Mich würde interessieren welche Erfahrungen ihr mit PGP habt und ob ihr es als sinnvoll oder überflüssig bezeichnen würdet.

Ich persönlich glaube zwar keine Geheimnisse gegenüber Hackern in meinen e-mail zuverbergen. Aber mir gefällt die Vorstellung nicht einen Big-Brother-Staat zu haben der die Möglichkeiten hat (und eventuel auch nützt) meine persönlichen Mails zulesen... Dabei geht es mir eigentlich nur ums Prinzip und weniger die Angst ich könnte Strafrechtlich in irgendeiner Art belangt werden. Ich würde es ja auch nicht begrüßen wenn der Staat (oder ein anderer) meine "normale" Post lesen würde bevor sie mich erreicht.

Hallo,

ich würde die Verschlüsselung mittels PGP/GnuPG an Deiner Stelle einfach mal testen.
Installier' Dir GnuPG/gpg, KMail und gpa.

Dann generierst Du Dir ein Schlüsselpaar am besten mit "gpg --gen-key" auf der Kommandozeile (sicherheitshalber solltest Du eine Schlüssellänge von 2048 bit wählen).
Nachdem Du das Schlüsselpaar generierst hast, mußt Du jetzt noch Deinen eigenen Public-Key signieren (gpg --sign-key), damit er gegenüber KMail vertrauenswürdig ist.
In KMail nimmst Du dann alle notwendigen Einstellungen für GnuPG und Deine Nutzeridentität vor. Mit gpa kannst Du dann Deinen Public-Key auf öffentliche Keyring-Server exportieren und öffentliche Schlüssel Dritter von dort importieren.

Und schon kannst Du Deine E-Mails verschlüsseln, signieren und verifizieren.
Aber Achtung: KMail verschlüsselt nur den Nachrichtentext jedoch keine Attachments. Attachments kann man separat über gpa verschlüsseln.

Die ganze Sicherheit des ganzen Verfahrens hängt im Wesentlichen von vier Dingen ab:
1. Dein Private-Key muß privat bleiben; er darf _ausschließlich_ Dir bekannt sein
2. Die Public-Keys Dritter müssen vertrauenswürdig sein; d.h. Du mußt in der Lage sein, diese nach dem Erhalt mit einer weiteren Datenquelle zu verifizieren und den Inhaber eindeutig feststellen zu können
3. Der Absender einer verschlüsselten Nachricht muß ebenfalls eindeutig identifizierbar sein; das erreicht man mittels Signatur
4. Die Länge des Schlüsselpaares bei 2048 Bit gilt derzeit als sehr sicher; niemand weiß jedoch was morgen ist ;)

Harry

@Burning Shadow
Mittels PGP/GPG muss nicht unbedingt verschlüsselt werden. Es ist damit auch möglich die "Echtheit" einer Nachricht zu gewährleisten, ohne die Nachricht zu verschlüsseln (=>Signieren).


@Harry

Der Absender einer verschlüsselten Nachricht muß ebenfalls eindeutig identifizierbar sein; das erreicht man mittels Signatur Nö. :-)
Die Signatur bestätigt "nur" die Echtheit einer Nachricht bei bekanntem Absender, d.h. ist der absender nicht eindeutig identifizierbar kannst du die Nachricht auch nicht auf Echtheit überprüfen.


Die Public-Keys Dritter müssen vertrauenswürdig sein; d.h. Du mußt in der Lage sein, diese nach dem Erhalt mit einer weiteren Datenquelle zu verifizieren und den Inhaber eindeutig feststellen zu können
Public Keys müssen Vertrauenswürdig sein bzw von Vertrauenswürdigen Personen kommen, aber man muss sie nach Erhalt nicht überprüfen können! Zertifikate können auch gültig/valid sein, wenn sie nicht bei einem "Trustcenter" (dem man auch wieder irgendwie vertrauen muss) hinterlegt sind.

Jinto,


Original geschrieben von Jinto
@Harry
Nö. :-)
Die Signatur bestätigt "nur" die Echtheit einer Nachricht bei bekanntem Absender, d.h. ist der absender nicht eindeutig identifizierbar kannst du die Nachricht auch nicht auf Echtheit überprüfen.

naja, das ist jetzt ein bisschen Wortklauberei. Ich hatte einen bekannten Absender implizit vorausgesetzt, da ich vorher den Schlüsselimport von Dritten erwähnte.



Public Keys müssen Vertrauenswürdig sein bzw von Vertrauenswürdigen Personen kommen, aber man muss sie nach Erhalt nicht überprüfen können!

Ja und genau den Erhalt eines Schlüssels direkt von einer vertrauenswürdigen Person kann man in der Praxis selten voraussetzen. Der Schlüsselaustausch "per Handschlag" wird wohl in den wenigsten Fällen der Fall sein. Ich hatte in diesem Zusammenhang vom Schlüsselimport über öffentliche Keyserver gesprochen.
In diesem Falle (was meist die Regel ist) muß man die Vertrauenswürdigkeit eines Schlüssels überprüfen können beispielsweise in dem man den Fingerprint des Schlüssels mit der Angabe auf einer Visitenkarte, der Angabe auf einer Homepage oder sonstiger Quelle des Schlüsseleigentümers vergleicht.

Wenn Du Dich in meinem Kontext bewegst, dann sind die Aussagen schon korrekt.

Harry

Nun habe ich mehrere e-mail Adressen mit mehreren unabhängigen Identiäten .... kann ich für jede eine andere Signatur verwenden oder muss ich mich auf eine einigen?

@Harry
Will keine Wortklauberei betreiben. Ich hatte es nur nicht so gelesen, wie du es anscheinend meintest. :-)

@Burning Shadow
Die kannst soviele Public/Private Key kombinationen erzeugen und verwenden, wie du lustig bist.

PS: wenn _du_ mehrere Mailadressen hast, wie können dann _deine_ Mailadressen unabhänige Identitäten haben? Sind wir Schizophren? *SCNR*

Original geschrieben von Jinto
*SCNR*
*gg*

Hi,
gute Anleitung. :-)
Doch wenn ich auf Verschlüsselen Button bei Kmail klicke, und dann senden will
kann ich ja die public keys wälen.
Doch es wird nur mein Public-Key angezeigt, wie nehme ich den von einem
anderen in die Liste auf ?

Und wo finde ich meinen public key ??

Gruss
Jonas

Hi,


Original geschrieben von jonasge
Und wo finde ich meinen public key ??


du kannst deinen public-key mit



gpg --armor --export [key-id]


anzeigen und mit



gpg --armor --export [key-id] > publickey.asc


in eine Datei auslesen.

Wer noch eine gute Anleitung zu dem Thema sucht sollte mal hier (http://www.openoffice.de/linux/buch/verschluesselung.html) nachsehen.