DEUTSCHE PGP ANLEITUNG

PGP 6.5.8 in 8 Schritten für Eilige...

1. Nach der Installation widmen wir uns zuerst kurz den Grundeinstellungen von PGP

Optionen

Aufruf über Anklicken des PGPtrayicons, Menüpunkt "PGP Preferences"

GENERAL

Encryption and Signing Preferences
(Verschlüsselungs- und Signieroptionen)

Always encrypt to default Key

Bedeutet, dass eine Datei, Text o.a. nicht nur mit dem öffentlichen Schlüssel (Public Key) des Empfängers, sondern zusätzlich noch mit dem eigenen Schlüssel verschlüsselt wird.
So kann man selbst die verschlüsselte E-mail später wieder entschlüsseln.
Aktivieren

Key Generation Preferences
(Optionen zur Schlüsselerzeugung)

Faster Key generation
Betrifft die Erzeugung von DSS/Diffie-Hellmann Schlüssel, deren Länge fest vorgegeben ist.
Bei der Errechnung des Schlüsselpaars bei diesen Längen wird ein im voraus berechneter Satz von Primzahlen benutzt, um die Geschwindigkeit zu erhöhen.
Deaktivieren

File Wiping Preferences
(Dateilöschoptionen)

Number of passes
Hier kann eingestellt werden, wie oft der Inhalt einer zu löschenden Datei überschrieben wird.
10 Durchgänge eintragen

FILES

In diesem Menü werden die Pfade zum öffentlichen und privaten Schlüsselring (Pubring und Secring) angegeben.
Man kann die Schlüsselringe auf der Festplatte oder auf einem Wechselmedium abspeichern.

EMAIL

Use PGP/MIME when sending email

Betrifft E-Mailprogramme, für die ein PGP 5.X Plug-In existiert und die die MIME Implementation von PGP unterstützen.
Aktivieren, wenn man selbst und der Empfänger so ein E-mailprogramm benutzt

Word wrap clear-signed messages at column...

Damit wird eingestellt, ab welcher Breite der Zeilenumbruch der PGP Signatur bei E-Mails erfolgen soll, die unverschlüsselt versendet, aber mit einer PGP-Signatur versehen werden.
Generell sollte die Länge in PGP kürzer als im E-mailprogramm eingestellt werden, z. B. 73 in PGP, 75 im E-Mailprogramm

Encrypt new mesages by default

Alle E-Mails werden immer an den Empfänger verschlüsselt, so lange ein öffentlicher Schlüssel des Empfängers vorhanden ist.
Für E-mailprogramme, die den PGP/MIME Standrad und die PGP Plug-Ins unterstützen.

Sign new messages by default

Alle Postings und E-Mails werden immer signiert.
Für E-Mailprogramme, die den PGP/MIME Standrad und die PGP Plug-Ins unterstützen.

Automatically decrypt/verify when opening messages

Wird eine PGP verschlüsselte E-Mail geöffnet, wird sie, wenn gleichzeitig das Zwischenspeichern (Caching) des Passwortes eingestellt ist, automatisch entschlüsselt, bzw. die enthaltene Signatur geprüft.
Für E-Mailprogramme, die den PGP/MIME Standard und die PGP Plug-Ins unterstützen.

SERVER

Hier werden die Schlüsselverwaltungsrechner (Keyserver) eingetragen, die benutzen werden, um
  • eigene, öffentliche Schlüssel zu verbreiten
  • geänderte, öffentliche Schlüssel auf dem Keyserver abzugleichen
  • Rückzugsurkunden kompromittierter öffentlicher Schlüssel zu veröffentlichen
  • öffentliche Schlüssel anderer PGP Benutzer zu bekommen oder zu suchen
  • eigene, öffentliche Schlüssel zu löschen (betrifft nur die Keys auf dem NAI eigenen Certification Server)
Alternativ kann man das WWW-Keyserverinterfaces zum Keymanagement benutzen

ADVANCED

Encryption

im Feld "Enabled algorithms" werden die Verschlüsselungsalgorithmen CAST, Triple-DES und IDEA aktiviert, die benutzt werden sollen, um Dateien oder Texte konventionell zu verschlüsseln oder bei der Erzeugung des eigenen öffentlichen Schlüssels und späteren Benutzung herangezogen werden können.
Im "Preferred algorithm" (zu bevorzugenden Algorithmus) IDEA wählen.

Trust Model

Display Marginal Validity Level
Über diese Option wird unter der Spalte "Validity" (Gültigkeit) der Grad der Authentizität, die man einem Schlüssel zubilligt, entweder in Form verschiedenfarbiger Knöpfe/Rauten oder verschiedenschraffierter Balken angezeigt.

