PGP

Getestet mit: ☑ LM 19.3
Kategorie: Sicherheit

Vorwort

Jemand der nicht weiß, wie PGP funktioniert, sollte sich damit erst auseinandersetzen.
Zum Beispiel hier http://www.linuxmintusers.de/index.php?action=wiki;page=PGPSchluessel#2._Asymmetrische_Verschl.C3.BCsselung

Warum?

Warum man verschlüsseln sollte ist jedem klar, der in den letzten acht Wochen (30.07.2013) einen Blick in die Zeitung oder Nachrichten riskiert hat. Das Internet wird total überwacht.
Gegen diesen rechtswidrigen Zustand hilft dem Bürger momentan kein Grundrecht und keine Polizei. Er muss sich selbst helfen.
Verschlüsselung ist kinderleicht und stört das tägliche Lesen und Schreiben von E-Mails nicht im Geringsten.

Warum verschlüsselt nicht gleich sicher ist

Ein Problem – oder das Problem – bei Verschlüsselung von E-Mails ist die Sicherheit der Endpunkte. Des Senders und des Empfängers.
Sobald die Mail beim Sender geschrieben wird besteht die Angriffsmöglichkeit durch beispielsweise Keylogger. Ist die  E-Mail beim Empfänger erst entschlüsselt, hat jeder Zugriff der Zugang zum Computer hat!
Verschlüsselung von Kommunikation hat ihren Schwachpunkt an den beiden Endstellen. Wer hier an der Sicherheit spart begeht einen fundamentalen Fehler und gefährdet damit nicht nur sich selbst, sondern auch seinen Kommunikationspartner.
Selbst wenn man ein relativ sicheres System (BSD oder Linux) benutzt, besteht nach wie vor das Problem, dass bei physischem Zugriff auf den Rechner durch Unbefugte ein Abgreifen des privaten Schlüssels möglich ist. Dann ist die Kompromittierung der Verschlüsselung nur eine Frage der Ressourcen des Angreifers und der Passwortqualität.
Das Passwort für den Privaten Schlüssel ist - ein sicheres unkompromittiertes System vorausgesetzt - die einzige verbleibende Schwachstelle.

Man sollte sich auch bewusst sein, dass diverse Personen ihre Mails von Plattformen, wie Windows, iOS oder MacOS verschlüsseln und damit unter Umständen geringere Sicherheit für ihren eigenen privaten Schlüssel gewährleisten können, als das eigentlich nötig ist.

PGP mit Thunderbird und Enigmail

Installation

Referenzsystem wird nicht genannt. Es geht um eine möglichst grundsätzliche Anleitung, die Grundstrukturen erläutert.

Es wird benötigt gnupg, gnupg2, Thunderbird und das Thunderbird-plugin Enigmail.
Unter Ubuntu-basierten Systeme sieht das so aus:
sudo apt-get install gnupg2 thunderbird enigmail

Ach übrigens:
Wer ein Desktop übergreifendes Programm sucht, der sollte sich gpa ansehen. Das Programm funktioniert unabhängig von Thunderbird oder irgendeinem Mailprogramm und ist so einfach wie Enigmail

Einrichtung

Damit PGP reibungslos in Thunderbird integriert wird, muss ein Schlüsselpaar erstellt und mit einem E-Mailkonto verknüpft werden. Hierbei hilft der Enigmail-Assistent (erreichbar im Thunderbird Menü unter Enigmail->Assistent). Habt Ihr mit den Hilfstools von Gnome oder KDE die Schlüsselpaare erstellt, dann erkennt der Assistent dies automatisch und ihr müsst nur noch den Schlüssel einbinden. Ansonsten besteht die Möglichkeit einen neuen Schlüssel via Enigmail zu erstellen.

Zwei Empfehlungen:
- Schlüssel sollten die maximale Länge verwenden RSA (4096) - die Option ist beim Fenster Schlüssel erzeugen unter dem Reiter Erweitert->Schlüsselstärke zu finden.
- In neueren Versionen von Enigmail wird als Standard der EdDSA Algorithmus (256) benutzt, welcher nicht weniger sicher, dafür etwas schneller ist.
- Die Passphrase ist wichtig! Es sollte sich um ein wirklich sicheres Passwort handeln! Je länger je besser.

Aus Sicherheitsgründen empfehle ich als Default "Verschlüsseln" einzustellen. Somit wird nicht ausversehen eine Mail verschickt, die man eigentlich verschlüsseln wollte.

