centos:openpgp_beim_mua

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
centos:openpgp_beim_mua [02.03.2014 17:10. ] – [Schlüsselgenerierung] djangocentos:openpgp_beim_mua [18.11.2024 19:08. ] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 1: Zeile 1:
 ====== Sichere eMail mit OpenPGP und S/MIME ====== ====== Sichere eMail mit OpenPGP und S/MIME ======
 {{:centos:world.png?nolink&80 |Bild: Weltkugel }} \\ {{:centos:world.png?nolink&80 |Bild: Weltkugel }} \\
-Dass das Internet systembedingt unsicher ist, hat sich in aller Regel herumgesprochen.  Daten durchlaufen von der Quelle bis zum Ziel zahlreiche Server und Systeme, an denen die Daten, abgegriffen und/oder manipuliert werden können. Persönliche und vertrauliche Daten können so einfach Dritten in die Hände fallen, die mit großer krimineller Energie versuchen an diese Daten zu kommen. +Dass das Internet systembedingt unsicher ist, hat sich in aller Regel herumgesprochen.  Daten durchlaufen von der Quelle bis zum Ziel zahlreiche Server und Systeme, an denen die Daten, abgegriffen und/oder manipuliert werden können. Persönliche und vertrauliche Daten können so einfach Dritten in die Hände fallen, die mit grosser krimineller Energie versuchen an diese Daten zu kommen. 
  
 Inwieweit staatliche Stellen den Datenverkehr abhören, protokollieren und abgreifen und zu manipulieren bzw. zensieren versuchen, weiss  Inwieweit staatliche Stellen den Datenverkehr abhören, protokollieren und abgreifen und zu manipulieren bzw. zensieren versuchen, weiss 
Zeile 13: Zeile 13:
 Was lernen wir aus dieser Tatsache? Unsere Kommunikation ist nach besten Wissen und Gewissen, so zu gestalten, damit andere unsere Daten nicht mitlesen und manipulieren können. Ferner ist sicherzustellen, dass Empfänger vertrauen können, dass Informationen tatsächlich von dem versandt wurden, von dem wir glauben, diese zu bekommen. Was lernen wir aus dieser Tatsache? Unsere Kommunikation ist nach besten Wissen und Gewissen, so zu gestalten, damit andere unsere Daten nicht mitlesen und manipulieren können. Ferner ist sicherzustellen, dass Empfänger vertrauen können, dass Informationen tatsächlich von dem versandt wurden, von dem wir glauben, diese zu bekommen.
  
-Hierzu greifen wir auf **asymetrische Verschlüsselungstechniken** zurück, die wir entweder mit [[http://www.openpgp.org/|OpenPGP]] oder [[http://www.smime.org/|S/MIME]] realisieren können.+Hierzu greifen wir auf **asymmetrische Verschlüsselungstechniken** zurück, die wir entweder mit [[http://www.openpgp.org/|OpenPGP]] oder [[http://www.smime.org/|S/MIME]] realisieren können.
  
