PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : GnuPG Newbie-Fragen...



stephankoenig
12.12.07, 02:54
Hi Leute...

Ich habe mir nun gerade mal die Thematik der E-Mail-Verschlüsselung reingezogen...

Dazu habe ich mir die Progris "gpg" und "gpa" installiert und mir mittels gpa einen Schlüssel erzeugt. Dazu musste ich ja meine E-Mail-Adresse angeben, was ich natürlich gemacht habe, und ich kann mir nun auch auf die eigene Mail-Adresse eine verschlüsselte Mail mit Evolution schicken. Das zeigt mir, dass ich das soweit richtig gemacht habe (Auch die Einrichtung von Evolution).

Nun habe ich aber doch einige E-Mail-Kontakte, die sensitive Daten erhalten und denen möchte ich das natürlich auch gerne mit DSA 1024-Bit versenden...

Wie muss ich nun vorgehen, dass ich auch anderen Leuten verschlüsselte Mails senden kann? Ich habe gelesen, dass ich denen einen öffentlichen Schlüssel geben muss, aber wie stelle ich das denn nun genau an? :confused:

Ich hoffe, dass mir einer von euch Gurus helfen kann, denn in Sachen Sicherheit bin ich echt noch Noob... :(

Grüsse, Steven

honkstar
12.12.07, 08:00
Hallo,

wenn du jemanden eine verschlüsselte Mail schicken möchtest, brauchst du *seinen* öffentlichen Schlüssel. Du findest diese Schlüssel z.B. auf keyservern im Internet oder du lässt dir die öffentlichen Schlüssel geben (auf Diskette, USB, Papier...)
Anschliesend überprüfst du, ob du auch den richtigen Schlüssel hast, in dem du den Fingerprint von dem Schlüssel einmal abgleichst (deinen Bekannten anrufen und vorlesen lassen o.ä.)
Wenn das passt, kannst du sicher sein, dass der Schlüssel wirklich zu deinem Bekannten gehört. Anschliesend kannst du Mails an diese Person mit dem öffentl. Schlüssel verschlüsseln, so dass nur der Besitzer des entspr. privaten Schhlüssels die Nachricht wieder entschlüsseln kann.
Wenn man dir verschlüsselte Mails schicken soll, muss du deinem Gegenüber deinen öffentlichen Schlüssel zur Verfügung stellen (Wege dafür wie oben).
Dann kannst du verschlüsselte Mails empfangen.

Wenn du Mails mit deinem privaten Schlüssel "verschlüsselst", sind die Inhalte nicht verschlüsselt, sondern die Nachricht ist signiert, dass heisst der Empfänger kann sicher sein, dass die Mail von dir kommt und unverändert ist.

Hoffe das hilft erstmal.
Gruß
Daniel

stephankoenig
12.12.07, 08:07
Soweit schon, nur ist nun meine Frage: Welches ist denn nun mein öffentlicher Schlüssel?

Ist das der von pga Schlüsselkennung genannte oder der Fingerprint?

Grüsse, Steven

/dev/null_Peter
12.12.07, 08:32
Hi Steven,

es ist schön, dass du dich mit diesem Thema beschäftigst.
Ich würde dir aber sehr empfehlen, dass du dich, bevor du anfängst praktisch damit herumzuspielen, zuerst mit etwas Theorie beschäftigst. Ohne theoretisches Wissen, ohne den Unterschied zwischen dem öffentlichen und dem privaten Schlüssel zu kennen, oder ohne zu verstehen was symmetrische und asymmetrische Kryptologie ist, wirst du am Ende frustriert aufgeben oder uns Löcher in den Bauch fragen ... .

Es gibt unendlich viele Dokumentationen zum Thema. Hier einige einfache Anleitungen:
http://www.gnupg.org/
http://www.gpg4win.de/ (gute Dokumentation für "Einsteiger" und "Durchblicker")
http://hp.kairaven.de/pgp/gpg/index.html

Im Thunderbird-Forum (=> FAQ) habe ich auch einiges zum Thema Mailverschlüsselung verfasst. Auch hier bewusst auf niedrigem Niviau, aber hauptsächlich auf die zweite Methode S/MIME bezogen:
http://www.thunderbird-mail.de/wiki/FAQ#Verschl.C3.BCsselung_.26_digitale_Unterschrift

