Kapitel 8. KGpg: Signieren und Verschlüsseln von Daten¶
Inhaltsverzeichnis
Mit KGpg, einer grafischen Bedienoberfläche für GPG, können Sie Daten signieren oder verschlüsseln. Mithilfe dieses Programms können Sie alle erforderlichen Schlüssel erzeugen und verwalten. Sie können seine Editorfunktion zur schnellen Erstellung und Verschlüsselung von Dateien verwenden oder mit dem Applet in der Kontrollleiste durch Ziehen und Ablegen Ver- und Entschlüsselungsfunktionen durchführen. Andere Programme, beispielsweise das Mail-Programm (Kontact oder Evolution) greifen auf den Schlüssel zu, um signierte bzw. verschlüsselte Inhalte zu verarbeiten. In den folgenden Abschnitten erfahren Sie, wie Sie die zum Signieren und Verschlüsseln von Daten mit KGpg erforderlichen Schritte ausführen:
8.1. Wozu signieren und verschlüsseln?¶
- Signieren
Signieren bedeutet, elektronische Signaturen zu E-Mails (oder sogar Software) hinzuzufügen, um deren Herkunft zu bestätigen. Sie sollten Ihre E-Mails zu Ihrem Schutz und zum Schutz der Empfänger signieren, um zu verhindern, dass jemand unter Ihrem Namen E-Mails schreibt. Anhand der Signaturen können Sie leicht prüfen, wer Ihnen die empfangenen E-Mails gesendet hat, und Sie können dadurch auch gutartige E-Mails von bösartigen unterscheiden.
Softwareentwickler signieren ihre Software, damit Sie deren Integrität prüfen können. Auch wenn Sie die Software von einem inoffiziellen Server erhalten haben, können Sie das Paket anhand der Signatur überprüfen.
- Verschlüsseln
Sie haben möglicherweise sensible Informationen, die Sie vor anderen schützen wollen. Durch die Verschlüsselung können Sie Daten übertragen und für andere unlesbar machen. Dies ist besonders wichtig in Unternehmen, die interne Informationen und die Daten ihrer Mitarbeiter schützen müssen.
8.2. Erstellen eines neuen Schlüsselpaars¶
Um verschlüsselte Nachrichten mit anderen Benutzern austauschen zu können, müssen Sie zunächst Ihr eigenes Schlüsselpaar erstellen. Ein Teil davon, der öffentliche Schlüssel, wird an Ihre Kommunikationspartner verteilt, die ihn zum Verschlüsseln der Dateien und E-Mail-Nachrichten verwenden können, die sie versenden. Der andere Teil des Schlüssels, der private Schlüssel, dient zur Entschlüsselung der verschlüsselten Inhalte.
![[Important]](static/images/important.png) | Privater Schlüssel und öffentlicher Schlüssel im Vergleich |
|---|---|
Auf den privaten Schlüssel sollten nur Sie selbst Zugriff haben. Gewähren Sie keinen anderen Benutzern Zugriff auf diese Daten. Ihr privater Schlüssel ist durch einen Passwortsatz geschützt. Wählen Sie den Passwortsatz sorgfältig aus: Verwenden Sie keine Wörter aus einem Wörterbuch und mischen Sie alphabetische und nicht alphabetische Zeichen. | |
Zum Erstellen eines neuen Paars gehen Sie wie folgt vor:
Starten Sie KGpg im Hauptmenü oder drücken Sie Alt+F2 und geben Sie kgpg ein. Beim ersten Starten des Programms wird ein Assistent angezeigt, der Sie durch den Konfigurationsprozess führt. Befolgen Sie die Anweisungen bis zu der Stelle, an der Sie aufgefordert werden, einen Schlüssel zu erstellen.
Wählen Sie + aus, wenn ein neues Schlüsselpaar erstellt werden soll.
Geben Sie einen Namen, eine E-Mail-Adresse und optional einen Kommentar ein. Wenn Ihnen die vorgegebenen Standardeinstellungen nicht gefallen, können Sie auch den Ablaufzeitpunkt für den Schlüssel, die Schlüsselgröße und den verwendeten Verschlüsselungsalgorithmus eingeben.
