit einem USB-Chipkartenleser an einen PC über eine einheitliche Schnittstelle, sodass Geräte und Software unterschiedlicher Hersteller kompatibel zueinander sind [6].

Infos

  1. GPG-Schlüsselverwaltung: Frank Hofmann, “Schlüsseldienst”, LU 07/2016, S. 88, https://www.linux-community.de/36943

  2. OpenPGP Smart Card V3.4 bei Floss Shop: https://www.floss-shop.de/de/security-privacy/smartcards/13/openpgp-smart-card-v3.4

  3. Open PGP SmartCard V3.4 bei Cryptoshop: https://www.cryptoshop.com/products/smartcards/cryptographic-smart-cards/open-pgp-smartcard-v2.html

  4. Vergleich Kartenleser: Daniel Tibi, “Richtig ausgelesen”, LU 01/2021, S. 80, https://www.linux-community.de/45439

  5. Cyber Jack RFID Standard: https://reiner-sct.com/cyberjack_rfid_standard

  6. CCID: https://ccid.apdu.fr

  7. Übersicht über vom CCID-Standard-Treiber unterstützte bzw. nicht unterstützte Kartenleser: https://ccid.apdu.fr/ccid/section.html

  8. PC/SC Lite: https://pcsclite.apdu.fr

  9. PCSC-Tools: http://ludovic.rousseau.free.fr/softwares/pcsc-tools/

  10. GnuPG: https://www.gnupg.org/download/index.html

  11. Thunderbird: https://www.thunderbird.net

  12. Enigmail: https://addons.thunderbird.net/de/thunderbird/addon/enigmail/

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDF
LinuxUser 08/2021 KAUFEN
EINZELNE AUSGABE
ABONNEMENTS
TABLET & SMARTPHONE APPS
E-Mail Benachrichtigung
Benachrichtige mich zu:

Hinweis: Dieser Artikel ist älter als ein Jahr, enthaltene Informationen sind möglicherweise veraltet.

0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben