OpenPGP-Schlüssel verwalten

Diese Anleitung bietet eine Schritt-für-Schritt-Anleitung zum Erstellen von OpenPGP-Schlüsselpaaren, Exportieren von Schlüsseln an Schlüsselserver und Finden von OpenPGP-Schlüsseln, um mit anderen sicher zu kommunizieren.

Erster und wichtigster Schritt

Lies die Anleitung OpenPGP: optimales Vorgehen, um sicherzustellen, dass dein System starke Schlüssel erstellt und Schlüssel-Aktualisierungen von gut verwalteten Schlüssel-Servern empfangen werden. Dazu sind Änderungen an der Datei gpg.conf nötig, welche sich je nach System an verschiedenen Orten befinden kann, bei Linux befindet sie sich in ~/.gnupg/gpg.conf.

Linux

Benutzung der GNOME-Anwendung Seahorse

Was ist Seahorse?

Seahorse ist ein graphisches (GUI) Werkzeug zum Verwalten von OpenPGP-Schlüsseln, dem sicheren Speichern von Passwörtern und Erstellen von SSH-Zertifikaten. Es benutzt GPG als Schnittstelle zur OpenGPG-Implementation.

Erstelle und exportiere ein OpenPGP-Schlüsselpaar

  1. Starte Seahorse. Es sollte bei Debian/Ubuntu bereits installiert sein.
  2. Wähle GnuPG-Schlüssel
  3. Erstelle einen neuen Schlüssel durch Klick auf das +
  4. Wähle PGP-Schlüssel
  5. Gib deine E-Mailadresse und den gewünschten Namen ein. Das muss nicht dein realer Name sein.
  6. Wähle Erweiterte Schlüsseleinstellungen
  7. Verschlüsselungs-Typ sollte RSA sein.
  8. Schlüssellänge sollte 3072 sein.
  9. Das Ablaufdatum sollte innerhalb von zwei Jahren liegen. Du kannst das Ablaufdatum jederzeit ändern, solange du Zugriff auf den Schlüssel hast, auch nachdem der Schlüssel abgelaufen ist. Warum sollte ich ein Ablaufdatum setzen
  10. Gib ein starkes Passwort ein, an das du dich erinnern kannst. Wenn du das Passwort vergisst, kann es nicht wiederhergestellt werden und du verlierst den Zugriff auf alle damit verschlüsselten Daten, auch E-Mails, für immer.
  11. Dein Computer wird nun einen neuen Schlüssel erstellen, was eine Weile dauern kann. Danach hast du ein OpenGPG-Schlüsselpaar, das direkt benutzt werden kann — Super! Du kannst die Schlüsseleinstellungen verwalten, den öffentlichen Schlüssel exportieren, das Passwort ändern, löschen und/oder den Schlüssel widerrufen und andere Einstellungen mit Seahorse oder von der Kommandozeile aus vornehmen.
  12. Optional An diesem Punkt kannst du deinen öffentlichen Schlüssel an einen Schlüsselserver schicken, von wo andere ihn anfordern können, um verschlüsselte Daten an dich zu schicken. Bevor du weiter machst, wähle einen sicheren Schlüsselserver. Sobald du bereit bist:
    1. Wähle den/die Schlüssel, den/die du exportieren möchtest. Halte Strg und klicke auf die Schlüssel, um sie auszuwählen, oder drücke Strg+A, um alle Schlüssel auszuwählen.
    2. Gehe zu Entfernt → Schlüssel abgleichen und veröffentlichen
    3. Drücke den Knopf Schlüssel-Server
    4. Veröffentliche die Schlüssel zu einem Server (wähle einen aus, wenn der Knopf Abgleichen auf dem vorherigen Schirm ausgegraut war); sie synchronisieren sich alle untereinander, dein Schlüssel wird auf allen verfügbar sein.
  13. Empfohlen: Aktiviere unter Bearbeiten > Einstellungen die Funktion Schlüssel automatisch von den Schlüssel-Servern abrufen, aber lasse Veränderte Schlüssel automatisch mit den Schlüssel-Servern abgleichen deaktiviert. Statt dessen benutze parcimonie.
    1. Drücke den Knopf Schließen und Abgleichen, um deine Schlüssel zu synchronisieren.

