Navigation

Windows

Linux

Allgemein

Dateien Verschlüsseln mit GnuPG

Inhaltsverzeichnis

Was ist GnuPG?
Download und Installation von GnuPG
Schlüsselerstellung
Benutzung
Verschlüsselung von Dateien

Weiterführendes: Schlüsselserver/Keyserver
Weiterführendes: Wie funktioniert PGP/GPG?

Kommentar abgeben (Bisher 6)

Was ist GnuPG?

Mit GnuPG (auch GPG genannt, Gnu Privacy Guard) kann man Mails, sonstige Texte und Dateien verschlüsseln. Wie man es zum sicheren IM (Instant Messaging) benutzt, kann hier nachgelesen werden.
GPG ist die freie Implementation von PGP bzw OpenPGP (Pretty Good Privacy).

Anzeigen:
Was ist mit 'Frei' gemeint?
Zurück zum Inhaltsverzeichnis

Download und Installation von GnuPG

Ich nehme hierfür GPG4win. Dies ist ein Komplettpacket, in dem GnuPG, WinPT (Windows Privacy Tools, Benutzeroberfläche für Windows), GPA (Gnu Privacy Assistant, eine andere Benutzeroberfläche, die Ich persönlich aber nicht so mag), GPGol (integrierung in Outlook 2003), GPGEE (GNU Privacy Guard Explorer Extension, macht den Rechtsklick möglich) und Sylpheed-Claws (E-Mail-Client, der GPG unterstützt) zu finden sind.
Zuerst mal muss man es downloaden. Das geht hier: Gpg4Win
Für das Funktionieren von GPG sind beide Versionen ausreichend. Wer aber gerne noch ein Handbuch hätte, sollte die grössere Version downloaden.
Bei der Installation wird man gefragt, welche Teile man möchte. Mir persönlich reicht GnuPG, WinPT und GPGEE, aber das kann für euch natürlich anders sein. Nur den GPGol solltet ihr NICHT nehmen. Ich versuchte es und hatte nur Probleme damit. Wenn ihr GPG-Integration im Outlook wollt, benutzt besser selber eine Suchmaschine und sucht euch ein besseres Plugin (z.b. GnuPP).

Zurück zum Inhaltsverzeichnis

Schlüsselerstellung

Wenn ihr nun WinPT das erste Mal startet, kommt ihr zum folgenden Bildschirm:
Erststart-Fenster
Wenn ihr einen 2048-Bit-Key wollt (für die meisten Leute ausreichend), wählt "GnuPG-Schlüsselpaar erzeugen" aus und klickt auf OK. (Wer einen stärkeren Schlüssel (4096 Bit) will, kann auf "Abbrechen" klicken und später im Programm Schlüssel -> neu -> Experte wählen).

Nun kommt ihr zu diesem Menü:
Email-Fenster
Folgendes müsst ihr hier eintragen:
Name: Wenn die E-Mail für die Firma gebraucht wird oder ihr mehrere verschiedene Nicknamen habt solltet ihr hier euren echten Namen (und Nachnamen) angeben. Das ist wichtig, damit man diesen Schlüssel später auch finden kann. Ich gehe weiter unten (beim Schlüsselserver) genauer darauf ein. Ansonsten (bei Privataddy mit nur einem Spitznamen) kann man auch seinen Nick nehmen, wie bei mir jetzt "Klaue".
E-Mail: Auch hier wäre es besser, die echte Mail anzugeben. Es ist nicht zwingend, aber falls ihr den Schlüssel für E-Mail-Versand und -Empfang verwenden wollt, solltet ihr die E-Mail-Adresse angeben, von welcher aus ihr das machen wollt. Das ist wieder aus dem Grund, euren Schlüssel leichter zu finden, nötig.

