OpenPGP unter Linux

Die OpenPGP-Implementierung GnuPG bei allen nennenswerten Linux-Distributionen vorinstalliert. OpenPGP dient bei den meisten Linux-Distributionen auch nicht nur zur E-Mail Verschlüsselung, sondern auch zur Signierung und Verifizierung der integrierten Paketverwaltung. Es ist daher sehr gut unterstützt. Viele native E-Mail Programme wie Evolution, KMail oder Claws Mail greifen auf die interne Schlüsselverwaltung zurück. Die Schlüssel werden hierbei im Homeverzeichnis des Benutzers unter ./gnupg gespeichert.

Schlüsselpaar erzeugen und verwalten

Konsole

Ein neues Schlüsselpaar (bestehend aus dem privaten und dem öffentlichen Schlüssel) lässt sich unkompliziert auf der Konsole erzeugen.

gpg --gen-key

Die Standardvorgaben sollten dabei nur in begründeten Fällen verändert werden.

Direkt auf der Konsole lässt sich auch ein Widerruf-Zertifikat (revoke-key) erzeugen, für den Fall, dass man den Schlüssel eines Tages zurückziehen möchte.

gpg --gen-revoke <Kennung des Schlüssels>

Bei der Begründung hat man die freie Auswahl, da dies auf die Funktion des Rückruf-Zertifikats keinen Einfluss hat. Bei einem vorsorglich erstellten Widerruf-Zertifikat ist die Option 1 (Schlüssel ist nicht mehr sicher) sinnvoll, da dies der wahrscheinlichste Grund eines zukünftigen Rückrufs ist. Das hierdurch erstellte Zertifikat sollte sicher aufbewahrt werden. 

Grafische Programme

Es gibt diverse grafische Aufsätze für GnuPG, weshalb sich Schlüssel auch ohne den direkten Zugriff auf die Konsole erzeugen und verwalten lassen. Bekannt sind Kleopatra für Qt-basierte Desktopumgebungen und Seahorse für GTK-basierte Desktops.

In diesen Programmen können sowohl bestehende Schlüssel eingelesen, als auch neue erstellt werden. Dazu wählt man beispielsweise in Seahorse im Menü Datei / Neu. In der folgenden Abfrage legt man fest welcher Schlüsseltyp benötigt wird. Anschließend erfolgt eine Abfrage wichtiger Daten wie Passwörter etc.

Viele grafische Aufsätze unterstützen jedoch nicht alle Funktionen von GnuPG. Einen Revoke-Key muss man deshalb oft trotzdem auf der Konsole erzeugen.

Die folgenden drei Screenshots zeigen exemplarische den geführten Dialog zur Erzeugung eines Schlüssels in Seahorse.

Anschließend muss das entsprechende E-Mail Programm noch angewiesen werden den Schlüssel zu verwenden.

Mozilla Thunderbird

Sicherheitshinweis

Ein Audit hat in Thunderbird strukturelle Sicherheitsprobleme zutage gefördert. Einige dieser Probleme lassen sich nicht kurzfristig lösen. Bis Thunderbird hier Lösungen erarbeitet hat ist ein Verzicht auf den Einsatz nicht überprüfter Addons ratsam.

Mozilla Thunderbird bietet, obwohl es ein weit verbreitetes Open Source Programm ist, keine integrierte PGP-Verschlüsselung. Die OpenPGP-Integration kann über das AddOn Enigmail nachgerüstet werden, welches auf GnuPG basiert und auch mittels beispielsweise Seahorse verwaltete Schlüssel berücksichtigt. Die Oberfläche von Enigmail bietet aber auch die Möglichkeit selbst einen Schlüssel zu erzeugen und zu verwalten.

Manche Linux-Distributionen wie Debian, openSUSE und Ubuntu haben Enigmail in ihre Paketquellen aufgenommen. In diesem Fall ist es ratsam das AddOn aus selbigen zu installieren. Ansonsten kann eine XPI-Datei von der Herstellerseite heruntergeladen und installiert werden.

  • Debian

    # apt-get install enigmail
  • Ubuntu

    $ sudo apt-get install enigmail
  • openSUSE

    # zypper in enigmail

Nach der Installation muss man Enigmail noch zur Verwendung konfigurieren. Beim ersten Verfassen einer E-Mail kommt daher eine Konfigurationsabfrage, in der man einige selbsterklärende Einstellungen vornehmen kann. Wer sich nicht auskennt, macht nichts falsch die Standardwerte beizubehalten. Das gleiche gilt für den darauffolgenden Schritt, mit dem Unterschied, dass man hier die Auswahl unbedingt auf PGP/MIME belassen sollte. Inline-PGP hat z.B. bei der Verschlüsselung von Anlagen einige Schwächen und kann deren Vorhandensein nicht verschleiern.

Neue E-Mail Nachrichten bieten dann ab sofort zwei Schaltflächen zum signieren und verschlüsseln der Nachrichten.

Über

[Mer]Curius bietet Informationen zur technischen Dimension des Datenschutz im digitalen Bereich. Neben permanent aktualisierten Artikeln zu Betriebssystemen, Verschlüsselung und Kommunikationsabsicherung werden im Blog aktuelle Trends präsentiert und kommentiert.

Top