mynethome.de

GnuPG Howto

Da ich in letzter Zeit auf meine Aufforderung, E-Mails zu verschlüsseln, immer häufiger die Frage „Wie?“ gestellt bekomme, habe ich mich entschlossen, zu dem Windows-Tool WinPT ein kleines HowTo zu schreiben.Für E-Mailverschlüsselung unter Linux verweise ich am Ende des Dokuments auf einige externe Seiten, für Fragen stehe ich aber gerne zur Verfügung.

  1. Das GnuPG HowTo
    1. Exkurs: Verschlüsselung allgemein
    2. Software holen
    3. Installation der Software
    4. Installation abschliessen
    5. Schlüssel generieren
    6. Benutzen von WinPT
      1. Public-Key verteilen
      2. fremde Public-Keys importieren
      3. E-Mails verschlüsseln
      4. E-Mails entschlüsseln
    7. Schlusswort
    8. Links

1.1 Exkurs: Verschlüsselung allgemein

GnuPG oder auch PGP sind Standardprogramme zum Verschlüsseln von E-Mails, die beide nach demselben Prinzip arbeiten und zueinander kompatibel sind. Dabei wird das so genannte asymmetrische Verfahren verwendet. Die asymmetrische Verschlüsselung verwendet zwei unterschiedliche Schlüssel, und zwar

  • zum Verschlüsseln den öffentlichen Schlüssel (Public-Key) und
  • zum Entschlüsseln den geheimen (privaten) Schlüssel. (Secret-Key)

Der öffentliche Schlüssel wird jedem zur Verfügung gestellt, von dem man verschlüsselte E-Mails erhalten möchte. Den geheimen Schlüssel soll man ausnahmslos und unter allen Umständen sorgfältig geheim halten, damit kein Fremder die E-Mails entschlüsseln kann, die man erhält.

Der geheime Schlüssel wird außerdem durch ein Passwort gesichert, damit nicht allein die Datei einen Angreifer ermächtigt, auf die verschlüsselte E-Mails zuzugreifen.

1.2 Software holen

Unter http://www.winpt.org/ findet man WinPT, ein recht komfortables Frontend zu GnuPG für Windows, das sich neben dem standalone Betrieb auch in Outlook und Eudora integriert.

Die Homepage (offensichtlich mit aktuelleren Inhalten) bei Sourceforge.net ist http://sourceforge.net/projects/winpt/ .

Hier kann man sich auch die Installationsroutine herunterladen.

Der direkte Link zur Downloadpage ist

http://sourceforge.net/project/showfiles.php?group_id=71360

Man wählt hier, sofern man nichts besseres weiss, die Datei winpt-install-1.0rc2.exe zum Download aus.

Sicherlich ist auch die etwas weiter unten auf der Seite zu findene Dokumentation mindestens einen Blick wert.

1.3 Installation der Software

Nachdem die Datei heruntergeladen ist, startet man die Installation aus dem Windowsexplorer heraus mit einem Doppelklick auf das Symbol der Datei.

Zunächst wird man aufgefordert, die Installationssprache zuwählen. Diese Beschreibung ist auf Deutsch, vielleicht mit ein wenig DEnglisch, was Du wählst bleibt Dir freigestellt…

Im folgenden gehe ich davon aus, dass Du in der Lage bist, einen Installationsvorgang grundsätzlich zu durchlaufen und gehe nur auf die Stellen ein, die interessant sind. Sollte also einmal nicht direkt das zu sehen sein, was ich hier beschreibe, so folge dem Installationsvorgang einfach…

Nachdem man also den Begrüßungsbildschirm und die Lizenzbestimmungen bewältigt hat, darf man den gewünschten Zielpfad für die Installation wählen.

Im nächsten Schritt muss man die gewünschten Komponenten auswählen. Die Vorauswahl ist schon mal sehr gut, solltest Du jedoch Outlook oder Eudora als E-Mailprogramm benutzen, so kannst Du unter E-Mail Plugins ein entsprechendes Plugin zur Installation mit auswählen.