Export Format

Compatible
Bei dem Export eines öffentlichen Schlüssels aus dem Pubring (und Speichern als Datei) wird ein Dateiformat verwendet, das zu den vorherigen PGP Versionen kompatibel ist.
Diese Option sollte immer aktiviert sein mit der Ausnahme, dass bekannt ist, dass der Empfänger ebenfalls PGP 6 benutzt.
Complete
Bei dem Export eines öffentlichen Schlüssels aus dem Pubring (und speichern als Datei) wird das PGP 6 Dateiformat verwendet, das auch Angaben zu Foto-IDs und Designated Revokers enthält und nicht kompatibel zu vorherigen PGP Versionen ist.

2. Im nächsten Schritt erstellen wir einen RSA und einen Diffie-Hellmann/DSS Schlüssel

Um mit PGP verschlüsselte E-mails austauschen zu können, brauche ich einen öffentlichen Schlüssel (Public Key) und einen privaten Schlüssel (Secret oder Private Key), beide zusammen bilden mein Schlüsselpaar.
Den öffentlichen Schlüssel stelle ich allen Kommunikationspartnern zur Verfügung, damit sie mit meinem öffentlichen Schlüssel ihre E-mails an mich verschlüsseln können. Den privaten Schlüssel behalte ich, denn damit entschlüssele ich wieder die mit meinem öffentlichen Schlüssel verschlüsselten E-mails.

Vorgehensweise

  1. im Kontextmenü des PGPtrayicons "PGPkeys" oder direkt im Startmenü auf das PGPkeyicon klicken
  2. Menüpunkt "Keys"
  3. "New Key"
  4. Full Name: (Vorname) Nachname eingeben
  5. E-mail Address: die eigene E-mailadresse in der Form user@adresse eingeben
  6. Key-Typ RSA oder Diffie-Hellmann/DSS wählen -
  7. Key Pair Size (Schlüssellänge) wählen
    bei Diffie-Hellmann/DSS: unter "Custom" 4096 bits eintragen
    bei RSA: 2048 bits wählen
  8. unter "Key Expiration" (Schlüssel Ungültigkeit) "Key pair never expires" (Schlüssel ist immer gültig) wählen
  9. jetzt in beiden Textfeldern ein Passwort eingeben, dass mindestens 20 Zeichen umfasst und aus keinen Wörtern besteht, die auch in einem Wörterbuch zu finden wären, z. B. in der Form wie WedQu23_DaW///?Nurei
  10. Fertig stellen, dabei die automatische Versendung an den Keyserver erst einmal nicht benutzen

3. Im nächsten Schritt erstellen wir für die gerade erzeugten Schlüssel Rückzugsurkunden (Key Revocation)

Die Key Revocation dient dazu, den öffentlichen Schlüssel als zurückgezogen, bzw. ungültig zu erklären.
Warum jetzt schon ?
Es ist sinnvoll, bereits nach der Schlüsselerzeugung die Key Revocation für den eigenen öffentlichen RSA und Diffie-Helmman Schlüssel zu erzeugen, denn im Falle eines Verlustes oder Diebstahls des privaten Schlüssels und/oder des Passwortes, ohne vorher die Key Revocation erzeugt zu haben, kann der Schlüsselbesitzer die Key Revocation nicht mehr herstellen und damit seinen Schlüssel nicht als zurückgezogen, bzw. ungültig auf den Keyservern markieren.
Eine Löschung des eigenen öffentlichen Schlüssel durch die Betreiber der Keyserver ist nicht möglich.

Vorgehensweise

  1. beide Schlüsselbunddateien (pubring.*/secring.*) kopieren (z. B. Kopieren auf Diskette oder in ein anderes Verzeichnis)
  2. PGPkeys aufrufen
  3. den eigenen Schlüssel markieren
  4. im Kontextmenü zum Schlüssel den Eintrag "Revoke" oder im Menü "Keys" den Eintrag "Revoke" anklicken
  5. Sicherheitsabfrage mit "ja" bestätigen
  6. Passwort eingeben, danach erscheint der eigene Schlüssel mit einem roten Querbalken im PGPkeys Fenster
  7. den Schlüssel über Menü "Keys" Eintrag "Export" als Datei exportieren (z. B. als "RSArevoke.asc" und "DHrevoke.asc") - im Verzeichnisfenster keine weiteren Optionen aktivieren
  8. die Dateien sicher vor unbefugtem Zugriff abspeichern
  9. die im ersten Schritt gesicherten Schlüsselbundddateien komplett zurückkopieren und dabei die bestehenden Schlüsselbunddateien überschreiben

4. Im nächsten Schritt stellen wir unseren öffentlichen Schlüssel der Allgemeinheit zur Verfügung

Der eigene öffentliche Schlüssel muss veröffentlicht werden, damit Kommunikationspartner ihn zur Verschlüsselung von E-mails benutzen können. Dazu speichern wir den öffentlichen Schlüssel zuerst als Datei ab und versenden die Schlüsseldatei an einen Keyserver (das ist ein Rechner, auf dem unzählige öffentliche Schlüssel der anderen PGP Benutzer gespeichert werden) oder per E-mail an einen E-mailpartner

