DEUTSCHE GNUPG ANLEITUNG

GnuPG und das Zusammenspiel mit anderen PGP Versionen

GnuPG und NAI PGP 6/7

GnuPG   NAI PGP 6/7
  • für PGP 6.5.8 spezielle Optionen Datei, bzw. Option --pgp6 nötig
  • für PGP 7 kann als symmetrischer Algorithmus auch TWOFISH eingesetzt werden
  • ab PGP 7.1 können alle Algorithmen verwendet werden
 
  • für die Verwendung eines GnuPG Keys in PGP 6 muss der GnuPG Key gesondert exportiert und reimportiert werden:
    1. Backup von pubring und secring.gpg
    2. über die Key Bearbeitung mit passwd eine leere Passphrase eingeben und damit die Passphrase löschen
    3. Keys exportieren
    4. Backups zurückspielen
    5. Keys in PGP importieren
    6. Passphrase eingeben
  • nach dem Import eines eigenen PGP Keys in den GnuPG Keyring muss mit
    1. gpg --edit-key Key-ID
    2. trust
    3. 5
    4. save
    der Trustparameter geändert werden

 

GnuPG und PGP CKT

GnuPG   CKT PGP 6.5.8
  • es können alle OpenPGP, bzw. GnuPG Optionen verwendet werden
 
  • CKT PGP Build 09 Beta 3 ist eine Alternative zu NAI PGP.
    Der Entwickler, Imad R. Faiad, hat, basierend auf dem Sourcecode von NAI PGP 6.5.8 viele Funktionen von PGP 7.X, bzw. GnuPG in CKT PGP integriert und aktualisiert seine Version mit den jeweils aktuellen Sicherheitspatches.
    Neben einer kompilierten Version ist auch der Sourcecode für PGP CKT Build 08 verfügbar.
    Anmerkung:
    die Lizenz von NAI PGP erlaubt die eigene Kompilierung des Quellcodes, untersagt aber jede Modifizierung des Quellcodes.
  • keine Anpassungen notwendig

 

GnuPG und PGP 2.6.3

GnuPG   PGP 2.6.3
  • kann PGP 2.6.3 Keys importieren und an diese verschlüsseln
  • kann nicht mit eigenen Keys PGP 2.6.3 Keys zertifizieren, die von PGP 2.6.3 Anwendern nutzbar wären
  • kann PGP 2.6.3 signierte Daten überprüfen
  • kann unter DOS/Windows nicht für PGP 2.6.3 lesbar gleichzeitig signieren & verschlüsseln. Stattdessen sind die Daten in zwei Schritten zuerst zu signieren und dann zu verschlüsseln
    Für Linux können die Kommandos laut Replacing PGP 2.x with GnuPG verwendet werden
  • spezielle Optionen Datei, bzw. Option --pgp2 nötig
 
  • kann keine GnuPG RSA Keys importieren, da PGP 2.6.3 Keys im v.3 Format nutzt, GnuPG Keys aber im v.4 Format
  • kann keine Signaturen überprüfen, die mit GnuPG Keys erstellt wurden kann nicht an, bzw. mit GnuPG Keys verschlüsseln
  • damit ein PGP 2.6.3 Anwender alle kryptografischen Funktionen bei der Kommunikation mit einem GnuPG Anwender nutzen kann, muss sich der GnuPG Anwender mit PGP 2.6.3 einen weiteren Key im v.3 Format erstellen, diesen in GnuPG importieren u. den Public Key dem PGP 2.6.3 Anwender zur Verfügung stellen
  • PGP 2.6.3 Anwender sollten nach GnuPG migrieren und sich mit GnuPG einen neuen Key erstellen

Optionen

Im GnuPG Verzeichnis die Datei gpg.conf mit einem Texteditor anlegen.
In dieser Datei legt man die Optionen fest, indem man die Optionen (siehe GPG Manual für alle Optionen) untereinander in ausgeschriebener Form auflistet, dabei die anführenden "--" entfernen.
Mit der GPGshell können mehrere Optionsdateien mit verschiedenen Konfigurationen gleichzeitig verwaltet und angewendet werden.
Auch die WinPT Shell besitzt einen Menüpunkt, über den eine spezielle Optionendatei geladen werden kann.