Widerrufszertifikat

Hat man vor seinen öffentlichen Schlüssel auf einem Schlüsselserver zu verbreiten, so bietet es sich an, dass man im Fall des Falles ( z.B. bei Verlust des privaten Schlüssels durch
Diebstahl oder Datencrash) sich ein Widerrufszertifikat seines Schlüssels erzeugt und diesen ebensogut wie die Passphrase gesichert aufbewahrt. Sollte der private Schlüssel abhanden kommen, so kann man dennoch den öffentlichen Schlüssel mit diesem Zertifikat für ungültig erklären.
Bei einer Hand voll Kontakten, denen man den öffentlichen Schlüssel gegeben hat, kann man sicherlich auch direkt die Ungültigkeit des "alten" Schlüssels erklären.
Das Zertifikat kann man über Thunderbird->Menü->Enigmail->Schlüssel verwalten - Reiter Erzeugen->Widerrufszertifikat anlegen und abspeichern.

Ablaufdatum

Ein Ablaufdatum für den Schlüssel wird von Enigmail standardmäßig auf 5 Jahre gesetzt. Dies kann man auf Wunsch einstellen und auch nachträglich noch ändern. Läuft ein Schlüssel bald ab, so wird man automatisch im Thunderbird benachrichtigt. Auch abgelaufene Schlüssel kann man wieder verlängern. Hat man das Ablaufdatum geändert, so sollte man dies auch seinen Kontakten mitteilen, indem man ihnen den öffentlichen Schlüssel erneut zukommen lässt. Auf Key-Servern veröffentlichten Schlüsseln reicht ein aktualisieren über das Enigmail->Schlüssel verwalten - Reiter Schlüsselserver->Alle öffentlichen Schlüssel aktualisieren.

Verschlüsseln!

Importieren von anderen öffentlichen Schlüsseln geht in der Kombination Thunderbird/Enigmail einfach: erhält man einen öffentlichen Schlüssel als Anhang (.asc) kann man diesen direkt (Rechtsklick) aus der Mail heraus importieren und fortan mit diesem Verschlüsseln.
Erhält man öffentliche Schlüssel beispielsweise via USB Stick, lassen sich diese über das Thunderbird Menü -> Enigmail -> Schlüssel verwalten -> Datei -> Importieren in den Schlüsselring aufnehmen.

Wer den eigenen öffentlichen Schlüssel verteilen will, kann dies bequem tun. In einer neuen E-Mail einfach im Menü unter OpenPGP -> Meinen öffentlichen Schlüssel anhängen. Es wird der mit dem Konto verknüpfte öffentliche Schlüssel automatisch mitgesendet.

Sicheres Arbeiten

ACHTUNG: Der Betreff der Email ist unverschlüsselt! Hier sollten KEINE Informationen enthalten sein, die Rückschlüsse auf den E-Mailinhalt zulassen! Hier wurde in aktuellen
Versionen bereits nachgebessert.
Aber die Metadaten (z.B. Absender und Empfänger) sind nicht durch Verschlüsselung geschützt!

Signaturprüfungen sind mit Enigmail ebenfalls gut integriert. Erhält man eine signierte Email wird dies angezeigt. Hat man den öffentlichen Schlüssel des Senders erfolgt der Abgleich automatisch.

Einrichten unter KDE

Als erstes muss geprüft über Synaptic oder die Softwareverwaltung geprüft werden ob die Programme gnupg und gnupg2 vorinstalliert sind.
Im zweiten Schritt muss unter KDE KGpg installiert werden. Ist dieses Programm installiert hilft einem der Assistent beim ersten Einrichten des geheimen Schlüssels.

Wenn diese erstellt sind (Die Erstellungsdauer kann je nach Rechnerleistung variieren) , bietet das Programm unter den Optionen die Möglichkeit den öffentlichen Schlüssel zu exportieren. Wird dieser in das Home Verzeichnis exportiert, so ist der Schlüssel dort mit Endung Dateiname.asc zu finden und kann an jeden beliebigen Kontakt weitergegeben werden.

Einrichten unter Evolution

Jetzt fehlt nur noch die Einrichtung in ein Mailprogramm wie z.B. Evolution. Das ist sehr einfach. Wechselt dorthin wo Ihr Postfächer eingerichtet habt und editiert das Postfach, dass den PGP Schlüssel enthalten soll. In den Account Einstellungen unter Sicherheit / Pretty Good Privacy kann der Schlüssel ausgewählt werden.

Jetzt habt Ihr den Großteil der Arbeit erledigt. Öffnet eine neue Mail - wechselt in die Optionen und setzt dort einen Hacken bei PGP und schickt die Mail weg.

Weitere Anleitungen 

https://wiki.ubuntuusers.de/GnuPG/
https://wiki.piratenpartei.de/HowTo_PGP

Hinweise

Übrigens, mit den PGP Schlüsseln lassen sich nicht nur E-Mail und Anhänge verschlüsseln, man kann auch sensible Dateien damit verschließen.
Um sich vor Datenverlust zu schützen sollten alle Schlüssel, Passphrase, Zertifikate grundsätzlich einmal extern gesichert aufbewahrt werden, natürlich getrennt vom Passwort.
   
Der Wiki-Artikel wurde zuletzt am 04.02.20 teilweise überarbeitet.