Auf die Plugins für die E-Mailprogramme werde ich hier zunächst nicht weiter
eingehen. Nachdem man die grundsätzliche, hier beschriebene, Funktionsweise
jedoch einmal benutzt hat, sollte es auch kein Problem sein, sich die
Funktionsweise der Plugins klarzumachen.

Setzen wir die Installation fort.

Als nächstes gibt man einen Zielordner für die Startmenüeinträge an (bzw. übernimmt einfach die Voreinstellung) und klickt wieder einmal auf Weiter.

Im Folgenden kommt man zu der Seite Auswahl zusätzlicher Aufgaben.

Sofern man keine schlagkräftigen Gründe hat, warum man irgendetwas ändern sollte (es sei jede(r) aufgefordert sich die angebotenen Optionen durchzulesen und sich eine Meinung dazu zu bilden), kann man die voreingestellten Optionen übernehmen und fortfahren. Es folgt eine weitere Seite mit Optionen. Hier ist besonders die letzte Zeile interessant, da Du hier das Verzeichnis bestimmst, in denen die wichtigsten Dateien der WinPT-Installation, nämlich Deine Schlüsselringe, gespeichert werden.

Dieses Verzeichnis sollte man sich gut merken, und dessen Inhalt auch regelmäßig sichern.

Im nächsten Schritt des Installationsvorgangs wird WinPT nun endlich installiert.

1.4 Installation abschließen

Nachdem das Installationsprogramm die Dateien kopiert und alles Andere erledigt hat, startet man, auf Wunsch automatisch durch das Installationsprogramm, das Windows Privacy Tray zum ersten Mal.

1.5 Schlüssel generieren

Nach dem ersten Start erscheint eine Hinweisbox (nicht erschrecken, der Hinweis erfolgt auf Englisch – offensichtlich haben die Übersetzter diesen übersehen), das keine korrekten Key-Rings gefunden werden konnten und mit einem Klick auf Ja startet man den Vorgang, eben solche zu generieren.

Bei der folgenden Frage wählt man nun

Have WinPT to generate a key pair.

und fährt mit OK fort…

Die im folgenden Dialog voreingestellte Key-Art (DSA and ELG) und Bit-Anzahl (1792) muss man nicht ändern, sofern man nicht genau weiß, warum. Man gibt seinen vollständigen Namen ein, evtl. einen Kommentar (z.B. den Kontext in dem der Key benutzt wird) und die E-Mailadresse, mit der dieser Key benutzt werden soll. Ein Key ist immer an eine bestimmte E-Mailadresse gebunden. Man kann ihn durchaus auch in Verbindung mit einer anderen E-Mailadresse benutzen, dies führt in der Regel jedoch zu Komplikationen und Misstrauen (Wieso sollte ich zum Beispiel einer E-Mail vertrauen, die mit dem Schlüssel der E-Mailadresse hans@glueck.de unterschrieben ist, aber von heidi@bergwiese.de kommt? ).

So benutze ich zum Beispiel 2 PGP-Identitäten – einen für meine E-Mailadresse auf der Arbeit und einen für Zuhause.

Das Feld Key expiration, also das Datum bis zu dem der Schlüssel gültig ist und verwendet werden darf, können wir für unsere Zwecke in der Regel leer lassen.

Das Mantra ist das Passwort, das man später zum Entschlüsseln und Signieren von E-Mails mit diesem Schlüssel benötigt. Dieses gibt man zur Sicherheit (gegen Tippfehler) nochmal bei „Repeat passphrase“ ein. Die Schlüsselgenerierung wird dann mit Start in Gang gesetzt.

Nun nimmt sich der Computer etwas Zeit, um das neue Schlüsselpaar zu generieren. Dabei wird ein Fenster mit wirren Zeichen als Fortschrittsdialog angezeigt. Nach der Generierung erscheint eine Hinweisbox, dass das Schlüsselpaar erfolgreich erstellt wurde.