Nun fehlt nur noch das Passwort. Hier gelten dieselben Regeln wie bei allen Passwörtern: Je länger, je mehr Sonderzeichen, je weniger an ein echtes Wort erinnernd und je weniger erratbar es ist, desto besser.
Passwortfenster
Wenn ihr ein Passwort gewählt habt, müsst ihr es nochmals eingeben. Danach wird der Schlüssel erzeugt:
Passworterzeugung

Abschliessend werdet ihr gefragt, ob ihr den Schlüsselbund speichern wollt.
Email-Fenster
Mit den Schlüsselbunden oder auch -Ringen sind die privaten und die öffentlichen Schlüssel gemeint. Das Backup ist dafür, dass ihr immernoch ver- und entschlüsseln könnt, wenn der Computer einmal kaputtgehen sollte. Am Besten ihr klickt auf Ja und Speichert die Ringe (pubring.gpg = public keys, secring.gpg = private keys) auf eine CD oder einen USB-Stick. Sie auf die Festplatte zu speichern ist nicht sehr sinvoll.

Nach dem Speichern wird WinPT in den Tray (Das Symbolfeld unten rechts) verschwinden und dort als stilisierter Schlüssel zu finden sein. Ein doppelklick darauf öffnet dann sein Hauptfenster.

Zurück zum Inhaltsverzeichnis

Benutzung

Damit Andere euch verschlüsselte Nachrichten schicken können, benötigen sie euren public key. Den holt ihr, in dem ihr bei WinPT auf den soeben erstellten Schlüssel rechtsklickt und "Kopiere Schlüssel in Ablage" auswählt. Mit dem Tastenbefehl CTRL-V bzw. STRG-V (je nach Tastatur, ich werde ab jetzt nur CTRL erwähnen) könnt ihr ihn dann an jedem beliebigen Ort einfügen. Wenn ihr das macht, wird noch die Schlüsselnummer und der Fingerprint angezeigt, den braucht ihr aber nicht. Wichtig sind nur die Linien von (und mit) BEGIN PGP PUBLIC KEY BLOCK bis (und mit) END PGP PUBLIC KEY BLOCK. Diesen Public Key Block verteilt ihr nun. Als Mailanhang, im Profil von einem Forum, auf der eigenen Homepage.. Einfach so, dass Leute, die euch etwas verschlüsseltes schicken wollen, ihn auch finden können. Es gibt noch die Möglichkeit des Keyservers, die werde ich aber erst am Schluss erwähnen.

Um zu Ver- und Entschlüsseln klickt ihr am Besten erst mal mit der rechten Maustaste auf das (zu WinPT gehörende) Schlüsselsymbol und wählt Einstellungen -> WinPT
WinPT-Einstellungsfenster
Hier sind eigentlich nur "Zwischenablage Hotkeys" (ARGH Angriff der Deppenleerzeichen) wichtig, auch wenn ich persönlich lieber die für das aktuelle Fenster nehme. Da sollte man Sign&Encrypt und Decrypt/Verify setzen. Um sich's leichter merken zu können, bieten sich E für Encrypt und D für Decrypt an.

Um die En- und Decodierung zu testen und auszuprobieren, bietet sich Adele, der PGP-Mailbot von GnuPP (Gutes GPG-Outlook-Plugin) an. Erstmal muss man ihr nur ein leeres E-Mail schreiben (adele@gnupp.de). Je nach der Geschwindigkeit eurer Maildienste sollte nach wenigen Sekunden oder nach vielen Minuten eine Antwort ankommen.
In der Antwort steht, dass sie nichts mit dem Mail anfangen kann. Das stimmt auch, geschickt wurde es nur, um an ihren öffentlichen Schlüssel zu kommen, der unter ihrer Mail steht. Kopiert jetzt den ganzen Block (BEGIN PGP.... -> END PGP.....). In WinPT geht ihr nun zu Bearbeiten -> Einfügen.
Nach 2-maligem OK-klicken hat man nun in der Schlüsselliste einen neuen, einen blauen. Das bedeutet, dass man von diesem Schlüssel nur den public key-Teil hat.
Jetzt kann man mit Adele mit dem Testen beginnen.
Schreibt ihr eine Mail mit irgendeinem Text, den ihr falsch verschlüsselt habt, wird sie euch damit Antworten, dass sie ihn nicht lesen könne. Schickt ihr einen richtig verschlüsselten, wird sie euch antworten, dass sie es lesen kann, aber wird den Inhalt als gutes Vorbild nicht preisgeben. Schickt ihr einen einen richtig verschlüsselten Text und fügt euren öffentlichen Schlüssel noch an, bekommt ihr eine an euch verschlüsselte Mail zurück, in der der Inhalt steht, den sie empfangen hat.