 Für die vertrauliche und gesicherte Kommunikation mit mir, einfach PGP oder S/MIME nutzen! Mein S/MIME-Userzertifikat und auch mein [[http://keyserver.nausch.org/pks/lookup?search=0x074ECF6150A6BFED&fingerprint=on&op=index|mein PGP-Key]] kann man z.B. einfach auf einen der folgenden Seiten Für die vertrauliche und gesicherte Kommunikation mit mir, einfach PGP oder S/MIME nutzen! Mein S/MIME-Userzertifikat und auch mein [[http://keyserver.nausch.org/pks/lookup?search=0x074ECF6150A6BFED&fingerprint=on&op=index|mein PGP-Key]] kann man z.B. einfach auf einen der folgenden Seiten
Zeile 196: Zeile 196:
 ==== Inhalt der Schlüsselringe ==== ==== Inhalt der Schlüsselringe ====
 Nach der Erstellung der Erstellung des Schlüsselpaares befinden sich im Verzeichnis **.gnupg** zwei Dateien, nämlich **secring.pgp** und **pubring.pgp**. Nach der Erstellung der Erstellung des Schlüsselpaares befinden sich im Verzeichnis **.gnupg** zwei Dateien, nämlich **secring.pgp** und **pubring.pgp**.
-<code>$ ll .gnupg/ +   $ ll .gnupg/ 
-insgesamt 32+<code>insgesamt 32
 -rw------- 1 django django 9207 27. Apr 21:55 gpg.conf -rw------- 1 django django 9207 27. Apr 21:55 gpg.conf
 -rw------- 1 django django 1678 27. Apr 22:04 pubring.gpg -rw------- 1 django django 1678 27. Apr 22:04 pubring.gpg
Zeile 205: Zeile 205:
 -rw------- 1 django django 1280 27. Apr 22:04 trustdb.gpg -rw------- 1 django django 1280 27. Apr 22:04 trustdb.gpg
 </code> </code>
-Im ersten Schlüsselring **secring.pgp** befindet sich der oder die privaten Schlüssel und im **pubring.pgp** alle öffentlichen, auch die von Dritten. Verwendet man GnuPG zum ersten Mal, befindet sich in beiden Schlüsselringen nur jeweils ein Schlüssel. Den Inhalt des privaten Schlüsselringes erfährt man mittels **gpg  --list-secret-keys**. +Im ersten Schlüsselring **secring.pgp** befindet sich der oder die privaten Schlüssel und im **pubring.pgp** alle öffentlichen, auch die von Dritten. Verwendet man GnuPG zum ersten Mal, befindet sich in beiden Schlüsselringen nur jeweils ein Schlüssel. Den Inhalt des privaten Schlüsselringes erfährt man mittels **gpg  %%--%%list-secret-keys**. 
-<code>gpg  --list-secret-keys +   $ gpg  --list-secret-keys 
-/home/django/.gnupg/secring.gpg+<code>/home/django/.gnupg/secring.gpg
 ------------------------------- -------------------------------
 sec   1024D/0CC2A7BA 2009-04-27 sec   1024D/0CC2A7BA 2009-04-27
 uid                  Michael Nausch <django@omni128.de> uid                  Michael Nausch <django@omni128.de>
 ssb   4096g/8FE37004 2009-04-27</code> ssb   4096g/8FE37004 2009-04-27</code>
-Der Inhalt des öffentlichen keyrings zeigt **gpg  --list-keys**. +Der Inhalt des öffentlichen keyrings zeigt **gpg  %%--%%list-keys**. 
-<code>$ gpg  --list-keys +   $ gpg  --list-keys 
-/home/django/.gnupg/pubring.gpg+<code>/home/django/.gnupg/pubring.gpg
 ------------------------------- -------------------------------
 pub   1024D/0CC2A7BA 2009-04-27 pub   1024D/0CC2A7BA 2009-04-27
Zeile 221: Zeile 221:
 </code> </code>
 Bei einem "produktiven Schlüsselring" werden entsprechend alle Schlüssel im öffentlichen Schlüsselbund angezeigt: Bei einem "produktiven Schlüsselring" werden entsprechend alle Schlüssel im öffentlichen Schlüsselbund angezeigt:
-<code>$  gpg  --list-keys +   $  gpg  --list-keys 
-/home/bigchief/.gnupg/pubring.gpg+<code>/home/bigchief/.gnupg/pubring.gpg
 --------------------------------- ---------------------------------
 pub   1024D/2384C849 2009-03-30 pub   1024D/2384C849 2009-03-30
Zeile 285: Zeile 285:
 Hierzu erstellen wir uns nun ein **//Revocation Certificate//**((Rückruf-Zertifikat)). Da wir hierzu den privaten Schlüssel, wie auch die Passphrase benötigen, erklärt, warum wir uns genau jetzt darüber Gedanken machen (müssen). Dieses Revocation Certificate muss an einem besonderen streng geheimen Ort aufbewart werden, da damit könnte ein Angreifer, den Key seines Opfers unwiederbringlich zurückziehen und dies ohne jegliche weitere Sicherung oder Passphraseabfrage. Wir Schreiben das Zertifikat also ab! Hierzu erstellen wir uns nun ein **//Revocation Certificate//**((Rückruf-Zertifikat)). Da wir hierzu den privaten Schlüssel, wie auch die Passphrase benötigen, erklärt, warum wir uns genau jetzt darüber Gedanken machen (müssen). Dieses Revocation Certificate muss an einem besonderen streng geheimen Ort aufbewart werden, da damit könnte ein Angreifer, den Key seines Opfers unwiederbringlich zurückziehen und dies ohne jegliche weitere Sicherung oder Passphraseabfrage. Wir Schreiben das Zertifikat also ab!
  
