GNUPG / GPGDropthing

[rolandr]

Hallo,

ich beschäftige mich gerade ein wenig mit Verschlüsselungssoftware und habe mit GPG installiert. Habe hier auch eine recht gute Anleitung gefunden: http://fiatlux.zeitform.info/anleitungen/pgp_macosx.html

Nur mit GPGDropThing (Version 0.4.3) komme ich nicht klar. Zwar kann ich Dateien, die ich z.B. über Mail im Browser versenden will signieren, nur das Verschlüsseln mag so gar nicht funktionieren. Jedesmal wenn ich einen Text eingebe und versuche, ihn zu verschlüsseln, dann erscheint "Error. No Recipients"
Hart jemand eine Idee, woran das liegen könnte?

Danke
Roland

 

[kronar]

Du brauchst den Public Key des Mailempfängers. Mit dem wird dann die Mail verschlüsselt.

 

[rolandr]

Ich habe mir für ein zweites Mailkonto auch einen Schlüssel zugelegt, um eben genau das zu testen. Und immer wenn ich etwas verschlüsseln will, dann bekomme ich ebne die Nachricht "Error. No Recipients"

 

[gbyte]

Was genau hast Du denn in Deinem GPG Schlüsselbund? Sind dort Deine Schlüssel gelistet? Was hast Du denn genau installiert? Schau mal auf dieser Seite, da gibt es das komplette Installationspaket.

Die Anleitung die Du benutzt hast ist eine sehr Gute, aber leider schon seit einiger Zeit überholt. Es wird momentan nach Freiwilligen gesucht die dieses Tutorial mal überarbeiten.

GnuPG lässt sich auch prima in Apples Mail.app integrieren. Diese Funktionalität bring obiger Installer mit sich.

Gruß,

GByte

[EDIT]

Prinzipiell verhält es sich so, dass Du über einen privaten Schlüssel verfügst. Von diesem Schlüssel lässt sich Dein öffentlicher Schlüssel exportieren. Diesen reichst Du dann an Deine Kommunikationspartner weiter, oder stellst ihn auf einem Schlüsselserver (z.B. beim MIT PGP Public Key Server) zur Verfügung.

Deine Kommunikationspartner müssen Dir ebenfalls ihren öffentlichen Schlüssel zur Verfügung stellen, oder Du beziehst ihn von einem Schlüsselserver.

Die Schlüssel sollten gegenseitig genauestens geprüft werden (hierzu dient der Fingerabdruck der Schlüssel) um sicherzustellen das Dein Kommunikationspartner und Du auch unmanipulierte Schlüssel verwendet. Wenn diese Prüfung erfolgreich durchgeführt wurde, stellst Du bei dem jeweiligen öffentlichen Schlüssel die Vertrauensstufe ein. Dein Kommunikationspartner mach das selbige. Als Beweis Eures Vertrauens könnt ihr auch gegenseitig Eure Schlüssel mit dem eigenen Schlüssel signieren/beglaubigen. Und diese Änderung wiederum an den Schlüsselserver schicken. Hierbei hilft dir das Programm GPG Schlüsselbund auf einfachste Weise.

Wenn nun eine Email verschlüsselt werden soll, so sollte diese mit dem öffentlichen Schlüssel Deines Kommunikationspartner und zusätzlich mit Deinem eigenen Schlüssel verschlüsselt werden (sonst kannst Du Deine gesendeten Emails ja nicht mehr entschlüsseln).

Laienhaft ausgedrückt dienen die öffentlichen Schlüssel dazu Daten zu verschlüsseln und die privaten Schlüssel dazu die Daten wieder zu entschlüsseln. Deswegen solltest Du Deinen privaten Schlüssel auch sorgfältig behandeln und nicht aus der Hand geben, außer es ist ein Gruppenschlüssel und auch als solcher gekennzeichnet.

[/EDIT]

P.S.: Und immer daran denken, ein Schlüssel ist immer nur so gut/sicher wie die Passphrase die ihn schützt.

 

[rolandr]

Hallo,
im Schlüsselbund sind die beiden Schlüssel, die ich generiert habe aufgelistet. Deshalb gehe ich ja davon aus, daß es möglich sein müßte, einen Text, den ich mit DropThing schreibe, zu verschlüsseln - signieren funktioniert ja schließlich auch.

Wollte einfach mal testen, wie das funktioniert eben eine Mail auf diesem Wege über den Browser zu versenden - via Apple-Mail scheint es zu funktionieren.

Auch das GPGFileTool verhält sich merkwürdig. Ich kann zwar (vermutlich) Dateien verschlüsseln. Will ich sie dann wieder öffnen, so erzählt mir das Programm, daß die Datei nicht geöffnet werden kann.

So ganz ausgereift scheinen die Programme noch nicht zu sein, oder ich bin zu dämlich.

Habe übrigens OSX 10.6.6. , falls die Info noch weiterhilft.

Danke für die ausführliche Antwort

Roland

 

[gbyte]

Was GPGDropThing angeht, so musst Du erst einen Standard-Schlüssel festlegen. Versuche mal bitte folgendes:

1. Öffne die Systemeinstellungen
2. Öffne die Präferenzen von GnuPG
3. Wähle die Rubrik Experte
4. Schau nach, ob es eine Option default-key gibt. Wenn ja, dann schau nach, ob dort die ID (lang) - zu finden im GPG Schlüsselbund - eingetragen ist. Wenn nicht, dann eintragen.
5. Wenn es die Option default-key nicht gibt, dann füge sie in den Systemeinstellungen/GnuPG/Experte hinzu. Dazu das Plus-Zeichen drücken. Das neu entstandene NEW_OPTION doppelt anklicken und im Bereich Option default-key eingeben. Danach als Wert deine Schlüssel ID (lang) eingeben.
6. Systemeinstellungen schließen und GPGDropThing neu starten.

Gruß,

GByte

P.S.: Ich nutze auch OS X 10.6.6 und hier funktioniert alles anstandslos. Nur als kleine Lichtblick-Info, das es wahrscheinlich nur eine geringe Einstellungssache ist

 

[rolandr]

Danke,

jetzt scheint es auf meinem Rechner so zu funktionieren, wie ich mir das vorgestellt habe.

Nur ein Problem habe ich noch, nämlich mit den Schlüsselservern. Kann es sein, daß die nicht immer ganz zuverlässig laufen. Oder gibt es einen Trick, wie man die Schlüssel auf die Server läd? Sollte doch eigentlich so sein, daß ich mir einen der Schlüsselserver mit den Voreinstellungen bei GPG Schlüsselbund aussuche und dann auf "An Schlüselserver senden gehe". Nach einiger Zeit müßte ich meine öffentlichen Schlüssel dann doch auf diesen Servern finden. Hier http://pgp.mit.edu/ finde ich aber leider nur einen uralten Schlüssel, der aus Zeiten eines älteren Versuchs stammt. Und wenn ich versuche http://wwwkeys.de.pgp.net/ aufzurufen, dann bekomme ich mal eine Seite oder (viel öfter) wird die Seite eben nicht geladen. Den Schlüssel finde ich leider nirgendwo.....

Welche Rolle es spielt, welchen der Schlüsselserver man sich aussucht, das konnte ich leider auch noch nicht herausfinden. Werden die öffentlichen Schlüssel irgendwie in einer Datenbank zusammengeführt oder muß man dann in den verschiednen Datenbänken suchen, wenn man einen bestimmten öffentlichen Schlüssel sucht?

Ich danke jetzt schon mal für die Antworten

Roland

 

[rolandr]

Hallo,

habe das Ganze nun auf meinem Schreibtsich-Rechner so eingestellt gekommen, daß es offenbar sehr ordentlich funktioniert. (Kann mir zumindest Testmails an meine unterschiedlichen Adressen schicken und auch FileTool und DropThing funktioniert jetzt so, wie es wohl soll.

Wollte das jetzt noch auf meinem Laptop einrichten, da mag es aber irgendwie nicht. Übers Mailprogramm bekomme ich auch alle Mails ver- und entschlüsselt. Nur FileTool und DropThing wollen keine Schlüssel kennen. Ich bekomme immer leere Auswahlfelder, wenn ich damit etwas machen will. Die Schlüssel (geheim und öffentlich hatte ich "händisch" aufs iBook gezogen) und in den Mailprogrammen funktionieren sie ja auch. Habe inzwischen die Programme noch mal gelöscht und neu installiert. Hat aber leider nichts geholfen. Hast Du dafür vielleicht auch noch einen Tipp für mich?

Danke

Roland

 

[gbyte]

Hast Du denn auf dem Laptop auch den default-key eingetragen? Danach die Programme GPGDropThing und GPGFileTool beendet und neugestartet? Du kannst auch mal den Inhalt der gpg.conf im Verzeichnis ~/.gnupg kontrollieren. Dazu das Terminal.app (zu finden unter Programme/Dienstprogramme) öffnen und folgendes eingeben:

nano ~/.gnupg/gpg.conf

Dort solltest Du auch den Eintrag zum default-key wiederfinden.

Ich bin momentan nicht am Rechner und schreibe vom iPad. Ich werde später heute mal meine config-Datei hier posten. Da gibt es auch noch einiges was man beachten sollte um vom standardmäßig gewählten SHA-1 Digest auf den sichereren SHA-256 zu wechseln. Schreibe ich dir nachher noch ...

Gruß,

GByte

 

[rolandr]

Vielen Dank für die Mühe, die Du Dir mit mir gibst.

jetzt funktioniert auch auf dem Macbook alles wohl so wie es soll, merkwürdigerweise in dem ich bei den Voreinstellungen Default Key deaktiviert habe. Man muß wohl nicht immer alles verstehen.

Danke Roland

 

[gbyte]

Nichts zu danken, immerhin ist dieses Forum dafür da. So, hier mal der Auszug aus meiner gpg.conf unter ~/.gnupg/:

charset utf8
utf8-strings

keyserver pgp.mit.edu
sig-keyserver-url http://pgp.mit.edu
keyserver-options auto-key-retrieve,no-include-subkeys

personal-digest-preferences SHA256
cert-digest-algo SHA256
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed

[COLOR="blue"]default-key XXXXXXXXXXXXXXXX[/COLOR]

Hinter default-key sollte Deine sechzehnstellige Schlüssel-ID stehen. Diese Option macht natürlich nur Sinn, wenn mehr als ein privater Schlüssel im Schlüsselbund sind.

Nach der Installation von GnuPG empfiehlt sich immer, wie auch nach der Installation im Dialogfeld erwähnt wird, ein Ab- und Anmelden des Benutzers durchzuführen. Um ganz sicher zu gehen kann man natürlich auch Neustarten, ist mir bis jetzt aber noch nicht als Notwendigkeit untergekommen.

Komisch finde ich das Verhalten Deiner Programme (GPGDropThing und GPGFileTool) allerdings schon. Die frage wäre hier wirklich: Wie viele private Schlüssel hast Du auf dem Laptop installiert? Wenn es nur einer ist, können die Programme eventuell auch ohne Verweis auf denjenigen besser funktionieren als wenn ein Verweis da ist. Bist Du Dir sicher das Du die richtige ID eingegeben hast?

Nur ein Problem habe ich noch, nämlich mit den Schlüsselservern. Kann es sein, daß die nicht immer ganz zuverlässig laufen. Oder gibt es einen Trick, wie man die Schlüssel auf die Server läd? Sollte doch eigentlich so sein, daß ich mir einen der Schlüsselserver mit den Voreinstellungen bei GPG Schlüsselbund aussuche und dann auf "An Schlüselserver senden gehe". Nach einiger Zeit müßte ich meine öffentlichen Schlüssel dann doch auf diesen Servern finden.

Es dauert mitunter schon ein wenig bevor sich der Schlüsselserver aktualisiert. Meiner Erfahrung nach aber nicht länger als bis zu einer Stunde.

Hier http://pgp.mit.edu/ finde ich aber leider nur einen uralten Schlüssel, der aus Zeiten eines älteren Versuchs stammt. Und wenn ich versuche http://wwwkeys.de.pgp.net/ aufzurufen, dann bekomme ich mal eine Seite oder (viel öfter) wird die Seite eben nicht geladen. Den Schlüssel finde ich leider nirgendwo.....

Es gibt auch Schlüsselserver-Adressen die nicht direkt mit einem Web-Browser angesprochen werden können, bzw. keine Weboberfläche zur Verfügung stellen. Dazu gehört auch wwwkeys.de.pgp.net.

Die Schlüsselserver, bzw. Adressen die mit hkp:// beginnen (z.B. hkp://subkeys.pgp.net) sind Sammelpunkte für ein ganzes Netz dieser Server, es wird dann zufällig ein konkreter Server ausgewählt.

Auf dieser Seite gibt es einen einfachen Überblick über die Funktion der Schlüsselserver.

Welche Rolle es spielt, welchen der Schlüsselserver man sich aussucht, das konnte ich leider auch noch nicht herausfinden. Werden die öffentlichen Schlüssel irgendwie in einer Datenbank zusammengeführt oder muß man dann in den verschiednen Datenbänken suchen, wenn man einen bestimmten öffentlichen Schlüssel sucht?

AFAIK spiel es keine Rolle welchen öffentlichen Schlüsselserver man wählt, da sich die Server untereinander abgleichen. Der Intervall in dem dies geschieht ist unterschiedlich. Meiner Erfahrung nach dauert es aber nicht länger als vierundzwanzig Stunden.