Für weitere Einstellungsmöglichkeiten siehe auch GnuPG Kommandos

Beispiel A (CKT PGP, NAI PGP 7.1.X & GnuPG kompatibel)

verbose oder quiet ausführliche oder knappe Anzeige
s2k-mode 3 Passphrase-Schutzmodus: 1=Passphrase mit Salt (Standard)/3=wiederholt 1 n Mal
s2k-digest-algo XY Hashverfahren XY (RIPEMD160,SHA1,TIGER192) zum Hashen der Passphrase (Standard: RIPE-MD 160)
s2k-cipher-algo XY Verfahren XY (TWOFISH, AES256 usw.) für die Verschlüsselung des Secret Keys (Passphrase) benutzen (Standard: BLOWFISH)
disable-cipher-algo XY Verschlüsselungsverfahren XY nicht benutzen
digest-algo XY Hashverfahren XY (RIPEMD160,SHA1) für das Signieren von Daten und Nachrichten benutzen
cert-digest-algo XY Hashverfahren XY (RIPEMD160,SHA1) für das Zertifizieren von Public Keys benutzen
ask-cert-expire beim Zertifizieren eines Public Keys wird nach der Gültigkeitsdaue des Zertifikats gefragt
default-key Key-ID Key, der standardmässig zum Signieren verwendet wird
default-recipient-self default-key wird benutzt, wenn kein Empfänger angegeben wird
default-recipient Key-ID Key mit Key-ID wird benutzt, wenn kein Empfänger angegeben wird
encrypt-to Key-ID Key mit Key-ID wird zusätzlich zum eigentlichen Empfängerkey mitbenutzt ("encrypt-to-self")
trusted-key Key-ID Key mit Key-ID ist genauso vertrauenswürdig eingestuft wie der eigene Secret Key
comment string Kommentarzeile, bei leerem string keine Kommentarzeile
load-extension LW:\Pfad\kryptomodul.dll kryptomodul.dll laden (s. o.)
charset iso-8859-1 Zeichensatz
escape-from-lines Behandlung der From Zeilen für E-Mail Versand von klartextsignierten Texten
compress-algo 2 Kompressionsalgorithmus zlib
default-preference-list S(1-10) H(1-3) Z(1-2) Vorgabe der bevorzugten Algorithmen für Keyerstellung und -aktualisierung
Details siehe nächste Seite
personal-cipher-preferences S(1-10) H(1-3) Z(1-2)
personal-digest-preferences S(1-10) H(1-3) Z(1-2)
personal-compress-preferences S(1-10) H(1-3) Z(1-2)
bei der Verschlüsselung werden nach einem Vergleich der bevorzugten Algorithmen des Keybesitzers mit den hier angegebenen Algorithmen die Algorithmen herangezogen, die beide gemeinsam haben. Gibt es keine Übereinstimmungen gilt: 3DES - SHA-1 - unkomprimiert
ignore-time-conflict nur Warnung bei widersprüchlichen Zeitstempeln
armor Verpackung mit ASCII Hülle
force-mdc Verschlüsselung mit Manipulation Detection Code Schutz erzwingen
default-cert-check-level n Standardeinstellung für Angabe des Überprüfungsgrades bei Zertifizierungen von GnuPG User Keys
show-photos
photo-viewer "LW:\Pfad\programm.exe optionen"
Anzeige von Foto-ID's mit angegebenem Bildanzeigeprogramm (z. B. gpgview.exe der GPGshell)
Achtung: Bei Nutzung der Option wird bei allen Key- und Signatur Anzeigen automatisch immer auch das Foto geladen und angezeigt (kann stattdessen auch fallweise per Kommando benutzt werden)
exec-path Verzeichnis (Verzeichnisn Suchpfade für die Keyserver Hilsmodule und das Bildanzeigeprogramm angeben
wenn Option nicht gesetzt ist, sucht GnuPG nach den Hilfsmodulen im einkompilierten Standardverzeichnis und nach dem Bildanzeigeprogramm in den Verzeichnissen der Suchpfad Ungebungsvariable des Betriebssystems
notation-data name="wert"

