Der GNU Privacy Guard

GnuPG sollte über distributions-eigene Mittel (apt-get install, emerge, pkgtool, yast, etc.) zu installieren sein. Das Paket heißt meist gnupg (z.B. in Debian, Gentoo, Fedora, Red Hat, Slackware, RockLinux und *BSD) oder gpg (bei SuSE). Ansonsten hilft das Herunterladen von der GnuPG-Homepage. Den bzip2-Tarball entpackt man ins aktuelle Verzeichnis mit tar xvfj gnupg-1.4.0.tar.bz2, zum Kompilieren und Installieren hilft ein Blick in README und gegebenenfalls INSTALL (einfaches GNU Build System).

Eventuell ist auch schon eine recht aktuelle Version auf Ihrem System installiert. Dazu gibt gpg --version Auskunft (wie auch über unterstützte Verfahren). Es sollte allerdings mindestens die Version 1.2.0 benutzt werden. Sie ist schneller und einige Versionen aus der 1.0-Serie haben Sicherheitslücken.

Wenn man nicht nur Signaturen verifizieren möchte, ist ein eigenes Schlüsselpaar für das Arbeiten mit GnuPG unerlässlich. Man sollte die Schlüssel auf einem Rechner generieren, den man physisch vor sich hat. Auf eine telnet-Session sollte man ganz verzichten, eine ssh-Verbindung ist auch nicht zu empfehlen (z.B. auch wegen des Zufallszahlengenerators). Um ein eigenes Schlüsselpaar zu generieren, startet man nun auf der Kommandozeile:

~$ gpg --gen-key
gpg (GnuPG) 1.4.0; Copyright (C) 2004 Free Software Foundation, Inc.
...
Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
 (1) DSA und ElGamal (voreingestellt)
 (2) DSA (nur signieren/beglaubigen)
 (4) RSA (nur signieren/beglaubigen)
Ihre Auswahl? 1

Man kann getrost die Voreinstellungen nehmen. Auswahl 1 heißt hier, dass ein DSA-Schlüsselpaar zum Signieren und ein untergeordnetes ElGamal-Schlüsselpaar zum Verschlüsseln verwendet wird. Auch bei den weiteren Fragen habe ich mich für die Voreinstellungen entschieden. Also: eine ELG-E-Schlüssellänge von 1024 Bit, der Schlüssel wird nie verfallen (Faulheit vs. Sicherheit, 1 oder 2 Jahre wäre vielleicht besser).

Als nächstes wird man nach Realname, E-Mailadresse und Kommentar gefragt, um den generierten Schlüssel einer realen Person zuzuordnen. Dies ist also korrekt auszufüllen. Im Kommentar kann man seinen Nicknamen, Zusätze wie z.B. »university« (also es handelt sich um die E-Mail-Adresse, die man von der Universität hat) oder »sign only« (der Schlüssel wird nur zum Signieren verwendet) benutzen, oder man lässt ihn einfach leer.

Nach der Bestätigung oder Korrektur folgt die Frage nach der Passphrase (in älteren Versionen auch Mantra). Trotz des anderen Namens ist dies nichts anderes als ein Passwort (außer dass Leerzeichen vorkommen dürfen und es länger als ein normales Passwort sein sollte), das den geheimen Schlüssel zusätzlich schützt. Trotz des anderen Namens gelten auch hier die allgemeinen Empfehlungen für ein sicheres Passwort. Das bedeutet, es sollte ein möglichst abstraktes Zeichengewirr sein, sprich: kein Name, kein Gegenstand, nicht erratbar, nicht zu kurz, und soll möglichst Zahlen, Buchstaben (klein und groß) und Sonderzeichen enthalten. Empfohlen wurde schon öfters ein ganzer Satz, allerdings sollte auch hier kreatives Chaos gemacht werden, da es nicht gut ist, wenn man die Wörter in einem Wörterbuch finden kann. Die Passphrase muss man - sofern man keinen Agenten benutzt - immer eingeben, wenn man auf den geheimen Schlüssel zugreifen will, also z.B. wenn Sie eine für Sie verschlüsselte Nachricht lesen wollen oder etwas signieren. Denken Sie also bei der Wahl einer sicheren Passphrase auch daran, dass Sie sich nicht jedes mal tottippen wollen.

Bevor Sie die Passphrase bestätigen: Setzen Sie ihr System unter Last! :-) Alternativ bewegen Sie nach der Bestätigung einfach exzessiv die Maus und drücken irgendwelche Tasten (schnell irgendein Spiel zwischendurch spielen?), denn nun werden die Zufallswerte erzeugt. Hierzu legt GnuPG Wert auf genügend »Zufälligkeit«, und der ist durch pure Werte von Software-Zufallsgeneratoren nicht ausreichend. Daher ist Ihre »Interaktion« notwendig. Nach Auflistung des erstellten öffentlichen Schlüssels mit Ihrer ersten Benutzer-ID (uid) sollte gpg sich beenden.

• Drucken
• Versenden

• Kurz-URL

• Social Networks: mehr

Lesezeichen hinzufügen

• deli.cio.us
• Digg
• Facebook
• Folkd
• Google
• Identi.ca
• Linkarena
• Live
• Mr.Wong
• MySpace
• Newsvine
• Oneview
• reddit
• StudiVZ
• Stumble
• Twitter
• Yahoo!
• Yigg

• Ubuntu 4.10 
• Einstieg in SUSE 9.x