Partnerlinks:
Google

www.linux-club.de/ sehr aktives und kompetentes Board m. Fragen u. Antworten rund um Linux  |  www.linux-board.de/ privates Board m. Fragen u. Antworten rund um Linux  |  meybohm bei viando.de gute Tools - u.a. "Phase 5 / HTML Editor" mein Lieblings-HTML-Editor und "Proton" - guter Texteditor www.meybohm.de  |  Wunsch-Domain schon belegt? Hier finden Sie sie trotzdem!   |  Webhosting beim Testsieger 2007. www.greatnet.de  | 
Host Europe - World Class Internet Hosting
  
  Ein Pinguin-Logo    
news About Me linux referenz tips links downloads kontakt
 
News
About
Linux
Referenz
Tips
  Linux
  Sicherheit
  Perl
  Allround Server
  Fileserver Samba
  HTTP-Server
  Zope-Server
  SQL-Server
  Mail-Server
  Proxy_Server
  FAX-Server
  Netzwerk-Tools
  SMS-Tools
  Postscript
  MS Office
Links
Downloads
Kontakt

Besucher
seit 21.10.2002
 
Mein Gästebuch
 

Tips => Gnupg (3)

3. Verwendung von Gnupg

3.1 Syntax kennenlernen

Nachdem die Installation abgeschlossen wurde, stehen die ersten Tests an. Als erstes sollte man das Programm auf der Kommandozeile (unter Win9x: DOS-Eingabeaufforderung; unter WinNT/2000/XP: "Ausführen: cmd") mit der Option -h oder --help und der Umleitung an "more" (zum seitenweisen Anzeigen) aufrufen: 

gpg -h | more
oder
gpg --help | more

Jetzt sollte das Programm zuerst die Versionsinformationen und dann alle Kommandozeilenoptionen mit der Erklärung auf deutsch ausgeben.

==> "--help"-Ausgabe in Textdatei

Wenn man mit der englisch gehaltenen Hilfedatei Doc\gpg.txt in der die Kommandozeilen- und gpg.conf-Optionen beschrieben sind, nicht so richitg klar kommt, kann man sich eine deutsche Hilfedatei erstellen, indem man die Ausgabe des obigen Befehls (ohne "| more") in eine Datei schreiben läßt: 

gpg -h > c:\gpg_de.txt

schreibt die Ausgabe in die Datei C:\gpg_de.txt.

Mit Hilfe dieser Hilfedatei kann man schon an der Anzahl der Optionen ersehen welche reichhaltigen Möglichkeiten der Benuztung es hier gibt.

3.2 Schlüssel erzeugen

3.2.1 Eigenen Schlüssel erzeugen

Der erste Schritt zur Benutzung ist die Erzeugung eines eigenen Schlüsselpaares (privater und öffentlicher Schlüssel).

Dazu gibt man auf der Kommandozeile folgenden Befehl ein: 

gpg --gen-key

Nachdem man die Eingabetaste gedrückt hat erfolgen einige Abfragen (meine Eingaben sind mit rot gekennzeichnet, "=>" = Eingabetaste):

Art des Schlüssels auswählen
Ich lasse es bei der Vorauswahl -> (1) DSA und ElGamal | "=>"
Schlüssellänge auswählen
Ich wähle hier 2048 Bit | 2048; "=>"
Gültigkeitsdauer angeben
Für die ersten Versuche genügt 1 Jahr | 1y; "=>"
Verfallsdatum bestätigen
| j; "=>"
Eingabe des Namens
| Vorname Nachname; "=>"
Eingabe der E-Mail-Adresse
| Vorname.Nachname@my-domain.de; "=>"
Eingabe eines Kommentars
nähere Bezeichnungen oder ähnliches, Verlängern aber die Anzeige, was nicht auf allen Systemen gut rüberkommt, im Zweifelsfall weglassen | "=>"
Korrekturmöglichkeit der Eingaben
Bei Bedarf mit dem jeweiligen Buchstaben den Korrekturbedürftigen Teil auswählen und bearbeiten, sonst mit (F) oder (B) Beenden | F; "=>"
Eingabe der Passphrase
ein kompliziertes aber leicht zu merkendes Passwort eingeben, möglichst mit Sonderzeichen und Groß- und Kleinschreibung, als kleine Hilfe empfiehlt sich ein einprägsamer Satz -> die Anfangsbuchstaben der einzelnen Wörter ergeben das Passwort | Mein Passwort; "=>"
An diesem Punkt erfolgt die Schlüsselerzeugung
|