Um einen Standardschlüssel zu erstellen, bestätigen Sie die Einstellungen mit . Nach dem Klicken auf wird ein Dialogfeld angezeigt, in dem Sie zur zweimaligen Eingabe eines Passwortsatzes aufgefordert werden. Der Passwortsatz schützt Ihren privaten Schlüssel. Die relative Stärke Ihres gewählten Passworts wird vom (Passwortstärkenmesser) gemessen und angezeigt. Das Schlüsselpaar wird erzeugt. Dies kann einige Zeit dauern.
![[Note]](static/images/note.png)
Expertenmodus Wenn Sie ein erfahrener Benutzer sind, können Sie den verwenden, um weitere Optionen zu definieren. Auf diese Weise gelangen Sie zu einem Terminalfenster, in dem Sie den Typ des zu erzeugenden Schlüssels, die Schlüsselgröße (in Bit) und das Ablaufdatum festlegen können. Nach Eingabe Ihres Namens und Ihrer E-Mail-Adresse werden Sie zur Eingabe eines Passwortsatzes zum Schutz Ihres privaten Schlüssels aufgefordert.
Nach Erzeugung des Schlüssels wird eine Zusammenfassung angezeigt. Sie sollten dieses Widerrufszertifikat speichern und drucken und an einem sicheren Ort aufbewahren. Sie benötigen dieses Zertifikat, um Ihren Passwortsatz zu widerrufen, falls Sie diesen einmal vergessen sollten. Nach der Bestätigung mit wird das Hauptfenster von KGpg angezeigt und der Vorgang ist abgeschlossen.
Im Hauptfenster werden die Schlüssel angezeigt, die zu Ihrem Schlüsselring gehören: Ihr eigener Schlüssel und die Schlüssel von anderen Personen, die Sie bereits importiert haben. Da GPG eine kompliziertere Implementierung von Schlüsselpaaren verwendet, werden für jeden Benutzernamen mehrere Unterschlüssel angezeigt. Diese können jedoch für die Zwecke dieses Kapitels vernachlässigt werden. Abgesehen von anderen Details (wie Ablaufdatum oder Erstellungsdatum von Schlüssel und ID) wird im Hauptfenster auch die Vertrauensstufe für jeden Schlüssel angezeigt (durch farbige Kennzeichnung). Weiß bedeutet, dass die Vertrauensstufe unbekannt ist, Blau steht für eine hohe Vertrauensstufe. Weitere Informationen finden Sie in Abschnitt 8.4.2, „Betrachten von Schlüsseln als vertrauenswürdig“.
| KGpg-Symbol und Hauptfenster |
|---|---|
Wenn Sie KGpg in späteren Sitzungen starten, wird lediglich ein kleines Symbol mit einem Vorhängeschloss im Systemabschnitt der Kontrollleiste angezeigt. Klicken Sie auf dieses Symbol, um das Hauptfenster von KGpg auf dem Desktop anzuzeigen. | |
8.3. Exportieren des öffentlichen Schlüssels¶
Nach dem Erstellen Ihres Schlüsselpaars müssen Sie den öffentlichen Schlüssel anderen Benutzern zur Verfügung stellen. Dadurch können Sie ihn zur Verschlüsselung bzw. Signierung der Nachrichten und Dateien verwenden, die sie Ihnen senden. Wenn Sie beispielsweise eine Nachricht für den Benutzer Tux verschlüsseln möchten, so tun Sie dies mit dem öffentlichen Schlüssel von Tux. Zur Entschlüsselung verwendet Tux seinen privaten Schlüssel. Wenn Tux Ihnen eine Nachricht senden möchte, verschlüsselt er sie mit Ihrem öffentlichen Schlüssel und Sie entschlüsseln die Nachricht mit Ihrem privaten Schlüssel.
