Linux-Distributionen verwenden für die OpenPGP-Implementierung GnuPG (GPG). Dieses ist bei allen Linux-Distributionen vorinstalliert. Es wird nicht nur für die Signatur und Verschlüsselung von Mails genutzt, sondern auch für andere Sachen wie die Signierung der Paketquellen. Es ist daher sehr gut unterstützt.
Durch die zentrale Implementierung via GPG werden Schlüssel zentral generiert und verwaltet. Die Schlüssel werden hierbei im Homeverzeichnis des Benutzers unter ./gnupg gespeichert. Nahezu alle verfügbaren E-Mail-Programme wie Evolution, KMail oder Claws Mail greifen auf die interne Schlüsselverwaltung zurück.
Schlüsselpaar erzeugen und verwalten
Konsole
Ein neues Schlüsselpaar (bestehend aus dem privaten und dem öffentlichen Schlüssel) lässt sich unkompliziert auf der Konsole erzeugen.
gpg --gen-keyDie Standardvorgaben sollten dabei nur in begründeten Fällen verändert werden.
Direkt auf der Konsole lässt sich auch ein Widerruf-Zertifikat (revoke-key) erzeugen, für den Fall, dass man den Schlüssel eines Tages zurückziehen möchte. Das ist unbedingt zu empfehlen, vor allem wenn man beabsichtigt, seinen Schlüssel über einen Keyserver zu teilen.
gpg --gen-revoke <Kennung des Schlüssels>Bei der Begründung hat man die freie Auswahl, da dies auf die Funktion des Rückruf-Zertifikats keinen Einfluss hat. Bei einem vorsorglich erstellten Widerruf-Zertifikat ist die Option 1 (Schlüssel ist nicht mehr sicher) sinnvoll, da dies der wahrscheinlichste Grund eines zukünftigen Rückrufs ist. Das hierdurch erstellte Zertifikat sollte sicher aufbewahrt werden.
Grafische Programme zur Schlüsselverwaltung
Es gibt diverse grafische Aufsätze für GnuPG, weshalb sich Schlüssel auch ohne den direkten Zugriff auf die Konsole erzeugen und verwalten lassen. Bekannt sind Kleopatra für Qt-basierte Desktopumgebungen und Seahorse für GTK-basierte Desktops. Während Seahorse neben GnuPG-Zertifikaten auch die Oberfläche für den GNOME-Schlüsselbund bildet und damit den Desktop-weiten Passwortspeicher verwaltet, ist Kleopatra eine dezidierte Oberfläche für die Zertifikatsverwaltung. Im Gegensatz zu Seahorse lassen sich hier auch S/MIME Zertifikate organisieren.
In diesen Programmen können sowohl bestehende Schlüssel eingelesen als auch neue erstellt werden. Dazu wählt man beispielsweise in Seahorse im Menü Datei / Neu. In der folgenden Abfrage legt man fest, welcher Schlüsseltyp benötigt wird. Anschließend erfolgt eine Abfrage wichtiger Daten wie Passwörter etc.
Viele grafische Anwendungen unterstützen jedoch nicht alle Funktionen von GnuPG. Beispielsweise muss ein Revoke-Key oft trotzdem auf der Konsole erzeugt werden.
Konfiguration im E-Mail Programm
Nachdem man erfolgreich einen Schlüssel erzeugt hat, muss das entsprechende E-Mail Programm noch angewiesen werden, den Schlüssel zu verwenden. Die Vorgehensweise unterscheidet sich je nach genutztem Programm. KMail und Evolution erkennen vorhandene Schlüssel in der Regel automatisch.
Evolution
Das E-Mail Programm Evolution erkennt Schlüssel automatisch. In den Einstellungen kann zusätzlich den einzelnen Konten ein spezifischer Schlüssel zugewiesen und die Einstellungen für die Verschlüsselung festgelegt werden.
Dazu unter Einstellungen im Abschnitt E-Mail Konten ein Konto bearbeiten. Dort kann man eine spezifische Schlüsselkennung hinterlegen und festlegen, ob E-Mails standardmäßig signiert und/oder verschlüsselt verschickt werden sollen.
Kontact / KMail
Unter Einstellungen / KMail einrichten muss im Abschnitt Zugänge die passende Identität aufgerufen werden. Dort kann im Reiter Kryptografie der passende Schlüssel zugeordnet werden.
Normalerweise sollte KMail den Schlüssel bereits automatisch über die angegebene E-Mail Adresse erkannt und geordnet haben. Zusätzlich kann man festlegen, ob E-Mails automatisch signiert werden sollen und wenn möglich verschlüsselt. Letzteres setzt einen bekannten öffentlichen Schlüssel des Kommunikationspartners voraus.
Mozilla Thunderbird
Mozilla Thunderbird bietet in den neuesten Versionen eine integrierte E-Mail Verschlüsselung, welche das bisher häufig verwendete AddOn Enigmail überflüssig macht.
Siehe: