Embed Size (px)
Citation preview
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
E-Mail-Verschlüsselung mit GPG. Von der Key-Erzeugung zur verschlüsselten E-Mail.
Chemnitzer Linux-Tage 2011.19.März 2011 | Vortrag
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Public Key
Private Key
Public Key
Web of Trust
E-Mail signieren
E-Mail verschlüsseln
Schlüssel signieren
Key Server
Schlüsselbund
Key Signing Party
Private KeySchlüssel signieren
Key ServerKey Signing Party
E-Mail verschlüsseln
Web of Trust
Schlüsselbund
E-Mail signieren
???
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Verschlüsselungsverfahren
Symmetrische VerschlüsselungZum Ver- und Entschlüsseln wird der gleiche Schlüssel genutzt
Hohe Anzahl benötigter Schlüssel (1 pro Paar)Problem des Schlüsselaustausches
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Verschlüsselungsverfahren
Asymmetrische VerschlüsselungVerschlüsselung mit Public KeyEntschlüsselung mit Private Key
Geringere Anzahl benötigter Keys (1 pro Person)Austausch von Schlüsseln vereinfacht
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Verschlüsselungsverfahren
Hybride VerschlüsselungNachricht wird mit Zufallsschlüssel symmetrisch verschlüsseltSchlüssel wird asymmetrisch verschlüsselt und mitgeliefert
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
E-Mails verschlüsseln
Absender Empfänger
Absender verschlüsselt mit Public Key des EmpfängersEmpfänger entschlüsselt mit eigenem Private Key
Empfänger muss Private Key besitzenAbsender muss Public Key des Empfängers haben
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
E-Mails signieren
Absender Empfänger
Absender signiert mit eigenem Private KeyEmpfänger verifiziert mit Public Key des Absenders
Absender muss Private Key besitzenEmpfänger muss Public Key des Absenders haben
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Was braucht man für gesicherte E-Mail?
Beide Teilnehmer der E-Mail-Kommunikation müssen einen Key besitzen
Veröffentlicht wird nur der Public Key!Private Key muss geheim bleiben!
Eigener Private Key durch „Mantra“ geschützt„Mantra“ ist die „Schwachstelle des Systems“, kann aber beliebig lang sein
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Verwaltung von Schlüsseln
Verwaltung der Keys im SchlüsselbundSteuerung über Kommandozeile oder grafische Tools
Besteht aus Eigenem Schlüssel (privat und öffentlich)Fremden Schlüsseln (öffentliche)Angaben zu Vertrauen und Gültigkeit
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Einen Key erzeugen
Kommandozeile mit gpggpg --gen-keySchritt-für-Schritt geführte Erzeugung des Keys
Grafische Tools, z.B. KGpg
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Was dann?
Schlüssel selbst signieren, um Echtheit des Schlüssels sicherzustellengpg --edit-key Key-ID sign
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Was dann?
Schlüssel selbst signieren, um Echtheit des Schlüssels sicherzustellen
Widerrufsurkunde erstellengpg --output revoke.asc --gen-revoke Key-ID
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Was dann?
Schlüssel selbst signieren, um Echtheit des Schlüssels sicherzustellen
Widerrufsurkunde erstellen
Key exportierengpg --armor --export Key-ID
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Was dann?
Schlüssel selbst signieren, um Echtheit des Schlüssels sicherzustellen
Widerrufsurkunde erstellen
Key exportieren
Fingerprint und Key-ID bekannt machen
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Einen Key veröffentlichen
Persönliche Weitergabe
Veröffentlichung auf eigener Homepage, als Text oder Download
Auf Key-Servern, z.B.wwwkeys.de.pgp.netwwwkeys.eu.pgp.netgpg-keyserver.de
Die Keyserver synchronisieren sich untereinander!
