GnuPG
Aus DebianforumWiki
|
Baustelle: Dieser Artikel ist eine Baustelle. Das heißt, jemand hat sich dieses Artikels angenommen und überarbeitet ihn gerade. |
|
Lizenz: Dieser Artikel wurde als problematisch in Bezug auf der Lizenz markiert, dafür kann es verschiedene Gründe geben:
Bitte hilf mit alle diese Fragen zunächst zu klären, danach kann dieser Hinweis entfernt werden. |
Inhaltsverzeichnis |
Einleitung
GnuPG ist ein freies Krypto-System analog dem Vorbild PGP. Es dient unter anderem der sicheren Kommunikation, dem Verschlüsseln von Dateien oder auch dem Identitätsbeweis von Personen oder Dingen.
Installation
GnuPG kann, wenn es nicht schon als Abhängigkeit einen anderen Paketes installiert wurde mit
root@debian:# aptitude install gnupg
installiert werden
Konfiguration
GnuPG funktioniert auch ohne die vorherige Konfiguration sofort aus dem Stehgreif, es gibt Kommandos und Optionen beim Aufruf des Programms. Die Optionen mit Doppelstrich sind den GNU-Konventionen entsprechend auch als Optionen in der Konfigurationsdatei anwendbar. Einige besitzen bereits sinnvolle Standardwerte, andere machen ohne spezielle Angaben keinen Sinn. Die Konfigurationsdatei ist üblicherweise $HOME/.gnupg/gpg.conf. Für die genauere Betrachtung der Optionen und Kommandos sei auf die ausführliche manpage verwiesen.
GnuPG in Anwendungen
Mozilla Mail bzw. Thunderbird und GnuPG
Benutze dazu einfach Enigmail
Ximian Evolution und GnuPG
Schon eingebaut ;-) und wie man es aktiviert steht unter http://bomots.de/evolution/kap4.htm <-- leider offline Dort wird allerdings nicht erwähnt, daß evolution sich an die open-pgp-Standards hält und die meisten anderen Mailer nicht. Wenn man also z.B. von einem outlook-user eine verschlüsselte Mail erhält merkt evolution nicht, daß es sich um eine verschlüsselte Mail handelt. Man muss den Datensalat dann in einer Textdatei speichern und mit dem Befehl "gpg --decrypt datensalat.txt" entschlüsseln lassen.
Mutt und GnuPG
Folgende Einträge sollten in der ~/.muttrc vorhanden sein:
set pgp_decode_command="/usr/bin/gpg --charset iso-8859-15 --status-fd=2 %?p?--passphrase-fd 0? --no-verbose --quiet --batch --output - %f" set pgp_verify_command="/usr/bin/gpg --status-fd=2 --no-verbose --quiet --batch --output - --verify %s %f" set pgp_decrypt_command="/usr/bin/gpg --status-fd=2 --passphrase-fd 0 --no-verbose --quiet --batch --output - %f" set pgp_sign_command="/usr/bin/gpg --no-verbose --batch --quiet --output - --passphrase-fd 0 --armor --detach-sign --textmode %?a?-u %a? %f" set pgp_clearsign_command="/usr/bin/gpg --charset iso-8859-15 --no-verbose --batch --quiet --output - --passphrase-fd 0 --armor --textmode --clearsign %?a?-u %a? %f" set pgp_encrypt_only_command="/usr/lib/mutt/pgpewrap /usr/bin/gpg --charset iso-8859-15 --batch --quiet --no-verbose --output - --encrypt --textmode --armor --always-trust -- -r %r -- %f" set pgp_encrypt_sign_command="/usr/lib/mutt/pgpewrap /usr/bin/gpg --charset utf-8 --passphrase-fd 0 --batch --quiet --no-verbose --textmode --output - --encrypt --sign %?a?-u %a? --armor --always-trust -- -r %r -- %f" set pgp_import_command="/usr/bin/gpg --no-verbose --import -v %f" set pgp_export_command="/usr/bin/gpg --no-verbose --export --armor %r" set pgp_verify_key_command="/usr/bin/gpg --verbose --batch --fingerprint --check-sigs %r" set pgp_list_pubring_command="/usr/bin/gpg --no-verbose --batch --quiet --with-colons --list-keys %r" set pgp_list_secring_command="/usr/bin/gpg --no-verbose --batch --quiet --with-colons --list-secret-keys %r" set pgp_autosign=yes set pgp_sign_as=ABCDEF set pgp_replyencrypt=yes set pgp_timeout=1800 set pgp_good_sign="gpg: (Korrekte Unterschrift von|Good signature from)"
Danach sollte mutt ankommtende Mails mit GPG Verschlüsselung automatisch erkennen und gpg entsprechend aufrufen. Ausgehende Mails werden bei dieser Konfiguration automatisch mit dem Schlüssel ABCDEF signiert.
KMail und GnuPG
Ein HOWTO zum Thema KMail und GnuPG, OpenPGP, PGP/MIME findet sich hier (english). Die Installation ist ein wenig "unhandlich", mehr Details gibt es im Forum oder im Wikiartikel OpenPGPMIMEUndKmailbzwKopete.
gpg-agent
Wer GnuPG häufiger nutzt, wird sich über kurz oder lang fragen, ob es denn notwendig ist, sich ständig wieder gegenüber dem System zu authentifizieren. Gerade wer sehr lange Passphrasen nutzt, wird das Eintippen irgendwann leid. Doch es gibt einen Weg, dass zu minimieren. Der gpg-agent kann für die Dauer einer Sitzung die Kontrolle über die Schlüssel erhalten und gegenüber anderen Programmen die Authentifizierung übernehmen. Einmal eingesetzt möchte man ihn nicht mehr missen. Da er nicht im Paket gpg enthalten ist, muss er extra installiert werden. Debian kommt dem Anwender hier entgegen und installiert auch die Datei /etc/X11/Xsession.d/90gpg-agent, die dafür sorgt, dass der Agent beim Start einer X-Session gleich mit gestartet wird. Dazu ist allerdings in der Konfigurationsdatei von GnuPG die Option use-agent zu ergänzen. Ist das erledigt, setzt der gpg-agent die Umgebungsvariable GPG_AGENT_INFO, die in der gesamten X-Session zu sehen ist. Natürlich muss der Agent die Passphrase zu einem Schlüssel wenigstens ein Mal abfragen, dazu benötigt er noch das Programm pinentry, dass in verschiedenen Ausführungen (gtk, qt oder curses) zu installieren ist. Ab da übernimmt der Agent die Authentifizierung gegenüber jedem Programm, dass GnuPG nutzt und den Agenten unterstützt.
mutt und gpg-agent
Um auch mit mutt den Vorteil des Agents zu nutzen, sind einige geringfügige Änderungen notwendig. Als Erstes ist in der .muttrc die Option set pgp_use_gpg_agent=yes zu setzen. Um noch den Weg für pinentry zur Abfrage der Passphrase freizumachen, ist in den pgp_* Befehlen der .muttrc(siehe oben) noch jedes Auftreten von --passphrase-fd 0 zu entfernen.
Links
http://www.rubin.ch/pgp/pgp.de.html
http://www.gnupg.org/aegypten/
gemeine Email Verschlüsselungs Sendung des CCC Ulm (83MB - 117:25 min)
