Gehe direkt: zum Inhalt. | zur Navigation.

web-blog.netUsability Inside.

GnuPG unter Mac OS X, Teil II

GPG-Schlüssel-Verwaltung und -Nutzung

Inhalt Teil II

Vorbemerkung

Wie sichere ich meine Schlüssel? Wie kann ich meinen Secret Key exportieren? Was mache ich, wenn ich unter mehreren Mail-Adressen kommuniziere? Und wie verschlüssele ich E-Mails? Im Alltag mit GnuPG treten eine Menge Fragen auf. Die wichtigsten möchte dieses Tutorial nicht weiter offen lassen.

In Teil 1 des Tutorials haben wir uns GnuPG für Mac OS X heruntergeladen, installiert und ein Schlüsselpaar mit einem geheimen und einem öffentlichen Schlüssel erzeugt (Secret Key und Public Key). In diesem Teil installieren wir die grafische Oberfläche (GUI) GPGKeys, exportieren unseren Public Key und importieren einen fremden Schlüssel. Anschließend authentifizieren wir diesen Schlüssel.

Voraussetzungen

Sie haben Teil 1 des Tutorials erfolgreich beendet, indem Sie GnuPG auf Ihrem Mac OS X installiert haben. Außerdem haben Sie einen geheimen und einen öffentlichen GnuPG-Schlüssel erzeugt. Ansonsten gelten auch für Teil 2 dieselben Voraussetzungen wie im ersten Teil.

Schritt 1: GPGPreferences

Als erstes sollten Sie GPGPreferences auf Ihrem Mac installieren. Damit stellen Sie sicher, dass später die Schlüsselverwaltung GPGKeys fehlerfrei funktionieren wird.

Download von GPGPreferences

Öffnen Sie die Website Mac GNU Privacy Guard. Hier haben wir uns in Teil 1 den GNU Privacy Guard heruntergeladen. Die fünfte Datei ist GPGPreferences. Ein Klick auf den Versionslink (derzeit 1.2) bringt Sie zu den Sourceforge-Download-Seiten. Suchen Sie nach dem Düsseldorfer Server und klicken Sie auf den Download-Link. Wenig später wird die 505 kb große dmg-Datei auf Ihren Desktop geladen.

Installation von GPGPreferences

Mit einem Doppelklick öffnen Sie das Diskimage, welches das Installationspaket GPGPreferences-1.2.pgk enthält. Mit einem Doppelklick darauf starten Sie die Installation. Das Installationsprogramm führt Sie durch die notwendigen Schritte:

  1. Klicken Sie zweimal auf »Fortfahren«.

  2. Wählen Sie beim »Softwarelizenzvertrag« oben rechts über dem Inhaltsverzeichnis »Deutsch« als Sprache aus, falls sie nicht schon voreingestellt ist, und klicken Sie dann wieder auf »Fortfahren«.

  3. Klicken Sie auf »Akzeptieren«, um die GNU-Open-Source-Lizenz anzuerkennen.

  4. Wählen Sie das Zielvolume aus, indem Sie das Festplattensymbol einmal anklicken, auf dem Sie GnuPG nutzen werden. Es erscheint ein grüner, senkrecht nach unten weisender Pfeil über dem Gerätesymbol. Klicken Sie anschließend erneut auf »Fortfahren«.

  5. Klicken Sie nun auf »Installieren«.

  6. Wenn Sie die Meldung erhalten: »Die Software wurde erfolgreich installiert«, klicken Sie auf »Schließen«.

Konfiguration von GPGPreferences

GPGPreferences ist nun installiert. In den Systemeinstellungen (Apfelmenü > Systemeinstellungen) finden wir nun ganz unten unter »Sonstige« den neuen Eintrag »GnuPG«.

  1. Wenn Sie dort den Punkt GnuPG mit einem Klick zum erstenmal öffnen, werden Sie von einem Pop-up-Fenster gefragt: »Immer UTF-8 Text-Kodierung verwenden?« Klicken Sie auf Ändern (auch, wenn Ihr Mail-Programm auf Western, Latin oder iso-8859-1 eingestellt ist)! Damit behalten Sie die UTF-8-Kodierung bei und gehen so sicher, dass auch Umlaute (ä, ö, ü, ß) und Sonderzeichen beim Empfänger korrekt dargestellt werden.

