PGP

Aus Wiki der Piraten Thueringen
Version vom 6. September 2012, 10:58 Uhr von Beni (Diskussion | Beiträge) (Keysigning)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

PGP steht für Pretty Good Privacy und ist eine Verschlüsselungs- und Signierungsroutine für E-Mails und andere Daten. Das asymmetrische Verschlüsselungsverfahren erlaubt eine sichere Übertragung der Daten. Eine bekannte Anwendung ist das Open-Source Projekt GnuPG.


Funktionsweise

GnuPG erzeugt letztlich ein Paar Schlüssel von denen einer öffentlich und der andere privat ist. Der öffentliche Schlüssel ist dazu gedacht, weitergegeben zu werden und ermöglicht es Anderen Daten zu verschlüsseln. Die verschlüsselten Daten können dann aber nur entschlüsselt werden, wenn man im Besitz des dazugehörigen privaten Schlüssels (und der zugehörigen Passphrase) ist.
Signieren funktioniert genau entgegengesetzt. Mit dem eigenen privaten Schlüssel kann man E-Mails signieren, so dass Andere, die ihren öffentlichen Schlüssel haben, die Signatur prüfen und ihre Identität überprüfen können.
Verschlüsselt werden jedoch immer nur die Daten selbst. Ein Verschleierung des Ziels und der Quelle ist mit The Onion Router (Tor) möglich. Zusammen erlauben die Anwendungen einen relativ sicheren Datenaustausch.

Anwendung & Installation

Zunächst benötigt man das Programm GnuPG welches man hier herunterlanden kann. Die meisten Linux Distributionen haben eine Variante von GnuPG in ihren Repositories. Unter "Binärdateien" finden Windows Benutzer die richtigen Dateien.
Nach der Installation kann man ein neues Schlüsselpaar erzeugen. Unter Linux oder auf der Windows Kommandozeile erfolgt dies mit:

 gpg --gen-key 

Alternativ kann man ein grafisches Frontend verwenden. Zum Beispiel unter Windows Gpg4win. Bei der Schlüsselerzeugung verschiedene Einstellungen zu treffen. Zum einen muss die Länge des Schlüssels gewählt werden, was der Stärke der Verschlüsselung entspricht. Heute sollte die Länge des Schlüssel mindestens 2048bit betragen. Des Weiteren kann die Gültitigkeitsdauer ausgewählt werden und es besteht die Möglichkeit ein Widerufszertifikat für das Schlüsselpaar zu erstellen. Widerufszertifikate erklären einen Schlüssel für ungültig und können vorsorglich für den Fall eines Verlustes des Rechners angelegt und gesondert gespeichert werden.

E-Mail

Thunderbird

Für das E-Mail-Programm Mozilla Thunderbird gibt es die Erweiterung Enigmail. ES integriert sich in Thunderbird und bietet alle Funktionen zur Schlüsselerzeugung und Verwaltung. Haupsächlich dient Enigmail zum Verschlüsseln und Signieren von E-Mails und deren Anhängen. Genauso ermöglicht es die Entschlüsselung und Überprüfung empfangener E-Mails. Dazu wird der öffentlich Schlüssel des Senders bzw. Empfängers benötigt. Vorraussetzung für Enigmail ist jedoch ein installiertes GnuPG.

Nachteil

PGP verwendet digitale Signaturen, welche eventuell zur legalen Beweisführung herangezogen werden können: Aussagen, die mittels PGP versendet werden, könnten möglicherweise gegen einen verwendet werden. Falls dies ein Problem ist, kann OTR hilfreich sein.

Keyserver

Für die Verbreitung der öffentlichen Schlüssel gibt es ein Netzwerk von Schlüsselservern, auf denen die PGP Schlüssel abgelegt werden können. Schlüsselserver die im Netzwerk verbunden sind tauschen ihre Schlüssel innerhalb von 24 Stunden weltweit aus. Da es nicht möglich ist Schlüssel von den Schlüsselservern zu löschen, sollte man neu erstellte Schlüssel erst nach eingehender Prüfung auf Tippfehler auf einen Schlüsselserver hochladen.

Bekannte Schlüsselserver:

Keysigning

Da eine E-Mailadresse und ein dazu passender PGP Schlüssel von jeder Person angelegt werden kann, ist es notwendig im realen Leben zu prüfen, ob sich die erwartete Person hinter dem PGP Schlüssel befindet. Diese Prüfung kann über eine digitale Unterschrift unter den PGP Schlüssel öffentlich gemacht werden. Hat man die entsprechende Person für diese Prüfung noch nicht im realen Leben getroffen, kennt man unter Umständen eine Person, deren Urteil man traut und die die diese Überprüfung bereits durchgeführt hat. Im Idealfall entsteht so ein Netzwerk des Vertrauens (Web-of-Trust). Deshalb sollten Unterschriften unter PGP Schlüssel wieder über die Keyserver verbreitet werden.

Zettel für's Keysigning

Für digitale Unterschriften haben sich folgende Regeln etabliert.

  • Der Realname der Person muss im Schlüssel enthalten sein.
  • Die Person kann muss sich über ein amtliches Lichtbilddokument, zum Beispiel den Personalausweis, ausweisen.
  • Information zum PGP Key und Person können für die eingehende Prüfung mitgenommen werden. Dazu kann eine Visitenkarte oder ein Papierstreifen mit den folgenden Informationen dienen:
    • Realname der Person
    • E-Mailadresse (zusätzlich integrierte E-Mailadressen nicht vergessen)
    • PGP Key-ID
    • PGP Key Fingerprint (Prüfsumme den Schlüssels)

How-Tos zum Einrichten von PGP

Siehe auch