gulli:board Logo

Anzeige

  Thema geschlossen
Tsafor Spender
Ex-Administrator
 
Benutzerbild von Tsafor
 
Registrierungsdatum: Apr 2002
Ort: .de
Beiträge: 3.057
Verschlüsseltes E-Mailen mit GnuPG (Theorie und Praxis)
Diese Anleitung entstand mit der Idee, den Benutzern sowohl die Funktionsweise als auch den praktischen Einsatz des Kryptographie-Systems GnuPG näherzubringen. Gleichzeitig wollen wir durch die Integration on:board die Nutzung solcher Programme fördern.
Zuerst werden wir in diesem Tutorial rudimentär auf die zugrunde liegende Theorie eingehen; anschließend folgt der praktische Teil. Für Leute, die bereits in Besitz eines OpenPGP-Schlüsselpaares sind, dürfte in erster Linie der letzte Abschnitt - 3. Upload unseres öffentlichen Schlüssels/Integration von OpenPGP im gulli:board - interessant sein.

Solltet ihr Fragen zu der Anleitung haben, Verbesserungsvorschläge oder Kritik äußern wollen, so tut das bitte in diesem Thread: http://board.gulli.com/thread/415602


Verschlüsseltes E-Mailen mit GnuPG (Theorie und Praxis)


Teil 1 - Ein bisschen Theorie muss sein:
[list=1][*]Was ist GnuPG und was macht man damit?[*]... und warum das Ganze?[*]Meine E-Mails können abgefangen und manipuliert werden?[*]Das Prinzip des Schlüsselpaares[/list=1]
Teil 2 - Nun geht's ans Eingemachte:
[list=1][*]Einrichtung und Konfiguration von GnuPG[*]Verschlüsseltes E-Mailen am Beispiel von Mozilla Thunderbird und Enigmail[*]Upload unseres öffentlichen Schlüssels/Integration von OpenPGP im gulli:board[*]Literatur[/list=1]

Teil 1 - Ein bisschen Theorie muss sein


1. Was ist GnuPG und was macht man damit?

Der GNU Privacy Guard, häufig mit GnuPG oder GPG abgekürzt, ist ein Programm zum Verschlüsseln und Signieren beliebiger digitaler Daten; das können beispielsweise E-Mails und Musikdateien sein, aber auch komplette Festplatten. Umgekehrt kann GnuPG zur Entschlüsselung und Überprüfung dieser Daten benutzt werden.
Wenn man etwas verschlüsselt, dann wandelt man einen Klartext (eine unverschlüsselte Nachricht) mit Hilfe eines Algorithmus (eine für Machinen präzise formulierte Anleitung eines bestimmten Vorgangs) in einen Geheimtext (eine verschlüsselte Nachricht) um.
Beim Signieren hingegen, dem digitalen Unterschreiben, soll einerseits die Echtheit (Authentizität) und andererseits die Unversehrtheit (Integrität) bestimmter Daten sichergestellt werden. Die Umkehrung dieser beiden Vorgänge wird entsprechend Entschlüsselung und Überprüfung genannt.

Nachfolgend werden wir uns GnuPG im Zusammenhang mit E-Mails widmen.


2. ... und warum das Ganze?

Sendet man eine E-Mail im Klartext, dann lässt sie sich mit einer Postkarte vergleichen, die mit mehr oder weniger großem Aufwand von jedem Interessenten gelesen werden kann. Wenn man das nicht möchte, verschickt man die Nachricht zumindest in einem Briefumschlag. GnuPG ist dieser Briefumschlag für E-Mails, denn durch Verschlüsselung oder noch besser durch Verschlüsselung und Signierung, schützt man seine Nachricht vor neugierigen Blicken und gibt dem Empfänger zudem die Möglichkeit, aufgrund der digitalen Unterschrift nachzuvollziehen, wer der tatsächliche Absender ist und ob die Nachricht unverändert angekommen ist.


