PGP How-To

von M. Serhat Cinar

 

Index

  • Vorwort
  • Das Public Key Verfahren
  • Erzeugen eines Schlüsselpaares
  • Speichern / Exportieren des eigenen Public Keys
  • Importieren der Public Keys von Anderen
  • Verschlüsseln von Emailtexten
  • Entschlüsseln von Emailtexten
  • Verschlüsseln/Entschlüsseln von Dateien
  •  

    Vorwort

    Die aktuelle Freeware-Version von PGP ist unter www.pgpi.org/products/pgp/versions/freeware zu finden.
    Die Screenshots sowie das Howto beziehen sich auf die Version 7.0.3 für Win32.

    Einige der Screenshots enthalten nachträglich eingefügte schwarze Balken über Emailadressen und Namen. Bitte davon nicht irritieren lassen. Sie dienen lediglich der Anonymität meiner Kontakte :)

    Der hier benutzte Public Key ist nicht mein gültiger Public Key! Er wurde lediglich als Beispiel erstellt.

    Vorweg etwas grundsätzliche Theorie.


    Das Public Key Verfahren

    Bei der Public Key Verschlüsselung, auch Asymmetrische Verschlüsselung genannt, gibt es ein Schlüsselpaar, also zwei Schlüssel.
    Der eine ist der sogenannte Public Key. Mit ihm können Nachrichten für seinen Besitzer verschlüsselt werden. NUR verschlüsselt. Der Public Key ist somit quasi ein Schlüssel, mit dem man ein Schloß nur abschließen, aber nicht wieder öffnen kann. Daher wird der Public Key an alle Personen weitergeleitet, damit diese mit dem Public Key Nachrichten für dessen Besitzer verschlüsseln können.
    Der andere ist der Private Key. Mit ihm können Nachrichten, die mit dem Public Key verschlüsselt wurden, wieder entschlüsselt werden. Dieser Schlüssel muß daher GEHEIM bleiben und sollte an Niemanden weitergegeben werden.


    Erzeugen eines Schlüsselpaares

    Da dieses Howto davon ausgeht, dass PGP zum ersten mal benutzt wird, sollte die Frage des Installers bei der Installation, ob man bereits ein Schlüsselpaar besitzt verneint werden. Auch die Frage des Installers, ob jetzt ein neues Schlüsselpaar erzeugt werden soll, sollte verneint werden.
    Nachdem PGP erfolgreich installiert wurde, sollte das PGP-Symbol (kleines Schloss) in der Trayleiste auftauchen.

    Sollte das nicht der Fall sein einfach über Start->Programme->P G P->PGPtray starten. Mit einem rechten Mausklick auf das PGP-Trayicon kann man nun das PGP-Menü aktivieren. Im PGP-Menü wird nun das Tool PGPkeys aktiviert. Es erscheint das Fenster des Schlüssel-Verwaltungs-Tools.

    Die standardmäßig enthaltenen Schlüssel, die den Programmierern und anderen PGP-Leuten gehören, können gelöscht werden (markieren und über rechte Maustaste löschen).
    Mit dem Menüpunkt Keys->New Key wird der Wizard zum Erstellen eines neuen Schlüsselpaares aktiviert.

    Mit einem Klick auf Expert geht es weiter mit den Schlüsselparametern.

    Vergewissert euch, dass in der Zeile Full name euer richtiger Name steht, denn als Defaultwert wird der Windows-Loginname verwendet (bei NT meist "Administrator").
    Als Key type sollte Diffie-Hellman/DSS gewählt, die Key size sollte auf den Maximalwert von 4096 Bit eingestellt und die Key expiration auf never gestellt werden.
    Nach einem Klick auf Weiter erscheint der Passwort-Dialog.

    Wie sicherlich schon bemerkt, ist der Verschlüsselungsschlüssel, also der Private Key eine 4096 Bit lange zufällig generierte (Prim-)Zahl. Als Dezimalzahl ausgeschrieben wäre das eine Zahl im Bereich von 2^4096, also eine etwa 1233-Stellige Dezimalzahl. Da sich niemand einen solchen Schlüssel merken kann, muß dieser gespeichert werden. Damit aber nicht die Gefahr besteht, dass ein Angreifer die Datei findet und damit alle Nachrichten entschlüsseln kann, wird der Schlüssel selber nochmal verschlüsselt, diesmal aber mit einem handlichen Passwort, genauer mit einem Passsatz (Passphrase). Diesen sollte man sich dann aber auch merken und nicht irgendwo aufschreiben und auch nicht speichern. Wie vorgeschlagen sollte der Passatz mehr als 8 Zeichen enthalten, vorzugsweise sollten Buchstaben, Ziffern und Sonderzeichen gemischt benutzt werden. Außerdem sollte der Passsatz oder das Passwort in keinem (Wörter-) Buch oder Lexikon nachzuschlagen sein.
    Der Passsatz wird später bei jeder Operation mit PGP (Ver- und Entschlüsseln) abgefragt. Damit dies nicht zu lästig wird, kann PGP die Passphrase für eine bestimmte Dauer im Speicher cachen. Als Default wird die Passphrase zwei Minuten "gemerkt". Danach wird eine Neueingabe nötig. Dieses Verhalten kann in den Optionen geändert werden.
    Nachdem der Passsatz im Feld Confirmation erneut eingegeben wurde mit Weiter bestätigen.
    Es folgt die tatsächliche Schlüsselerzeugung (Key Generation Progress).