Dein öffentlicher Schlüssel wird nun auf den Schlüssel-Servern veröffentlicht und ist danach für andere verfügbar!

Deinen oder andere OpenPGP-Schlüssel importieren

Wenn du mit anderen sicher kommunizieren möchtest, oder Daten verschlüsseln willst, die nur sie lesen können, musst du ihren öffentlichen Schlüssel zuerst deinem Schlüsselbund hinzufügen. Beachte: Der Name John Q. wird ab hier verwendet als Beispiel für einen Menschen, den du suchst, nicht dich selbst.

Importieren aus einer Datei

Wenn dir eine Datei mit einem Schlüssel geschickt wird, kannst du ihn so mit Seahorse importieren:

  1. Gehe auf DateiImportieren…
  2. Suche die Datei, wähle sie aus und drücke auf den Knopf Öffnen.

Der Schlüssel in der Datei wurde nun in deinen Schlüsselbund importiert!

Suchen auf Schlüssel-Servern

  1. Gehe zu Entfernt > Entfernte Schlüssel suchen in Seahorse
  2. Tippe einige Worte (oder einen Namen oder Alias), um nach Schlüssel auf dem Schlüssel-Server zu suchen. Das Beste ist, nach einer E-Mailadresse zu suchen, weil diese direkt mit dem Schlüssel verbunden ist.
  3. Schau dir die angebotene Liste genau an und suche den Schlüssel der Person, die du suchst. Weitere Informationen erhälst du durch Klicken auf Eigenschaften
  4. Sobald du die gewünschten Schlüssel ausgewählt hast, klicke Importieren.

Öffentliche Schlüssel wurden deinem Schlüsselbund angehängt!

Schlüssel verifizieren

Schlüssel können von allen bei Schlüsselservern veröffentlicht werden. Suche zum Beispiel spaßeshalber nach Edward Snowdens Schlüssel. Es gibt viele davon! Bevor du einen Schlüssel benutzt, solltest du den Fingerabdruck mit der Person austauschen, mit der du kommunizieren möchtest. Das solltest du nicht per Mail tun! Die beste Praxis ist, den Fingerabdruck persönlich zu vergleichen. Mindestens solltest du mit der Person sprechen (Stimme/Video), um zu wissen, dass du mit der richtigen Person kommunzierst. Um den Fingerabdruck zu vergleichen, folge diesen Schritten:

  1. Öffne seahorse
  2. Im Menu wähle Ansicht > Alle anzeigen
  3. Suche den bereits importierten Schlüssel
  4. Wähle Eigenschaften (Rechtsklick)
  5. Wähle Details
  6. Vergewissere dich, dass Inhaber*in und Fingerabdruck richtig sind!

Nachdem du den Fingerabdruck sorgfältig überprüft und die Korrektheit mit der Eigentümer*in bestätigt hast, kannst du den Schlüssel mit deinem eigenen Schlüssel unterschreiben:

  1. Wähle im selben Fenster den Reiter Vertrauen drücke den Knopf Diesen Schlüssel signieren.
  2. Signiere den Schlüssel, um anzuzeigen, wie sorgfältig du den Schlüssel überprüft hast. Auch wenn du Überhaupt nicht auswählst, kannst du den Schlüssel für E-Mail- und Datenverschlüsselung wählen. Du kannst auch einstellen, dass andere deine Signatur nicht sehen können, oder dass du die Unterschrift später widerrufen können möchtest.
  3. Drücke Signieren.

Nun kannst du anfangen, Daten zu verschlüsseln, die nur von der Schlüsselinhaber*in entschlüsselt werden können, um einen sicheren Kommunikationskanal zu etablieren!

