Pretty Good Privacy: Unterschied zwischen den Versionen

Aus Wiki StuRa HTW Dresden
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
[[w:de:Pretty Good Privacy|OpenPGP]] ist der bekannteste und am weitesten verbreitete [[Offene Standards|offene Standard]] für die [[Verschlüsselung]] von Dateien und [[E-Mail]]s. Die bekanntesten Implementierungen dieser asynchronen Kryptografie nach dem [[w:de:Kerckhoffs’ Prinzip|Kerckhoff-Prinzip]] ist [[GnuPG]].
[[w:de:Pretty Good Privacy|Pretty Good Privacy]] (OpenPGP) ist der bekannteste und am weitesten verbreitete [[Offene Standards|offene Standard]] für die [[Verschlüsselung]] von Dateien und [[E-Mail]]s. Die bekanntesten Implementierungen dieser asynchronen Kryptografie nach dem [[w:de:Kerckhoffs’ Prinzip|Kerckhoff-Prinzip]] ist [[GnuPG]].


== die Schlüssel ==
== die Schlüssel ==
Zeile 25: Zeile 25:
Diese Annahmen sind natürlich nicht immer zutreffend.
Diese Annahmen sind natürlich nicht immer zutreffend.


== Praxis mit GnuPG ==
== [[GnuPG]] ==
 
=== Praxis mit GnuPG ===


{{Anpassungsmerker}}
{{Anpassungsmerker}}


=== [[GNU/Linux]] ===
==== GnuPG mit [[GNU/Linux]] ====
Einen guten Start bieten die Seiten zur Erklärung:
Einen guten Start bieten die Seiten zur Erklärung:
: <code>[[debian-man:gpg|man gpg]]</code>
: <code>[[debian-man:gpg|man gpg]]</code>
: <code>gpg --help</code>
: <code>gpg --help</code>


==== Einstellungen zu [[GnuPG]] ====
===== Einstellungen zu [[GnuPG]] =====


Für Einstellungen des Nutzers sollte die Datei ~/.gnupg/gpg.conf unbedingt selbst bearbeitet werden.
Für Einstellungen des Nutzers sollte die Datei ~/.gnupg/gpg.conf unbedingt selbst bearbeitet werden.
Zeile 40: Zeile 42:
Näheres auf [https://help.riseup.net/it/security/message-security/openpgp/best-practices Empfehlung von riseup]
Näheres auf [https://help.riseup.net/it/security/message-security/openpgp/best-practices Empfehlung von riseup]


==== Schlüssel erstellen ====
===== Schlüssel erstellen =====


===== Basics =====
====== Basics ======


Auf der Kommandozeile mit [[GnuPG]] sieht das dann so aus:
Auf der Kommandozeile mit [[GnuPG]] sieht das dann so aus:
Zeile 58: Zeile 60:
# warten auf Zufallswerte, geht schneller wenn man nebenbei an dem Rechner arbeitet oder spezielle Hardware dafür hat
# warten auf Zufallswerte, geht schneller wenn man nebenbei an dem Rechner arbeitet oder spezielle Hardware dafür hat


===== Mit Enigmail (in Thunderbird etc) =====
====== Mit Enigmail (in Thunderbird etc) ======


===== Ambitioniert =====
====== Ambitioniert ======


tbc: mit gesondertem Schlüssel zum Wiederrufen
tbc: mit gesondertem Schlüssel zum Wiederrufen


===== Kinderleicht =====
====== Kinderleicht ======


Der Schwierigkeitsgrad der Handhabung ist eine Frage der Sicherheit. Je einfacher das System ist, desto weniger Sicherheitsmaßnahmen (technisch, organisatorisch) können angewendet werden.
Der Schwierigkeitsgrad der Handhabung ist eine Frage der Sicherheit. Je einfacher das System ist, desto weniger Sicherheitsmaßnahmen (technisch, organisatorisch) können angewendet werden.
Zeile 70: Zeile 72:
Dennoch macht es Sinn auch ohne große Sicherheitsvorkehrungen Kryptografie zu verwenden, ein gutes Beispiel hierfür ist [[w:de:Pretty_Easy_privacy|p≡p]] (noch im [https://www.indiegogo.com/projects/pep-pretty-easy-privacy Crowdfunding]).
Dennoch macht es Sinn auch ohne große Sicherheitsvorkehrungen Kryptografie zu verwenden, ein gutes Beispiel hierfür ist [[w:de:Pretty_Easy_privacy|p≡p]] (noch im [https://www.indiegogo.com/projects/pep-pretty-easy-privacy Crowdfunding]).