-O.K. erst einmal wird mit **gpg --gen-revoke key-ID** das Zertifikat erzeugt. Zuerst ermitteln wir uns aber die entsprechende Key-ID: +O.K. erst einmal wird mit **gpg %%--%%gen-revoke key-ID** das Zertifikat erzeugt. Zuerst ermitteln wir uns aber die entsprechende Key-ID: 
-<code>$ gpg  --list-sigs +   $ gpg  --list-sigs 
-/home/django/.gnupg/pubring.gpg+<code>/home/django/.gnupg/pubring.gpg
 ------------------------------- -------------------------------
 pub   1024D/C591B828 2009-04-28 pub   1024D/C591B828 2009-04-28
Zeile 295: Zeile 295:
 sig          C591B828 2009-04-28  Michael Nausch <django@omni128.de></code> sig          C591B828 2009-04-28  Michael Nausch <django@omni128.de></code>
 Anschließend erzeugen wir das Rückrufzertifikat: Anschließend erzeugen wir das Rückrufzertifikat:
-<code>$ gpg --gen-revoke C591B828 +   $ gpg --gen-revoke C591B828 
- +<code>sec  1024D/C591B828 2009-04-28 Michael Nausch <django@omni128.de>
-sec  1024D/C591B828 2009-04-28 Michael Nausch <django@omni128.de>+
  
 Create a revocation certificate for this key? (y/N) y Create a revocation certificate for this key? (y/N) y
Zeile 341: Zeile 340:
 Den Zertifikatsblock speichern wir dann in einer Textdatei an einem sicheren Ort ab. Den Zertifikatsblock speichern wir dann in einer Textdatei an einem sicheren Ort ab.
    $ vim revocation.crt    $ vim revocation.crt
-Soll nun der Schlüssel zurückgezogen werden, so braucht man lediglich die Datei **revocation.crt** in den öffentlichen Schlüsselbund **pubring.pgp**. GnuPG erkennt nun das Rückrufzertifikat für einen der Schlüssel handelt und hängt des diesem **__ohne__** weitere Sicherheitsabfrage an. +Soll nun der Schlüssel zurückgezogen werden, so braucht man lediglich die Datei **revocation.crt** in den öffentlichen Schlüsselbund **pubring.pgp** zu importieren. GnuPG erkennt nun das Rückrufzertifikat für einen der Schlüssel handelt und hängt des diesem **__ohne__** weitere Sicherheitsabfrage an. 
-<code>$ gpg --import revocation.crt  +   $ gpg --import revocation.crt  
-gpg: key C591B828: "Michael Nausch <django@omni128.de>" revocation certificate imported+<code>gpg: key C591B828: "Michael Nausch <django@omni128.de>" revocation certificate imported
 gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1 gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
 gpg:                 neue Schlüsselwiderrufe: 1 gpg:                 neue Schlüsselwiderrufe: 1
 gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
 gpg: depth: 0  valid:    signed:    trust: 0-, 0q, 0n, 0m, 0f, 1u</code> gpg: depth: 0  valid:    signed:    trust: 0-, 0q, 0n, 0m, 0f, 1u</code>
-Anschließend können wir uns den Inhalt des ööfentlichen schlüsselringes anzeigen lassen: +Anschließend können wir uns den Inhalt des öffentlichen schlüsselringes anzeigen lassen: 
-<code>$ gpg --list-sigs C591B828 +   $ gpg --list-sigs C591B828 
-pub   1024D/C591B828 2009-04-28 [revoked: 2009-04-28]+<code>pub   1024D/C591B828 2009-04-28 [revoked: 2009-04-28]
 rev          C591B828 2009-04-28  Michael Nausch <django@omni128.de> rev          C591B828 2009-04-28  Michael Nausch <django@omni128.de>
 uid                  Michael Nausch <django@omni128.de> uid                  Michael Nausch <django@omni128.de>
Zeile 356: Zeile 355:
 </code> </code>
 Beim Schlüssel mit der ID C591B828 sehen wir nun am Zeilenanfang ein **rev**, welches uns anzeigt, dass dieser Schlüssel zurückgezogen (revoked) wurde. Anschließend läd man den Schlüssel auf einen Keyserver. Beim Schlüssel mit der ID C591B828 sehen wir nun am Zeilenanfang ein **rev**, welches uns anzeigt, dass dieser Schlüssel zurückgezogen (revoked) wurde. Anschließend läd man den Schlüssel auf einen Keyserver.
 +==== Export des private Keys ====
 +Will man seinen privaten Schlüssel von einem Rechner auf einen **__vertrauenswürdigen__** weiteren Rechner transferieren, gehen wir wie folgt vor.
 + 
 +Als erstes holen wir uns die Key-ID des Schlüssels, den wir exportieren möchten.
 +   $ gpg  --list-secret-keys
 +
 +<code>/home/django/.gnupg/secring.gpg
 +-------------------------------
 +sec   1024D/1F0471F12384C849 2009-03-30
 +uid                          Michael Nausch <michael@nausch.org>
 +uid                          Michael Nausch (aka BigChief) <bigchief@omni128.de>
 +uid                          Michael Nausch (aka Django) <django@nausch.org>
 +ssb   4096g/8088CA80D239B202 2009-03-30</code>
 +
 +Anschließend exportieren wir den gewünschten private-Key, in unserem Beispiel ist dies die ID **1F0471F12384C849**.
 +   $ gpg --export-secret-key --armor 1F0471F12384C849 > 1F0471F12384C849-secret.asc
 +
 +Die Datei 1F0471F12384C849-secret.asc enthält nun den private key und wir können diese Datei sichern, oder auf einen Zielrechner/Device kopieren.
 +
 ==== Export des public Keys ==== ==== Export des public Keys ====
 === in eine Datei === === in eine Datei ===
Zeile 434: Zeile 452:
 === auf einen Keyserver === === auf einen Keyserver ===
 Den zuvor exportierten public key können wir nun in einem WEB-Formular auf einem [[http://gpg-keyserver.de/|Keyserver]] manuell eintragen. Oder wir exportieren diesen direkt aus dem öffentlichen Schlüsselring: Den zuvor exportierten public key können wir nun in einem WEB-Formular auf einem [[http://gpg-keyserver.de/|Keyserver]] manuell eintragen. Oder wir exportieren diesen direkt aus dem öffentlichen Schlüsselring:
-<code>$ gpg --keyserver sks.gpg-keyserver.de --send-key 2384C849 +   $ gpg --keyserver keyserver.nausch.org --send-key 2384C849
-gpg: sending key 2384C849 to hkp server sks.gpg-keyserver.de<code> +
-Um nun nicht jedesmal den Keysever manuell angeben zu müssen, hinterlegen wir diesen in der Konfigurationsdatei **~/.gnupg/gpg.conf**. +
-<code>$ vim ~/.gnupg/gpg.conf+
  