3. Meine E-Mails können abgefangen und manipuliert werden?

Ja. Seit dem 1. Januar 2005 dürfen das die Leute diverser Strafverfolgungsbehörden sogar ganz legal machen. Durch die neue Telekommunikationsüberwachungsverordnung (TKÜV) ist nämlich jeder in Deutschland ansässige E-Mail-Provider mit mehr als 1000 Benutzern dazu verpflichtet, Überwachungsschnittstellen bereitzustellen, die ggf. sämtliche ein- und ausgehenden E-Mails abfangen, speichern und bestimmten Personen zugänglich machen.
Aber auch gelangweilte oder böswillige Systemadministratoren und Cracker könnten deine E-Mails lesen und womöglich auch verändern; eine E-Mail durchläuft u.U. etliche Server, bevor sie dem Empfänger letztendlich zugestellt wird. Wenn der Systemadministratoren in diesem Moment Langeweile hat und auch nicht in der Lage ist, seinen Server vernünftig abzusichern, hast du schon wieder zwei potenzielle Mitleser mehr.
Außerdem haben Geheimdienste ganze Abhörnetzwerke, mit denen sämtliche Daten abgefangen werden können.


4. Das Prinzip des Schlüsselpaares

GnuPG setzt beim Austausch von verschlüsselten E-Mails auf ein sog. asymetrisches Schlüsselverfahren, um sich vor o.g. Szenarien zu schützen. Das bedeutet nichts weiter als dass beim Ver- und Entschlüsseln unterschiedliche Schlüssel zum Einsatz kommen. Nämlich ein öffentlicher (public key) und ein privater (secret key) Schlüssel.
Der public key wird primär dazu verwendet, um Nachrichten an den Eigentümer des dazugehörigen secret keys zu verschlüsseln und umgekehrt; die Hauptaufgabe des secret keys ist die Entschlüsselung der mit dem eigenen public key verschlüsselten Nachrichten.

Beispiel: Brain möchte Pinky seinen neusten und äußerst geheimen Plan zum Erreichen der Weltherrschaft schicken. Dazu muss Pinky dafür gesorgt haben, dass Brain seinen public key hat. Brain nimmt also Pinkys public key und verschlüsselt mittels GnuPG seinen Plan. Den soll ja kein anderer lesen. Wenn die E-Mail bei Pinky angekommen ist, nimmt er seinen secret key und entschlüsselt die Nachricht. Schon weiß er, was heute abend zu tun ist.

Andererseits wird der private Schlüssel dazu benutzt, Inhalte zu signieren, so dass der Empfänger mit dem öffentlichen Schlüssel des Verfassers die Echtheit der Nachricht nachvollziehen kann (vgl. auch 1. Was ist GnuPG und was macht man damit?).

Eine weitere Sache, die man mit seinem private key anstellen kann ist das Unterschreiben anderer Schlüssel. Damit beglaubigt man, dass ein Schlüssel tatsächlich demjenigen gehört, der er vorgibt zu sein. Auch die c't bietet gelegentlich an, Schlüssel gegen Vorlage des Personalausweises zu unterschreiben. Auf diesen Prinzipien beruht das sog. Web of Trust.
Geändert von Tsafor (17. 07. 2005 um 15:36 Uhr).
Alt 16. 07. 2005, 21:24 Tsafor is offline #1
Oggy
Ex-Administrator
 
Registrierungsdatum: Mar 2002
Beiträge: 3.807
Teil 2 - Nun geht's ans Eingemachte


1. Einrichtung und Konfiguration von GnuPG

Voraussetzungen für diese Anleitung ist ein Windows-XP-System mit installiertem und für den normalen E-Mail-Verkehr eingerichteten Mozilla Thunderbird.

Um die Schlüsselpaare zu verwalten und zu erstellen, gibt es verschiedene Programme; wir entscheiden uns für eine Lösung mit grafischer Oberfläche: WinPT. Die jeweils aktuelle ist hier zu finden.
Windows Privacy Tools (WinPT) ist "eine Sammlung mehrsprachiger Programme für einfache Verschüsselung und digitale Signierung von Daten." Es basiert auf GnuPG und ist somit kompatibel zu OpenPGP-Software (z.B. PGP) und frei für die kommerzielle und private Nutzung unter der GPL.