Benutzung der Linux-Kommandozeile

Diese Anleitung basiert auf der GPG-Anleitung für Ubuntu (englisch)

Stelle sicher, dass die richtigen Standards eingestellt sind

Siehe OpenPGP: optimales Vorgehen bevor du weitermachst, um sicherzustellen, dass die richtigen Standards eingestellt sind.

OpenPGP-Schlüsselpar mit GPG erstellen

Drücke Alt+F2 und gib gnome-terminal ein, danach drücke enter. Tippe gpg --gen-key ins Terminal, das sollte dieses Menü öffnen:

Please select what kind of key you want:
  (1) RSA and RSA (default)
  (2) DSA and Elgamal
  (3) DSA (sign only)
  (4) RSA (sign only)

Wähle den gewünschten Typ. RSA and RSA sind empfohlen. (sign only)-Schlüssel können nicht zur Verschlüsselung benutzt werden.

Als nächstes wähle die Größe. 3072 ist empfohlen.

What keysize do you want? (2048)

Danach stelle ein, wie lange der Schlüssel gültig sein soll und drücke y. Wenn du 0 wählst, läuft der Schlüssel nie ab und du musst ihn widerrufen, wenn du ihn nicht mehr nutzen möchtest. Es wird empfohlen, dass der Schlüssel innerhalb von 2 Jahren abläuft.

Please specify how long the key should be valid.
     0 = key does not expire
   <n> = key expires in n days
   <n>w = key expires in n weeks
   <n>m = key expires in n months
   <n>y = key expires in n years
Key is valid for? (0)

Gib Name und E-Mailadresse, aber keinen Kommentar ein ein. Name und E-Mailadresse kannst du frei wählen und müssen nicht notwendigerweise stimmen. Wenn der OpenPGP-Schlüssel zum Verschlüsseln von E-Mails benutzt werden soll, gib die entsprechende Adresse bei der Abfrage “Email address” ein.

You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
  "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
Real name: John Q. Alias
Email address: the-email-youre-going-to-use@whatever.tld
Comment:
  1. Gib ein starkes Passwort ein, an das du dich erinnern kannst. Wenn du das Passwort vergisst, kann es nicht wiederhergestellt werden und du verlierst den Zugriff auf alle damit verschlüsselten Daten, auch E-Mails für immer.
    Wenn du enter drückst, wird ein Schlüsselpaar erstellt.

Dein OpenPGP-Schlüsselpaar (öffentlich/privat) wurde erstellt!

Schlüssel anzeigen

Du kannst deine Schlüssel mit diesem Befehl anzeigen:
gpg --list-secret-keys

Die Ausgabe sollte in etwa so aussehen:

sec   4096R/0xE361D8GH916EFH89 2014-05-14 [expires: 2016-05-14]
      Key fingerprint = 1234 5678 90AB CDEF GH01  2344 5678 9012 ABCE FGH1
uid                            John Q. Alias <the-email-youre-going-to-use@wherever.tld>
ssb   4096R/0x40339E25E2F2D99E 2014-05-14

Du findest die Schlüssel-ID in der ‘sec’-Zeile. Sie enthält die Schlüsselstärke und abgekürzt den Schlüssel-Typ (4096 in der ersten Zeile), einen Schrägstrich, die Schlüssel-ID und das Erstellungsdatum. Zur Veranschaulichung:

sec   4096R/0xE361D8GH916EFH89 2014-05-14 [expires: 2016-05-14]
            ^Schlüssel-ID^
      Key fingerprint = 1234 5678 90AB CDEF GH01  2344 5678 9012 ABCE FGH1
uid                            John Q. Alias <the-email-youre-going-to-use@wherever.tld>
ssb   4096R/0x40339E25E2F2D99E 2014-05-14

In diesem Beispiel lautet die Schlüssel-ID also E361D8GH916EFH89.