Dann folgt ein Hinweis, dass man sein neues Schlüsselpaar unbedingt Sichern sollte, um einen möglichen Datenverlust zu vermeiden. Wir bejahen diese Frage und lassen unsere neuen Keyrings an einen Beliebigen Ort speichern, um sie später auf einem Sicheren Medium, wie zum Beispiel einer CD, zu sichern. Vom „Sichern auf Diskette“ kann ich nur Abraten, da Disketten heutzutage so ziemlich das unzuverlässigste Speichermedium darstellen.

Die Sicherung der beiden Dateien unbedingt vornehmen! Sollte der private Schlüssel, z.B. durch einen Schaden der Festplatte verloren gehen, so ist es nicht mehr möglich, auf für Deinen Schlüssel verschlüsselte Dateien und E-Mails zuzugreifen!

Nun ist die Schlüsselgenerierung abgeschlossen und alles, was wir dann noch von WinPT sehen, ist ein kleines Schlüsselsymbol in der Taskleiste.

1.6 Benutzen von WinPT

Durch einen Doppelklick auf das nun sichtbare kleine Schl?sselsymbol in der Taskleiste öffnet sich der „Key Manager“. Hier sehen wir bisher nur unser eigenes Schlüsselpaar.

1.6.1 Public-Key verteilen

Damit man nun Mails bekommen kann, die mit dem eigenen Public-Key verschlüsselt sind, muss man diesen natürlich erstmal verteilen. Am schnellsten per Mail an die Leute, mit denen man verschlüsselte Mails austauchen möchte (also an Alle?! :) – für die, die bisher noch keine Verschlüsselung einsetzten, kann man ja einen Hinweis auf dieses HowTo in die Mail einbringen…).

Dazu muss man den eigenen Public Key zunächst aus seinem Keyring exportieren. Wir markieren in der Liste also unseren Namen und wählen im Menü „Key -> Export“ .

Es erscheint ein Dialog, der eine Datei mit der Endung asc speichern möchte. Wir ersetzen die wirre Hex-Zahl des Dateinamens durch einen aussagekräftigen Dateinamen, zum Beispiel MSchlichtingPubKey.asc, und speichern.

Diese Datei kann man nun als Dateianhang versenden und ermöglicht so anderen Leuten, einem verschlüsselte Mails zukommen zu lassen.

1.6.2 Fremde PublicKeys importieren

Man bekommt von der Gegenseite ebenso in der Regel asc-Dateien, die man natürlich erstmal in seinen Keyring importieren muss. Dies geschieht mit

Menu „Key -> Import“ -> Datei auswählen -> Ok .

Nach einem

Menu „Key -> Reload Key Cache“

sieht man den frisch importierten Key auch in der Liste.

1.6.3 E-Mails verschlüsseln

Möchte man nun einen Text verschlüsseln, so verfasst man ihn zunächst, wie bisher gewohnt. Dann schneidet man ihn komplett aus (STRG + A, dann STRG + X) und ruft mit (STRG + ALT + E) den Verschlüsselungsdialog auf.

(Damit die zuletzt genannte Tastenkombination funktioniert, muss WinPT in der Taskleiste geladen sein. Wenn dies noch nicht der Fall sein sollte, hilft ein Starten des Programms aus dem Startmenu.)

Im Verschlüsselungsdialog wählt man den Adressaten der Mail aus und klickt auf Ok. Um die verfasste E-Mail nach dem Versenden selbst noch lesen zu können, kann man auch, während man STRG gedrückt hält, zusätzlich den eigenen Namen auswählen. Dann wird der Text sowohl für den Empfänger als auch für einen selbst verschlüsselt. Nach diesem Schema kann man auch verfahren, wenn man eine E-Mail an mehrere Leute verschlüsselt versenden möchte.

