Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
verschluesselung [2015/01/23 15:26] karl [Hinweise] |
verschluesselung [2018/05/02 22:31] (aktuell) karl [Hinweise] |
||
---|---|---|---|
Zeile 4: | Zeile 4: | ||
Hier möchte ich meine Erfahrungen berichten und dokumentieren: | Hier möchte ich meine Erfahrungen berichten und dokumentieren: | ||
- | Mein öffentlicher PGP-Schlüssel für eMail: [[http:// | + | Mein öffentlicher PGP-Schlüssel für eMail: [[http:// |
+ | Oder auf dem Schlüsselserver [[http:// | ||
===== eMail und PGP ===== | ===== eMail und PGP ===== | ||
Standardmäßig ist die Kommunikation per eMail immer unverschlüsselt. D.h. jeder, der auf der Leitung vom Sender bis zum Empfänger mithorchen kann, kann den Inhalt auch lesen. \\ | Standardmäßig ist die Kommunikation per eMail immer unverschlüsselt. D.h. jeder, der auf der Leitung vom Sender bis zum Empfänger mithorchen kann, kann den Inhalt auch lesen. \\ | ||
Hier ein nettes Video dazu; [[https:// | Hier ein nettes Video dazu; [[https:// | ||
+ | Abhilfe schafft Verschlüsselung mit **Pretty good Privacy (PGP)** bzw. die freie Variante davon vom GNU-Projekt namen **GNU Privacy Guard (GPG)**. | ||
==== Programme ==== | ==== Programme ==== | ||
Ich verwende folgende Programme: | Ich verwende folgende Programme: | ||
Zeile 30: | Zeile 32: | ||
Das Thema ist für mich noch eher undurchsichtig. | Das Thema ist für mich noch eher undurchsichtig. | ||
- | Angeblich verträgt sich PGP mit HTML so direkt nicht. Ein Ausweg ist, PGP/ | + | Angeblich verträgt sich PGP mit **HTML** so direkt nicht. Ein Ausweg ist, **PGP/MIME**-formatierte eMails zu versenden. MIME ist eine Richtlinie (oder ein Standard?), wie solch eine eMail im Rohformat auszusehen hat. Das größte Problem hiermit ist angeblich, |
Ich persönlich unterstütze Microsoft nicht, daher ist mir das erst einmal egal. Wer meine eMails nicht lesen kann, soll sich dann halt melden. Der bekommt im Adressbuch einen vermerk, dass eMails an ihn dann nicht mehr signiert und verschlüsselt werden oder halt nur als reine Text-eMail erstellt werden. | Ich persönlich unterstütze Microsoft nicht, daher ist mir das erst einmal egal. Wer meine eMails nicht lesen kann, soll sich dann halt melden. Der bekommt im Adressbuch einen vermerk, dass eMails an ihn dann nicht mehr signiert und verschlüsselt werden oder halt nur als reine Text-eMail erstellt werden. | ||
- | PGP/MIME aktiviert man folgendermaßen: | + | **PGP/MIME** aktiviert man folgendermaßen: |
Hier kann man dann den Haken bei "Use PGP/MIME by default" | Hier kann man dann den Haken bei "Use PGP/MIME by default" | ||
{{ :: | {{ :: | ||
+ | |||
+ | **S/MIME** ist scheinbar ein neuerer Standard, der auch von Microsoft unterstützt wird. Ein wenig unbehagen habe ich dabei, wenn man sich das X.509-Zertifikat dann erst wieder von einer Zertifizierungsstelle ausstellen lassen muss. Hier wird erklärt, wie man sich selbst-signierte Schlüssel mit OpenSSL erzeugt: [[https:// | ||
+ | Weitere Infos dazu kommen noch... | ||
==== Key-Server ==== | ==== Key-Server ==== | ||
Zeile 43: | Zeile 48: | ||
==== Hinweise ==== | ==== Hinweise ==== | ||
Durch PGP wird nur der Inhalt der eMail verschlüsselt, | Durch PGP wird nur der Inhalt der eMail verschlüsselt, | ||
- | Offengelegt bleibt immer noch der Betreff, der Absender und Empfänger der eMail. | + | Offengelegt bleibt immer noch der Betreff, der Absender und Empfänger der eMail. |
+ | Dies wird auch Metadaten genannt, d.h. wer wann mit wem worüber (nur bei aussagekräfigem Betreff) kommuniziert hat. Das sind oft weitaus interessantere Daten, als der Inhalt der Nachrcht selbst. Dadurch kann man aussagekräftige Profile über Personen erstellen, das was die NSA auch überall macht. \\ | ||
+ | Nichtsdestotrotz wollen wir ersteinmal mit der reinen Verschlüsselung und Signierung anfangen. | ||
- | Jedes versendete eMail wird auch automatisch signiert. D.h. der Empfänger hat die Möglichkeit zu prüfen, ob wirklich wir die Sender der eMail sind, oder ob sich jemand als Karl Zeilhofer in meinem Fall ausgibt. | + | Jedes versendete eMail wird auch automatisch |
- | Das erzeugen des Schlüsselpaares benötigt ein Passwort (passphrase). | + | Das erzeugen des Schlüsselpaares benötigt ein **Passwort (passphrase)**. |
Dieses wird beim Versenden und beim Entschlüsseln von eMails immer benötigt. Hat man kein Passwort angegeben, hat jeder, der die Datei mit dem privaten Schlüssel hat, die gleichen Möglichkeiten wie man selbst. | Dieses wird beim Versenden und beim Entschlüsseln von eMails immer benötigt. Hat man kein Passwort angegeben, hat jeder, der die Datei mit dem privaten Schlüssel hat, die gleichen Möglichkeiten wie man selbst. | ||
+ | |||
+ | Von dem Schlüsselpaar sollte man unbedingt eine Sicherungskopie mit gpa machen. Denn ohne dem privaten Schlüssel kann man seine eMails nicht mehr entschlüsseln! | ||
+ | |||
+ | Ein Schlüssel hat einen **Fingerabdruck (engl. fingerprint)**. Die ist eine Zahl, die aus dem Schlüssel abgeleitet wird. Hiermit können die beiden Kommunikaitonspartner überprüfen, | ||
+ | 4A75 AB41 0D9B 0BEC F751 38C2 8469 E901 3767 3EEA | ||
+ | | ||
+ | === gpa und Error: " | ||
+ | gpa mit sudo starten, dann funktioniert es. \\ | ||
+ | Dies führt jedoch zu Veränderungen der Schreib- und Leserechte in ~/.gnupg/ \\ | ||
+ | Hier hilft dann: | ||
+ | sudo chown karl:karl * | ||
+ | chmod 600 * | ||
+ | Nun läuft gpa auch wieder einwandfrei... | ||
+ | |||
+ | ==== Public Key erneuern ==== | ||
+ | gpg --edit 37673EEA | ||
+ | gpg> expire | ||
+ | gpg> 2y | ||
+ | gpg> save | ||
+ | gpg --keyserver keys.gnupg.net --send-keys 37673EEA | ||
===== PGP auf Android ===== | ===== PGP auf Android ===== | ||
Zeile 87: | Zeile 114: | ||
Meine Datenbank hat mittlerweile fast 130 Einträge. Das kann man sich beim besten Willen nicht alles merken. | Meine Datenbank hat mittlerweile fast 130 Einträge. Das kann man sich beim besten Willen nicht alles merken. | ||
Vielen Dank hier an Christian M. Schmid, der mich in seinem [[http:// | Vielen Dank hier an Christian M. Schmid, der mich in seinem [[http:// | ||
+ | |||
+ | {{tag> |