Allerdings solltest du dich, wie hier beschrieben, nicht auf die Schlüssel-ID verlassen. Benutze stattdessen den ganzen Fingerabdruck für alle Operationen.

Öffentlichen OpenPGP-Schlüssel exportieren/publizieren

  1. Drücke Alt+F2 und starte gnome-terminal
  2. Exportiere eine ASCII-geschützte Version deines öffentlichen Schlüssels:
    gpg --export -a <<fingerprint>> > mykey.asc

Dein ASCII-geschützter öffentlicher Schlüssel befindet sich jetzt in der Datei mykey.asc im aktuellen Ordner (gewöhnlich dein ‘home’-Ordner). Jetzt kannst du den Schlüssel verschicken, damit dir andere für dich verschlüsselte Dateien schicken können.

Öffentlichen OpenPGP-Schlüssel bei einem Schlüssel-Server veröffentlichen

Um deinen öffentlichen Schlüssel an einen Schlüssel-Server zu schicken

  1. drücke Alt+F2 und starte: gnome-terminal
  2. tippe gpg --send-keys <<fingerprint>>
    wobei <> der Fingerabdruck des zu veröffentlichenden Schlüssels ist. Hoffentlich hast du bereits einen [[guten Schlüssel-Server eingestellt → /gpg-best-practices#selecting-a-keyserver-and-configuring-your-machine-to-refresh-your-keyring].

Windows

Die Windows-Version dieser Anleitung ist veraltet und wurde noch nicht übersetzt. Wenn du Windows benutzt, kannst du uns helfen sie zu aktualisieren und zu übersetzen! Siehe unser github-Archiv für Hilfe-Seiten, um zu erfahren wie

Es wird nicht empfohlen Windows für sichere Kommunikation zu verwenden. Während Windows abgesichert werden kann, um es sichererer als die Standardumgebung zu machen, geht die Tendenz bei Windows in Richtung sehr laxer Sicherheit. Es gibt eine Vielfalt voreingebauter Exploits, die es einfach machen, das System anzugreifen und zu kompromittieren. Hier ein paar Stichpunkte gegen die Verwendung von Windows für sichere Kommunikation:

  • weitreichende Verbreitung von Schadsoftware/Trojanern/Viren, die Tastatureingaben mitspeichern (und damit Verschlüsselung umgehen), oder andere Informationen mitloggen könnten
  • Regierungen benutzen Windows für gezieltes Hacken und installieren Schadsoftware, während Microsoft darüber Bescheid weiß.
  • Windows benutzt gewöhnlich ein unverschlüsseltes Dateisystem und das Hauptverschlüsselungswerkzeug ist proprietär und kann nicht auf Sicherheitslücken, Hintertüren, oder anderen Schwachstellen überprüft werden.
  • Nutzungskonten sind standardmäßig Admins
  • Weil Windows proprietär ist der offen liegt Quellcode, gibt es keine wirksame Analyse nach Defekten, Hintertüren, oder allem, was “nach Hause telefoniert”. Alle Geheimnisse, die du auf deinen Rechner tust, traust du Microsoft an.

Als Plattform für sichere Kommunikation empfehlen wir, eine Distribution freier Software basierend auf GNU Linux wie Debian (empfohlen), oder Ubuntu (Vorsicht wegen Problemen bei der Verletzung der Privatssphäre) zu installieren.

Install Gpg4win

Gpg4win" is the recommended OpenPGP implementation for windows. It is Free Software, licensed under the GPL, with the source code available for modification or scrutiny.