==== Private Schlüssel auflisten ====
===== Private Schlüssel auflisten =====


Wenn man wissen will, welche privaten Schlüssel dem Nutzer bereitstehen oder ggf. noch importiert werden müssen:
Wenn man wissen will, welche privaten Schlüssel dem Nutzer bereitstehen oder ggf. noch importiert werden müssen:


: $<code>gpg -K</code>
: <code>gpg -K</code>




==== Wiederrufszertifikat erstellen ====
===== Wiederrufszertifikat erstellen =====


tbc ...
tbc ...


==== Wiederrufszertifikat benutzen ====
===== Wiederrufszertifikat benutzen =====


==== Schlüssel von Kommunikationspartnern suchen/importieren ====
===== Schlüssel von Kommunikationspartnern suchen/importieren =====


===== aus einer Datei =====
====== aus einer Datei ======


: $<code>gpg --import ${datei}</code>
: <code>gpg --import ${datei}</code>


===== von einem Server =====
====== von einem Server ======


Schlüssel können auf zwei Arten von Keyservern importiert werden
Schlüssel können auf zwei Arten von Keyservern importiert werden


: $<code>gpg --search-keys ${emailadresse}</code>
: <code>gpg --search-keys ${emailadresse}</code>
: $<code>gpg --recv-key ${key-id}</code>
: <code>gpg --recv-key ${key-id}</code>


==== Schlüsseln von Kommunikationspartnern vertrauen - lokal signieren ====
===== Schlüsseln von Kommunikationspartnern vertrauen - lokal signieren =====


; lokal signieren mit lsign - lokale Signaturen werden nicht auf Server übertragen
; lokal signieren mit lsign - lokale Signaturen werden nicht auf Server übertragen
Zeile 111: Zeile 113:
# save
# save


==== (Öffentlich) Signieren ====
===== (Öffentlich) Signieren =====
Auch hier wird dem Schlüssel Vertrauen verliehen, aber dies ggf. öffentlich.


Auch hier wird dem Schlüssel Vertrauen verliehen, aber dies ggf. öffentlich.
Daher sollte hier auch sorgfältig geprüft werden, ob die Person zu dem Schlüssel gehört den man gerade unterschreiben möchte.
Daher sollte hier auch sorgfältig geprüft werden, ob die Person zu dem Schlüssel gehört den man gerade unterschreiben möchte.


Zeile 119: Zeile 121:
#: <code>gpg --fingerprint ${key-id oder ein bestandteil von name oder mail-adresse}</code>
#: <code>gpg --fingerprint ${key-id oder ein bestandteil von name oder mail-adresse}</code>


Dieser angezeigte Fingerprint sollte mit der Angabe der Person (z.B. vorgelesen, abgedruckt auf einer Visitenkarte etc.) verglichen werden!
Dieser angezeigte Fingerprint sollte mit der Angabe der Person (z.B. vorgelesen, abgedruckt auf einer Visitenkarte etc.) verglichen werden!<br />
Zusätzliche Eigenschaften wie Algorithmus und Schlüssellänge sollten auch übereinstimmen, gerade ungewöhnliche Schlüssellängen könnten sogar ein Hinweis auf einen [http://www.pgp.net/pgpnet/pgp-faq/pgp-faq-keys.html#key-public-key-forgery-detect gefälschten Schlüssel (forget key)] sein.
Zusätzliche Eigenschaften wie Algorithmus und Schlüssellänge sollten auch übereinstimmen, gerade ungewöhnliche Schlüssellängen könnten sogar ein Hinweis auf einen [http://www.pgp.net/pgpnet/pgp-faq/pgp-faq-keys.html#key-public-key-forgery-detect gefälschten Schlüssel (forget key)] sein.


Der Rest ist einfach; [[#Schlüsseln von Kommunikationspartnern vertrauen - lokal signieren|s.o.]], verwende <code>sign</code> statt <code>lsign</code>.
Der Rest ist einfach; [[#Schlüsseln von Kommunikationspartnern vertrauen - lokal signieren|s.o.]], verwende <code>sign</code> statt <code>lsign</code>.