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Andere Keys suchen, finden und importieren
Suche nach Key-ID oder nach Namen auf Keyservern
Direkter Import von persönlich erhaltenen oder von Webseiten importierten Keysgpg --search-keys Key-IDgpg --recv-keys Key-ID
gpg --import Key-File
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Das „Web of Trust“
Importierte Schlüssel können signiert werden
Jedem Schlüssel kann eine (Eigentümer-)Vertrauensstufe zugewiesen werden:Unbekannt (q)Kein Vertrauen (n)Teilweises Vertrauen (m)Volles Vertrauen (f)
Davon abhängig ist das Vertrauen in den Schlüssel selbstVertrauen ist vollständig, wenn
Der Schlüssel selbst oderVon einem Schlüssel vollsten Vertrauens oderVon min. 3 Schlüsseln teilweisen Vertrauens unterzeichnet wurde undDie so entstandene Kette nicht zu lang ist (5 Schritte)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Das „Web of Trust“
K
C
JI
AICH
E
F
G
D
BH
m
f
nm
m
mf
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Andere Keys signieren
Wichtig! Eigentümer authentifizierenÜber FingerprintÜber Ausweisdokumente
z.B. bei Key-Signing-Partys
Signierten Key an Eigentümer zurückgebenVeröffentlichung sollte durch Eigentümer selbst erfolgen!
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Signatur durch CAcert
Voraussetzungen:eigenes CAcert-Zertifikatmindestens 50 Assurance PointsNamen im Schlüssel und im Cacert-Zertifikat müssen überein stimmen!
(Quelle: http://wiki.cacert.org/PgpSigning)
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
E-Mails verschlüsseln und signieren
Text auf Kommandozeile verschlüsseln und als E-Mail versenden
Verschiedene Hilfsprogramme zur Signierung und Verschlüsselung, z.B.Kmail / Kontact (KDE) → KgpgGnome → SeahorseThunderbird → enigmailDiv. Webmailer → Browser Add-Ons, wie FireGPG für Firefox
Entwicklung eingestellt----------------------------
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Fragen? Anmerkungen?
Danke für die Aufmerksamkeit!
Folien bei Slidesharehttp://www.slideshare.net/birgithuesken
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Fragen und Antworten nach dem Vortrag
Mein Key ist abgelaufen. Kann ich trotzdem doch E-Mails damit entschlüsseln?
Ja, das geht. Der Key kann immer noch zu Entschlüsselung genutzt werden. Was nicht mehr geht, ist die Verschlüsselung mit dem Public Key und die Signierung mit dem Private Key. Es können nach Ablauf des Schlüssels also keine neuen Verschlüsselungen durchgeführt werden
Mein Key läuft ab, hat aber viele wertvolle Signaturen. Kann ich die retten, in dem ich meinen neuen Key mit dem alten unterschreibe?
Nein, das geht nicht. Man kann aber den Key editiert und das Ablaufdatum ändern.
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Fragen und Antworten nach dem Vortrag
Kann ich einen Key, für den ich keine Widerrufsurkunde habe, den ich aber aus verschiedenen Gründen nicht mehr nutzen kann, von Keyservern entfernen lassen?
Nein, aus zwei Gründen:
1. Ich muss den Betreibern der Keyserver nachweisen können, dass ich wirklich der Eigentümer des Keys bin. Und das genau geht mit der Widerrufsurkunde.
2. Einmal veröffentlichte Keys werden nicht von den Servern gelöscht, weil sie ja prinzipiell für die Signatur von anderen Keys verwendet worden sein können. Wird der Key jetzt gelöscht, ist die Signatur nicht mehr nachvollziehbar. Aus diesem Grunde werden übrigens auch widerrufene Keys nicht von den Server gelöscht, sondern nur als „widerrufen“ gekennzeichnet!Dieses Vorgehen sorgt zwar für „Karteileichen“ auf den Keyservern, der Nachteil ist aber nicht so groß wie die ggf. massenweise Erzeugung nicht mehr zuzuordnender Signaturen!
Chemnitzer Linux-Tage 2011 | 19.03.2011 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Impressum
Birgit HüskenHS NiederrheinKIS – IT ServicemanagementReinarzstr.4947805 Krefeld
E-Mail [email protected]. +49-2151-822-3225Fax +49-2151-822-85-3225