MfG Peter

stephankoenig
12.12.07, 12:27
Hi Steven,

es ist schön, dass du dich mit diesem Thema beschäftigst.
Ich würde dir aber sehr empfehlen, dass du dich, bevor du anfängst praktisch damit herumzuspielen, zuerst mit etwas Theorie beschäftigst. Ohne theoretisches Wissen, ohne den Unterschied zwischen dem öffentlichen und dem privaten Schlüssel zu kennen, oder ohne zu verstehen was symmetrische und asymmetrische Kryptologie ist, wirst du am Ende frustriert aufgeben oder uns Löcher in den Bauch fragen ... .

Hi Peter...

Vielen Dank für die Links zu den Tutorials... Habe mich da reingelesen, und muss sagen, dass mir da doch noch einiges an Basiswissen gefehlt hat...

Hab es dank deinen Tutorials und google nun hinbekommen, und versende meine Mails zum Kollegen fortan verschlüsselt... Und der Rest wird signiert....

Grüsse, Steven

Guitar
13.12.07, 01:17
Und der Rest wird signiert....
Dazu kurz eine Frage von mir:

Wenn ich über KMail einem Windows-User (Outlook Express) eine signierte Mail schicke, kommt dir dort ziemlich verhackstückt an, d.h. der eigentliche Mailtext kommt als Mailanhang, die Signatur auch. Zudem kann der Empfänger den Textanhang wohl auch nicht öffnen. Kann man KMail nicht so einstellen, dass eine signierte Mail nicht einfach als reine Textmail verschickt wird? Habe leider bis jetzt keine Lösung für dieses Problem gefunden.

Gruß
Guitar

stephankoenig
13.12.07, 01:45
Kann dir leider auch nicht helfen, da ich Evolution mit Gnome verwende...

Grüsse, Steven

/dev/null_Peter
13.12.07, 17:37
Hi Steven,

freut mich, dass es jetzt bei dir funktioniert.

@Guitar:
Meine PGP/GPG-Zeiten liegen schon ein paar Jahre hinter mir, und mit KMAIL habe ich mich auch lange nicht mehr befasst ... .

Es würde schon helfen, wenn ich wüsste, wie die beiden "verhackstückten" Anhänge heißen, und ob sie sich mit einem normalen Editor öffnen lassen. Bei dem von mir favorisierten S/MIME gibt es die Signatur entweder innerhalb des verschlüsselten Containers (.p7m) oder als zusätzliche Datei (.p7s). Etwas ähnliches wird wohl auch bei PGP möglich sein.

Aber ich gehe mal davon aus, dass sich hier bald die "GPG-Fraktion" und auch die KMAIL-Nutzer zu Wort melden.

MfG Peter

Guitar
13.12.07, 19:08
Es würde schon helfen, wenn ich wüsste, wie die beiden "verhackstückten" Anhänge heißen, und ob sie sich mit einem normalen Editor öffnen lassen.
Signierte Nachricht:
es kommt eine leere Email mit 2 Anhängen an. Der 1. Anhang ist die Signatur, die Datei heisst signature.asc, lässt sich mit einem Texteditor öffnen. Der zweite Anhang ist die Nachricht selber und heisst ATT00016.txt (in diesem Beispiel), eine normale Textdatei.

Verschlüsselt und signiert:
wieder eine leere Mail mit 2 Anhängen:
Erster Anhang msg.asc, ist die verschlüsselte Nachricht.
Zweiter Anhang ATT00022.dat, eine Textdatei mit dem Inhalt "Version: 1".

Ich kenne es halt noch aus Windows-Zeiten, wenn ich aus Outlook eine signierte Nachricht verschickte, kam die als normale Email an und die Nachricht war umschlossen von einem Text wie "This is a PGP-Signed Message..." usw.

Wenn man das wieder so einstellen könnte, wäre es sehr hilfreich. Denn wenn ich jetzt einem Windows-User eine signierte Mail schicke, ist das halt immer ein wenig umständlich für ihn.

Gruß
Guitar

/dev/null_Peter
14.12.07, 06:57
Hi Guitar,

beim ersten Beispiel wird also bei der "nur signierten" Mail eine "Abgetrennte Signatur" eingesetzt. (gpg --output doc.sig --detach-sig doc)
Dabei bleibt das eigentliche Dokument unverändert.
Was ich jetzt nicht verstehen kann ist, dass der MUA das Textdokument nicht anzeigt. Die meisten MUA zeigen Textanhänge ja im Body an.