==== Schlüssel an Server senden ====
===== Schlüssel an Server senden =====


: $<code>gpg --send-keys ${liste von schlüssel-ids}</code>
: <code>gpg --send-keys ${liste von schlüssel-ids}</code>


==== Signatur einer Nachricht überprüfen ====
===== Signatur einer Nachricht überprüfen =====


==== eine Nachricht verschlüsseln ====
===== eine Nachricht verschlüsseln =====


==== eine Nachricht entschlüsseln ====
===== eine Nachricht entschlüsseln =====


=== Windows ===
==== Windows ====


==== mit gpg4win (z.B. für Outlook) ====
===== mit gpg4win (z.B. für Outlook) =====


== siehe auch ==
== Siehe auch ==
* [[wikipedia:de:Pretty Good Privacy]]
* [[wikipedia:de:Pretty Good Privacy]]


Etwas detaillierter bieten andere Quellen Aufklärung:
Etwas detaillierter bieten andere Quellen Aufklärung:
* [https://emailselfdefense.fsf.org/de/ Verteidigung gegen die dunklen Künste] mit der [[FSF]] in vielen Sprachen
* [https://emailselfdefense.fsf.org/de/ Verteidigung gegen die dunklen Künste] mit der [[FSF]] in vielen Sprachen
* [https://wiki.fsfw-dresden.de/doku.php?id=doku:software:gpg:anleitungen_zu_pgp Schritt für Schritt Anleitung] zur [[Pretty Good Privacy]]-Einrichtung von der [[FSFW Dresden]]
* [https://wiki.fsfw-dresden.de/doku.php?id=doku:software:gpg:anleitungen_zu_pgp Schritt für Schritt Anleitung] zur [[Pretty Good Privacy]]-Einrichtung von der [[FSFW Dresden]]
Zeile 152: Zeile 153:
Technische Hintergründe zu und geschichtliche Entwicklung von Verschlüsselungstechniken
Technische Hintergründe zu und geschichtliche Entwicklung von Verschlüsselungstechniken
* https://www.cryptool.org
* https://www.cryptool.org
[[Kategorie:Datenkultur]]
[[Kategorie:Software]]

Version vom 7. November 2015, 00:56 Uhr

Pretty Good Privacy (OpenPGP) ist der bekannteste und am weitesten verbreitete offene Standard für die Verschlüsselung von Dateien und E-Mails. Die bekanntesten Implementierungen dieser asynchronen Kryptografie nach dem Kerckhoff-Prinzip ist GnuPG.

die Schlüssel

Ein kleines Video erklärt das Prinzip der verteilten Briefumschläge/Schlösser (alias öffentliche Schlüssel) und der nicht veröffentlichten privaten Schlüssel.

Privater Schlüssel

Ist ein Geheimer Schlüssel mit dem eine digitale Unterschrift unter beliebige Daten gesetzt werden kann. Diese kann dann durch Besitzer des Öffentlichen Schlüssels mathematisch verifiziert werden. Dieses Signatur-Verfahren stellt die Integrität der unterschriebenen Daten sicher.

Öffentlicher Schlüssel

Bildlich gesprochen ist das die Blaupause für einen Briefumschlag den nur der Besitzer des privaten Schlüssels öffnen kann. Darin können beliebige Daten abgelegt oder versendet werden, damit kann die Vertraulichkeit von Daten gesichert werden.

Je nach Verwendungszweck sind diese Schlüssel für jeden auffindbar - durch einen Namen oder sogar ergänzende Informationen wie E-Mail-Adressen, Kommentare oder Bilder gekennzeichnet - oder nur an gewünschte Kommunikationspartner übergeben.

Die tatsächliche Erkennung des Schlüssels ist jedoch über den Fingerabdruck möglich.

Web of Trust

Das Web of Trust ist ein Netzwerk gegenseitigen Vertrauens. Es basiert auf der Annahme, dass

  1. Menschen sich über n Ecken kennen und
  2. der Aufwand zur Überprüfung von Fingerabdrücken der Schlüssel damit beherrschbarer wird
  3. Menschen ohne persönliche Bekanntschaft über gemeinsame Bekannte systematisch verifizieren können ob das Gegenüber vertrauenswürdig ist .