  2. Gehen Sie einen Reiter weiter zu »Schlüssels...«. Öffnen Sie das Aufklappmenü neben dem Feld »Schlüsselserver« und wählen Sie den Server-Eintrag wwwkeys.de.pgp.net aus. Dies ist der DFN-Cert-PGP-Schlüsselserver.

  3. Anschließend setzen Sie mit einem Klick einen Haken in das Kästchen »Schlüssel automatisch während der Verifizierung vom Schlüsselserver holen«.

  4. Nun können Sie die Systemeinstellungen schließen.

Schritt 2: GPGKeys

GPGKeys ist die grafische Oberfläche für die GnuPG-Schlüssel-Verwaltung. Sie ist nicht zwingend notwendig, allerdings entkommt man mit ihrer Hilfe zumindest ansatzweise der Kommandozeile und somit dem Terminal. Mit Hilfe von GPGKeys können wir alle PGP- und GPG-Schlüssel auf unserem System verwalten: Import, Export, Schlüssel erstellen, bearbeiten, signieren, aktualisieren und sie auf öffentliche Keyserver laden.

Download von GPGKeys

  1. Öffnen Sie wieder die Website Mac GNU Privacy Guard.

  2. Als zweite Datei finden Sie unter dem GNU Privacy Guard den Link zum Programm »GPGKeys (inklusive mac2unix) – GUI Schlüsselverwaltung«. Wir klicken auf den Versions-Link (derzeit 0.6.1 als stabile Version; die Version 0.7.0 GPGKeychainAccess hat aktuell noch Beta-Status) und werden von dort wieder auf die Sourceforge-Download-Seite weitergeleitet.

  3. Dort wählen wir wieder den Düsseldorfer Server aus, indem wir auf den Download-Link klicken (318 kb). Kurz darauf startet der Download.

  4. Die Datei GPGKeys-0.6.1.tar sollte nun auf unserem Desktop liegen. Ein Doppelklick darauf entpackt den Ordner GPGKeys.

  5. Sollten wir gerade zufällig Terminal geöffnet haben, können wir mit...
    mkdir /Applications/GnuPG
    ... einen neuen Ordner namens »GnuPG« im Programme-Ordner erzeugen. Wir können dies natürlich auch über den Finder tun, indem wir dort auf »Neuer Ordner« klicken und diesen mit »GnuPG« benennen.

  6. In diesen neuen Ordner »GnuPG« verschieben wir mittels Drag & Drop den frisch entpackten Ordner »GPGKeys«, der noch auf dem Desktop liegt. Natürlich können wir auch wieder das Terminal dazu nutzen:
    mv /Users/username/Desktop/GPGKeys /Applications/GnuPG

Schritt 3: Nutzung von GPGKeys

Im Ordner GPGKeys finden wir das gleichnamige Programm, das als Icon einen Schlüsselbund mit sich bringt. Ein Doppelklick darauf startet nun zum erstenmal das Programm GPGKeys, in der lokalisierten Version auch »Schlüsselbunde« genannt. Und voilà, was entdecken wir da? Unseren öffentlichen und geheimen Schlüssel.

Nun möchten wir endlich die GPG-verschlüsselte Mail-Kommunikation ausprobieren. Dazu müssen wir unseren öffentlichen Schlüssel bekanntgeben und einen anderen öffentlichen Schlüssel importieren (nämlich den vom Empfänger). Unseren geheimen Schlüssel geben wir niemals weiter. Ebenso natürlich halten wir auch unser Mantra streng geheim.

Schlüssel zum Schlüsselserver senden

  1. Wir wechseln innerhalb von GPGKeys in das Fenster »Öffentlich«, indem wir auf den entsprechenden Reiter klicken.

  2. Mit einem Klick auf unseren öffentlichen Schlüssel markieren wir die gesamte Zeile.

  3. Über die Menüleiste gelangen wir in das Menü »Schlüssel« und wählen dort den Punkt »Zum Schlüsselserver senden« aus.

