Der GNU Privacy Guard
Dieser Artikel beschreibt die Nutzung von GNU Privacy Guard (GnuPG), einem freien OpenPGP-kompatiblen Verschlüsselungssystem.
Erstellung der Schlüssel
Wenn man nicht nur Signaturen verifizieren möchte, ist ein eigenes Schlüsselpaar für das Arbeiten mit GnuPG unerlässlich. Man sollte die Schlüssel auf einem Rechner generieren, den man physisch vor sich hat. Auf eine telnet-Session sollte man ganz verzichten, eine ssh-Verbindung ist auch nicht zu empfehlen (z.B. auch wegen des Zufallszahlengenerators). Um ein eigenes Schlüsselpaar zu generieren, startet man nun auf der Kommandozeile:
~$ gpg --gen-key gpg (GnuPG) 1.4.0; Copyright (C) 2004 Free Software Foundation, Inc. ... Bitte wählen Sie, welche Art von Schlüssel Sie möchten: (1) DSA und ElGamal (voreingestellt) (2) DSA (nur signieren/beglaubigen) (4) RSA (nur signieren/beglaubigen) Ihre Auswahl? 1
Man kann getrost die Voreinstellungen nehmen. Auswahl 1 heißt hier, dass ein DSA-Schlüsselpaar zum Signieren und ein untergeordnetes ElGamal-Schlüsselpaar zum Verschlüsseln verwendet wird. Auch bei den weiteren Fragen habe ich mich für die Voreinstellungen entschieden. Also: eine ELG-E-Schlüssellänge von 1024 Bit, der Schlüssel wird nie verfallen (Faulheit vs. Sicherheit, 1 oder 2 Jahre wäre vielleicht besser).
Als nächstes wird man nach Realname, E-Mailadresse und Kommentar gefragt, um den generierten Schlüssel einer realen Person zuzuordnen. Dies ist also korrekt auszufüllen. Im Kommentar kann man seinen Nicknamen, Zusätze wie z.B. »university« (also es handelt sich um die E-Mail-Adresse, die man von der Universität hat) oder »sign only« (der Schlüssel wird nur zum Signieren verwendet) benutzen, oder man lässt ihn einfach leer.
Nach der Bestätigung oder Korrektur folgt die Frage nach der Passphrase (in älteren Versionen auch Mantra). Trotz des anderen Namens ist dies nichts anderes als ein Passwort (außer dass Leerzeichen vorkommen dürfen und es länger als ein normales Passwort sein sollte), das den geheimen Schlüssel zusätzlich schützt. Trotz des anderen Namens gelten auch hier die allgemeinen Empfehlungen für ein sicheres Passwort. Das bedeutet, es sollte ein möglichst abstraktes Zeichengewirr sein, sprich: kein Name, kein Gegenstand, nicht erratbar, nicht zu kurz, und soll möglichst Zahlen, Buchstaben (klein und groß) und Sonderzeichen enthalten. Empfohlen wurde schon öfters ein ganzer Satz, allerdings sollte auch hier kreatives Chaos gemacht werden, da es nicht gut ist, wenn man die Wörter in einem Wörterbuch finden kann. Die Passphrase muss man - sofern man keinen Agenten benutzt - immer eingeben, wenn man auf den geheimen Schlüssel zugreifen will, also z.B. wenn Sie eine für Sie verschlüsselte Nachricht lesen wollen oder etwas signieren. Denken Sie also bei der Wahl einer sicheren Passphrase auch daran, dass Sie sich nicht jedes mal tottippen wollen.
Bevor Sie die Passphrase bestätigen: Setzen Sie ihr System unter Last! :-) Alternativ bewegen Sie nach der Bestätigung einfach exzessiv die Maus und drücken irgendwelche Tasten (schnell irgendein Spiel zwischendurch spielen?), denn nun werden die Zufallswerte erzeugt. Hierzu legt GnuPG Wert auf genügend »Zufälligkeit«, und der ist durch pure Werte von Software-Zufallsgeneratoren nicht ausreichend. Daher ist Ihre »Interaktion« notwendig. Nach Auflistung des erstellten öffentlichen Schlüssels mit Ihrer ersten Benutzer-ID (uid) sollte gpg sich beenden.
Und dann?
GnuPG ist nun schon voll einsatzbereit. Was man jetzt noch wissen sollte, steht in diesem Kapitel.
Auflisten
Mit gpg --list-keys erhält man eine Auflistung all seiner öffentlichen Schlüssel (Schlüsselbund, key ring). Zum Beispiel:
/home/sbeyer/.gnupg/pubring.gpg ------------------------------- pub 1024D/FCC5040F 2004-04-26 uid Stephan Beyer <s-beyer@gmx.net> uid Stephan Beyer (sbeyer) <sbeyer@kidstation.de> uid [jpeg image of size 2193] uid Stephan Beyer (Uni) %lt;Stephan.Beyer@stud.tu-ilmenau.de> uid Stephan Beyer (JabberID) <sbeyer@jabber.org> sub 1024g/AC6D579F 2004-04-26
pub steht für »öffentlich«, während sec für »geheim« stünde. Bei FCC5040F handelt es sich also um die Schlüssel-ID meines öffentlichen Schlüssels. 2004-04-26 ist das ISO-Datum (JJJJ-MM-TT) der Schlüsselerstellung. Die mit uid beginnenden Zeilen zeigen meine Benutzer-IDs (user id), wie z.B. Stephan Beyer <s-beyer@gmx.net>. 1024 bedeutet, der Schlüssel ist 1024 Bit lang. Hinter der Länge steht jeweils das Verfahren: ein D bedeutet DSA, g ist ElGamal. sub ist die Abkürzung für öffentliche und ssb für geheime Subkeys.
Man kann die Ergebnisliste auf bestimmte Treffer einschränken, wenn man als folgende Parameter einfach Suchkriterien eingibt. Diese sind automatisch mit ODER verknüpft. Beispiel:
