Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
centos:openpgp_beim_mua [03.03.2014 20:06. ] – [Entschlüsseln] djangocentos:openpgp_beim_mua [28.11.2018 07:23. ] (aktuell) – [Sichere eMail mit OpenPGP und S/MIME] django
Zeile 1: Zeile 1:
 ====== Sichere eMail mit OpenPGP und S/MIME ====== ====== Sichere eMail mit OpenPGP und S/MIME ======
 {{:centos:world.png?nolink&80 |Bild: Weltkugel }} \\ {{:centos:world.png?nolink&80 |Bild: Weltkugel }} \\
-Dass das Internet systembedingt unsicher ist, hat sich in aller Regel herumgesprochen.  Daten durchlaufen von der Quelle bis zum Ziel zahlreiche Server und Systeme, an denen die Daten, abgegriffen und/oder manipuliert werden können. Persönliche und vertrauliche Daten können so einfach Dritten in die Hände fallen, die mit großer krimineller Energie versuchen an diese Daten zu kommen. +Dass das Internet systembedingt unsicher ist, hat sich in aller Regel herumgesprochen.  Daten durchlaufen von der Quelle bis zum Ziel zahlreiche Server und Systeme, an denen die Daten, abgegriffen und/oder manipuliert werden können. Persönliche und vertrauliche Daten können so einfach Dritten in die Hände fallen, die mit grosser krimineller Energie versuchen an diese Daten zu kommen. 
  
 Inwieweit staatliche Stellen den Datenverkehr abhören, protokollieren und abgreifen und zu manipulieren bzw. zensieren versuchen, weiss  Inwieweit staatliche Stellen den Datenverkehr abhören, protokollieren und abgreifen und zu manipulieren bzw. zensieren versuchen, weiss 
Zeile 13: Zeile 13:
 Was lernen wir aus dieser Tatsache? Unsere Kommunikation ist nach besten Wissen und Gewissen, so zu gestalten, damit andere unsere Daten nicht mitlesen und manipulieren können. Ferner ist sicherzustellen, dass Empfänger vertrauen können, dass Informationen tatsächlich von dem versandt wurden, von dem wir glauben, diese zu bekommen. Was lernen wir aus dieser Tatsache? Unsere Kommunikation ist nach besten Wissen und Gewissen, so zu gestalten, damit andere unsere Daten nicht mitlesen und manipulieren können. Ferner ist sicherzustellen, dass Empfänger vertrauen können, dass Informationen tatsächlich von dem versandt wurden, von dem wir glauben, diese zu bekommen.
  
-Hierzu greifen wir auf **asymetrische Verschlüsselungstechniken** zurück, die wir entweder mit [[http://www.openpgp.org/|OpenPGP]] oder [[http://www.smime.org/|S/MIME]] realisieren können.+Hierzu greifen wir auf **asymmetrische Verschlüsselungstechniken** zurück, die wir entweder mit [[http://www.openpgp.org/|OpenPGP]] oder [[http://www.smime.org/|S/MIME]] realisieren können.
  
 Für die vertrauliche und gesicherte Kommunikation mit mir, einfach PGP oder S/MIME nutzen! Mein S/MIME-Userzertifikat und auch mein [[http://keyserver.nausch.org/pks/lookup?search=0x074ECF6150A6BFED&fingerprint=on&op=index|mein PGP-Key]] kann man z.B. einfach auf einen der folgenden Seiten Für die vertrauliche und gesicherte Kommunikation mit mir, einfach PGP oder S/MIME nutzen! Mein S/MIME-Userzertifikat und auch mein [[http://keyserver.nausch.org/pks/lookup?search=0x074ECF6150A6BFED&fingerprint=on&op=index|mein PGP-Key]] kann man z.B. einfach auf einen der folgenden Seiten
Zeile 355: Zeile 355:
 </code> </code>
 Beim Schlüssel mit der ID C591B828 sehen wir nun am Zeilenanfang ein **rev**, welches uns anzeigt, dass dieser Schlüssel zurückgezogen (revoked) wurde. Anschließend läd man den Schlüssel auf einen Keyserver. Beim Schlüssel mit der ID C591B828 sehen wir nun am Zeilenanfang ein **rev**, welches uns anzeigt, dass dieser Schlüssel zurückgezogen (revoked) wurde. Anschließend läd man den Schlüssel auf einen Keyserver.
 +==== Export des private Keys ====
 +Will man seinen privaten Schlüssel von einem Rechner auf einen **__vertrauenswürdigen__** weiteren Rechner transferieren, gehen wir wie folgt vor.
 + 
 +Als erstes holen wir uns die Key-ID des Schlüssels, den wir exportieren möchten.
 +   $ gpg  --list-secret-keys
 +
 +<code>/home/django/.gnupg/secring.gpg
 +-------------------------------
 +sec   1024D/1F0471F12384C849 2009-03-30
 +uid                          Michael Nausch <michael@nausch.org>
 +uid                          Michael Nausch (aka BigChief) <bigchief@omni128.de>
 +uid                          Michael Nausch (aka Django) <django@nausch.org>
 +ssb   4096g/8088CA80D239B202 2009-03-30</code>
 +
 +Anschließend exportieren wir den gewünschten private-Key, in unserem Beispiel ist dies die ID **1F0471F12384C849**.
 +   $ gpg --export-secret-key --armor 1F0471F12384C849 > 1F0471F12384C849-secret.asc
 +
 +Die Datei 1F0471F12384C849-secret.asc enthält nun den private key und wir können diese Datei sichern, oder auf einen Zielrechner/Device kopieren.
 +
 ==== Export des public Keys ==== ==== Export des public Keys ====
 === in eine Datei === === in eine Datei ===
Zeile 433: Zeile 452:
 === auf einen Keyserver === === auf einen Keyserver ===
 Den zuvor exportierten public key können wir nun in einem WEB-Formular auf einem [[http://gpg-keyserver.de/|Keyserver]] manuell eintragen. Oder wir exportieren diesen direkt aus dem öffentlichen Schlüsselring: Den zuvor exportierten public key können wir nun in einem WEB-Formular auf einem [[http://gpg-keyserver.de/|Keyserver]] manuell eintragen. Oder wir exportieren diesen direkt aus dem öffentlichen Schlüsselring:
-   $ gpg --keyserver sks.gpg-keyserver.de --send-key 2384C849+   $ gpg --keyserver keyserver.nausch.org --send-key 2384C849
  
-  gpg: sending key 2384C849 to hkp server sks.gpg-keyserver.de+  gpg: sending key 2384C849 to hkp server keyserver.nausch.org
 Um nun nicht jedesmal den Keysever manuell angeben zu müssen, hinterlegen wir diesen in der Konfigurationsdatei **~/.gnupg/gpg.conf**. Um nun nicht jedesmal den Keysever manuell angeben zu müssen, hinterlegen wir diesen in der Konfigurationsdatei **~/.gnupg/gpg.conf**.
    $ vim ~/.gnupg/gpg.conf    $ vim ~/.gnupg/gpg.conf
Zeile 444: Zeile 463:
 Nunmehr reicht ein: Nunmehr reicht ein:
    $ gpg --send-key 2384C849    $ gpg --send-key 2384C849
-   gpg: sending key 2384C849 to hkp server sks.gpg-keyserver.de+   gpg: sending key 2384C849 to hkp server keyserver.nausch.org
 ==== Import eines public Keys ==== ==== Import eines public Keys ====
 Beim Revocation Certifikat haben wir bereits die Importfunktion genutzt. Genauso funktioniert im Übrigen der Import eines //fremden// public Keys. Beim Revocation Certifikat haben wir bereits die Importfunktion genutzt. Genauso funktioniert im Übrigen der Import eines //fremden// public Keys.
Zeile 514: Zeile 533:
  
 Befehl> quit</code> Befehl> quit</code>
 +
 +==== eMail-Adressen bei einem PGP/GPG-Schlüssel hinzufügen bzw entfernen ====
 +=== hinzufügen ===
 +Zu einem bestehendem Schlüsselpaar, lassen weitere eMail-Adressen hinzufügen. Hierzu lassen wir uns erst einmal alle secret-keys ausgeben.
 +   $ gpg --list-secret-keys
 +
 +<code>/home/django/.gnupg/secring.gpg
 +-------------------------------
 +sec   1024D/1F0471F12384C849 2009-03-30
 +uid                          Michael Nausch <michael@nausch.org>
 +uid                          Michael Nausch (aka BigChief) <bigchief@omni128.de>
 +uid                          Michael Nausch (aka Django) <django@nausch.org>
 +ssb   4096g/8088CA80D239B202 2009-03-30</code>
 +
 +In diesem Beispiel haben wir nur einen privaten Schlüssel im Schlüsselbund. Zum Anfügen einer Adresse wählen wir zuerst den gewünschten key aus.
 +   $ gpg --edit-key 1F0471F12384C849
 +
 +<code>gpg (GnuPG) 2.0.14; Copyright (C) 2009 Free Software Foundation, Inc.
 +This is free software: you are free to change and redistribute it.
 +There is NO WARRANTY, to the extent permitted by law.
 +
 +Geheimer Schlüssel ist vorhanden.
 +
 +pub  1024D/1F0471F12384C849  erzeugt: 2009-03-30  verfällt: niemals     Aufruf: SC  
 +                             Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
 +sub  4096g/8088CA80D239B202  erzeugt: 2009-03-30  verfällt: niemals     Aufruf: E   
 +[ uneing.] (1). Michael Nausch <michael@nausch.org>
 +[ uneing.] (2)  Michael Nausch (aka BigChief) <bigchief@omni128.de>
 +[ uneing.] (3)  Michael Nausch (aka Django) <django@nausch.org>
 +
 +Befehl>
 +</code>
 +Da wir eine weitere eMail an den Schlüssel anfügen wollen, teilen wir dies dem Programm durch die eingabe der Option **adduid** mit.
 +   Befehl> adduid
 +
 +Wir werden nun nach dem **Namen**, **eMail-Adresse** und **Kommentar** gefragt.
 +<code>Ihr Name ("Vorname Nachname"): Django
 +Email-Adresse: django@mailserver.guru
 +Kommentar: 
 +Sie haben diese User-ID gewählt:
 +    "Django <django@mailserver.guru>"
 +
 +Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden?
 +</code>
 +Nach Bestätigung der Daten durch Eingabe von **F** werden wir nach der __bestehenden Passphrase__ unseres Schlüssels gefragt.
 +   Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
 +   Benutzer: "Michael Nausch <michael@nausch.org>"
 +   1024-Bit DSA Schlüssel, ID 1F0471F12384C849, erzeugt 2009-03-30
 +
 +Im Speicher wurde nun eine weitere User-ID bzw. eMail-Adresse zu einem bestehenden private key hinzugefügt. Damit die Daten dauerhaft auf die Platte geschrieben werden, schließen wir unseren Bearbeitungsvorgang mit dem Befehl **save** ab.
 +   Befehl> save
 +
 +=== löschen ===
 +Wie zuvor beim Hinzufügen eines Schlüssels, lassen wir uns erst alle secret-keys eines Schlüsselbundes ausgeben, wenn wir eine eMailadresse bei einem Schlüssel entfernen wollen.
 +   $ gpg --list-secret-keys
 +
 +<code>/home/django/.gnupg/secring.gpg
 +-------------------------------
 +sec   1024D/1F0471F12384C849 2009-03-30
 +uid                          Michael Nausch <michael@nausch.org>
 +uid                          Michael Nausch (aka BigChief) <bigchief@omni128.de>