  4. Daraufhin öffnet sich Terminal (Sie müssen dort nichts eingeben) und teilt uns darin wenig später mit, ob unser Schlüssel erfolgreich an den DFN-Cert-Schlüsselserver gesendet wurde:
    gpg: success sending to 'wwwkeys.de.pgp.net' (status=200)

Der Schlüsselserver synchronisiert seine Daten mit denen anderer Server. Nun kann sich Ihr potenzieller Kommunikationspartner Ihren öffentlichen Schlüssel in sein System importieren, z.B. über die Kommandozeile bzw. Terminal, ein GUI wie GPGKeys oder über ein Web-Interface wie den DFN-PGP-Keyserver, indem man dort nach Merkmalen sucht (durch Eingabe von PGP-Key-ID, dem Nachnamen o.ä.). So bringt Sie eine Suche nach meiner Key-ID 0xD3AE5B75 auf eine Suchergebnisseite, von der aus Sie meinen Public Key herunterladen können.

Schritt 4: Schlüssel exportieren

Sie können Ihren Public Key exportieren, um Ihn auf Ihren Webspace hochzuladen oder Ihren Mail- oder Instant-Messaging-Partnern zuzusenden.

  1. Dazu markieren Sie in GPGKeys wieder Ihren öffentlichen (!) Schlüssel, öffnen in der Menüleiste das Menü »Ablage« und wählen über den Punkt »Exportieren > Schlüssel...« aus.

  2. Benennen Sie den Dateinamen in z.B. mustermaxe.asc um und achten Sie darauf, dass Sie einen Haken vor »ASCII-Hülle« setzen.

  3. Sichern.

Wenn Sie nun diese Datei mit einem Programm wie TextEdit o.ä. öffnen, sehen Sie einen Block voller Zahlen und Buchstaben, eingeschlossen von Anfang- und Ende-Tags:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.2.4 (Darwin)

[ ... ]

-----END PGP PUBLIC KEY BLOCK-----

Dies ist Ihr verschlüsselter GnuPG Public Key. Wenn Sie ihn auf Ihren Webspace hinaufladen, achten Sie darauf, dies im ASCII-Modus zu tun.

Um Ihre Partner auf Ihren Key hinzuweisen, genügt ein Link auf Ihrer Website oder in Ihrer Mail, z.B.
PGP Key-ID 0xD3AE5B75, Public Key web-blog.net/mvoelkel.asc

Schritt 5: Schlüssel importieren

Es gibt mehrere Wege, dies zu tun. Angenommen, Sie möchten mit mir verschlüsselt kommunizieren und haben von mir einen Link zu meinem Public Key erhalten. Wenn Sie diesen Link aufrufen, sehen Sie meinen Key im Browserfenster.

  1. Mit der Tastenkombination [Apfel] [s] oder über das Browser-Menü »Sichern unter...« können Sie meinen Schlüssel auf Ihrem Desktop als »mvoelkel.asc« sichern.

  2. Wechseln Sie nun zu GPGKeys, wählen Sie über die Menüleiste »Ablage > Importieren« meinen Schlüssel aus und klicken Sie anschließend auf »Öffnen«.

  3. GPGKeys antwortet mit »Erfolgreich importiert«, und schon befindet sich ein weiterer öffentliche Schlüssel bei Ihnen.

Nun möchten Sie eine Mail verschlüsseln und versenden. Wenn Sie niemanden zum Testen haben, können Sie mir eine verschlüsselte Mail an mv at web-blog dot net senden (PGP-Key).

Schritt 6: Schlüssel-Authentifizierung

Bevor Sie nun mittels GnuPG Ihren Mailverkehr verschlüsseln, authentifizieren Sie unbedingt den importierten Schlüssel – und sehen Sie zu, dass dies auf der anderen Seite auch mit Ihrem geschieht. Dies geschieht ganz einfach, indem Sie den Schlüssel unterschreiben bzw. signieren, um seine Gültigkeit zu bestätigen.

Tun Sie dies jedoch nur, wenn Sie von der Gültigkeit überzeugt sind! Am einfachsten ist dies, indem Sie gemeinsam den Fingerabdruck (Fingerprint) der jeweiligen Schlüssel überprüfen, z.B. telefonisch oder im Beisein des anderen. Hauptsache, es ist garantiert, dass es sich dabei um den rechtmäßigen Eigentümer handelt.