Um den öffentlichen Schlüssel anderen Benutzern zur Verfügung zu stellen, wählen Sie die Optionsfolge +. Ein Dialogfeld mit vier Optionen wird geöffnet:
Der öffentliche Schlüssel wird per E-Mail an einen von Ihnen ausgewählten Empfänger gesendet. Wenn Sie diese Option aktivieren und den Vorgang mit bestätigen, wird das Dialogfeld zum Erstellen einer neuen E-Mail-Nachricht mit Ihrem Standard-Mail-Programm angezeigt. Geben Sie den Empfänger ein und klicken Sie auf . Der Empfänger erhält Ihren Schlüssel und kann Ihnen nun verschlüsselte Inhalte senden.
Hier können Sie Ihren öffentlichen Schlüssel ablegen, bevor Sie mit seiner Verarbeitung fortfahren.
Um Ihren öffentlichen Schlüssel für eine breite Öffentlichkeit verfügbar zu machen, exportieren Sie ihn auf einen der Schlüsselserver im Internet. Weitere Informationen hierzu finden Sie in Abschnitt 8.5, „Schlüsselserver-Dialogfeld“.
Wenn Sie den Schlüssel lieber als Datei auf einem Datenmedium verteilen, als ihn per E-Mail zu versenden, klicken Sie auf diese Option, bestätigen bzw. ändern Sie Dateipfad und -namen und klicken Sie auf .
8.4. Importieren öffentlicher Schlüssel von anderen Personen¶
Wenn Sie einen Schlüssel in einer Datei erhalten (beispielsweise als E-Mail-Anlage), integrieren Sie ihn mit (Schlüssel importieren) in Ihren Schlüsselring und verwenden Sie ihn für verschlüsselte Kommunikation mit dem Sender. Sie können auch Schlüssel von einem öffentlichen Server importieren, wenn die Person, mit der Sie kommunizieren möchten, ihre öffentlichen Schlüssel dort gespeichert hat. Weitere Informationen finden Sie unter Abschnitt 8.5, „Schlüsselserver-Dialogfeld“. Das Verfahren ähnelt dem bereits beschriebenen Verfahren zum Exportieren von Schlüsseln.
8.4.1. Signieren von Schlüsseln¶
Schlüssel können wie jede andere Datei signiert werden, um ihre Authentizität und Integrität zu gewährleisten. Wenn Sie absolut sicher sind, dass ein importierter Schlüssel zu der als Eigentümer angegebenen Person gehört, können Sie mit Ihrer Signatur Ihr Vertrauen in die Authentizität des Schlüssels angeben.
| Erstellen eines Verbürgungsnetzes |
|---|---|
Verschlüsselte Kommunikation ist nur so sicher, wie Sie die im Umlauf befindlichen öffentlichen Schlüssel zweifelsfrei dem angegebenen Benutzer zuordnen können. Durch Gegenproben und Signieren dieser Schlüssel tragen Sie zum Aufbau eines Verbürgungsnetzes bei. Stellen Sie aus diesen Gründen sicher, dass Sie nur solche Schlüssel signieren, die Sie auch selbst überprüft haben. | |
Bevor Sie Ihren Schlüssel verwenden können, müssen Sie ihn selbst signieren.
Prozedur 8.1. Signieren eines Schlüssels
Wählen Sie im Fenster den zu signierenden Schlüssel in der Schlüsselliste aus.
Wählen Sie + aus.
Wählen Sie im folgenden Dialogfeld den für die Signatur zu verwendenden privaten Schlüssel aus. Eine Warnmeldung erinnert Sie daran, vor dem Signieren die Authentizität dieses Schlüssels zu überprüfen. Wählen Sie in der Dropdown-Liste aus, wie sorgfältig Sie geprüft haben, dass der Schlüssel zu der Person gehört, mit der Sie kommunizieren möchten.
Klicken Sie auf und geben Sie im nächsten Schritt Ihren Passwortsatz ein. Bei der Eingabe des Passwortsatzes signieren Sie den Schlüssel mit Ihrem eigenen privaten Schlüssel. Der signierte Schlüssel wird jetzt in der Spalte der vertrauenswürdigen Elemente angezeigt.
Andere Benutzer können nun die Signatur mithilfe Ihres öffentlichen Schlüssels überprüfen.