  1. Download Gpg4win"
  2. Herunterladen von Gpg4win"
  3. Doppelklicke die ausführbare Datei um die Installtion zu starten
  4. Wähle die gewünschte Sprache
  5. Drücke Weiter
  6. Der nächsten Schritt fordert auf, die [GNU General Public License→en.wikipedia.org/wiki/General_Public_License] (die GPL-Lizenz) zu akzeptieren, welche vollständig hier zu lesen ist: [GNU.org→www.gnu.org/licenses/gpl.html]. Drücke Weiter.
  7. Wähle die gewünschten Komponenten zur Installation. Die Standardeinstellung ist empfohlen. [Claws-Mail→en.wikipedia.org/wiki/Claws_Mail] ist ein praktisches Betriebssystem übergreifendedes Emailprogramm für Linux, Windows, Mac OS X, und andere. GpgOL installiert das Plugin, um OpenPGP mit dem Outlook-Emailprogramm zu verwenden.
  8. Wähle den Installations-Ordner (der Standard ist empfohlen).
  9. Wähle gewünschte Verknüpfungen
  10. Gib Namen für alle Verknüpfungs-Ordner ein und beginne die Installation. Begutachte die README, oder nicht, und klicke um zu beenden.

Gpg4win ist nun auf Deinem System installiert und bereit zur Benutzung!

Erstelle und Exportiere ein OpenPGP-Schlüsselpaar (öffentlich/privat)

  1. Drücke den Knopf Schließen und Abgleichen, um deine Schlüssel zu synchronisieren.
  1. Starte Seahorse. Es sollte bei Debian/Ubuntu bereits installiert sein.
  2. Wähle GnuPG-Schlüssel
  3. Erstelle einen neuen Schlüssel durch Klick auf das +
  4. Wähle PGP-Schlüssel
  5. Gib deine E-Mailadresse und den gewünschten Namen ein. Das muss nicht dein realer Name sein.
  6. Wähle Erweiterte Schlüsseleinstellungen
  7. Verschlüsselungs-Typ sollte RSA sein.
  8. Schlüssellänge sollte 3072 sein.
  9. Das Ablaufdatum sollte innerhalb von zwei Jahren liegen. Du kannst das Ablaufdatum jederzeit ändern, solange du Zugriff auf den Schlüssel hast, auch nachdem der Schlüssel abgelaufen ist. Warum sollte ich ein Ablaufdatum setzen
  10. Gib ein starkes Passwort ein, an das du dich erinnern kannst. Wenn du das Passwort vergisst, kann es nicht wiederhergestellt werden und du verlierst den Zugriff auf alle damit verschlüsselten Daten, auch E-Mails, für immer.
  11. Dein Computer wird nun einen neuen Schlüssel erstellen,

Erstelle und Exportiere ein OpenPGP-Schlüsselpaar (öffentlich/privat)

Kleopatra scheint der aktuellste and anwendungsfreundlichste der zwei Gpg4win-Schlüsselverwaltungsprogramme für Windows zu sein, daher empfiehlt diese Anleitung Kleopatra.

  1. Starte Kleopatra mit dem installierten Symbol (standard: StartAlle ProgrammeGpg4winKleopatra)
  2. Klicke DateiNeues Zertifikat… oder Strg+N.
  3. Klicke Erstelle OpenPGP-Schlüsselpaar
  4. Gib Name, Email-Adresse und wenn gewollt Kommentar ein (nicht empfohlen). Name und Email-Adresse sind beliebig wählbar, nicht notwendigerweise Dein realer Name und Email-Adresse. If you want to use your OpenPGP key for encrypting email, put the email address you want to use with encryption in the “Email address” box. When finished, click the Advanced Settings… button.
  5. Unter Erweiterte Einstellungen… wähle Schlüsseltyp und -stärke, empfohlen: RSA,3,072 bits, zum Signieren und Verschlüsseln. Klicken Ok und Weiter
  6. überprüfe die Informationen und bestätige, um das Schlüsselpaar zu erstellen
  7. Gib ein starkes Passwort ein, an das du dich erinnern kannst. Der Stärke-Balken gibt eine Schätzung, wie stark das Passwort ist, 100% zu erreichen ist empfohlen. Wenn du das Passwort vergisst, kann es nicht wiederhergestellt werden und du verlierst den Zugriff auf alle damit verschlüsselten Daten, auch E-Mails, für immer.