 +  gpg: sending key 2384C849 to hkp server keyserver.nausch.org
 +Um nun nicht jedesmal den Keysever manuell angeben zu müssen, hinterlegen wir diesen in der Konfigurationsdatei **~/.gnupg/gpg.conf**.
 +   $ vim ~/.gnupg/gpg.conf
 +<code>
 ... ...
 # Djangos bevorzugter Keyserver, eingetragen am 28.04.2009 # Djangos bevorzugter Keyserver, eingetragen am 28.04.2009
-keyserver sks.gpg-keyserver.de</code>+keyserver keyserver.nausch.org</code>
 Nunmehr reicht ein: Nunmehr reicht ein:
    $ gpg --send-key 2384C849    $ gpg --send-key 2384C849
-   gpg: sending key 2384C849 to hkp server sks.gpg-keyserver.de+   gpg: sending key 2384C849 to hkp server keyserver.nausch.org
 ==== Import eines public Keys ==== ==== Import eines public Keys ====
 Beim Revocation Certifikat haben wir bereits die Importfunktion genutzt. Genauso funktioniert im Übrigen der Import eines //fremden// public Keys. Beim Revocation Certifikat haben wir bereits die Importfunktion genutzt. Genauso funktioniert im Übrigen der Import eines //fremden// public Keys.
Zeile 514: Zeile 533:
  