3.2.2 Widerrufsschlüssel erzeugen

An diesem Punkt muss man einen Widerrufsschlüssel (Revocation Key) erzeugen: 

gpg --gen-revoke XYZ > %tmp%\revkey-XYZ.asc

                 # Erzeugen eines Wiederrufschlüssels
                 # für Schlüssel-ID "XYZ" und Export in
                 # eine Textdatei

Dieser wird dazu benötigt, um im Falle der Änderung, des Verlustes oder der Kompromittierung des eigenen privaten Schlüssels den auf den Schlüsselservern veröffentlichten öffentlichen Schlüssel als ungültig zu kennzeichnen. Dieses Verfahren ist notwendig, da das Löschen des Schlüssels vom Schlüsselservers nicht so einfach möglich sein darf. Hier müßten sonst zusätzliche Authentifizierungsmechanismen implementiert werden.

Der Widerrufsschlüssel (Revocation Key) muss jetzt genau so sicher wie der private Schlüssel verwahrt und gegen fremden Zugriff geschützt werden. Ganz wichtig ist hier das Aufschreiben und an sicherem Ort hinterlegen des Passwortes, da ohne dieses kein Widerruf des eigenen Schlüssels möglich ist.

3.3 Schlüssel anzeigen lassen

Der Zeitpunkt ist gekommen, an dem man sich die im Schlüsselbund befindlichen Schlüssel das erste Mal anzeigen lassen kann: 

gpg --list-keys
                    # Anzeigen der öffentlichen
                    # Schlüssel

gpg --list-keys teich
                    # Anzeigen aller öffentlichen
                    # Schlüssel mit dem String "teich"

gpg --list-secret-keys
                    # Anzeigen der geheimen (privaten)
                    # Schlüssel

Bei der Anzeige der gefundenen Schlüssel steht an dritter Stelle (nach: Art des Schlüssel - "pub"/"sub"; Schlüssellänge) die eindeutige ID des Schlüssels. Diese sollte man sich aufschreiben um z.B. beim Exportbefehl mittels dieser ID den zu exportierenden Schlüssel genau bezeichnen zu können.

3.4 Schlüssel exportieren

Es müssen nun folgende Schlüssel exportiert werden:

3.4.1 Öffentlicher Schlüssel

Zum Signieren durch andere User (z.B. durch den Admin), zum Sichern für zukünftige Verwendung, zur Hinterlegung auf der eigenen HP.

Zum Exportieren in eine Textdatei muss man die Option --armor benutzen (Reihenfolge der Optionen beachten!, --armor immer zuerst): 

gpg --armor --export > %tmp%\pubkeys.asc
                    # Export aller öffentlichen
                    # Schlüssel am eigenen
                    # Schlüsselbund in eine Textdatei

gpg --armor --export XYZ > %tmp%\pubkey-XYZ.asc
                    # Export des öffentlichen Schlüssels
                    # mit der Id "XYZ" in eine Textdatei

3.4.2 Privater Schlüssel

Zum Sichern und zur Übertragung auf andere Medien bzw. andere Rechner.

Hier muss größte Vorsicht und Sorgfalt walten. Der Zugriff anderer auf diesen privaten Schlüssel (z.B. auf dem Rechner im "TMP"-Verzeichnis vergessen, im Netzlaufwerk nicht sicher gelöscht) schon einen großen Teil der Sicherheit vernichtet, der eigentliche mit der Nutzung von "Gnupg" aufgebaut werden soll. Der "Finder" benötigt nur noch das Passwort und er kann in Ihrem Namen alles verbriefen und bestätigen!!! 

gpg --armor --export-secret-keys > %tmp%\seckeys.asc
                    # Export aller privaten
                    # Schlüssel am eigenen
                    # Schlüsselbund in eine Textdatei

gpg --armor --export-secret-keys XYZ > %tmp%\seckey-XYZ.asc
                    # Export des privaten Schlüssels
                    # mit der Id "XYZ" in eine Textdatei

3.4.3 Widerrufs-Schlüssel

Zum Sichern und zur Übertragung auf andere Medien.