Dein Computer wird nun einen neuen Schlüssel erstellen, was eine Weile dauern kann. Danach hast du ein OpenGPG-Schlüsselpaar, das direkt benutzt werden kann — Super!

An diesem Punkt kannst Du

  • den öffentlichen Schlüssel an einen Schlüsselserver schicken, von wo andere ihn anfordern können, um verschlüsselte Daten an dich zu schicken. Bevor du weiter machst, wähle einen sicheren Schlüsselserver. Sobald du bereit bist:
  • eine Kopie auf einem verschlüsselten Datenträger erstellen
  • den offentlichen Schlussel per Email verschicken
  • den Assistenten beenden

Unter Schlüsseleinstellungen verwalten kannst Du den öffentlichen Schlüssel exportieren, das Passwort ändern, löschen und/oder den Schlüssel widerrufen.

Finde oder importiere einen OpenPGP-Schlüssel

Um anderen verschlüsselt zu schreiben, muss deren offentlicher Schlüssel dem lokalen Schlüsselbund hinzugefügt werden.

Importieren von einer Datei

Wenn Du eine Schlüsseldatei erhalten hast, kann diese mit Kleopatra importiert werden:

  1. Klicke den Importiere Zertifikate-Knopf
  2. Finde und wähle die Datei, drücke den Öffnen-Knopf

Der Schlüssel aus der Datei sollte nun in den lokalen Schlüsselbund kopiert worden sein.

Von Schlüsselserver herunterladen

  1. In Kleopatra gehe zu DateiLookup Certificates on Server…
  2. Tippe einige Schlagworte (Name / Alias / Email-Adresse), um auf dem Schlüsselserver zu suchen
  3. Wähle von den gefundenen den passenden Schlüssel aus, drücke ggf. auf Details…
  4. Klicke Importieren.

Die gewählten Schlüssel sollten nun dem lokalen Schlüsselbund hinzugefügt worden sein. Nachdem Du den Fingerabdruck überprüft hast (siehe oben, warum das wichtig ist), kannst Du den Schlüssel verwenden und ggf. signieren.

Signieren eines Schlüssels

  1. Klicke auf den Reiter Importierte Zertifikate oder Andere Zertifikate.
  2. Rechtsklick auf den zu signierenden Schlüssel und wahle Signieren…
  3. Wähle die ID und klicke Weiter
  4. Wähle, ob dieses Zertifikat für andere sichtbar sein soll, oder nur lokal
  5. Drücke Signieren

Mac OS X

Wir haben leider keine MacOS-Version dieser Anleitung. Wenn du MaxOS benutzt, kannst du uns helfen sie zu schreiben! Siehe unser github-Archiv für Hilfe-Seiten, um zu erfahren wie

Es wird nicht empfohlen, Mac OS X als sichere Kommunikationsplattform zu benutzen. Während es weniger Sicherheitslücken gibt und es im Allgemeinen sicherer als Windows ist, hat OS X in der Vergangenheit eine geringe Geschwindigkeit bei Sicherheitsaktualisierungen gezeigt. Außerdem ist durch die große Zahl proprietärer Software und Pakete eine genaue Analyse nach Hintertüren, oder alles, was “nach Hause telefoniert” unmöglich. Zudem bietet es Hintertüren, die durch Hacker, Regierungen und Unternehmen ausgenutzt werden können. Einige Stichpunkte zu OS X und Sicherheit:

  • Basiert zum Großteil auf proprietärer Software, die nicht verändert oder analysiert werden kann.
  • Die Kamera kann von Ferne angestellt werden, was als “Funktion” beworben wird, falls der Laptop gestohlen wird. Allerdings kann es auch ausgenutzt werden und schränkt damit dein Privatssphäre ein.
  • Das Dateisystem ist standardmäßig nicht verschlüsselt und das verfügbare Werkzeuge hat unzureichende Sicherheit.

Als Plattform für sichere Kommunikation empfehlen wir, Linux zu installieren. Siehe [Installing Ubuntu Linux]