Aber wie gesagt, wollte mich eigentlich nicht mehr mit GPG befassen und meine Erfahrungen mit KMAIL sind rudimentär ... .


MfG Peter

Wene
14.12.07, 11:27
Ich kenne es halt noch aus Windows-Zeiten, wenn ich aus Outlook eine signierte Nachricht verschickte, kam die als normale Email an und die Nachricht war umschlossen von einem Text wie "This is a PGP-Signed Message..." usw.

Wenn man das wieder so einstellen könnte, wäre es sehr hilfreich. Denn wenn ich jetzt einem Windows-User eine signierte Mail schicke, ist das halt immer ein wenig umständlich für ihn.

Solange der Empfänger sein Mailprogramm nicht so eingerichtet hat dass er signierte oder verschlüsselte Nachrichten richtig anzeigen kann ist jede Einstellung auf der Absenderseite Nutzlos.

Ausserdem wird sich ein Empfänger der sich nicht mit E-Mail Sicherheit beschäftigen will nur an den "komischen" Anhängen stören.

Meine Erfahrung sagt in diesem Bereich: Sprich Deine Kollegen darauf an und biete Ihnen an sie bei der Einrichtung zu unterstützen. Meistens werden sie aber denkend ablehnen. In solch einem Fall sende ich diesen Empfängern keine vertraulichen E-Mails mehr und einfache Mitteilungen und Fun wird nach wie vor unverschlüsselt und unsigiert gesendet.

Um einen beliebigen Text zu signieren kannst Du zusatzprogramme wie KGpg verwenden. Damit ist es beispielsweise möglich, den Inhalt der Zwischenablage zu signieren. So lässt sich auch ein E-Mail Text ohne Anhang signieren. Ich würde mir aber wie gesagt die Mühe gar nicht erst machen. Ignorante Anwender werden es Dir nicht verdanken.

stephankoenig
14.12.07, 14:33
Ich würde mir aber wie gesagt die Mühe gar nicht erst machen.

Damit verleitest du ihn zum selber ignorant sein... Es lohnt sich bei jedem, der sich die Mühe macht... Meine Meinung...

Grüsse, Steven

Wene
14.12.07, 16:01
Damit verleitest du ihn zum selber ignorant sein... Es lohnt sich bei jedem, der sich die Mühe macht... Meine Meinung...

Grüsse, Steven

Ja, wie gesagt, bei jedem der sich bemüht.

Aus Erfahrung kann ich allerdings sagen dass der gemeine Windows User kein Interesse an E-Mail Sicherheit hat. Zumindest in meinem Bekanntenkreis nicht. :(

stephankoenig
14.12.07, 16:04
Ja, wie gesagt, bei jedem der sich bemüht.

Aus Erfahrung kann ich allerdings sagen dass der gemeine Windows User kein Interesse an E-Mail Sicherheit hat. Zumindest in meinem Bekanntenkreis nicht. :(

Das stimmt leider allerdings... Aber signieren kann man doch eigentlich immer, ist nur die Frage, obs denn was für den anderen bringt (Webmail)...

Ich handhabe es so, dass ich sensitive Daten an Leute die keine Verschlüsselung verwenden per Briefpost versende, oder persönlich überbringe, soweit das möglich ist...

Man korrigiere mich, wenn ich falsch liege...

Grüsse, Steven

Guitar
15.12.07, 00:26
Ja, wie gesagt, bei jedem der sich bemüht.

Aus Erfahrung kann ich allerdings sagen dass der gemeine Windows User kein Interesse an E-Mail Sicherheit hat. Zumindest in meinem Bekanntenkreis nicht. :(
Das kann ich leider auch nur bestätigen. Immerhin ist es mir heute gelungen, einem Freund die Verwendung von PGP zu erklären und ich konnte ihn sogar überzeugen, es jetzt selber zu verwenden. Und das, nachdem ich ihn vor ca. 3 Monaten schon zu Linux bekehrt habe. ;)

Auf jeden Fall danke für eure Hilfe, ich werde mal schauen, ob ich da noch was tun kann. :)