Beginnen wir nun mit der Installation der Windows Privacy Tools, die soweit selbsterklärend sein sollte. Da wir hier auf die Benutzung mit Mozilla Thunderbird eingehen werden, ist es nicht nötig, weitere Plugins für Outlook oder Eudora mit zu installieren. Die Standard-Einstellungen können also ohne weiteres übernommen werden.



Die Standard-Einstellungen können auch bei der nächsten Auswahl beibehalten werden, bis auf eine Ausnahme: Der Speicherort, an dem die Schlüsselringe abgespeichert werden sollen, ist mit Bedacht zu wählen. Es ist unbedingt darauf zu achten, dass der private Schlüssel vor fremden Zugängen geschützt ist.



Die Installation ist damit beendet und wir können das Programm starten.

Als erstes werden wir zur Auswahl eines Schlüsselpaares aufgefordert. Da wir von einer kompletten Neuinstallation ausgehen, wählen wir "Generate a GnuPG key pair"



Als nächstes tragen wir unseren Namen und unsere E-Mail-Adresse ein.



Mit einem Klick auf den Button "Expert" öffnet sich ein zusätzliches Fenster, welches einem verschiedene Konfigurationsmöglichkeiten bietet; zwingend erforderlich sind diese allerdings nicht.



Für den Anfang sollten die Standard-Einstellungen reichen, die einzelnen Verschlüsselungsmethoden zu erklären würde den Rahmen sprengen. "Key expiration" (das Schlüsselpaar ist nur bis zu einem bestimmten Datum gültig) kann eingestellt werden, muss aber nicht.
Mit der Passphrase wird der secret key mit einem Passwort geschützt. Auch hier gelten die üblichen Passwort-Regeln. An dieser Stelle möchte ich einmal auf KeePass verweisen, einem Programm zum Verwalten und Generieren von Passwörtern.
Ohne den Experten-Modus kommt die Passphrase-Eingabe nach einem Klick auf OK.



Sobald die Passphrase bestätigt wurde, werden die Schlüssel erstellt. Das kann je nach Rechenleistung, Passphrase-Länge und Algorithmus zwischen einer und zehn Minuten dauern. Einen Fortschritt bekommt ihr nicht angezeigt, also Geduld.



Nachdem das Schlüsselpaar erstellt wurde, öffnet sich der Key Manager. Er bietet auf einen Blick eine Übersicht aller Schlüssel und ihrer Eigenschaften. Über das Kontextmenü zu einem Schlüssel und die Menüs können alle Kommandos durchgeführt werden, die zum Schlüsselmanagement gehören, d. h. Schlüsselerstellung, -bearbeitung, -signierung, -import, -export, -rückzug etc.




2. Verschlüsseltes E-Mailen am Beispiel von Mozilla Thunderbird und Enigmail

Als nächstes besorgen wir uns die nötige Extension für useren E-Mail-Client -- Enigmail und das dazugehörige Language Pack. Die *.xpi-Dateien speichern wir ab und öffnen unter Mozilla Thunderbird den Extension-Manager (Extras --> Erweiterungen/Tools --> Extensions). Anschließend wählen wir "Installieren" öffnen die *.xpi-Dateien.





Zuerst müssen wir Enigmail den Pfad zur "gpg.exe" mitteilen. Dazu starten wir Mozilla Thinderbird wieder und wählen die Enigmail-Optionen aus.





Die anderen Einstellungen können erst einmal so bleiben.

Dem E-Mail-Account muss jetzt noch mittgeteilt werden, dass er GnuPG benutzen soll. Dafür öffnet man die Konto-Einstellungen des jeweiligen E-Mail-Accounts und nimmt folgende Einstellungen vor:



Jetzt sind wir im Grunde genommen schon so weit, um die erste verschlüsselte E-Mail zu versenden, allerdings besitzen wir zum gegenwaertigen Zeitpunkt nur unseren eigenen public key.

Das folgende Beispiel könnt ihr so durchspielen; die E-Mail-Accounts wurden nur für dieses Tutorial angelegt.

Wir nehmen als erstes einen neuen key in unsere Schlüsselverwaltung auf. Dabei ist darauf zu achten, dass der public key auch wirklich demjenigen gehört, dem wir die E-Mail schicken wollen.
Wir kopieren den kompletten key in die Zwischenablage, öffnen unter Thunderbird das "OpenPGP Key Management" und importieren dort den public Key des Empfängers.