8.4.2. Betrachten von Schlüsseln als vertrauenswürdig¶
Normalerweise werden Sie vom betreffenden Programm gefragt, ob Sie den Schlüssel als vertrauenswürdig betrachten oder ob Sie annehmen, dass er tatsächlich von seinem autorisierten Eigentümer verwendet wird. Dies geschieht jedes Mal, wenn eine Nachricht entschlüsselt oder eine Signatur überprüft werden muss. Um dies zu vermeiden, müssen Sie die Verbürgungsstufe des neu importierten Schlüssels bearbeiten. Um einen Schlüssel für vertrauenswürdig zu erklären und eine Vertrauensstufe festzulegen, gehen Sie wie folgt vor:
Klicken Sie mit der rechten Maustaste auf den Schlüssel und wählen Sie die Option .
Passen Sie in der Dropdown-Liste die Vertrauensstufe an. Dieser Wert gibt an, für wie vertrauenswürdig Sie den Eigentümer dieses Schlüssels halten, also wie sehr Sie darauf vertrauen, dass er die Identität der von ihm signierten Schlüssel richtig überprüft.
Schließen Sie das Eigenschaftendialogfeld. Wenn Sie die Vertrauensstufe auf oder gesetzt haben, wird der Schlüssel nun in der Spalte der vertrauenswürdigen Elemente in blauer Farbe angezeigt.
Je niedriger die Verbürgungsstufe, desto weniger vertrauen Sie darauf, dass der Signierende des Schlüssels die wahre Identität der signierten Schlüssel überprüft hat. Sie sind sich vielleicht hinsichtlich der Identität des Signierenden absolut sicher, doch dieser Benutzer überprüft möglicherweise nicht sorgfältig die Identitäten der anderen Personen, bevor er deren Schlüssel signiert. Beachten Sie, dass die Verbürgungsstufe keine automatischen Aktionen durch KGpg auslöst.
8.5. Schlüsselserver-Dialogfeld¶
Mehrere internetbasierte Schlüsselserver bieten die öffentlichen Schlüssel für viele Benutzer. Wenn Sie verschlüsselte Kommunikation mit einer großen Anzahl von Benutzen durchführen möchten, sollten Sie diese Server zur Verteilung Ihres öffentlichen Schlüssels nutzen. Exportieren Sie zu diesem Zweck Ihren öffentlichen Schlüssel auf einen dieser Server. In ähnlicher Weise können Sie mit KGpg einen dieser Server nach den Schlüsseln bestimmter Personen durchsuchen und diese öffentlichen Schlüssel vom Server importieren. Öffnen Sie das Schlüsselserver-Dialogfeld mit +.
8.5.1. Importieren eines Schlüssels von einem Schlüsselserver¶
Importieren Sie mit dem Karteireiter (Import) im Schlüsselserver-Dialogfeld öffentliche Schlüssel aus einem der internetbasierten Schlüsselserver. Wählen Sie einen der vorkonfigurierten Schlüsselserver aus und geben Sie eine Suchzeichenkette (E-Mail-Adresse des Kommunikationspartners) oder die ID des zu suchenden Schlüssels ein. Wenn Sie auf klicken, stellt Ihr System eine Verbindung zum Internet her und durchsucht die angegebenen Schlüsselserver nach einem Schlüssel, der Ihren Spezifikationen entspricht.
Wenn die Suche auf dem Schlüsselserver erfolgreich ist, wird eine Liste aller abgerufenen Servereinträge in einem neuen Fenster angezeigt. Wählen Sie den in Ihren Schlüsselring aufzunehmenden Schlüssel aus und klicken Sie auf (Importieren). Bestätigen Sie die folgende Meldung mit und beenden Sie das Schlüsselserver-Dialogfeld mit . Der importierte Schlüssel wird dann in der Hauptübersicht des Schlüsselmanagers angezeigt und steht zur Verwendung zur Verfügung.
8.5.2. Exportieren Ihrer Schlüssel auf einen Schlüsselserver¶
Um Ihren Schlüssel auf einen der frei zugänglichen Schlüsselserver im Internet zu exportieren, wählen Sie im Schlüsselserver-Dialogfeld die Registerkarte (Export) aus. Legen Sie den Zielserver und den zu exportierenden Schlüssel mithilfe zweier Dropdown-Menüs fest. Starten Sie anschließend den Exportvorgang mit (Export).
