DEUTSCHE PGP ANLEITUNG

Kompatibilitätsvergleich zwischen PGP 5/6 und PGP 2.6.3

Von PGP 2.6.3 zu PGP 5/6

  • Da PGP 5/6 abwärtskompatibel ist, kann es RSA-Keys, die mit PGP 2.6.3 erstellt wurden in seine Keyrings aufnehmen
    Je nach verwendeter PGP 2.6.3 Version können das 2048, 4096, 8192-bit grosse Keys sein
  • Ebenso können mit PGP 2.6.3 verschlüsselte oder/und signierte Daten von PGP 5/6 entschlüsselt und überprüft werden
  • Wenn man zu PGP 5/6 wechseln will, kann man den Public und Secret Key aus den Pub- und Secring von PGP 2.6.3 mit dem Befehl
  • PGP 2.6.3> pgp -kxa Benutzer-ID Keydateiname.asc pubring\secring.pgp

    extrahieren und dann in den Pub- und Secring von PGP 5/6 übernehmen

Von PGP 5/6 zu PGP 2.6.3

  • Ein RSA-Public Key, der mit PGP 5/6 erstellt wurde, kann in den Pubring von PGP 2.6.3 aufgenommen werden
  • Daten, die mit einem RSA-Key mittels PGP 5/6 verschlüsselt und/oder signiert wurden, können mit PGP 2.6.3 entschlüsselt und überprüft werden
  • Ein DSS/DH-Key kann nicht in den Pubring von PGP 2.6.3 aufgenommen werden
  • Daten, die mit einem DSS/DH-Key verschlüsselt und/oder signiert wurden, können nicht mit PGP 2.6.3 entschlüsselt und überprüft werden
  • Wenn man von PGP 5/6 zu PGP 2.6.3 wechseln will, kann man den Secret Key aus PGP 5/6 auf folgende Weise in den Secring von PGP 2.6.3 übernehmen:
    1. das mit PGP 5/6 erzeugte Schlüsselpaar markieren
    2. Menü "Keys", Funktion "Export"
    3. im Exportwindow, die Option "Export private Key(s)" aktivieren und die Keys als Datei speichern
    4. im Exportwindow, die Option "Include 6.0 Extensions" nicht aktivieren
    5. die erzeugte Keydatei mit einem Editor (z. B. Notepad) öffnen
    6. den Eintrag für den Public Key (Begin Public Key Block) löschen
    7. den Secret Key mit dem Befehl
    PGP 2.6.3> pgp -ka Secret Key Dateinamen Pfad:\secring.pgp
    in den Secring von PGP 2.6.3 aufnehmen

Beispiele
(bei denen der Empfänger PGP 2.6.X) benutzt:

  • E-mail wird mit dem eigenen DSS/DH-Secret Key signiert
    = Empfänger kann Signatur nicht prüfen
  • E-mail wird mit RSA-Key des Empfängers verschlüsselt und mit DSS/DH-Secret Key signiert
    = Empfänger kann E-mail entschlüsseln, aber die Signatur nicht prüfen
  • E-mail wird mit RSA-Key des Empfängers verschlüsselt und gleichzeitig mit dem DSS/DH-Key des Absenders
    = Empfänger kann weder die E-mail entschlüsseln, noch die Signatur prüfen

  • Siehe auch Encrypt to default key

Key- und Signaturformate

PGP 2.6.3 und PGP 5/6 haben ausserdem unterschiedliche Schlüsselformate.
Bei PGP 2.6.3 spricht man vom "V.3-Format", bei PGP 5/6 vom "V.4-Format".
Jeder Public Key besteht aus einer Abfolge unterschiedlicher Unterpakete, um die Informationen, die einen Public Key ausmachen, zu speichern.Bei Keys im V.4-Format fehlt das Paket, in dem die Expiration Time (Gültigkeitsdauer-, bzw. Verfallsdatum) festgehalten wird. Die V.4-Format Keys besitzen dagegen zusätzliche Angaben für die beiden neuen Verschlüsselungsalgorithmen ElGamal (DH) und DSS im Public-Key Algorithmuspaket.
Ausserdem unterscheidet sich auch das Format der Signaturen. Bei V.4 Keys kann jede Signatur eine unbegrenzte Anzahl an Unterpaketen zur Aufnahme zusätzlicher Informationen besitzen während bei V.3 Keys die Anzahl der Unterpakte fest vorgegeben ist.
Dies war mit ein Grund für den ADK-GAU bei PGP 5/6 und begründet auch die Probleme, die PGP 2.6.3 mit einigen V.4 Keys der PGP Versionen 5-6 hat.