    Es werden Private Key und Public Key (Subkey) erzeugt. Mit Weiter erscheint der letzte Dialog.

    Es kann sein, dass beim Erzeugen des ersten Schlüssels noch ein Dialog folgt, bei dem man ein Verzeichnis aussuchen muß, in dem der Private und der Public Key gespeichert (gesichert) werden sollen.
    Man sollte auch regelmäßig ein Backup der Keyring-Dateien pubring.pkr und secring.pkr im Verzeichnis Eigene Dateien/PGP erstellen.

    Auf diese Dateien wird noch später im Zusammenhang mit dem Hinzufügen von Public Keys eingegangen.

    In pgpkeys sollte nun das Schlüsselpaar sichtbar sein.


    Speichern / Exportieren des eigenen Public Keys

    Nach dem Markieren des Schlüssels mit der rechten Maustaste im Kontextmenü Export wählen. Alternativ kann man auch den Menüpunkt Keys->Export wählen.
    Es erscheint ein Dateidialog zum Speichern des Schlüssels:

    Aufzupassen ist hierbei, dass das Kontrollkästchen neben Include Private Key(s) inaktiv (leer) bleibt. Somit speichert man NUR den Public Key. Dieser kann dann per Email an alle Bekannten geschickt werden.
    Nur wenn man den Private Key Backupen will, sollte man das Kontrollkästchen neben Include Private Key(s) aktivieren. Dann sollte man aber die gespeicherte Datei niemandem schicken!

    Die gespeicherte Datei M. Serhat Cinar.asc enthält nun den Public Key, der etwa so aussehen sollte:

    -----BEGIN PGP PUBLIC KEY BLOCK-----
    Version: PGPfreeware 7.0.3 for non-commercial use 
    