8.6. Verschlüsseln von Daten¶
Nachdem Sie Ihr Schlüsselpaar generiert, Ihren öffentlichen Schlüssel exportiert und öffentliche Schlüssel von anderen Personen importiert haben, können Sie auch verschlüsselte Mails senden bzw. empfangen. Unter Abschnitt 5.2.5, „Signieren und Verschlüsseln von E-Mails“ erfahren Sie, wie Sie diese Optionen in KMail nutzen können.
Mit KGpg ist es auch möglich, Text zu verschlüsseln. Wählen Sie zum Öffnen des integrierten Editors die Optionen + aus.
8.6.1. Verschlüsseln und Entschlüsseln über einen Dateimanager¶
KGpg ist auch in Dateimanager wie Dolphin oder Konqueror integriert. Im Allgemeinen werden PGP-verschlüsselte Dateien mit dem Suffix asc versehen. Zum Verschlüsseln oder Entschlüsseln von Dateien in einem Dateimanager stehen verschiedene Optionen zur Verfügung:
Klicken Sie zum Verschlüsseln einer Datei in einem Dateimanager mit der rechten Maustaste auf die Datei und wählen Sie + aus. Wählen Sie einen der verbürgten Schlüssel im Dialogfeld aus. Nach dem Klicken auf im Dialogfeld wird eine neue Datei mit dem Suffix
ascim selben Verzeichnis erstellt.Klicken Sie zum sofortigen Entschlüsseln einer verschlüsselten Datei mit der rechten Maustaste auf die Datei und wählen Sie aus. Wenn der ursprüngliche Dateiname bereits vorhanden ist, wird ein Dialogfeld geöffnet, in dem Sie gefragt werden, wie Sie die Datei nennen möchten bzw. ob sie überschrieben werden soll. KGpg fordert Sie zur Eingabe des Passworts für Ihren privaten Schlüssel auf und speichert die entschlüsselte Datei im selben Verzeichnis.
Klicken Sie zum Entschlüsseln einer verschlüsselten Datei mit dem Editor mit der rechten Maustaste auf die Datei im Dateimanager und wählen Sie + aus.
8.6.2. Der KGpg-Editor¶
Anstatt Inhalte für die Verschlüsselung in einem externen Editor zu erstellen und dann die Datei mit einer der oben beschriebenen Methoden zu verschlüsseln, können Sie auch den integrierten Editor von KGpg verwenden. Wählen Sie zum Öffnen des Editors die Optionen + aus. Geben Sie im Editor den gewünschten Text ein (oder kopieren Sie ihn aus der Zwischenablage oder aus einer Datei in den Editor) und klicken Sie auf . Wählen Sie dann den zu verwendenden Schlüssel aus und schließen Sie den Verschlüsselungsvorgang ab. Zum Entschlüsseln der Dateien verwenden Sie die Option (Entschlüsseln) und geben das mit dem Schlüssel verknüpfte Passwort ein.
Das Erstellen und Überprüfen von Signaturen ist genauso einfach wie das Verschlüsseln von Dateien direkt aus dem Editor. Wechseln Sie zu + und wählen Sie im Dateidialogfeld die zu signierende Datei aus. Wählen Sie den zu verwendenden privaten Schlüssel aus und geben Sie das zugehörige Passwort ein. KGpg informiert Sie über die erfolgreiche Erstellung der Signatur. Dateien können außerdem über den Editor signiert werden. Klicken Sie dazu einfach auf (Signieren/Überprüfen). Um eine signierte Datei zu überprüfen, wechseln Sie zu + und wählen Sie im folgenden Dialogfeld die zu überprüfende Datei aus. Nach der Bestätigung der Auswahl überprüft KGpg die Signatur und meldet das Ergebnis des Vorgangs. Eine weitere Möglichkeit besteht darin, die signierte Datei in den Editor zu laden und auf (Signieren/Überprüfen) zu klicken.
8.7. Weiterführende Informationen¶
Umfassende Hintergrundinformationen zur Verschlüsselungsmethode finden Sie in den GPG-Projektseiten unter http://www.gnupg.org/documentation/index.en.html.