  1. Um einen Fingerprint zu erhalten, markieren Sie in GPGKeys einen Public Key und drücken entweder [Apfel] [i] oder wählen in der Menüleiste »Schlüssel > Informationen einblenden« aus.

  2. Daraufhin wird der Schlüsselinspektor geöffnet. Ganz unten im Fenster wird der Fingerprint eingeblendet (hier im Beispiel meiner):

Fingerabdruck:
0798 36A0 6122 DEB9 2FD6  237C 8C2D 12F8 D3AE 5B75

Stimmen die Fingerprints überein, können Sie den Schlüssel unterschreiben bzw. signieren und damit authentifizieren. So erstellen Sie Ihr eigenes Web of Trust. Lesen Sie bitte unbedingt mehr über das Vertrauensnetz im GnuPG-Handbuch, da es sich hierbei um die größte Schwachstelle der Kryptografie handelt.

Schlüssel signieren

  1. Um den Schlüssel zu signieren, markieren Sie den betreffenden Key in GPGKeys, öffnen Sie wieder das Menü »Schlüssel« und wählen dort den Punkt »Signieren« aus.

  2. Terminal öffnet sich, listet den betreffenden Schlüssel inklusive IDs auf und fragt:

    Really sign all user IDs?

  3. Geben Sie y für Yes ein und bestätigen Sie mit der Return-Taste.

  4. GPG listet erneut den Schlüssel inklusive seiner ID, dem Fingerprint und den betreffenden Mail-Adressen auf. Anschließend werden Sie gefragt, ob und wie sehr Sie den Key auf Authentizität geprüft haben:

  5. How carefully have you verified the key you are about
    to sign actually belongs to the person named above? If
    you don't know what to answer, enter "0".
    
       (0) I will not answer. (default)
       (1) I have not checked at all.
       (2) I have done casual checking.
       (3) I have done very careful checking.
       
    Your selection? (enter '?' for more information):
    
  6. Geben Sie 1 ein, wenn Sie den Key überhaupt gar nicht geprüft haben.
    Geben Sie 2 ein, wenn Sie den Key nur teilweise geprüft haben.
    Geben Sie 3 nur dann ein, wenn Sie den Fingerprint des Keys mit seinem Eigentümer genau geprüft haben und überzeugt von seiner Rechtmäßigkeit sind. Bestätigen Sie anschließend mit Return.

  7. GPG fragt Sie nun nach einer Bestätigung, ob Sie den betreffenden Key mit Ihrem Schlüssel signieren wollen:

    Really sign?

    Bestätigen Sie mit y für yes.

  8. Diese Bestätigung müssen Sie mit Ihrem geheimen Mantra (Passphrase) unterschreiben. Ihre Eingabe wird dabei nicht angezeigt:

    Enter passphrase:

Nun können Sie den signierten Schlüssel auf den Keyserver zurückladen, indem Sie ihn in GPGKeys markieren und im Menü »Schlüssel > Zum Schlüsselserver senden« auswählen.

Weiter mit Teil 3:
GnuPG unter Mac OS X, Teil III: Als nächstes richten wir unseren Mail-Client Apple Mail oder Entourage so ein, dass wir Mails signieren, verschlüsseln und entschlüsseln können. Anschließend gibt es einen vierten Teil mit einer Kurzreferenz und ganz vielen weiterführenden Links. In der Zwischenzeit können Sie z.B. GnuPG-verschlüsselt jabbern, indem Sie einen Instant-Messenger wie Psi benutzen.

Hinweis: Dieser Artikel unterliegt den Bestimmungen einer Creative-Commons-Lizenz (Attribution-NonCommercial-ShareAlike 2.0 Germany). Sie dürfen diesen Text kostenfrei kopieren, bearbeiten und verbreiten, solange Sie mit einem Link auf meinen Namen und die Quelle verweisen, den Inhalt nicht für kommerzielle Zwecke verwenden und den Inhalt unter gleichen Bedingungen weitergeben.

Marcus Völkel | 20.11.04 | Apple Mac 


 

Trackbacks

Trackback-URI für diesen Eintrag:
http://www.web-blog.net/pingserver.php?p=tb&id=173

Trackbacks:

Für diesen Eintrag gibt es keine Trackbacks.