Schreiben wir ihr mal ein wenig was. Der Inhalt ist egal. Ein Gedicht, ein Liedertext, ein sinnloses Wort, alles geht. Sobald man irgendwas hat, kommt das verschlüsseln. Dazu wählt man den ganzen Text an, drückt CTRL-C, um den Text in die Zwischenablage zu speichern und darauf hin den Tastenbefehl zum Verschlüsseln, den ihr am Anfang dieses Unterkapitels gesetzt habt. Daraufhin poppt ein Fenster auf mit der Liste der möglichen Schlüssel. Dort macht ihr einen Haken in das Kästchen von Adele. Ihr könntet die Nachricht auch gleich noch an euch selber verschlüsseln (auch bei euch einen Haken in den Kasten), was für Mails manchmal noch praktisch ist, da man gesendete Mails später wieder lesen kann.
Klickt ihr dann auf OK, kommt ein Warnungsfeld. Diese kommt, weil auch jemand seinen öffentlichen Schlüssel mit falschem Namen ins Internet stellen könnte. Normalerweise kann man da "Ja" wählen. Danach werdet ihr nach dem Passwort für euren Hauptschlüssel gefragt, damit ihr signieren könnt. Wenn das Fenster dann verschwindet, ist fertig entschlüsselt. Einfach zurück ins Mailfeld und CTRL-V drücken. Vor dem abschicken noch schnell den eigenen public key anfügen (wie steht oben. Kurz: rechtsklick auf schlüssel -> kopieren -> mail -> CTRL-V).
Wieder kurz bis lange Zeit später kommt ihre Antwort. Nun kommen wir zum entschlüsseln. Was sie euch schreibt ist verschlüsselt. Kopiert ihren verschlüsselten Text in die Zwischenablage (CTRL-C) und drückt eure Tastenkombination für das Entschlüsseln. Wieder wird man nach dem Passwort gefragt. Eingeben, kurz warten, fertig. Nun irgendwo hingehen, wo man schreiben kann (z.B. Notepad) und CTRL-V drücken und man hat das Entschlüsselte Adele-Mail. Hat alles geklappt, Schreibt sie einem den Text zurück, den man ihr eben verschlüsselt geschickt hat. Es kann sein, dass sie dennoch meckert, dass sie es nicht entschlüsseln konnte. Falls da aber das, was man geschickt hat, beiliegt, hat es funktioniert. Nicht verwundert sein, wenn im Text komische Rechtecke auftauchen. Das hat nichts mit der Verschlüsselung zu tun, das ist, weil diese Adele auf einer Linux- oder Unixmachine läuft und Windows nicht versteht, wie die Unixzeichen für eine neue Linie funktionieren.

Zurück zum Inhaltsverzeichnis

Verschlüsselung von Dateien

Wenn man GPGEE installiert hat, geht das ganz einfach. Rechtsklick auf die Datei -> GPGEE -> Sign&Encrypt.
GPGEE
Bei der Liste die Personen anwählen, an die man verschlüsseln will und ev. noch sich selber (wie bei normaler Verschlüsselung. Nur Scheint GPGEE das ganze auch automatisch an den Signer zu verschlüsseln). Bei meinem Screenshot ist das John Doe. Ich habe keine Ahnung, wer das ist, aber der Name ist das Englische "Peter Muster" ;)
Bei Signing Keys macht man ein Häckchen bei seinem Hauptkey bzw. dem, der die Empfängerperson kennt. Dann auf OK und wie inzwischen gewohnt sein Passwort für eben diesen Key eingeben. Danach verschwindet alles, und man hat eine neue Datei, die gleich heisst wie die alte, nur endet sie auf .gpg, nicht auf .doc, .rar oder was sie vorher auch immer war.