Vorgehensweise

  1. PGPkeys aufrufen
  2. den eigenen Schlüssel markieren
  3. im Menü "Keys" den Eintrag "Export" anklicken
  4. Verzeichnis und Dateiname wählen
    die Checkboxen "Include Private Keys" und "Include 6.0 Extensions" nicht aktivieren
  5. der öffentliche Schlüssel liegt als "MeinRSAPublicKey.asc" oder "MeinDSS/DHPublicKey.asc" vor
  6. den kompletten Inhalt der Schlüsseldatei im WWW-Keyserverinterfaces zum Keymanagement einfügen und abschicken und/oder die Datei an eine E-mail an den E-mailpartner anhängen, bzw den Inhalt der Schlüsseldatei in eine E-mail hineinkopieren und versenden

5. Im nächsten Schritt fügen wir den öffentlichen Schlüssel eines E-mailpartners unserem Schlüsselbund hinzu

Den öffentlichen Schlüssel haben wir auf verschiedenen Wegen erhalten:
  • ein E-Mailpartner hat uns seinen Schlüssel als E-Mail Anhang ("Dateiname.asc") oder Bestandteil einer E-Mail (in der E-Mail findet sich ein Schlüsselblock, der mit -----BEGIN PGP PUBLIC KEY BLOCK----- beginnt und mit -----END PGP PUBLIC KEY BLOCK----- aufhört) gesendet
  • wir haben die Datei, die den Schlüssel enthält ("Dateiname.asc"), von seiner Homepage im WWW heruntergeladen
  • der Schlüssel wird uns nach Eingabe einer Suchanfrage im WWW-Keyserverinterface zum Keymanagement im Browser angezeigt

Vorgehensweise

der Schlüsselblock wird angezeigt:
  1. Kontextmenü von PGPtray aufrufen
  2. Menüeintrag "(Use) current window"
  3. Menüeintrag "Decrypt & Verify"
  4. Button Import
der Schlüsselblock liegt als Datei vor:
  1. im Explorer die Datei doppelt anklicken
  2. Button Import

6. Im nächsten Schritt signieren wir eine E-Mail an einen Mailpartner

Mit der PGP-Signatur wird zum geschriebenen E-Mailtext mittels mathematischer Methoden eine Zeichenkette gebildet, die der Gesamtheit des Textes entspricht und somit eine Prüfsumme des Textes darstellt (Hash). Die Zeichenkette wird anschliessend mit dem eigenen, privaten Schlüssel verschlüsselt. Der Empfänger entschlüsselt mit meinem öffentlichen Schlüssel die Zeichenkette. Wurde der Text während der Übertragung verändert, entspricht der Wert der Zeichenkette nicht mehr dem Text, der Empfänger weiss nun, dass eine Veränderung, bzw. mögliche Fälschung vorliegt. Wurde der Text verändert und mit einem falschen Schlüssel signiert weitergeleitet, passt mein öffentlicher Schlüssel nicht mehr zur verschlüsselten Zeichenkette.

Vorgehensweise

  1. Kontextmenü von PGPtray aufrufen
  2. Menüeintrag "(Use) current window"
  3. Menüeintrag "Sign"
  4. Passwort für den eigenen Schlüssel eingeben

7. Im nächsten Schritt verschlüsseln wir eine E-Mail an einen Mailpartner

Vorgehensweise

  1. Kontextmenü von PGPtray aufrufen
  2. Menüeintrag "(Use) current window"
  3. Menüeintrag "Encrypt"
  4. im Schlüsselauswahlfenster (Recipient list) den Schlüssel des Empfängers mit der Maus in das untere Empfängerfenster (Recipients) ziehen
  5. Button OK
Wenn man eine E-Mail sowohl signieren, als auch an den Empfänger verschlüsseln will, wählt man statt Sign oder Encrypt einfach den Menüeintrag "Encrypt & Sign" aus.

8. Im nächsten Schritt entschlüsseln wir eine E-Mail, die wir von unserem Mailpartner erhalten haben

Meistens werden wir E-Mails erhalten, deren Inhalt vollständig verschlüsselt ist, so eine E-Mail beginnt mit -----BEGIN PGP MESSAGE----- und endet mit -----END PGP MESSAGE-----.
Nach der Entschlüsselung wird uns der Klartext von PGP angezeigt, ausserdem die User-ID (Name und E-Mailadresse) des Absenderschlüssels, falls unser Mailpartner die E-Mail zusätzlich signiert hat.
Wenn wir wiederum vorher den öffentlichen Schlüssel unseres Mailpartners auf Gültigkeit und Echtheit überprüft und ihn deshalb mit unserem privaten Schlüssel signiert hatten, wird zusätzlich der Status der Signatur als good oder valid ausgewiesen, andernfalls als bad oder invalid.

Vorgehensweise

  1. Kontextmenü von PGPtray aufrufen
  2. Menüeintrag "(Use) current window"
  3. Menüeintrag "Decrypt & Verify"
  4. Passwort für den eigenen Schlüssel eingeben