 Befehl> quit</code> Befehl> quit</code>
 +
 +==== eMail-Adressen bei einem PGP/GPG-Schlüssel hinzufügen bzw entfernen ====
 +=== hinzufügen ===
 +Zu einem bestehendem Schlüsselpaar, lassen weitere eMail-Adressen hinzufügen. Hierzu lassen wir uns erst einmal alle secret-keys ausgeben.
 +   $ gpg --list-secret-keys
 +
 +<code>/home/django/.gnupg/secring.gpg
 +-------------------------------
 +sec   1024D/1F0471F12384C849 2009-03-30
 +uid                          Michael Nausch <michael@nausch.org>
 +uid                          Michael Nausch (aka BigChief) <bigchief@omni128.de>
 +uid                          Michael Nausch (aka Django) <django@nausch.org>
 +ssb   4096g/8088CA80D239B202 2009-03-30</code>
 +
 +In diesem Beispiel haben wir nur einen privaten Schlüssel im Schlüsselbund. Zum Anfügen einer Adresse wählen wir zuerst den gewünschten key aus.
 +   $ gpg --edit-key 1F0471F12384C849
 +
 +<code>gpg (GnuPG) 2.0.14; Copyright (C) 2009 Free Software Foundation, Inc.
 +This is free software: you are free to change and redistribute it.
 +There is NO WARRANTY, to the extent permitted by law.
 +
 +Geheimer Schlüssel ist vorhanden.
 +
 +pub  1024D/1F0471F12384C849  erzeugt: 2009-03-30  verfällt: niemals     Aufruf: SC  
 +                             Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
 +sub  4096g/8088CA80D239B202  erzeugt: 2009-03-30  verfällt: niemals     Aufruf: E   
 +[ uneing.] (1). Michael Nausch <michael@nausch.org>
 +[ uneing.] (2)  Michael Nausch (aka BigChief) <bigchief@omni128.de>
 +[ uneing.] (3)  Michael Nausch (aka Django) <django@nausch.org>
 +
 +Befehl>
 +</code>
 +Da wir eine weitere eMail an den Schlüssel anfügen wollen, teilen wir dies dem Programm durch die eingabe der Option **adduid** mit.
 +   Befehl> adduid
 +
 +Wir werden nun nach dem **Namen**, **eMail-Adresse** und **Kommentar** gefragt.
 +<code>Ihr Name ("Vorname Nachname"): Django
 +Email-Adresse: django@nausch.org
 +Kommentar: 
 +Sie haben diese User-ID gewählt:
 +    "Django <django@nausch.org>"
 +
 +Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden?
 +</code>
 +Nach Bestätigung der Daten durch Eingabe von **F** werden wir nach der __bestehenden Passphrase__ unseres Schlüssels gefragt.
 +   Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
 +   Benutzer: "Michael Nausch <michael@nausch.org>"
 +   1024-Bit DSA Schlüssel, ID 1F0471F12384C849, erzeugt 2009-03-30
 +
 +Im Speicher wurde nun eine weitere User-ID bzw. eMail-Adresse zu einem bestehenden private key hinzugefügt. Damit die Daten dauerhaft auf die Platte geschrieben werden, schließen wir unseren Bearbeitungsvorgang mit dem Befehl **save** ab.
 +   Befehl> save
 +
 +=== löschen ===
 +Wie zuvor beim Hinzufügen eines Schlüssels, lassen wir uns erst alle secret-keys eines Schlüsselbundes ausgeben, wenn wir eine eMailadresse bei einem Schlüssel entfernen wollen.
 +   $ gpg --list-secret-keys
 +
 +<code>/home/django/.gnupg/secring.gpg
 +-------------------------------
 +sec   1024D/1F0471F12384C849 2009-03-30
 +uid                          Michael Nausch <michael@nausch.org>
 +uid                          Michael Nausch (aka BigChief) <bigchief@omni128.de>
 +uid                          Michael Nausch (aka Django) <django@nausch.org>
 +uid                          Django <django@nausch.org>
 +ssb   4096g/8088CA80D239B202 2009-03-30
 +</code>
 +
 +In diesem Beispiel haben wir nur einen privaten Schlüssel im Schlüsselbund. Zum Löschen einer Adresse wählen wir zuerst den gewünschten key aus.
 +   $ gpg --edit-key 1F0471F12384C849
 +
 +<code>gpg (GnuPG) 2.0.14; Copyright (C) 2009 Free Software Foundation, Inc.
 +This is free software: you are free to change and redistribute it.
 +There is NO WARRANTY, to the extent permitted by law.
 +
 +Geheimer Schlüssel ist vorhanden.
 +
 +pub  1024D/1F0471F12384C849  erzeugt: 2009-03-30  verfällt: niemals     Aufruf: SC  
 +                             Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
 +sub  4096g/8088CA80D239B202  erzeugt: 2009-03-30  verfällt: niemals     Aufruf: E   
 +[ uneing.] (1). Michael Nausch <michael@nausch.org>
 +[ uneing.] (2)  Michael Nausch (aka BigChief) <bigchief@omni128.de>
 +[ uneing.] (3)  Michael Nausch (aka Django) <django@nausch.org>
 +[ uneing.] (4)  Django <django@nausch.org>
 +
 +Befehl>
 +</code>
 +
 +Mit dem Befehl **uid** wählen wir nun diejenige User-ID aus, die wir löschen möchten.
 +   Befehl> uid 4
 +
 +<code>pub  1024D/1F0471F12384C849  erzeugt: 2009-03-30  verfällt: niemals     Aufruf: SC  
 +                             Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
 +sub  4096g/8088CA80D239B202  erzeugt: 2009-03-30  verfällt: niemals     Aufruf: E   
 +[ uneing.] (1). Michael Nausch <michael@nausch.org>
 +[ uneing.] (2)  Michael Nausch (aka BigChief) <bigchief@omni128.de>
 +[ uneing.] (3)  Michael Nausch (aka Django) <django@nausch.org>
 +[ uneing.] (4)* Django <django@nausch.org>
 +</code>
 +
 +An dem Sternchen **%%*%%** hinter der UID-Nummer sehen, wir welche ID ausgewählt wurde. Nun können wir mit dem Befehl **deluid** die gewählte UID löschen.
 +   Befehl> deluid
 +Wir werden nun gefragt, ob wir dies wirklich wünschen.
 +   Diese User-ID wirklich entfernen? (j/N) j
 +
 +Dies e Frage bestätigen wir mit der Eingabe von **j**.
 +
 +<code>pub  1024D/1F0471F12384C849  erzeugt: 2009-03-30  verfällt: niemals     Aufruf: SC  
 +                             Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
 +sub  4096g/8088CA80D239B202  erzeugt: 2009-03-30  verfällt: niemals     Aufruf: E   
 +[ uneing.] (1). Michael Nausch <michael@nausch.org>
 +[ uneing.] (2)  Michael Nausch (aka BigChief) <bigchief@omni128.de>
 +[ uneing.] (3)  Michael Nausch (aka Django) <django@nausch.org>
 +</code>
 +
 +Auch hier müssen wir die Änderung mit dem Befehl **save** abspeichern. Zur Sicherheit frägt uns aber das Programm, falls wir diesen schritt vergessen haben sollten. 
 +   Befehl> quit
 +
 +   Änderungen speichern? (j/N) j
 +
  