Um eine verschlüsselte Datei zu entschlüsseln rechtsklickt man auf sie, wählt GPGEE -> Verify/Decrypt. Dann wird man nach dem Passwort für den Key, für den sie verschlüsselt wurde, gefragt (ausser natürlich, man hat diesen private key garnicht, dann kriegt man nur "No secret key available. Keyring does not have the secret key (ID) needed to decrypt this message"). Hat man dieses richtig eingegeben, bekommt man die entschlüsselte Datei im selben Ordner.

Zurück zum Inhaltsverzeichnis

Weiterführendes: Schlüsselserver/Keyserver

Durch den Schlüsselserver hat man eine gute Möglichkeit, den public key zu verbreiten. Man kann es sich sozusagen als Telefonbuch für die Schlüssel vorstellen. Ich erwähne den Schlüsselserver erst jetzt, da man schon ein wenig mit PGP rumprobiert haben sollte, bevor man ihn an einen Schlüsselserver schickt. Wenn man nämlich einen auf einen Schlüsselserver geladen hat, kann man ihn nicht mehr davon löschen. Man kann ihn höchstens als ungültig markieren. Um das zu machen, braucht man ein sogenanntes "key revocation certificate", welches man aber nur erstellen kann, wenn man den privaten Schlüssel noch auf dem Computer hat. Man sollte einen Schlüssel also erst an den Keyserver schicken, wenn man sich sicher ist, dass man den Schlüssel in dieser Form weiter benutzen will (also dass man nicht 2 Tage später einen Schlüssel mit anderer Schlüssellänge oder anderem Kommentar etc. erstellt und den anstelle des Alten benutzen will) und wenn man ein revocation certificate erstellt und gespeichert hat. Aus diesem Grund sage ich euch erstmal, wie man ein solches Zertifikat erstellt.
Als erstes öffnet man WinPT. Wählt den Schlüssel an, den ihr später hochladen wollt, dann geht auf Schlüssel -> "Wiederruf Zertifikat" (Irgendwann bring ich diesen Übersetzer um..).
Wiederrufszertifikatserstellungsdialogoberflaeche :P
Als Grund nehmt ihr, dass er nicht mehr sicher sei (Wenn man nen anderen Grund hat, kann man später immernoch nochmal ein Wiederrufszertifikat erstellen, dieses hier ist zum sichern, falls die Festplatte geklaut werden oder kaputt gehen sollte). Bei Passwort gebt ihr das an, das ihr eurem Schlüssel beim Erstellen zugewiesen habt. Als spericherort gebt ihr am besten einen USB-Stick oder eine CD an (am besten den selben Datenträger wie schon oben beim Backup).
Um nun den Schlüssel an den Keyserver zu schicken, rechtsklickt man auf diesen, wählt "Sende an Keyserver" und nimmt da einen beliebigen aus der Liste. Welchen man nimmt ist egal, da alle Keyserver die Schlüssel untereinander tauschen. Sollte das Hochladen nicht funktionieren, kann man es auch hier versuchen: PGPnet Keyserver
In das Feld einfach den public key kopieren (in WinPT: Rechtsklick auf Schlüssel -> Kopieren, dann im Browser: CTRL-V) und auf "Submit this Key to the Keyserver" klicken.
Will man diesen Schlüssel nun als ungültig erklären, muss man das rev. cert. wie einen normalen Schlüssel auf den Keyserver laden. Dazu geht man in WinPT auf Schlüssel -> Importieren und wählt dort das zuvor gespeicherte Zertifikat. Wenn man es importiert hat, hat es den Originalschlüssel überschrieben, man merkt das daran, dass in der Spalte "Gültigkeit" "Widerrufem" steht. Nun sendet man diesen "Widerrufen"-Schlüssel wie einen ganz normalen an den Schlüsselserver. Dann sollte man diesen Schlüssel aus seiner Liste löschen, da man ihn nun nichtmehr benutzen sollte. Rechtsklick darauf -> Löschen -> Ja.

