PGP/GnuPG

PGP (Pretty Good Privacy) ist ein Programm zur Verschlüsselung und Signatur von Daten. Hauptsächlich wird es zum Verschlüsseln von Emails eingesetzt. PGP arbeitet nach dem OpenPGP-Standard. Nach diesem Standard arbeitet auch das quelloffene und frei erhältliche Kryptographiesystem GnuPG (GNU Privacy Guard). GnuPG dient also der Verschlüsselung, hauptsächlich von Emails und ist zu PGP kompatibel.

1. Funktionsweise:

GnuPG nutzt ein sogenanntes asymmetrisches Verschlüsselungsverfahren. Das bedeutet, es werden zum Verschlüsseln und zum Entschlüsseln von Daten zwei unterschiedliche Schlüssel eingesetzt. Ein öffentlicher und ein privater Schlüssel. Beide zusammen ergeben das Schlüsselpaar. Zum Verschlüsseln einer Nachricht dient der öffentliche Schlüssel des Empfängers. Zum Entschlüsseln der Nachricht dient der private Schlüssel des Empfängers. Um jemanden eine verschlüsselte Nachricht zukommen zu lassen benötigen Sie also den öffentlichen Schlüssel des Empfängers. Um die Nachricht entschlüsseln zu können, benötigt der Empfänger seinen privaten Schlüssel. Der öffentliche Schlüssel kann also gefahrlos auch über unsichere Kanäle ausgetauscht werden, da sich mit ihm lediglich Nachrichten verschlüsseln aber nicht entschlüsseln lassen. Das Prinzip soll hier am Beispiel einer verschlüsselten Kommunikation mit dem Webmaster noch verständlicher erklärt werden:

Schritt eins: Sie besorgen sich den öffentlichen Schlüssel des Webmasters, z.B. indem Sie ihn im Kontakt Bereich dieser Seite herunterladen.
Schritt zwei: Sie schreiben eine Email und fügen im Anhang Ihren eigenen öffentlichen Schlüssel ein.
Schritt drei: Sie verschlüsseln die Email mit dem öffentlichen Schlüssel des Webmasters und schicken sie ab.
Schritt vier: Der Webmaster empfängt die Mail und entschlüsselt sie mit seinem privaten Schlüssel. Nur der Webmaster, kann diese Nachricht entschlüsseln, da nur er den privaten Schlüssel hat, der zu seinem öffentlichen Schlüssel gehört.
Schritt fünf: Der Webmaster antwortet Ihnen und verschlüsselt die Nachricht mit Ihrem öffentlichen Schlüssel.
Schritt sechs: Sie empfangen die Nachricht und entschlüsseln sie mit Ihrem privaten Schlüssel. Nur Sie können diese Nachricht entschlüsseln, da außer Ihnen niemand den privaten Schlüssel hat, der zu Ihrem öffentlichen Schlüssel gehört.

2. Programme die benötigt werden:

Diese Anleitung beschreibt die Verwendung von GnuPG in Verbindung mit Mozilla-Thunderbird (siehe Kapitel Email). Zusätzlich benötigen Sie noch Gnu Privacy Guard selbst sowie die Thunderbird Erweiterung Enigmail zur Integration des Gnu Privacy Guards in Thunderbird. Bei den meisten aktuellen Linux-Distributionen muss nur noch Enigmail installiert werden, da GnuPG schon von Haus aus mit an Bord ist.

3. Erzeugen eines Schlüsselpaares:

Nachdem Sie GnuPG und Enigmail installiert und Thunderbird vorsichtshalber einmal neu gestartet haben, wählen Sie im Menue OpenPGP den Punkt Schlüssel verwalten... und wählen dann Erzeugen>Neues Schlüsselpaar. Im Feld Benutzer-ID können Sie die Email-Adresse auswählen, zu der das Schlüsselpaar gehören soll. Der Haken bei Schlüssel zum Unterschreiben verwenden sollte gesetzt bleiben. Wenn bei keine Passphrase ein Haken gesetzt sein sollte, so ändern Sie das. Geben Sie in die darunter liegenden Felder eine Passphrase ein. Die Passphrase dient dazu, dass Ihre Nachrichten nicht einmal dann entschlüsselt werden können, wenn Ihnen der private Schlüssel mal gestohlen werden sollte. Sie ist also ein zusätzlicher und wichtiger Schutz. Die Passphrase sollte lang sein und aus Klein- und Großbuchstaben sowie Zahlen und Sonderzeichen bestehen, aber trotzdem für Sie zu merken sein. Zum Beispiel ein Satz, im dem Zahlen vorkommen, bestimmte Buchstaben aber durch Sonderzeichen ersetzt sind. Als Ablaufdatum empfiehlt es sich die Einstellung auf 5 Jahre zu belassen oder einen Haken bei Schlüssel läuft nie ab zu setzten. Als nächstes sollten Sie noch auf den Reiter Erweitert klicken und bei Schlüsselstärke den höchsten Wert auswählen (4096). Hier gilt nämlich je mehr, desto sicherer.

pgp1.gif

je stärker, desto besser


Bei Algorithmus kann die Voreinstellung (DSA & El Gamal) beibehalten werden. Klicken Sie jetzt auf Schlüsselpaar erzeugen. Nachdem der Schlüssel erzeugt wurde, werden Sie aufgefordert ein Widerrufszertifikat zu erzeugen. Dies sollten Sie aus den in der Aufforderung genannten Gründen auf jeden Fall bejahen.

