CLT 2011: E-Mail-Verschlüsselung mit GPG
-
Upload
birgit-huesken -
Category
Documents
-
view
2.063 -
download
0
Transcript of CLT 2011: E-Mail-Verschlüsselung mit GPG
![Page 1: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/1.jpg)
![Page 2: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/2.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
E-Mail-Verschlüsselung mit GPG. Von der Key-Erzeugung zur verschlüsselten E-Mail.
Chemnitzer Linux-Tage 2011.19.März 2011 | Vortrag
![Page 3: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/3.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Public Key
Private Key
Public Key
Web of Trust
E-Mail signieren
E-Mail verschlüsseln
Schlüssel signieren
Key Server
Schlüsselbund
Key Signing Party
Private KeySchlüssel signieren
Key ServerKey Signing Party
E-Mail verschlüsseln
Web of Trust
Schlüsselbund
E-Mail signieren
???
![Page 4: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/4.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Verschlüsselungsverfahren
Symmetrische VerschlüsselungZum Ver- und Entschlüsseln wird der gleiche Schlüssel genutzt
Hohe Anzahl benötigter Schlüssel (1 pro Paar)Problem des Schlüsselaustausches
![Page 5: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/5.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Verschlüsselungsverfahren
Asymmetrische VerschlüsselungVerschlüsselung mit Public KeyEntschlüsselung mit Private Key
Geringere Anzahl benötigter Keys (1 pro Person)Austausch von Schlüsseln vereinfacht
![Page 6: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/6.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Verschlüsselungsverfahren
Hybride VerschlüsselungNachricht wird mit Zufallsschlüssel symmetrisch verschlüsseltSchlüssel wird asymmetrisch verschlüsselt und mitgeliefert
![Page 7: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/7.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
E-Mails verschlüsseln
Absender Empfänger
Absender verschlüsselt mit Public Key des EmpfängersEmpfänger entschlüsselt mit eigenem Private Key
Empfänger muss Private Key besitzenAbsender muss Public Key des Empfängers haben
![Page 8: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/8.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
E-Mails signieren
Absender Empfänger
Absender signiert mit eigenem Private KeyEmpfänger verifiziert mit Public Key des Absenders
Absender muss Private Key besitzenEmpfänger muss Public Key des Absenders haben
![Page 9: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/9.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Was braucht man für gesicherte E-Mail?
Beide Teilnehmer der E-Mail-Kommunikation müssen einen Key besitzen
Veröffentlicht wird nur der Public Key!Private Key muss geheim bleiben!
Eigener Private Key durch „Mantra“ geschützt„Mantra“ ist die „Schwachstelle des Systems“, kann aber beliebig lang sein
![Page 10: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/10.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Verwaltung von Schlüsseln
Verwaltung der Keys im SchlüsselbundSteuerung über Kommandozeile oder grafische Tools
Besteht aus Eigenem Schlüssel (privat und öffentlich)Fremden Schlüsseln (öffentliche)Angaben zu Vertrauen und Gültigkeit
![Page 11: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/11.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Einen Key erzeugen
Kommandozeile mit gpggpg --gen-keySchritt-für-Schritt geführte Erzeugung des Keys
Grafische Tools, z.B. KGpg
![Page 12: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/12.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Was dann?
Schlüssel selbst signieren, um Echtheit des Schlüssels sicherzustellengpg --edit-key Key-ID sign
![Page 13: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/13.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Was dann?
Schlüssel selbst signieren, um Echtheit des Schlüssels sicherzustellen
Widerrufsurkunde erstellengpg --output revoke.asc --gen-revoke Key-ID
![Page 14: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/14.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Was dann?
Schlüssel selbst signieren, um Echtheit des Schlüssels sicherzustellen
Widerrufsurkunde erstellen
Key exportierengpg --armor --export Key-ID
![Page 15: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/15.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Was dann?
Schlüssel selbst signieren, um Echtheit des Schlüssels sicherzustellen
Widerrufsurkunde erstellen
Key exportieren
Fingerprint und Key-ID bekannt machen
![Page 16: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/16.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Einen Key veröffentlichen
Persönliche Weitergabe
Veröffentlichung auf eigener Homepage, als Text oder Download
Auf Key-Servern, z.B.wwwkeys.de.pgp.netwwwkeys.eu.pgp.netgpg-keyserver.de
Die Keyserver synchronisieren sich untereinander!
![Page 17: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/17.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Andere Keys suchen, finden und importieren
Suche nach Key-ID oder nach Namen auf Keyservern
Direkter Import von persönlich erhaltenen oder von Webseiten importierten Keysgpg --search-keys Key-IDgpg --recv-keys Key-ID
gpg --import Key-File
![Page 18: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/18.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Das „Web of Trust“
Importierte Schlüssel können signiert werden
Jedem Schlüssel kann eine (Eigentümer-)Vertrauensstufe zugewiesen werden:Unbekannt (q)Kein Vertrauen (n)Teilweises Vertrauen (m)Volles Vertrauen (f)
Davon abhängig ist das Vertrauen in den Schlüssel selbstVertrauen ist vollständig, wenn
Der Schlüssel selbst oderVon einem Schlüssel vollsten Vertrauens oderVon min. 3 Schlüsseln teilweisen Vertrauens unterzeichnet wurde undDie so entstandene Kette nicht zu lang ist (5 Schritte)
![Page 19: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/19.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Das „Web of Trust“
K
C
JI
AICH
E
F
G
D
BH
m
f
nm
m
mf
![Page 20: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/20.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Andere Keys signieren
Wichtig! Eigentümer authentifizierenÜber FingerprintÜber Ausweisdokumente
z.B. bei Key-Signing-Partys
Signierten Key an Eigentümer zurückgebenVeröffentlichung sollte durch Eigentümer selbst erfolgen!
![Page 21: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/21.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Signatur durch CAcert
Voraussetzungen:eigenes CAcert-Zertifikatmindestens 50 Assurance PointsNamen im Schlüssel und im Cacert-Zertifikat müssen überein stimmen!
(Quelle: http://wiki.cacert.org/PgpSigning)
![Page 22: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/22.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
E-Mails verschlüsseln und signieren
Text auf Kommandozeile verschlüsseln und als E-Mail versenden
Verschiedene Hilfsprogramme zur Signierung und Verschlüsselung, z.B.Kmail / Kontact (KDE) → KgpgGnome → SeahorseThunderbird → enigmailDiv. Webmailer → Browser Add-Ons, wie FireGPG für Firefox
Entwicklung eingestellt----------------------------
![Page 23: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/23.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Fragen? Anmerkungen?
Danke für die Aufmerksamkeit!
Folien bei Slidesharehttp://www.slideshare.net/birgithuesken
![Page 24: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/24.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Fragen und Antworten nach dem Vortrag
Mein Key ist abgelaufen. Kann ich trotzdem doch E-Mails damit entschlüsseln?
Ja, das geht. Der Key kann immer noch zu Entschlüsselung genutzt werden. Was nicht mehr geht, ist die Verschlüsselung mit dem Public Key und die Signierung mit dem Private Key. Es können nach Ablauf des Schlüssels also keine neuen Verschlüsselungen durchgeführt werden
Mein Key läuft ab, hat aber viele wertvolle Signaturen. Kann ich die retten, in dem ich meinen neuen Key mit dem alten unterschreibe?
Nein, das geht nicht. Man kann aber den Key editiert und das Ablaufdatum ändern.
![Page 25: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/25.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Fragen und Antworten nach dem Vortrag
Kann ich einen Key, für den ich keine Widerrufsurkunde habe, den ich aber aus verschiedenen Gründen nicht mehr nutzen kann, von Keyservern entfernen lassen?
Nein, aus zwei Gründen:
1. Ich muss den Betreibern der Keyserver nachweisen können, dass ich wirklich der Eigentümer des Keys bin. Und das genau geht mit der Widerrufsurkunde.
2. Einmal veröffentlichte Keys werden nicht von den Servern gelöscht, weil sie ja prinzipiell für die Signatur von anderen Keys verwendet worden sein können. Wird der Key jetzt gelöscht, ist die Signatur nicht mehr nachvollziehbar. Aus diesem Grunde werden übrigens auch widerrufene Keys nicht von den Server gelöscht, sondern nur als „widerrufen“ gekennzeichnet!Dieses Vorgehen sorgt zwar für „Karteileichen“ auf den Keyservern, der Nachteil ist aber nicht so groß wie die ggf. massenweise Erzeugung nicht mehr zuzuordnender Signaturen!
![Page 26: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/26.jpg)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Impressum
Birgit HüskenHS NiederrheinKIS – IT ServicemanagementReinarzstr.4947805 Krefeld
E-Mail [email protected]. +49-2151-822-3225Fax +49-2151-822-85-3225
![Page 27: CLT 2011: E-Mail-Verschlüsselung mit GPG](https://reader034.fdocument.pub/reader034/viewer/2022050613/555577a7b4c9058a5a8b4e73/html5/thumbnails/27.jpg)