Es gelten die gleichen Sicherheitshinweise wie für die privaten Schlüssel. Im Fall der Kompromittierung kann jemand anderes Ihren Schlüssel auf den Schlüsselserver widerrufen!!!

Die Syntax wurde weiter oben schon beschrieben.

3.5 Schlüssel importieren

Beim Neueinrichten oder Wiedereinrichten, nach dem Signieren und ähnlichen Fällen macht sich ein Importieren von Schlüsseln erforderlich. Bei diesem Vorgang wird nicht nach der Art des Schlüssels (öffentl., privat ...) unterschieden. Somit benötigt man nur einmal die Syntax: 

gpg --import %tmp%\seckeys.asc
                    # Import aller Schlüssel aus der Datei
                    # "seckeys.asc" im Verzeichnis "%tmp%"

3.6 Schlüssel signieren

Zur Nutzung der Funktionen des "Web of Trust" und zur Beglaubigung von z.Bsp. Firmenschlüsseln muss man manchmal Schlüssel signieren. Um dies tun zu können muss sich der Schlüssel am eigenen Schlüsselbund befinden. Ist dies nicht der Fall muss er zuerst importiert werden.

Zum Signieren benutzt man folgende Syntax: 

gpg --sign-key XYZ
                    # Signieren des öffentlichen Schlüssels
                    # XYZ mit dem eigenen privaten Schlüssel

Nachdem ein öffentlicher Schlüssel (z.B. des Mitarbeiters) signiert wurde muss er wieder exportiert werden um z.B. auf der Homepage oder woanders als Text-Datei hinterlegt zu werden.

3.7 Schlüssel auf Schlüsselserver übertragen

Um einen solchen Schlüssel auf einen Schlüsselserver im Internet zu übertragen muss er nicht erst exportiert werden.

Aus GPG heraus verwendet man folgenden Befehl: 

gpg --send-keys XYZ
                    # Senden des öffentlichen Schlüssels
                    # XYZ an einen Keyserver (der in der gpg.conf
                    # eigetragen ist)

gpg --send-keys XYZ --keyserver ABC
                    # Senden des öffentlichen Schlüssels
                    # XYZ an den Keyserver ABC (Angabe hinter der
                    # Option --keyserver)

Die Schlüsselserver haben in der Regel auch ein HTTP-Interface (Aufruf mit Hilfe des Browsers). Hier kann man einen als Textdatei vorliegenden öffentlichen Schlüssel (NIE PRIVATE SCHLÜSSEL AUF SCHLÜSSELSERVER LADEN!!!) per Drag and Drop kopieren, in ein Textfeld einfügen und auf dem Schlüsselserver speichern lassen.

3.8 Vorerst Ende

Das waren erst einmal die grundlegenden Funktionen für das Schlüsselhandling. Die weiteren Optionen zum Arbeiten mit Dateien sollten nun anhand der Hilfedateien ganz gut nachvollzogen werden können.

Zu 95% werden diese Dinge wie auch das Ver- und Entschlüsseln kaum von Hand auf der Kommandozeile erledigt. Dazu benutzt man grafische Frontends oder Plugins für den Mail-Client oder die Dateimanager. Diese werden im nächsten Abschnitt vorgestellt.

   
Gnupg (1)
Einführung
Was ist Gnupg
Asynchr. Verschl.
Priv. Schlüssel
Öffentl. Schlüssel
Vertrauen
Web of Trust
Gnupg (2)
Installation
Installation
von Nullify.org
von gnupg.org
Gnupg (3)
Anwendung
Syntax
Schlüssel erzeugen
Anzeigen
Exportieren
Importieren
Signieren
Schlüsselserver
 
©  09.09.2009  Heiko Teichmeier - Glauchau/Sa.