Nun kommen wir dazu, einen fremden, öffentlichen Schlüssel auf einem Keyserver zu suchen. dazu geht man auf dieselbe Seite, die auch oben benutzt wurde, PGPnet Keyserver. Bei "Search String" gibt man ein, was man von der Person, deren Key man sucht, weiss, nämlich die E-Mail-Adresse, den Namen oder den Nick. Deshalb war es beim Schlüsselerstellen auch wichtig, die richtigen Sachen anzugeben. Firmenkunden, die euch vieleicht mal etwas Wichtiges verschlüsselt schicken müssen, werden kaum euren Nick wissen. Jemand anderes weiss vieleicht nur eure E-Mail-Adresse. Bei der Auswahl unter diesem Suchfeld nimmt man am Besten "get regular index of matching keys". Dann klickt man auf search. Falls man nun einen "Die Seite kann nicht angezeigt werden"-Fehler bekommt, hat man bei sich den Port 11371 nach aussen nicht auf oder die gesuchte Person hat keinen Schlüssel. Ansonsten kriegt man eine Übersichtsseite. Bei mir sieht die so aus:
Suchresultate bei Suche nach 'klaue'
Wie man sieht, war ich damals etwas vorschnell mit Auf-den-Server-laden. Der zweitunterste Key ist ungültig, aber da ich kein revocation certificate gemacht hatte, bevor ich ihn bei mir löschte, kann man ihn auf dem Keyserver nicht als ungültigen erkennen. Der letzte hingegen ist auch ungültig, bei ihm habe ich aber an das Zertifikat gedacht, deshalb steht da "KEY REVOKED" (Schlüssel Widerrufen). Die oberen beiden sind noch gültig. Um einen key nun benutzen zu können, klickt man auf seine ID, bei meinem Obersten z.B. D469FA34. Auf der folgenden Seite ist dann der Public Key Block. Diesen importiert man, wie oben beim Adele-Test beschrieben. In Kurzfassung: Alles markieren, in WinPT Bearbeiten -> Einfügen).

Zurück zum Inhaltsverzeichnis

Weiterführendes: Wie Funktioniert PGP/GPG?

Ich werde darauf nur einigermassen Oberflächlich eingehen, da das auch Personen verstehen sollten, die Technisch nicht allzu versiert sind. Für kryptographishe Erklärungen werden meist die drei Personen Alice, Bob und Eve benutzt, deshalb werde ich diese hier auch verwenden. Alice will Bob eine Nachricht sicher übermitteln, aber Eve möchte ihren Inhalt kennen.

Ohne Verschlüsselung sieht es so aus:

A -------------------> B

Alice schickt Bob die Nachricht. Das Problem daran ist, dass Eve diese abfangen, lesen und wieder weiterleiten kann, so dass weder Alice noch Bob merken, dass sie ausspioniert werden:

A -----|-- E --|-----> B

Da diese Möglichkeit praktisch immer besteht, versucht man, die Nachricht für Eve unleserlich zu machen. Bob muss sie aber immernoch lesen können, darum benutzt man eine Verschlüsselung. In den Zeiten vor GPG (bzw. RSA) musste man da eine symmetrische Verschlüsselung nehmen, das heisst, dass beide Seiten denselben Schlüssel zum Ver- und Entschlüsseln benötigen. Wenn Alice an Bob etwas, das symmetrisch Verschlüsselt ist, senden will, muss dieser erst wissen, welchen Schlüssel Alice gewählt hat. Desalb muss Alice ihm diesen erst unverschlüsselt übermitteln.

A -------------------> B (Schlüsselübertragung)
A ###################> B (Senden eines oder mehrerer verschlüsselter Texte)

Der Schlüssel selber kann aber auch abgefangen und zum Ent- und wieder Verschlüsseln verwendet werden:

A -----|-- E --|-----> B (Schlüsselübertragung)
A #####|-- E --|#####> B (Eve entschlüsselt die Nachricht, liest sie und
                          verschlüsselt sie zur weitersendung wieder)

Daraus ergibt sich, dass man bei symmetrischen Verschlüsselungen den Schlüssel garantiert sicher übergeben muss, z.B. indem man sich persönlich trifft.

