Workshops der Suletuxe: Archiv

25.02.2017 Wie erstelle ich einen bootfähigen USB-Stick? * Einrichtung von Emailverschlüsselungen mit dem Verfahren "OpenGPG"

Einrichtung von Emailverschlüsselungen / Signierungen mit dem Verfahren OpenGPG

Die Sicherheit der Emailkommunikation war und ist ein hochwichtiges Thema. Einge Emailanbieter versuchen daraus Kapital zu schlagen und bieten "sichere Email", "Email-Einschreiben" und ähnliches an. Das ist im Prinzip alles überflüssig - es gibt seit 25 Jahren ein freies, sicheres und plattformübergreifendes Verfahren für sichere Emails. Dieses hieß in der Anfangsphase "PGP" (Pretty Good Privacy) und war kommerziell, seit ca. 20 Jahren ist es Open Source und wird unter der Bezeichnung GPG (Gnu Privacy Guard) geführt. Es ist ein Verfahren mit dem

  1.  Die Authentizität von Emails 100% sicher festgestellt werden kann
  2. Der Inhalt von Emails 100% sicher vor fremdem Zugriff geschützt werden kann ("verschlüsselt werden kann"). Niemand (incl. NSA / FBI etc.) ist in der Lage, diese Verschlüsselung zu knacken.

Wie immer, haben wir das Szenario an unserer Standard-Arbeitsumgebung "LMDE2" mit dem Desktop "KDE" durchgespielt.

Als erstes muss ein Hilfsprogramm installiert werden, mit dem man die Schlüssel verwaltet. Die Wahl fiel auf "kgpg". Leider ist das modernere "kleopatra" in einigen Punkten und einigen Versionen fehlerhaft und zeigt dann seltsame, nicht nachvollziehbare Fehlfunktionen. Kgpg kann man entweder auf der Konsole oder mit dem Paketverwaltungstool "Synaptic" nachinstallieren. Man findet es dann unter "Dienstprogramme/Verschlüsselungsprogramm" - das Symbol ist treffenderweise ein Vorhängeschloß. Dieses Programm starten wir jetzt. Das Programm braucht (und kann) auch nur einmal "von Hand" gestartet werden - danach befindet sich bei jedem Start das Schloßsymbol in der Taskleiste neben der Uhr (eventuell muss man die Liste ausklappen).

Beim ersten Start begrüßt uns der Einrichtungsassistent für das Programm. Zunächst werden wir nach der GnuPG Programmdatei gefragt. Hier sollte /usr/bin/gpg2 eingetragen sein - dann "weiter". Danach werden wir nach dem Speicherort für die Einrichtungsdatei gefragt - hier lassen wir alles so wie es ist und bestätigen mit "weiter". Im nächsten Fenster ist angehakt "neues Schlüsselpaar wird erstellt" und "KGpg automatisch bei der Anmeldung starten". Beides ist korrekt und wir bestätigen mit "Fertigstellen".  Nun werden wir zu Einzelheiten zu unserem neu zu erstellenden Schlüssel gefragt. Da diese Informationen für die korrekte, vertrauenswürdige und zuverlässige Funktion absolut essentiell sind müssen sie gewissenhaft eingetragen werden. Bei "Name" wird der Namen eingetragen, den die Emailpartner kennen - also meistens der RICHTIGE Name. Im Feld darunter wird die Emailadresse eingetragen, für die der Schlüssel erstellt werden soll. Jede Emailadresse benötigt ihren eigenen Schlüssel! Achtet darauf, dass sich kein Tippfehler in einer der beiden Einträge befindet - das würde den Schlüssel unbenutzbar machen. Bei Schlüsselgröße ist 2048 voreingestellt. Dies ist schon eine recht sichere Größe - größer ist aber sicherer. Wer möchte kann hier auch 4096 anwählen - dann dauert die Erstellung des Schlüssels deutlich länger. Da der Schlüssel aber nur einmal erstellt werden muss, ist das ein verschmerzbarer Nachteil. Alle anderen Dinge lassen wir so wie sie sind und starten die Schlüsselerstellung. Unser Schlüssel muss mit einem sicheren Passwortsatz versehen werden, damit ihn niemand gebrauchen kann, selbst, wenn er ihn in die Hände bekommt. Dieser Passwortsatz wird im nächsten Dialog abgefragt. Wählt hier einen ganzen kurzen Satz, den nur ihr kennt, der möglichst Zahlen, Satzzeichen und Groß- und Kleinbuchstaben enthält, den ihr euch zwar gut merken könnt, aber auf den niemand kommt (selbst dannn nicht, wenn er euch kennt). Danach wird der Schlüssel erstellt und das Ergebnis wird einem angezeigt. Den Haken bei "als Standardschlüssel verwenden" entfernen wir, dafür machen wir einen Haken bei "Speichern unter" (das ist ein Goodie, das wir vielleicht späterr mal brauchen um einen beschädigten Schlüssel wiederbeleben zu können). Danach werden wir aufgefordert, unseren neuen Schlüssel zu öffnen und es wird uns angeboten, die Passphrase in unserer Passwortbrieftasche zu speichern. Dies können wir machen, da es später die ständige Neueingabe unserer Passphrase automatisch für uns erledigt. Wer hier sehr sicher denkt, wird das eher nicht wollen. Danach ist unser neuer Schlüssel einsatzbereit und hat bei "Vertrauen" einen blauen Balken ("höchstes Vertrauen"). Eine Einstellung müssen wir noch machen - dann ist unser Schlüsselhilfsprogramm fertig eingerichtet. Unter "Einstellungen/KGpg einrichten" wählen wir "Schlüsselserver" und dort "Hinzufügen", denn leider sind die voreingestellten Schlüsselserver schon veraltet. Wir tragen ein hkp://pgp.mit.edu" und bestätigen mit "ok". Danach klicken wir den neuen Eintrag einmal an und bestätigen dann "Als Standard setzen". Dann unten auf "Anwenden" - "OK" - und unser Programm ist einsatzbereit.

Damit andere unseren Schlüssel überprüfen können, wenn sie eine Email von uns mit Signierung / Verschlüsselung erhalten, muss der öffentliche Teil unseres Schlüssels auf einen Schlüsselserver übertragen werden. Erst dann ist der Schlüssel wirklich volkommen einsatzfähig. Dies machen wir, indem wir mit unserer maus einen Rechtsklick auf den Schlüssel machen, dort den ersten Eintrag "Öffentlichen Schlüssel exportieren" anwählen und in der neu aufgehenden Box den Knopf "Schlüsselserver" auswählen. Wenn wir diese Box mit "ok" bestätigen, wird unser öffentlicher Schlüssel auf den Schlüsselserver gesendet, was uns auch nochmal bestätigt wird.

Jetzt können wir unsere Schlüsselverwaltung (kgpg) schließen - sie wird, wie der Name sagt, nur für die Verwaltung der Schlüssel benötigt. Wenn wir sie wieder benötigen, können wir sie in der Startleiste neben der Uhr durch Klick auf das Schloßsymbol wieder aufrufen. Da man sie (zum Hinzufügen von Schlüsseln) doch öfter braucht, ist sie wunderbar in den KDE integriert und läuft als Hintergrundprogramm zur schnellen Verfügbarkeit stets mit.

< wird fortgesetzt>

<< Zur vorigen Seite