 ==== Schlüsseldaten Aktualisieren ==== ==== Schlüsseldaten Aktualisieren ====
Zeile 578: Zeile 715:
  
    $ cat Testdatei     $ cat Testdatei 
-   Today is Pungenday, the 45th day of Discord in the YOLD 3175 
-Mit **gpg --sign Dateiname** erzeugen wir die Signatur, kompremieren die Originaldatei und schreiben beides in Binärformat in eine neue Datei. 
-<code>$ gpg --sign Testdatei  
  
-You need a passphrase to unlock the secret key for +  Today is Pungenday, the 45th day of Discord in the YOLD 3175 
-user: "Michael Nausch <michael@nausch.org>" + 
-1024-bit DSA key, ID 2384C849, created 2009-03-30</code>+Mit **gpg %%--%%sign Dateiname** erzeugen wir die Signatur, kompremieren die Originaldatei und schreiben beides in Binärformat in eine neue Datei. 
 +   $ gpg --sign Testdatei  
 + 
 +  You need a passphrase to unlock the secret key for 
 +  user: "Michael Nausch <michael@nausch.org>" 
 +  1024-bit DSA key, ID 2384C849, created 2009-03-30 
 Diese Datei liegt zwar im Binärformat aber keineswegs **verschlüsselt** vor. Diese Datei liegt zwar im Binärformat aber keineswegs **verschlüsselt** vor.
-<code>$ cat Testdatei.gpg  +   $ cat Testdatei.gpg  
-������$(�R�Q���'��$ΐ�⒔Ē�L��)�B�S+2�J��S�����TӒ+<code>������$(�R�Q���'��$ΐ�⒔Ē�L��)�B�S+2�J��S�����TӒ
                                                        �T~��Kfqr~Q�BfX*���E���ܔ�Þ��d                                                        �T~��Kfqr~Q�BfX*���E���ܔ�Þ��d
 �|A�"��v�>O�r$W��j+{��束� �|A�"��v�>O�r$W��j+{��束�
                           \����P��}�{x��-���</code>                           \����P��}�{x��-���</code>
-Dieses Vorgehen macht jedoch nur Sinn, wenn mit der Option **--encrypt** gleichzeitig die Datei verschlüsselt werden soll. +Dieses Vorgehen macht jedoch nur Sinn, wenn mit der Option **%%--%%encrypt** gleichzeitig die Datei verschlüsselt werden soll. 
-<code>$ gpg --encrypt --sign -r 2384C849 Testdatei+   $ gpg --encrypt --sign -r 2384C849 Testdatei
  
-You need a passphrase to unlock the secret key for +  You need a passphrase to unlock the secret key for 
-user: "Michael Nausch <michael@nausch.org>" +  user: "Michael Nausch <michael@nausch.org>" 
-1024-bit DSA key, ID 2384C849, created 2009-03-30</code> +  1024-bit DSA key, ID 2384C849, created 2009-03-30 
-Will man die Daten per eMail verschicken so benutzt man die Option **--armor**.  + 
-<code>$ gpg --sign --armor Testdatei+Will man die Daten per eMail verschicken so benutzt man die Option **%%--%%armor**.  
 +   $ gpg --sign --armor Testdatei 
 + 
 +  You need a passphrase to unlock the secret key for 
 +  user: "Michael Nausch <michael@nausch.org>" 
 +  1024-bit DSA key, ID 2384C849, created 2009-03-30
  
-You need a passphrase to unlock the secret key for 
-user: "Michael Nausch <michael@nausch.org>" 
-1024-bit DSA key, ID 2384C849, created 2009-03-30</code> 
 Nun können wir uns die erstellte signierte Datei ansehen. Nun können wir uns die erstellte signierte Datei ansehen.
-<code>$ cat Testdatei.asc  +   $ cat Testdatei.asc 
------BEGIN PGP MESSAGE-----+ 
 +<code>-----BEGIN PGP MESSAGE-----
 Version: GnuPG v1.4.5 (GNU/Linux) Version: GnuPG v1.4.5 (GNU/Linux)
  