PGP nutzt hingegen ein relativ neues System, das man "Public Key"- bzw. Asymetrische Verschlüsselung nennt. Bei dieser Art der Verschlüsselung hat man 2 Schlüssel: Einen geheimen, um Nachrichten zu entschlüsseln (private key) und einen öffentlichen, damit andere Nachrichten an einen selbst verschlüsseln können (public key). Eine Nachricht, die mit dem öffentlichen Schlüssel von jemandem codiert wurde, kann mit diesem nicht mehr decodiert werden. Darum kann man diesen öffentlichen Schlüssel jedem geben, der ihn will. Man kann ihn an seine Mails anhängen, auf seine Homepage schreiben, als Fahne aus dem Fenster hängen, wozu man Lust hat.
Wie das technisch möglich gemacht wird, werde ich mir nun sparen. Diese Primzahlenjongliererei ist auch nur für Mathefans wirklich interessant. Aber damit man es sich etwas besser vorstellen kann, werde ich das Prinzip mit Hilfe von Vorhängeschlössern darstellen.
Um wieder die drei Leute von oben zu missbrauchen:
Bob möchte, dass jeder ihm etwas verschlüsselt zuschicken kann. Deshalb verteilt er offene Vorhängeschlösser (public keys), behält aber deren Schlüssel (private keys). Alice schreibt nun einen Brief, steckt diesen in eine Truhe und schliesst diese mit einem dieser Schlösser. Da sie den Schlüssel dazu nicht hat, kann auch sie die Truhe danach nicht mehr aufmachen. Genausowenig kann das Eve, obwohl sie sich auch eines dieser Schlösser geholt hat. Nur Bob kann mit seinem Schlüssel das Schloss aufschliessen, die Truhe öffnen und die Nachricht lesen.

Zurück zum Inhaltsverzeichnis

Kommentare

#2 Peter schrieb am 17.03.2011 22:02 (CET):
Hallo!!

Bei mir ist GnuPG instaliert aber
wenn ich meine eigene Mails öffnen will
kann ich die nicht entcrypten es kommt ein error "No secret Key" ???

Aber die Frage wenn ich ein Mail versende kommt nicht welchen Schlüssel ich benutzen will... Soll ich Neuinstelieren?

Danke:)

#3 Klaue schrieb am 17.03.2011 22:52 (CET):
Hi Peter
Blöde Frage, aber hast du ev. vergessen, die Keys zu erstellen? (-> Schlüsselerstellung)
Wenn nicht, würde ich mal die WinPT-Einstellungen überprüfen, ob da der Pfad zu gpg richtig ist (Kann sein, dass man dort auch den Pfad zu den Schlüsseln angeben kann).

Ansonsten gibt's wohl für alle Mailprogramme ein GPG-Plugin, das wohl konfortabler ist als das "manuelle" Verschlüsseln per WinPT. Für Thunderbird gibt es beispielsweise http://enigmail.mozdev.org/
Die meisten dieser Programme verwalten die Keys selber, also sollte es problemlos funktionieren.

#4 Peter schrieb am 18.03.2011 10:01 (CET):
So Leute :)

Es hat sich gelöst :)

Dank deiner Turtorial konnte ich das Problem Lösen :)

Ich habe mein eigenen Schlüssel nicht ausgewält und deswegen konnte ich meine Mails später nicht lesen...

Best Site Ever!

Grüße aus Ungarn!

#5 Klaue schrieb am 19.03.2011 03:18 (CET):
Freut mich, dass es geklappt hat :)

#0 fdafds schrieb am 20.09.2010 04:38 (CET):
Each player[url=http://www.wowbenz.fr]wow gold[/url] can learn a pair of professions that[url=http://www.wowne.de]wow gold kaufen[/url] will allow characters to be more successful at given tasks. The game consists of nine primary professions

#1 Klaue schrieb am 20.09.2010 07:49 (CET):
the fuck?

Kommentar hinzufügen

*Name:

Email:
(Optional, versteckt. Nur für Benachrichtigung bei Antwort (Englisch))

Homepage:

* Spam check: 6 * 8 =
*Kommentar:

Zurück zum Inhaltsverzeichnis