Ist der Public-Key des Empfängers, für den man verschlüsselt, nicht als Trusted eingestuft, erscheint eine Sicherheitswarnung. Wenn man einen Public Key direkt zugeschickt bekommen hat, kann man diese übergehen. Ingesamt möchte ich aber jedem empfehlen, sich über das Sicherheitsrisiko und den Sinn dieser Trustedeinstellung klar zu werden.

Bestätigt man mit OK, so wird der Inhalt der Zwischenablage (wir kopierten eben den verfassten Text in die Zwischenablage) verschlüsselt. Zurück in unserem Mailprogramm können wir nun die den verschlüsselten Text in eine Mail packen (Strg+V) und an den Adressaten abschicken.

1.6.4 E-Mails entschlüsseln

Hat man nun, als Antwort auf seine E-Mail, eine verschlüsselte E-Mail erhalten, so sieht man nach dem Öffnen selbiger zunächst nur einen Block von wirren Buchstaben und Zahlen, der in einen Kopf der Form

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.2.1 (MingW32) - WinPT 0.7.94

und einen Fußder Form

-----END PGP MESSAGE-----

gefasst ist.Um diese Nachricht zu entschlüsseln, markiert man den gesamten Block (inklusive Kopf und Fuß) und kopiert ihn in die Zwischenablage. Per ‚STRG + ALT + D‘ ruft man nun den Entschlüsselungsdialog auf. Er erscheint ein kleines Eingabefenster, in dem man aufgefordert wird, sein Passwort einzugeben. Nach der Eingabe des richtigen Passwortes erscheint noch kurz die Statusmitteilung GnuPG Status: Finished und die Nachricht liegt entschlüsselt in der Zwischenablage.

Zum Lesen fügt man die Nachricht nun in ein Textfeld seiner Wahl ein – praktisch ist es z.B. eine neue eMail zu öffnen und den Inhalt der Zwischenablage mit ‚STRG + V‚ einzufügen.

Einige E-Mailprogramme bieten auch per Kontextmenu (Rechtsklick) ein Paste as Quoation an, was sich als besonders sinnvoll erweist, wenn man direkt auf die E-Mail antworten möchte.

1.7 Schlußwort

Soviel erstmal dazu. Man kann, anstatt E-Mails nur zu verschlüsseln, Sie auch zunächst zusätzlich unterschreiben und noch ein paar andere lustige Sachen mit WinPT machen, aber darauf möchte ich jetzt nicht eingehen.

Diese Anleitung ist im Prinzip nur ein kurzer Anriss dessen, was man so alles mit WinPT machen kann. Es lohnt sich auf jeden Fall einige der im Folgenden genannten Seiten zu besuchen und weitere Informationen zu sichten :)

Mein Public Key findest Du ‚hier‘.

Ich freue mich auf eine E-Mail mit Deinem Key und viele verschlüsselte E-Mails.

Solltest Du Fragen haben oder einen bestimmten Themenbereich genauer erläutert haben wollen, so kann ich Dir nur empfehlen, den unten genannten Links zu folgen.

Gerne kann man mir auch eine E-Mail schreiben und Fragen stellen – ich werde mir die größte Mühe geben, sie zu beantworten. Bei entsprechendem Interesse bin ich auch bereit, dieses Howto noch um einige Punkte zum Thema zu erweitern :)

1.8 Links

  • http://www.gnupp.de – das Gnu Privacy Project, ein vom Bundesministerium für Wirtschaft und Arbeit (BMWA) und vom Bundesministerium des Innern (BMI) unterstütztes Projekt zum Thema Sicherheit für E-Mail, E-Commerce und E-Government.
  • http://www.linuxnetmag.com/de/issue8/m8kmailgpg1.html#3.1 – Eine ausführliche Anleitung zum Verschlüsseln mit dem Mailprogramm KMail unter Linux

mynethome.de wird erstellt mit WordPress
Beiträge (RSS) und Kommentare (RSS)

(c) 2005 - 2015 Markus Schlichting