[ Zurück | Schlüssel erzeugen | Verteilung des öff. Schlüssels | PGP + Pine ]

---

PGP - Die ersten Schritte

PGP - Pretty Good Privacy - ist ein öffentliches Verschlüsselungs-System zum Schutz von E-Mail und Daten-Files. Es erlaubt eine sichere Kommunikation durch digitale Unterschriften und Verschlüsselung der Daten. Beide Methoden sind sowohl einzeln wie auch in Kombination verwendbar.

Ausführliche Informationen sind im Internet zu finden:

Deutschsprachige Anleitung zu PGP PGP FAQ

The International PGP Home Page Cryptography, PGP, and Your Privacy Kurzreferenz

Im folgenden sind die ersten Schritte zur Nutzung von PGP auf Unix-Rechnern der TU beschrieben, die das auf /uni/global/bin installierte Programm pgp benutzen.

Erzeugen des persönlichen Schlüsselpaares: Privater und öffentlicher Schlüssel

1. Anlegen des Verzeichnisses $HOME/.pgp und schützen:

   mkdir $HOME/.pgp
   chmod 700 $HOME/.pgp

   In diesem Verzeichnis werden von pgp Dateien abgelegt, die den privaten (secret key) und öffentlichen (public key) Schlüssel enthalten. Dort liegt auch der "Schlüsselbund", wo die öffentlichen Schlüssel der Kommunikationspartner eingetragen werden können. Desweiteren kann dort eine Konfigurationsdatei config.txt stehen, wo z.B. die deutschsprachige Version von PGP einstellbar ist:

   cd $HOME/.pgp
   echo "Language = de" > config.txt

2. Hilfetext anzeigen:

   pgp -h

3. Privaten und öffentlichen Schlüssel erzeugen:

   pgp -kg

   Im folgenden werden ein paar Angaben verlangt, unsere Empfehlungen:

   • Länge Deines RSA-Schlüssels: 1024 Bits, also 3
     
   • Benutzer-ID für Deinen öffentlichen Schlüssel: Vorname Name <Deine@Mailadresse>, also z.B.
     Alfons Bitmeister <Alfons.Bitmeister@informatik.tu-chemnitz.de>
     Achtung - Keine Umlaute! Bitte sehr sorgfältig eingeben und überprüfen!!!
   • Das Mantra, quasi das Paßwort für Deinen privaten Schlüssel. Gut merken!
   • Beliebige Tastatureingabe zur Zufallszahlenerzeugung... hier ist nicht entscheidend, was man eingibt.

   Im Anschluß wird nun das Schlüsselpaar berechnet und in das Verzeichnis $HOME/.pgp abgelegt.

4. Sicherheit: Der private Schlüssel ist Dein Geheimnis! Gebe ihn niemals aus der Hand, verrate niemandem das Mantra!

Erste Anwendungen

Digitale Unterschrift:

1. Erzeugen der Textdatei mit beliebigem Editor, z.B. vi text
2. PGP-Unterschrift: pgp -sta text
   Dafür wird der private Schlüssel benutzt, deshalb ist das Mantra einzugeben. Erzeugt wird eine Datei text.asc, die nun per Mail (z.B. als Test an Dich selber) versendet werden kann.
   Beachte: Jede nachträgliche Änderung dieser Datei macht die Unterschrift ungültig.

Zur Vereinfachung dieser Funktion gibt es das Programm mailpgp. - Aufruf: mailpgp datei

Verteilung des öffentlichen Schlüssels

Damit der Empfänger die Richtigkeit Deiner Unterschrift prüfen kann, braucht er Deinen öffentlichen Schlüssel. Wie aber bekommt er den? Wenn Du eine Mail verschlüsseln willst, so daß nur ein bestimmter Empfänger die Nachricht lesen kann, brauchst Du dessen öffentlichen Schlüssel. Wie aber bekommst Du den?

Die sichere Schlüsselverteilung ist ein Thema, was sich nicht in ein paar Sätzen erklären läßt. Deshalb sei an dieser Stelle auf die gute deutschen PGP-Dokumentation, insb. Kapitel 5 verwiesen. Hier dazu nur ein paar technische Hinweise:

1. Extrahieren des eigenen öffentlichen Schlüssels:

   pgp -kxa

   Erzeugen des Key Fingerprints, quasi einer "Prüfsumme" über den Schlüssel:

   pgp -kvc

2. Die entstehenden Dateien können nun z.B. via WWW zur Verfügung gestellt werden, in dem sie nach $HOME/public_html geschrieben werden. Genausogut kann man die Daten via finger zugänglich machen oder sie im Directory Service ablegen. Desweiteren gibt es PGP Key Server, auch mit WWW-Zugang: BAL's PGP Public Key Server.

3. Einfügen des öffentlichen Schlüssels eines Kommunikationspartners (in Datei keyfile) in den eigenen "Schlüsselbund":

   pgp -ka keyfile

   Hier sollten zumindest die Fingerprints verglichen werden.

Integration von PGP in das Mailprogramm pine

Das an der TU Chemnitz installierte Mailprogramm pine ist bereits für die PGP-Nutzung konfiguriert. Vor dem Anzeigen empfangener Mail werden evtl. PGP-Informationen ausgewertet, z.B. Unterschriften geprüft oder Daten entschlüsselt.

Möchte man eigene Mails unterschreiben oder verschlüsseln, muß man das beim Senden veranlassen: in Compose Message: ^X (Send), nun den PGP-Sende-Filter aktivieren (^N oder Cursor hoch bis 'filtered thru "editpgp"' erscheint, dann Enter):

Das Programm editpgp führt nun die gewünschten PGP-Operationen durch (Unterschrift und/oder Verschlüsselung), bevor die Mail gesendet wird.

Zu beachten ist, dass nur der Text unterschrieben bzw. verschlüsselt wird, nicht aber evtl. Attachments!