    mQGiBD2CKx8RBADU8VP+YPF880VrNt8p5nRXlmnVc4wa71Q4rDbpCIAUsjUTT77Y
    KoAIag89zpWXQqVvmJKNnPQIskbO6GqczpgzAJ4L8nNagA+IBshYxZc9rXIx3ZTo
    IRB4WvVwRDHP1CkTipqtqsZMlh1HlrzXz642UKqkpLmSvjbzOf9ZEQfQuwCg/9ul
    406DzNVB2PCIwDSWMPTsBUsEAIZLoDVazY/eHGAa8IbpyJ87X/wEDHRNFacPTDsh
    lYVREb0Ruw/LBAmw20z41IzT8NmtUBuvWM1osKCxfywmKpChMMe6RNnqd6iSjtpp
    ph8U+2LXEZLcs/wVHtirQLESrwV1K4lMbeCfEKEJjs5CyR69SFeRNsTykg2UcHk+
    Al/sA/46A8SKP3TOgECf3NlT0ORQRO13+QZ+Q9xXs4azpXRxB6vLeBjviyYpk/0H
    pVKaVQNaecSvn5MJtAE1Jtrb/76yvJVz6begTOKOhVcKPzR4knJ5ZADIr3FfafsR
    BRd86tI4vsUtNylE4+o1HbB4JI+zA98V6mZqebRewXK353UJyrQmTS4gU2VyaGF0
    IENpbmFyIDxtLnNlcmhhdEBncmF2aXRvbi5kZT6JAFgEEBECABgFAj2CKx8ICwMJ
    CAcCAQoCGQEFGwMAAAAACgkQ6wBjWrUPmyhtmQCggozhVEFnwzWlrwu9JRVZR/yU
    TFcAoMVBBJ64OI58kQ6ksjRtuXGHO8souQQNBD2CKx8QEAD5GKB+WgZhekOQldwF
    bIeG7GHszUUfDtjgo3nGydx6C6zkP+NGlLYwSlPXfAIWSIC1FeUpmamfB3TT/+Oh
    xZYgTphluNgN7hBdq7YXHFHYUMoiV0MpvpXoVis4eFwL2/hMTdXjqkbM+84X6Cqd
    FGHjhKlP0YOEqHm274+nQ0YIxswdd1ckOErixPDojhNnl06SE2H22+slDhf99pj3
    yHx5sHIdOHX79sFzxIMRJitDYMPj6NYK/aEoJguuqa6zZQ+iAFMBoHzWq6MSHvoP
    Ks4fdIRPyvMX86RA6dfSd7ZCLQI2wSbLaF6dfJgJCo1+Le3kXXn11JJPmxiO/Cqn
    S3wy9kJXtwh/CBdyorrWqULzBej5UxE5T7bxbrlLOCDaAadWoxTpj0BV89AHxstD
    qZSt90xkhkn4DIO9ZekX1KHTUPj1WV/cdlJPPT2N286Z4VeSWc39uK50T8X8dryD
    xUcwYc58yWb/Ffm7/ZFexwGq01uejaClcjrUGvC/RgBYK+X0iP1YTknbzSC0neSR
    BzZrM2w4DUUdD3yIsxx8Wy2O9vPJI8BD8KVbGI2Ou1WMuF040zT9fBdXQ6MdGGze
    MyEstSr/POGxKUAYEY18hKcKctaGxAMZyAcpesqVDNmWn6vQClCbAkbTCD1mpF1B
    n5x8vYlLIhkmuquiXsNV6z3WFwACAhAAq8XJQZnbZR3ewGbIxAXJO3CvbnkPGt7p
    4t8DZCGDUGxb8ysJH3rKccfrzipkGrsXGz89yjRY9KOO5J6j+Wvgbo7iQRu7Zmo5
    YktAlSZ5OP7N5V3PHpjs6ILC55YFJFVJ47uw0rd58jlV7bJ70zFpg2Q0U8ogJXDO
    z3eQZGB5PrJgkNuXZ4GuN1YzvKGBZlr0j8pqlJlMN6eDkVc3ZQyuJFBx/7hEOdnD
    6itRbDpQfhM/tJHiQgyLxyFRMdM+lBGj7EsWZfRi54JLRhrZDsmsvd2EkpI6BTlL
    wFGBtujf+ap14UfYa5IWEfese3k/BXtJOn/BJuR/gGFtf/a7jxLqUt/3PhYHBRtA
    1/yhpIE8W4N+r5YuXMpFHGGx4kzO0LtPY5DgowjncPA6IA+bEe++UTn+JdlM/Hsc
    7GJgs0iH5hykgkgTk+AYBvRpSL64HtMfoo3Ee3guRXs1GpGm+BF+a9pC/K/SylRz
    mFQ+dDdwmcfrArkqxDjUIsINMrOyKFm/G4J7ie6cXOhVfCDuwTIJJ+z55/qhdqv1
    D8Z6qC12Ugj00PdRb5nF3EygyG7fVMEdTQ39vb+U27rRrLj8fLzQR5K5dtK5cME/
    unB6ts7KBbV9aLNIwUAjXyR/FUI1AVsZl4fVrvp1xUr+M5gdBdLBXz1BJH1oanrg
    VRkxfZ90EPeJAEwEGBECAAwFAj2CKx8FGwwAAAAACgkQ6wBjWrUPmygZmACgz+Ze
    lRTyDOC56sS+baC1TRAcFxUAn1bW3VGxAOz87SlbDcm51vn/uqak
    =qdxT
    -----END PGP PUBLIC KEY BLOCK-----
    

    Entscheidend ist hier, dass der Schlüssel mit PUBLIC KEY BLOCK markiert ist.


    Importieren der Public Keys von Anderen

    Wie schon erwähnt, braucht man, um Nachrichten für eine Person zu verschlüsseln, deren Public Key.
    Diesen lässt man sich einfach in einer Mail als Text oder als Attachment schicken und speichert ihn an einen temporären Platz (z.B. Desktop). Über den Menüpunkt Keys->Import in pgpkeys wird der Public Key des Anderen importiert.

    Es erscheint ein Dialog zum Aussuchen des zu importierenden Schlüssels.

    Mit einem Klick auf Import wird der Schlüssel importiert. In pgpkeys erscheint nun der importierte Public Key:

    Zwei Dinge sollten auffallen:
    1. Unter Description von Public Keys steht auch "public key"
    2. Bei Validity von Public Keys ist der "Knopf" weiß, bei Private Keys grün und mit einem Gesicht im Profil drauf.

    Die gesammelten Public Keys werden zusammen im sogenannten Public Key Ring gespeichert. Diese Datei, die als Default unter Eigene Dateien/PGP/pubring.pkr gespeichert wird, enthält alle gesammelten Public Keys. Daher sollten die Dateien in diesem Verzeichnis regelmäßig gesichert werden.