show-notation
fügt bei der Zertifizierung eines Pubkeys dem Zertifikat eine Anmerkung hinzu, Beispiel: hinweis=Mein Text
Anzeige der Zertifikat Anmerkungen bei Auflistung von Zertifikaten
set-policy-url URL-Adresse


show-policy-url
fügt bei der Zertifizierung eines Pubkeys dem Zertifikat eine URL hinzu, die auf ein Dokument hinweist, in dem die eigenen Richtlinien zur Beglaubigung von Public Keys niedergelegt sind.
Anzeige der Beglaubigungsrichtlinienadresse bei Auflistung von Zertifikaten
no-version bei Klartextsignaturen wird die GnuPG Versionszeile unterdrückt
keyring LW:/Pfad/pubring.gpg Eigenen Public Keyring Ort festlegen
secret-keyring LW:/Pfad/secring.gpg Eigenen Secret Keyring Ort festlegen
pgp7 setzt automatisch NAI PGP 7.X spezifische Optionen

Optionen, die mit pgp7 gesetzt werden.
(brauchen als eigenständige Option nicht mehr in der gpg.conf aufgeführt werden)

no-comment erzeugt keine Kommentarpakete bei der Erzeugung von Secret Keys
escape-from-lines Behandlung der From Zeilen für E-Mail Versand von klartextsignierten Texten
force-v3-sigs Signaturen im v.3 Format erzwingen
no-ask-sig-expire kein Verfallsdatum für Daten-Signaturen
compress-algo 1 Kompressionsalgorithmus zip verwenden
erlaubte Ciphers:
erlaubte Hashalgos:
AES128-256,TWOFISH,IDEA, CAST5, 3DES
MD5,SHA1,RIPEMD160

 

Beispiel B (NAI PGP 6.5.8 kompatibel)

charset iso-8859-1 Zeichensatz
cipher-algo XY Verschlüsselungsverfahren, die sich mit den Ciphers decken, die in den PGP Optionen festegelegt werden können (IDEA, CAST5, 3DES)
digest-algo XY Hashverfahren XY (RIPEMD160,SHA1) für das Signieren von Daten und Nachrichten benutzen
verbose oder quiet ausführliche oder knappe Anzeige
s2k-mode 3 Passphrase-Schutzmodus: 1=Passphrase mit Salt (Standard)/3=wiederholt 1 n Mal
s2k-digest-algo XY Hashverfahren XY (RIPEMD160,SHA1) zum Hashen der Passphrase (Standard: RIPEMD160)
s2k-cipher-algo XY Verfahren XY (IDEA,CAST5,3DES) für die Verschlüsselung des Secret Keys (Passphrase) benutzen
default-key Key-ID Key, der standardmässig zum Signieren verwendet wird
default-recipient-self default-key wird benutzt, wenn kein Empfänger angegeben wird
comment string Kommentarzeile, bei leerem string keine Kommentarzeile
load-extension LW:\Pfad\idea.dll IDEA Kryptomodul laden
ignore-time-conflict nur Warnung bei widersprüchlichen Zeitstempeln
armor Verpackung mit ASCII Hülle
default-cert-check-level n Standardeinstellung für Angabe des Überprüfungsgrades bei Zertifizierungen von GnuPG User Keys
show-photos
photo-viewer "LW:\Pfad\programm.exe optionen"
Anzeige von Foto-ID's mit angegebenem Bildanzeigeprogramm (z. B. gpgview.exe der GPGshell)
Achtung: Bei Nutzung der Option wird bei allen Key- und Signatur Anzeigen automatisch immer auch das Foto geladen und angezeigt (kann stattdessen auch fallweise per Kommando benutzt werden)
show-notation Anzeige der Zertifikat Anmerkungen bei Signaturauflistungen
keyring LW:/Pfad/pubring.gpg Eigenen Public Keyring Ort festlegen
secret-keyring LW:/Pfad/secring.gpg Eigenen Secret Keyring Ort festlegen
pgp6 setzt automatisch NAI PGP 6.5.X spezifische Optionen