Somit haben wir jetzt drei keys in unserer Schlüsselverwaltung. Einmal unser eigenes Schlüsselpaar (public & secret) und den public key des Empfängers. Unserer ersten verschlüsselten E-Mail steht nun nichts mehr im Wege.
Das wollen wir jetzt aber auch einmal testen. Dazu verfassen wir eine neue E-Mail und schicke diese an GnuPG_Tutorial_gulliboard2@oleco.net (für diesen E-Mail-Account haben wir gerade den public key importiert).



Ein Klick auf Senden bringt ein Eingabefenster zum Vorschein. Hier tragen wir nun die am Anfang festgelegte Passphrase ein.



Kurze Zeit später ist die Mail dann auch schon da und wurde automatisch entschlüsselt. Es funktioniert also und es kann von nun an ruhigen Gewissens gemailt werden. :-)
Alt 16. 07. 2005, 21:48 Oggy is offline #2
Tsafor Spender
Ex-Administrator
(Threadstarter)
 
Benutzerbild von Tsafor
 
Registrierungsdatum: Apr 2002
Ort: .de
Beiträge: 3.057
3. Upload unseres öffentlichen Schlüssels/Integration von OpenPGP im gulli:board

Damit der public key möglichst vielen Leuten zugänglich gemacht werden kann, empfiehlt es sich, den Schlüssel auf einen Keyserver hochzuladen; im Folgenden verwenden wir das Angebot vom bekannten Massachusetts Institute of Technology. Natürlich besteht auch die Möglichkeit, einen anderen Keyserver zu benutzen, zumal diese meist untereinander synchronisiert werden, sodass es letztentlich egal ist, auf welchen Server man zurückgreift. Alternativ kann man auch eigenen Webspace benutzen.
Um unseren public key der Allgemeinheit zugänglich zu machen, kopieren wir diesen im ASCII-Code (Mozilla Thunderbird starten --> Enigmail --> Schlüsselverwaltung --> Schlüssel markieren und "In Zwischenablage kopieren" wählen) in die Submit-Box und drücken anschließend "Submit this key to the keyserver!".



Nachdem wir dann eine Meldung erhalten haben, dass der Schlüssel in die Datenbank aufgenommen wurde, wechseln wir wieder auf die Startseite und geben in die Suchbox die zum public key gehörende E-Mail-Adresse ein.



Anschließend landen wir auf einem Index, der uns die Suchergebnisse präsentiert.
Damit wir unseren Schlüssel hier on:board bequem zur Verfügung stellen können, kopieren wir uns die Link-Adresse und fügen diese ins PGP-Public-Key-Feld unseres Profils ein und speichern die Änderungen.



Von nun an haben wir einen modifizierten E-Mail-Button, der darauf aufmerksam macht, dass wir in Besitz eines OpenPGP-Schlüssels sind und verschlüsselt e-mailen können. Außerdem befindet sich im Mailformular unseres Profils ein Link zu unserem public key.






4. Literatur

GnuPG.org
Das GNU-Handbuch zum Schutze der Privatsphäre
GNU Privacy Guard - Wikipedia
Deutsche OpenPGP Anleitungen
EQUIPMENTE.DE Das GnuPG-Portal
Mac GNU Privacy Guard
Konfiguration von GnuPG (Mac OS X)
Geändert von Tsafor (22. 07. 2005 um 00:10 Uhr).
Alt 16. 07. 2005, 21:48 Tsafor is offline #3
Themen-Optionen Thema geschlossen

« Vorheriges Thema | Nächstes Thema »

Themen-Optionen

Gehe zu



Alle Zeitangaben in UTC +1. Es ist jetzt 05:55 Uhr.
Angetrieben von vBulletin
Copyright ©2000 - 2006, Jelsoft Enterprises Ltd.
epilepsy.gullisys.net

Anmelden

Benutzername
Kennwort
© Copyright 2008 gulli.com home | regeln | sitemap | kontakt | impressum | partner | downloads | disclaimer |
Message Boards and Forums Directory