4. Einrichten von GnuPG mit Enigmail:

Jetzt sollten noch einige Einstellungen zur Verwendung von GnuPG vorgenommen werden. Wählen Sie dazu als erstes OpenPGP>Einstellungen. Bei Dateien und Verzeichnisse können Sie den Pfad zum GnuPG-Programm (gpg.exe) auswählen. Im Regelfall brauchen Sie hier nichts verändern, da die gpg.exe automatisch gefunden wird, sofern man GnuPG in den normalen Programm-Ordner installiert hat. Im zweiten Punkt können Sie wählen, wie lange sich das Programm die Passphrase merken soll nachdem sie einmal eingegeben wurde.

Im nächsten Reiter Senden empfiehlt es sich den Punkt Zusätzlich mit eigenem Schlüssel verschlüsseln zu aktivieren. Das ist nötig, damit Sie Nachrichten, die Sie ja mit dem öffentlichen Schlüssel des Empfängers verschlüsselt haben, nach dem Senden selbst noch lesen können.

Beim Reiter Schlüsselauswahl ist Durch Empfängerregeln oder E-Mail-Adressen zu empfehlen. Die Empfängerregeln ermöglichen es festzulegen, welcher öffentliche Schlüssel zu welcher Email-Adresse gehört und wie standardmäßig, bei Emails an entsprechenden Empfänger zu verfahren ist. Klicken Sie dazu einfach auf Empfängerregeln bearbeiten und dann auf Hinzufügen. Wenn Sie jetzt im Feld Regeln für: eine Email-Adresse eintragen, können Sie über den Punkt Auswählen den öffentlichen Schlüssel wählen, mit dem Emails an diese Adresse standardmäßig verschlüsselt werden sollen. Alle übrigen Einstellungen können erstmal so belassen werden.

Im nächsten Reiter Erweitert sollte der Punkt Verschlüsseln beim Antworten auf verschlüsselte Nachrichten aktiviert sein. Denn im Regelfall wird wohl jemand, der Ihnen verschlüsselt schreibt auch eine verschlüsselte Antwort wünschen.

Damit wären alle wichtigen Einstellungen soweit vorgenommen. Auf den Reiter Schlüsselserver wird weiter unten auf dieser Seite noch eingegangen.

5. Senden und Empfangen verschlüsselter Nachrichten:

Um jemandem eine verschlüsselte Nachricht zukommen zu lassen, benötigen Sie natürlich den öffentlichen Schlüssel des Empfängers. Um diesen in Thunderbird zu importiern wählen Sie OpenPGP>Schlüssel verwalten>Datei>Importieren, wenn Sie diesen Schlüssel z.B. von Einer Webseite herunter geladen haben. Sollte Ihnen ein öffentlicher Schlüssel per Email geschickt worden sein, so brauchen Sie nur mit der rechten Maustaste auf den Schlüssel im Anhang klicken und OpenPGP Schlüssel importieren wählen.

Klicken Sie jetzt zum Verfassen der Nachricht wie gewohnt auf Verfassen in der Thunderbird Symbolleiste und tragen den Empfänger, den Betreff sowie den Inhalt Ihrer Nachricht ein. Klicken Sie dann auf das OpenPGP-Symbol in der Symbolleiste und wählen Sie Nachricht unterschreiben und Nachricht verschlüsseln.

pgp3.gif

pgp4.gif

Wenn der Empfänger Ihren öffentlichen Schlüssel noch nicht hat, müssen Sie noch im Menue OpenPGP den Punkt Meinen öffentlichen Schlüssel anhängen auswählen. Wenn Sie jetzt auf Senden klicken, werden Sie aufgefordert Ihre Passphrase einzugeben. Nachdem Sie das getan und mit OK bestätigt haben, wird Ihre Nachricht verschlüsselt gesendet.

Beim Empfang einer verschlüsselten Nachricht, werden Sie ebenfalls aufgefordert Ihre Passphrase einzugeben. Nach der gültigen Eingabe erscheint die Nachricht dann im Klartext.

5.1 Versenden mit Anhang:

Wenn Sie in Ihre veschlüsselte Nachricht einen Anhang einfügen, erscheint vor dem Senden ein Dialog, im dem Sie wählen können, ob dieser nicht verschlüsselt werden soll (erster Punkt), einzeln verschlüsselt werden soll (zweiter Punkt) oder ob die Nachricht inklusive Anhang als Ganzes verschlüsselt werden soll (dritter Punkt).

pgp5.gif

Wenn Sie wissen, dass der Empfänger PGP/MIME Nachrichten empfangen kann (der Hinweis gibt ja Aufschluss darüber, bei welchen Mail-Programmen das möglich ist), sollten Sie immer den dritten Punkt wählen, ansonsten wählen Sie den zweiten Punkt.

6. Schlüsselserver und Signatur (optional):

Sie können Ihren öffentlichen Schlüssel auch auf einen Schlüsselserver hoch laden. Das bietet den Vorteil, dass jemand, der Ihnen verschlüsselt schreiben möchte, sich den Schlüssel dort besorgen kann und sich ihn nicht erst von Ihnen zuschicken lassen muss. Wählen Sie dazu einfach OpenPGP>Schlüssel verwalten... und klicken mit der rechten Maustaste auf Ihren eigenen Schlüssel und wählen Auf Schlüssel-Server hochladen.... Jetzt können Sie einen Server wählen und Ihren öffentlichen Schlüssel dort hoch laden.

pgp6.gif

Des Weiteren dienen Keyserver auch zur Überprüfung der Signatur eines Schlüssels durch das Web of Trust (http://de.wikipedia.org/wiki/Web_of_Trust). Ein extra Kapitel hierzu ist in Zukunft auch für diese Seite geplant.