    Verschlüsseln von Emailtexten

    Wenn bei der Installation die Tools für Outlook / Outlook Express aktiviert und mit installiert wurden stehen im Mailprogramm drei neue Icons mit den zum Verschlüsseln benötigten Funktionen zur Verfügung.

    Mit dem Klicken des Encryp Message (PGP)-Buttons wird dafür gesorgt, dass beim Abschicken der Mail der Verschlüsselungs- Dialog von PGP aktiviert wird:

    In der oberen Liste stehen alle bekannten Public Keys. Von der oberen Liste können sie in die untere Liste per Drag and Drop hinzugefügt werden. Die untere Liste enthält alle Public Keys, mit denen die Nachricht verschlüsselt werden soll. Alle Besitzer der Public Keys in der unteren Liste können die verschlüsselte Nachricht später mit dem zugehörigen Private Key entschlüsseln.
    Hier ist Vorsicht geboten. Denn ist der eigene Schlüssel nicht in der unteren Liste aufgeführt, kann die verschlüsselte Nachricht später NUR vom Empfänger entschlüsselt werden, aber nicht mehr von einem Selber. Daher sollte man immer entweder manuell seinen eigenen Schlüssel der Liste hinzufügen, oder in den Optionen von pgpkeys im Menü Edit->Options auf der Karteikarte General unter der Option Always encryp to default key aktivieren (sollte als Default auch aktiviert sein).
    Durch Klicken von OK wird der Text der Email automatisch verschlüsselt, der Originaltext durch den verschlüsselten Text ersetzt und die Mail dann schließlich abgeschickt. Eine verschlüsselte Nachricht sieht etwa wie folgt aus (Auszug):

    -----BEGIN PGP MESSAGE-----
    Version: PGPfreeware 7.0.3 for non-commercial use 
    
    qANQR1DBw04DFW2XDEG8u44QEACyw+zg5UMQbR4ZWmDSCT69b/3pairiRCmkruLF
    ZvLz2XbmHh34o3xnvlJUMfqM5r84LcjeVCgs8yzybjnBO9TvebKk/jLKq6J24C6D
    trHwrpBxJ+52NgcCycOgvTikKZWd00XW9hbjnbGaqds9EZl/e284TPAIvm3+69VZ
    utRXzFkFsoTinvSSmj13eNqlckDV/puy2uvdCr3vIADF7KvnaunlQlgvKLqK318f
    1AeHvnJnbRzTNmOzmCMqmXbBkCaH/jabhzhzN+XukODKfVAjLKqdgzAOE6Flm/7d
    UjuaSml5KoEsNgibTVZaKE8+YCOH3dDSuINRNfjUr24LzE64P71lJpYlW7mbkwZ0
    WU87bS2X8pjfugQON/q7ulrfR3KTV3a53z4PFbnf5khNRQoQCVWrY2gWw9th+N1U
    2a3X36qn2cC3FoTSKtBI+w/5i11BVf3JNRjTtCLV1P1S1nA08sZRqh45UnQq3s3s
    DlX031oKg3RrvTiMjMOSjADcPxgxojP/eYXdUU9V
    =Hubw
    -----END PGP MESSAGE-----
    


    Entschlüsseln von Emailtexten

    Ist eine verschlüsselte Email angekommen, so bietet Outlook einen Button zum Entschlüsseln der Nachricht in der Toolbar:

    Nach dem Klicken auf den Decrypt PGP message-Button erscheint die Abfrage für den Passsatz. Nach der korrekten Eingabe des Passsatzes wird der Text entschlüsselt und dargestellt.


    Verschlüsseln/Entschlüsseln von Dateien

    Als Beispiel soll eine Zip-Datei verschlüsselt werden. PGP erstellt bei der Intallation neue Optionen im Kontextmenü für Dateien (auf der Datei rechte Maustaste drücken).

    Nach dem Wählen des Menüpunktes Encrypt oder Encrypt & sign erscheint wieder der Dialog zur Auswahl der Public Keys, mit denen die Datei verschlüsselt werden soll.

    Die Optionen links unten bewirken folgendes:
    Text Output: Die Verschlüsselte Datei wird in ASCII-Zeichen kodiert. Die Output-Datei ist daher groß. Diese Option ist nur dann interessant, wenn der Mailclient Probleme mit binär kodierten Mails bekommt.
    Wipe Original: Nach der Verschlüsselung wird die original (also Quell-) Datei gelöscht.

    Genauso wie das Verschlüsseln von Dateien kann man verschlüsselte .pgp-Dateien über das Kontextmenü (rechte Maustaste über der Datei) entschlüsseln. Dazu wird wieder die Passphrase verlangt.