Zeile 613: Zeile 756:
 ZnX3/S/LAQ== ZnX3/S/LAQ==
 =G1f3 =G1f3
------END PGP MESSAGE-----</code> +-----END PGP MESSAGE----- 
-Soll die Originaldatei zusammen mit der Signatur in der erzeugten Datei stehen, so verwendet man die Option **--clearsign**. +</code>
-<code>$ gpg --clearsign --armor Testdatei+
  
-You need a passphrase to unlock the secret key for +Soll die Originaldatei zusammen mit der Signatur in der erzeugten Datei stehen, so verwendet man die Option **%%--%%clearsign**. 
-user: "Michael Nausch <michael@nausch.org>" +   $ gpg --clearsign --armor Testdatei 
-1024-bit DSA key, ID 2384C849, created 2009-03-30</code> + 
-die erzeugte Testdatei.asc enthält dann: +  You need a passphrase to unlock the secret key for 
-<code>$ cat Testdatei.asc  +  user: "Michael Nausch <michael@nausch.org>" 
------BEGIN PGP SIGNED MESSAGE-----+  1024-bit DSA key, ID 2384C849, created 2009-03-30 
 + 
 +Die erzeugte Testdatei.asc enthält dann: 
 +   $ cat Testdatei.asc  
 +<code>-----BEGIN PGP SIGNED MESSAGE-----
 Hash: SHA1 Hash: SHA1
  
Zeile 632: Zeile 778:
 qljC/6inruZdj0BX2zwoBRI= qljC/6inruZdj0BX2zwoBRI=
 =smHj =smHj
------END PGP SIGNATURE-----</code>+-----END PGP SIGNATURE----- 
 +</code>
  
-Mit **gpg --verify** können wir die Signatur der datei überprüfen: +Mit **gpg %%--%%verify** können wir die Signatur der datei überprüfen: 
-<code>$ gpg --verify Testdatei.asc  +   $ gpg --verify Testdatei.asc  
-gpg: Signature made Di 28 Apr 2009 22:36:08 CEST using DSA key ID 2384C849 + 
-gpg: Good signature from "Michael Nausch <michael@nausch.org>" +  gpg: Signature made Di 28 Apr 2009 22:36:08 CEST using DSA key ID 2384C849 
-gpg:                 aka "Michael Nausch (aka BigChief) <bigchief@omni128.de>" +  gpg: Good signature from "Michael Nausch <michael@nausch.org>" 
-gpg:                 aka "Michael Nausch (aka Django) <django@nausch.org>"</code> +  gpg:                 aka "Michael Nausch (aka BigChief) <bigchief@omni128.de>" 
-Als letzte Variante gibt es dann noch die **//entkoppelte Signatur//**. Auch hier kann mittels der Option **--armor** die Ausgabe in lesbaren Format erzwungen werden. Andernfalls würde die Signatur in binärer Form erzeugt werden. +  gpg:                 aka "Michael Nausch (aka Django) <django@nausch.org>" 
-<code>$ gpg --detach-sign --armor Testdatei+ 
 +Als letzte Variante gibt es dann noch die **//entkoppelte Signatur//**. Auch hier kann mittels der Option **%%--%%armor** die Ausgabe in lesbaren Format erzwungen werden. Andernfalls würde die Signatur in binärer Form erzeugt werden. 
 +   $ gpg --detach-sign --armor Testdatei 
 + 
 +  You need a passphrase to unlock the secret key for 
 +  user: "Michael Nausch <michael@nausch.org>" 
 +  1024-bit DSA key, ID 2384C849, created 2009-03-30
  
-You need a passphrase to unlock the secret key for 
-user: "Michael Nausch <michael@nausch.org>" 
-1024-bit DSA key, ID 2384C849, created 2009-03-30</code> 
 In der nun erzeugten Datei ist nur noch die Signatur enthalten. In der nun erzeugten Datei ist nur noch die Signatur enthalten.
-<code>$ cat Testdatei.asc  +   $ cat Testdatei.asc  
------BEGIN PGP SIGNATURE-----+<code>-----BEGIN PGP SIGNATURE-----
 Version: GnuPG v1.4.5 (GNU/Linux) Version: GnuPG v1.4.5 (GNU/Linux)
  
Zeile 654: Zeile 804:
 nDMDrNa7OKWXMjcuXPLLKr4= nDMDrNa7OKWXMjcuXPLLKr4=
 =FYiz =FYiz
------END PGP SIGNATURE-----</code>+-----END PGP SIGNATURE----- 
 +</code> 
 Wir verändern nun zu Testzwecken den Inhalt der Testdatei - wir fügen ein Zeichen ein. Wir verändern nun zu Testzwecken den Inhalt der Testdatei - wir fügen ein Zeichen ein.
-<code>$ vim Testdatei+   $ vim Testdatei 
 + 
 +  Today is Pungenday, the 45th day of Discord in the YOLD 3175!
  