Optionen, die mit pgp6 gesetzt werden.
(brauchen als eigenständige Option nicht mehr in der gpg.conf aufgeführt werden)

disable-mdc die Schutzfunktion des Manipulation Detection Code bei der Verschlüsselung nicht benutzen
no-comment erzeugt keine Kommentarpakete bei der Erzeugung von Secret Keys
escape-from-lines Behandlung der From Zeilen für E-Mail Versand von klartextsignierten Texten
force-v3-sigs Signaturen im v.3 Format erzwingen
no-ask-sig-expire kein Verfallsdatum für Daten-Signaturen
compress-algo 1 Kompressionsalgorithmus zip verwenden
erlaubte Ciphers:
erlaubte Hashalgos:
IDEA, CAST5, 3DES
MD5,SHA1,RIPEMD160

 

Beispiel C (PGP 2.6.3 kompatibel)

load-extension LW:\Pfad\idea.dll IDEA Modul laden
verbose oder quiet ausführliche oder knappe Anzeige
s2k-mode 3 Passphrase-Schutzmodus: 1=Passphrase mit Salt (Standard)/3=wiederholt 1 n Mal
s2k-digest-algo RIPEMD160 Hashverfahren XY zum Hashen der Passphrase (Standard: RIPE-MD 160)
s2k-cipher-algo AES256 Verfahren XY für die Verschlüsselung des Secret Keys (Passphrase) benutzen (Standard: BLOWFISH)
default-key Key-ID Key, der standardmässig zum Signieren verwendet wird
default-recipient-self default-key wird benutzt, wenn kein Empfänger angegeben wird
comment string Kommentarzeile, bei leerem string keine Kommentarzeile
charset iso-8859-1 Zeichensatz
ignore-time-conflict nur Warnung bei widersprüchlichen Zeitstempeln
armor Verpackung mit ASCII Hülle
default-cert-check-level n Standardeinstellung für Angabe des Überprüfungsgrades bei Zertifizierungen von GnuPG User Keys
show-photos
photo-viewer "LW:\Pfad\programm.exe optionen"
Anzeige von Foto-ID's mit angegebenem Bildanzeigeprogramm (z. B. gpgview.exe der GPGshell)
Achtung: Bei Nutzung der Option wird bei allen Key- und Signatur Anzeigen automatisch immer auch das Foto geladen und angezeigt (kann stattdessen auch fallweise per Kommando benutzt werden)
show-notation Anzeige der Zertifikat Anmerkungen bei Signaturauflistungen
keyring LW:/Pfad/pubring.gpg Eigenen Public Keyring Ort festlegen
secret-keyring LW:/Pfad/secring.gpg Eigenen Secret Keyring Ort festlegen
pgp2 setzt automatisch PGP 2.6.X spezifische Optionen

Optionen, die mit pgp2 gesetzt werden.
(brauchen als eigenständige Option nicht mehr in der gpg.conf aufgeführt werden)

disable-mdc die Schutzfunktion des Manipulation Detection Code bei der Verschlüsselung nicht benutzen
no-comment erzeugt keine Kommentarpakete bei der Erzeugung von Secret Keys
escape-from-lines Behandlung der From Zeilen für E-Mail Versand von klartextsignierten Texten
force-v3-sigs Signaturen im v.3 Format erzwingen
no-ask-sig-expire kein Verfallsdatum für Daten-Signaturen
no-ask-cert-expire kein Verfallsdatum für Key-Zertifikate
compress-algo 1 Kompressionsalgorithmus zip verwenden
rfc1991 dem Standard für die "PGP Nachrichtenaustauch Formate" entsprechen
cipher-algo IDEA IDEA verwenden
digest-algo MD5 MD5 als Hashalgorithmus verwenden
no-force-v4-certs deaktiviert die Erzwingung von Signaturen im Version 4 Format
no-openpgp keine Information verfügbar