Pingbacks

Usability Inside | Weblog |
...Eine verschlüsselte, versandte Mail wieder entschlüsselnTeil 1 und Teil 2 haben wir GnuPG erfolgreich auf unserem Mac installiert, unser eigenes Schlüsselpaar erzeugt und einen fremden öffentlichen Schlüssel mit GPGKeys importiert. In diesem Teil ...
(28.11.2004 | 16:39)


Kommentare

Hallo Marcus,

wie sagt der Schockwellenreiter immer so zutreffend: "Ausdrucken!"

Liebe Grüße
- macviser -

schrieb am 21.11.2004 | 11:12


was sollte man tun, wenn man versehentlich doch auf UTF8 umgestellt hat? sicherlich muss der wert bei charset geändert werden. nur zu was genau?

schrieb am 21.11.2004 | 11:39


Nein, UTF-8 ist schon richtig. War wohl etwas missverständlich ausgedrückt: Auf »Nicht Ändern« klicken heißt: UTF-8 beibehalten.

schrieb am 21.11.2004 | 14:29


Großes Lob ! Dein Artikel hat mir erspart das alles Selber zusammen zu suchen, Danke. btw Ich benutze Enigmail (mit Thunderbird), was ein wirklich gutes interface zur gpg ist.

schrieb am 21.11.2004 | 18:53


Auch von mir ein großes Lob für diesen sehr verständlich geschriebenen Artikel.

Wäre es für dich denkbar, ihn (bzw. die Reihe) auch in einer Version zu veröffentlichen, die man (ich) gut archivieren kann? Oder dass du den Ben von Metamac fragst, ob er ihn veröffentlicht und so einer breiteren Menge an Menschen gut les- und archivierbar zugänglich macht?

schrieb am 26.11.2004 | 12:08


Danke für's Feedback! Also ja, abschließend gibt es wohl eine HTML- und eine PDF-Version. Ausdrucken oder als PDF sichern kann man sich die einzelnen Beiträge natürlich auch jetzt schon. Das Blog eignet sich natürlich umso mehr als Form, weil man Fragen und Anregungen direkt in die Kommentare reinschreiben kann.

Die Artikel selbst unterliegen einer Creative Commons Lizenz: Jeder kann sie kostenfrei weiter verbreiten, solange die CC-Lizenz beibehalten bleibt und die Originalquelle genannt und verlinkt wird.

schrieb am 26.11.2004 | 12:46


Super! Endlich mal in verständlichen, leicht konsumierbaren Häppchen. Dabei ist mir aufgefallen, das die GPG*.app-Pakete noch einige Aufmerksamkeit vertragen könnten (beispielsweise dieser eitele "Welche Garantie?"-Knopf, komplizierte Erläuterungstexte oder allein der Umstand das für einige Funktionen ein Terminal-Fenster geöffnet wird). Kann man da nicht was dran ändern, vielleicht ja sogar verbessern? Oder fehlt es da doch an willfährigen IT-Arbeitern?
Trotzdem (bzw. eben darum) 1000dank für die bisher hervorragende Einführung. Irgendwann würde mich dann auch mal interessieren was sich unter den Experteneinstellungen so verbirgt, wozu ich PGP 2.x-Kompatibilität brauchen könnte, was das mit den Fotos auf sich hat und so weiter und so fort... Aber erstmal bin ich auf die Fortsetzung gespannt.

schrieb am 05.12.2004 | 14:39


Nachtrag: In meinem letzten Kommentar führten die Links zur Raven-Anleitung in die Irre. Jetzt sind sie richtig ;)

(Nicht nur) zur PGP-2x-Frage empfehle ich Kai Ravens deutsche PGP-Anleitung (eins, zwei).

schrieb am 14.12.2004 | 12:19


Tolle, verständliche Anleitung – vielen Dank! Leider funktioniert trotz aktueller Suffit-Version das Entpacken der neueren GPG Keychain Version 0.7.0.1 bei mir nicht. Any idea?

schrieb Thorsten am 17.12.2005 | 9:28


Also großes Lob … wirklich eine tolle Anleitung.

Weiter so … :)

schrieb am 30.12.2005 | 14:58


 

© M. Völkel 2003-2008, some rights reserved | PGP-Key | Impressum
XHTML 1.0 Strict, Valid CSS.