- Today is Pungenday, the 45th day of Discord in the YOLD 3175</code> 
 Und überprüfen nunmehr die Signatur der Testdatei, was natürlich postwendend als **BAD signature** angeprangert wird. Und überprüfen nunmehr die Signatur der Testdatei, was natürlich postwendend als **BAD signature** angeprangert wird.
-<code>]$ gpg --verify Testdatei.asc Testdatei +   $ gpg --verify Testdatei.asc Testdatei 
-gpg: Signature made Di 28 Apr 2009 22:55:18 CEST using DSA key ID 2384C849 + 
-gpg: BAD signature from "Michael Nausch <michael@nausch.org>"</code>+  gpg: Signature made Di 28 Apr 2009 22:55:18 CEST using DSA key ID 2384C849 
 +  gpg: BAD signature from "Michael Nausch <michael@nausch.org>" 
 Wurde die Signatur verändert so fällt dies sofort auf: Wurde die Signatur verändert so fällt dies sofort auf:
-<code>$ gpg --verify Testdatei.asc Testdatei +   $ gpg --verify Testdatei.asc Testdatei 
-gpg: Prüfsummenfehler; 3a1dd4 - 1588b3 + 
-gpg: [don't know]: indeterminate length for invalid packet type 2 +  gpg: Prüfsummenfehler; 3a1dd4 - 1588b3 
-gpg: no signature found +  gpg: [don't know]: indeterminate length for invalid packet type 2 
-gpg: Die Unterschrift konnte nicht überprüft werden. +  gpg: no signature found 
-Denken Sie daran, daß die Datei mit der Unterschrift (.sig oder .asc) +  gpg: Die Unterschrift konnte nicht überprüft werden. 
-als erster in der Kommandozeile stehen sollte.</code>+  Denken Sie daran, daß die Datei mit der Unterschrift (.sig oder .asc) 
 +  als erster in der Kommandozeile stehen sollte. 
  
 ==== Verschlüsseln ==== ==== Verschlüsseln ====
Zeile 678: Zeile 835:
    $ gpg --encrypt -r 4C016DE0 Testdatei    $ gpg --encrypt -r 4C016DE0 Testdatei
 ==== Entschlüsseln ==== ==== Entschlüsseln ====
-Zum Entschlüsseln nutzen wir die Option **--decrypt**; da auf den privaten schlüsselbund zugegriffen wird, ist die Passphrase mit anzugeben. +Zum Entschlüsseln nutzen wir die Option **%%--%%decrypt**; da auf den privaten schlüsselbund zugegriffen wird, ist die Passphrase mit anzugeben. 
-<code>$ gpg --decrypt Testdatei.asc > neue_Testdatei +   $ gpg --decrypt Testdatei.asc > neue_Testdatei 
- +<code>You need a passphrase to unlock the secret key for
-You need a passphrase to unlock the secret key for+
 user: "Michael Nausch <michael@nausch.org>" user: "Michael Nausch <michael@nausch.org>"
 4096-bit ELG-E key, ID D239B202, created 2009-03-30 (main key ID 2384C849) 4096-bit ELG-E key, ID D239B202, created 2009-03-30 (main key ID 2384C849)
  
 gpg: verschlüsselt mit 4096-Bit ELG-E Schlüssel, ID D239B202, erzeugt 2009-03-30 gpg: verschlüsselt mit 4096-Bit ELG-E Schlüssel, ID D239B202, erzeugt 2009-03-30
-      "Michael Nausch <michael@nausch.org>"</code>+      "Michael Nausch <michael@nausch.org>" 
 +</code> 
 ===== S/MIME in der Praxis ===== ===== S/MIME in der Praxis =====
 Nachdem wir uns im vorliegenden Kapitel mit den theoretischen Grundlagen befasst haben, widmen wir uns im [[centos:smime|nachfolgendem Kapitel]] dem Umgang mit S/MIME in der Praxis. Nachdem wir uns im vorliegenden Kapitel mit den theoretischen Grundlagen befasst haben, widmen wir uns im [[centos:smime|nachfolgendem Kapitel]] dem Umgang mit S/MIME in der Praxis.
Zeile 697: Zeile 855:
   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
  
-~~DISCUSSION~~+
  • centos/openpgp_beim_mua.1393780242.txt.gz
  • Zuletzt geändert: 02.03.2014 17:10.
  • von django