 +uid                          Michael Nausch (aka Django) <django@nausch.org>
 +uid                          Django <django@mailserver.guru>
 +ssb   4096g/8088CA80D239B202 2009-03-30
 +</code>
 +
 +In diesem Beispiel haben wir nur einen privaten Schlüssel im Schlüsselbund. Zum Löschen einer Adresse wählen wir zuerst den gewünschten key aus.
 +   $ gpg --edit-key 1F0471F12384C849
 +
 +<code>gpg (GnuPG) 2.0.14; Copyright (C) 2009 Free Software Foundation, Inc.
 +This is free software: you are free to change and redistribute it.
 +There is NO WARRANTY, to the extent permitted by law.
 +
 +Geheimer Schlüssel ist vorhanden.
 +
 +pub  1024D/1F0471F12384C849  erzeugt: 2009-03-30  verfällt: niemals     Aufruf: SC  
 +                             Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
 +sub  4096g/8088CA80D239B202  erzeugt: 2009-03-30  verfällt: niemals     Aufruf: E   
 +[ uneing.] (1). Michael Nausch <michael@nausch.org>
 +[ uneing.] (2)  Michael Nausch (aka BigChief) <bigchief@omni128.de>
 +[ uneing.] (3)  Michael Nausch (aka Django) <django@nausch.org>
 +[ uneing.] (4)  Django <django@mailserver.guru>
 +
 +Befehl>
 +</code>
 +
 +Mit dem Befehl **uid** wählen wir nun diejenige User-ID aus, die wir löschen möchten.
 +   Befehl> uid 4
 +
 +<code>pub  1024D/1F0471F12384C849  erzeugt: 2009-03-30  verfällt: niemals     Aufruf: SC  
 +                             Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
 +sub  4096g/8088CA80D239B202  erzeugt: 2009-03-30  verfällt: niemals     Aufruf: E   
 +[ uneing.] (1). Michael Nausch <michael@nausch.org>
 +[ uneing.] (2)  Michael Nausch (aka BigChief) <bigchief@omni128.de>
 +[ uneing.] (3)  Michael Nausch (aka Django) <django@nausch.org>
 +[ uneing.] (4)* Django <django@mailserver.guru>
 +</code>
 +
 +An dem Sternchen **%%*%%** hinter der UID-Nummer sehen, wir welche ID ausgewählt wurde. Nun können wir mit dem Befehl **deluid** die gewählte UID löschen.
 +   Befehl> deluid
 +Wir werden nun gefragt, ob wir dies wirklich wünschen.
 +   Diese User-ID wirklich entfernen? (j/N) j
 +
 +Dies e Frage bestätigen wir mit der Eingabe von **j**.
 +
 +<code>pub  1024D/1F0471F12384C849  erzeugt: 2009-03-30  verfällt: niemals     Aufruf: SC  
 +                             Vertrauen: uneingeschränkt Gültigkeit: uneingeschränkt
 +sub  4096g/8088CA80D239B202  erzeugt: 2009-03-30  verfällt: niemals     Aufruf: E   
 +[ uneing.] (1). Michael Nausch <michael@nausch.org>
 +[ uneing.] (2)  Michael Nausch (aka BigChief) <bigchief@omni128.de>
 +[ uneing.] (3)  Michael Nausch (aka Django) <django@nausch.org>
 +</code>
 +
 +Auch hier müssen wir die Änderung mit dem Befehl **save** abspeichern. Zur Sicherheit frägt uns aber das Programm, falls wir diesen schritt vergessen haben sollten. 
 +   Befehl> quit
 +
 +   Änderungen speichern? (j/N) j
 +
  
 ==== Schlüsseldaten Aktualisieren ==== ==== Schlüsseldaten Aktualisieren ====
Zeile 718: Zeile 855:
   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
  
-~~DISCUSSION~~+
  • centos/openpgp_beim_mua.1393877186.txt.gz
  • Zuletzt geändert: 03.03.2014 20:06.
  • von django