*** Zu bedenken gilt:

Was einmal auf einem Schlüsselserver liegt, kann nicht mehr gelöscht werden. Es kann maximal ein Widerruf-Zertifikat erstellt und dem veröffentlichtem Schlüssel angehangen werden - deshalb lieber einmal mehr über die Informationen nachdenken, die man veröffentlicht.

Widerruf-Zertifikate sollten bereits zum Zeitpunkt der Schlüsselerstellung erstellt werden und entweder an einem sicheren Ort gespeichert, oder ausgedruckt und an einem sicheren Ort aufgehoben werden.

Ein Widerruf-Zertifikat kannst Du folgender maßen erstellen: Terminal.app öffnen und

gpg2 --gen-revoke [COLOR="blue"]XXXXXXXX[/COLOR]

eingeben. XXXXXXXX ist die entsprechende Schlüssel-ID. Obiger Befehl liefert Dir ein Widerruf-Zertifikat in Textform innerhalb des Terminal.app, welches kopiert gedruckt, oder in irgend einer Form gespeichert werden sollte.

Du solltest die angezeigten Daten genau prüfen und sicherstellen, dass es sich um den richtigen Schlüssel handelt. Du wirst auch nach einem Grund für den Widerruf gefragt. Siehe:

Grund für den Widerruf:
0 = Kein Grund angegeben
1 = Hinweis: Dieser Schlüssel ist nicht mehr sicher
2 = Schlüssel ist überholt
3 = Schlüssel wird nicht mehr benutzt
Q = Abbruch
(Wahrscheinlich möchten Sie hier 1 auswählen)
Ihre Auswahl?

Hier solltest Du für die Zertifikatserstellung Grund 1 wählen. Die Gründe 2 und 3 werden meistens eingesetzt wenn Du noch im Besitz deines Schlüssels bist, und können somit jeder Zeit bei Bedarf erstellt werden.

Mit dem Befehl:

gpg2 --output ~/Widerruf_[COLOR="blue"]XXXXXXXX[/COLOR].asc --gen-revoke [COLOR="blue"]XXXXXXXX[/COLOR]

erstellst Du ein Widerruf-Zertifikat in Form einer Datei namens Widerruf_XXXXXXXX.asc in Deinem Homeverzeichnis.

Der Vorteil eines solchen Zertifikates ist, dass Du Deinen Schlüssel auch widerrufen kannst, wenn Du den Schlüssel selbst verloren haben solltest.

Gruß,

GByte

 

[rolandr]

Super,

jetzt scheint auch auf dem Macbook alles richtig zu funktionieren. Danke für die Hilfe.

Eigentlich könnte man das hier zusammenfassen und als kleine Hilfeanleitung ins Netz stellen. Ich habe den Verdacht, daß noch mehr Leute ähnliche Probleme wie ich haben und einiges was gnuPG betrifft erschließt sich wohl leider nicht so ganz allein.

Und weshalb man sich mit solchen Programmen genau wie z.B. Truecrypt oder TOR beschäftigten sollte ist dann ja auch eine politische Frage, aber das ist dann wieder ein anderes Thema…

Auf jeden Fall noch mal vielen Dank für die superpräzise Hilfe

Roland

 

[MacAlzenau]

Ich finde auch, daß eine entsprechende Anleitung im AT-Wiki sinnvoll wäre. Und zwar nicht einfach verstndlich für AT-Langzeit-Mitleser, sondern auf DAU-Niveau. Verschlüsselung bei Mails wird sich erst durchsetzen, wenn man das mit ein paar Klicks einrichten kann und es dann automatisch abläuft.
Leider gehört dazu auch, daß man uns Mac-Nutzern eine DAU-Anleitung mitgibt, wie man das bei hilflosen Windowsnutzerinnen einrichtet, wo man null Hilfe bekommen kann, wenn man sich als Macnutzer nicht mit Windows auskennt.
Meine Bekannte nutzen meistens W., haben selten wirklich Ahnung davon. wie soll ich die von Mailverschlüsselung überzeugen, wenn ich nicht bereit bin, das bei ihnen einzurichten? Und das kann ich nur mit einer DAU-Anleitung, denn sie kennen sich ja nicht mal mit Windows aus, können mir also keine Hilfe geben bei ganz simplen Fragen, die vielleicht auftauchen.
Vorher bringt es mir persönlich nichts, GnuPG oder sonst irgendwas einzurichten, wenn es vielleicht drei, vier Mac-Benutzer gibt, die ich von GPG/PGP überzeugen könnte und zwei, drei Windowsnutzer, die das von selbst tun, die restlichen x-hundert, ganz überwiegend Windows-DAUs, aber bildlich gesprochen mit offenem Mund dastehen.