Diese Annahmen sind natürlich nicht immer zutreffend.

GnuPG

Praxis mit GnuPG

In diesem Abschnitt befinden sich Inhalte, welche noch angepasst werden müssen, da Sie auf noch nicht verfassten Inhalten basieren.

GnuPG mit GNU/Linux

Einen guten Start bieten die Seiten zur Erklärung:

man gpg
gpg --help
Einstellungen zu GnuPG

Für Einstellungen des Nutzers sollte die Datei ~/.gnupg/gpg.conf unbedingt selbst bearbeitet werden.

Näheres auf Empfehlung von riseup

Schlüssel erstellen
Basics

Auf der Kommandozeile mit GnuPG sieht das dann so aus:

  1. gpg --gen-key
  2. 1
  3. 4096
  4. 1y
  5. j
  6. (irgend)ein Name (z.B. der Nutzer-Anteil der Email-Adresse)
  7. mailadresse@fakultativ.foo
  8. Kommentare sind oft unsinn
  9. F
  10. Das sichere Passwort
  11. Das sichere Passwort
  12. warten auf Zufallswerte, geht schneller wenn man nebenbei an dem Rechner arbeitet oder spezielle Hardware dafür hat
Mit Enigmail (in Thunderbird etc)
Ambitioniert

tbc: mit gesondertem Schlüssel zum Wiederrufen

Kinderleicht

Der Schwierigkeitsgrad der Handhabung ist eine Frage der Sicherheit. Je einfacher das System ist, desto weniger Sicherheitsmaßnahmen (technisch, organisatorisch) können angewendet werden.

Dennoch macht es Sinn auch ohne große Sicherheitsvorkehrungen Kryptografie zu verwenden, ein gutes Beispiel hierfür ist p≡p (noch im Crowdfunding).

Private Schlüssel auflisten

Wenn man wissen will, welche privaten Schlüssel dem Nutzer bereitstehen oder ggf. noch importiert werden müssen:

gpg -K


Wiederrufszertifikat erstellen

tbc ...

Wiederrufszertifikat benutzen
Schlüssel von Kommunikationspartnern suchen/importieren
aus einer Datei
gpg --import ${datei}
von einem Server

Schlüssel können auf zwei Arten von Keyservern importiert werden

gpg --search-keys ${emailadresse}
gpg --recv-key ${key-id}
Schlüsseln von Kommunikationspartnern vertrauen - lokal signieren
lokal signieren mit lsign - lokale Signaturen werden nicht auf Server übertragen

Statt lsign kann auch sign verwendet werden, aber diese Signatur wird dann ggf. öffentlich. Dies kann im Sinne des WoT aber auch gewollt sein.

  1. $gpg --edit-key ${key-id oder bestandteil von email bzw. name}
  2. >help
  3. >trust
  4. ?3
  5. >lsign
  6. ?j
  7. :${Das geheime Passwort}
  8. save
(Öffentlich) Signieren

Auch hier wird dem Schlüssel Vertrauen verliehen, aber dies ggf. öffentlich.

Daher sollte hier auch sorgfältig geprüft werden, ob die Person zu dem Schlüssel gehört den man gerade unterschreiben möchte.

  1. Dazu eignet sich grundsätzlich mindestens der Fingerprint und ggf. die anderen Eigenschaften des Schlüssel
    gpg --fingerprint ${key-id oder ein bestandteil von name oder mail-adresse}

Dieser angezeigte Fingerprint sollte mit der Angabe der Person (z.B. vorgelesen, abgedruckt auf einer Visitenkarte etc.) verglichen werden!
Zusätzliche Eigenschaften wie Algorithmus und Schlüssellänge sollten auch übereinstimmen, gerade ungewöhnliche Schlüssellängen könnten sogar ein Hinweis auf einen gefälschten Schlüssel (forget key) sein.

Der Rest ist einfach; s.o., verwende sign statt lsign.

Schlüssel an Server senden
gpg --send-keys ${liste von schlüssel-ids}
Signatur einer Nachricht überprüfen
eine Nachricht verschlüsseln
eine Nachricht entschlüsseln

Windows

mit gpg4win (z.B. für Outlook)

Siehe auch

Etwas detaillierter bieten andere Quellen Aufklärung:

Technische Hintergründe zu und geschichtliche Entwicklung von Verschlüsselungstechniken