13 Seahorse: Signieren und Verschlüsseln von Daten
Das Programm GNOME Passwörter und Verschlüsselung ist eine wichtige Komponente der Verschlüsselungsinfrastruktur Ihres Systems. Mithilfe dieses Programms können Sie PGP- und SSH-Schlüssel erstellen und verwalten, PGP- und SSH-Schlüssel importieren und exportieren, Ihre Schlüssel freigeben, Ihre Schlüssel und Ihren Schlüsselring sichern, Ihren Passwortsatz zwischenspeichern sowie die Zwischenablage ver- und entschlüsseln. Zum Starten des Programms wählen Sie › ›
Abbildung 13.1 Hauptfenster „Passwörter und Verschlüsselung“ #
13.1 Signieren und Verschlüsseln #
Signieren bedeutet, elektronische Signaturen zu E-Mail-Nachrichten oder sogar Software hinzuzufügen, um deren Herkunft zu bestätigen. Sie sollten Ihre E-Mails signieren, um zu verhindern, dass jemand E-Mails in Ihrem Namen schreibt, und um sowohl sich selbst als auch die Personen, an die Sie die E-Mails senden, zu schützen. Anhand der Signaturen können Sie leicht prüfen, wer Ihnen die empfangenen Nachrichten gesendet hat, und Sie können dadurch auch gutartige Nachrichten von bösartigen unterscheiden.
Software-Entwickler signieren ihre Software, damit Sie deren Integrität überprüfen können. Auch wenn Sie Software von einem inoffiziellen Server erhalten, können Sie das Paket anhand der Signatur überprüfen.
Sie haben möglicherweise sensible Informationen, die Sie vor anderen schützen wollen. Durch die Verschlüsselung können Sie Daten übertragen und für andere unlesbar machen. Dies ist wichtig für Unternehmen, da sie so die Möglichkeit erhalten, interne Informationen sowie die Daten ihrer Mitarbeiter zu schützen.
13.2 Erstellen eines neuen Schlüsselpaars #
Damit Sie mit anderen Benutzern verschlüsselte Nachrichten austauschen können, müssen Sie zuerst ein eigenes Schlüsselpaar erstellen. Ein Teil davon, der öffentliche Schlüssel, wird an Ihre Kommunikationspartner verteilt, die ihn zum Verschlüsseln der Dateien und E-Mail-Nachrichten verwenden können, die sie versenden. Der andere Teil des Schlüssels, der private Schlüssel, dient zur Entschlüsselung der verschlüsselten Inhalte.
Wichtig: Vergleich: Öffentlicher Schlüssel/privater Schlüssel
Der öffentliche Schlüssel ist für die Öffentlichkeit gedacht und sollte an alle Kommunikationspartner verteilt werden. Auf den privaten Schlüssel dagegen sollten nur Sie selbst Zugriff haben. Gewähren Sie keinen anderen Benutzern Zugriff auf diese Daten.
13.2.1 Erstellen von OpenPGP-Schlüsseln #
OpenPGP ist ein nicht proprietäres Protokoll zur Verschlüsselung von E-Mail-Nachrichten mithilfe der auf PGP basierenden öffentlichen Schlüsselkryptografie. OpenPGP definiert Standardformate für verschlüsselte Nachrichten, Signaturen, private Schlüssel und Zertifikate für den Austausch öffentlicher Schlüssel.
Klicken Sie auf › › .
Klicken Sie auf › .
Wählen Sie (PGP-Schlüssel), und klicken Sie auf .
Geben Sie Ihren vollständigen Namen und Ihre E-Mail-Adresse an.
Klicken Sie auf (Erweiterte Schlüsseloptionen), um die folgenden erweiterten Optionen für den Schlüssel anzugeben.
- Comment
Optionaler Kommentar.
- Verschlüsselungstyp
Legt die Verschlüsselungsalgorithmen fest, die zur Erstellung Ihrer Schlüssel verwendet werden. ist der empfohlene Typ, da hiermit nach Bedarf verschlüsselt, entschlüsselt, signiert und überprüft werden kann. Die Typen (DSA (nur signieren)) und (RSA (nur signieren)) ermöglichen nur das Signieren von Nachrichten.
- Schlüsselstärke
Gibt die Länge des Schlüssels in Bit an. Je länger der Schlüssel, desto sicherer ist er (vorausgesetzt, dass ein sicherer Passwortsatz verwendet wird). Beachten Sie jedoch, dass jeder Vorgang mit einem längeren Schlüssel auch mehr Zeit in Anspruch nimmt als mit einem kürzeren Schlüssel. Annehmbare Werte liegen zwischen 1024 und 4096 Bit. Empfohlen werden mindestens 2048 Bit.
- Ablaufdatum
Gibt das Datum an, ab dem der Schlüssel nicht mehr zum Verschlüsseln oder Signieren verwendet werden kann. Sie müssen entweder das Ablaufdatum ändern oder einen neuen Schlüssel und Unterschlüssel erstellen, wenn das Ablaufdatum erreicht ist. Signieren Sie Ihren neuen Schlüssel mit Ihrem alten Schlüssel, bevor dieser abläuft, um den Vertrauensstatus zu erhalten.
Klicken Sie auf (Erstellen), um das neue Schlüsselpaar zu erstellen.
Das Dialogfeld (Passwortsatz für neuen PGP-Schlüssel) wird geöffnet.
Geben Sie den Passwortsatz für Ihren neuen Schlüssel zweimal ein und klicken Sie dann auf .
Wenn Sie einen Passwortsatz angeben, sollten Sie dieselben Kriteren anwenden wie bei der Erstellung eines sicheren Passworts. Der Hauptunterschied zwischen einem Passwort und einem Passwortsatz besteht darin, dass ein Passwortsatz auch Leerzeichen enthalten darf.
13.2.2 Erstellen von Secure Shell-Schlüsseln #
Secure Shell (SSH) ist eine Methode zur Anmeldung bei einem entfernten Computer für das Ausführen von Kommandos auf diesem Rechner. SSH-Schlüssel werden in einem schlüsselbasierten Authentifizierungssystem als Alternative zum standardmäßigen Passwortauthentifizierungssystem verwendet. Bei Verwendung einer schlüsselbasierten Authentifizierung müssen Sie kein Passwort eingeben, um sich zu authentifizieren.
Klicken Sie auf › › .
Klicken Sie auf › .
Wählen Sie (Secure Shell-Schlüssel) und klicken Sie dann auf (Weiter).
Geben Sie eine Beschreibung des Zwecks dieses Schlüssels ein.
Sie können Ihre E-Mail-Adresse oder eine andere Gedächtnisstütze verwenden.
Klicken Sie optional auf , um die folgenden erweiterten Optionen für den Schlüssel anzugeben.
Verschlüsselungstyp. Legt die Verschlüsselungsalgorithmen fest, die zur Erstellung Ihrer Schlüssel verwendet werden. Wählen Sie , um den Rivest-Shamir-Adleman-Algorithmus (RSA) für die Erstellung des SSH-Schlüssels zu verwenden. Dies ist die bevorzugte und sicherere Option. Wählen Sie , um den Digital Signature-Algorithmus (DSA) für die Erstellung des SSH-Schlüssels zu verwenden.
Schlüsselstärke. Gibt die Länge des Schlüssels in Bit an. Je länger der Schlüssel, desto sicherer ist er (vorausgesetzt, dass ein sicherer Passwortsatz verwendet wird). Beachten Sie jedoch, dass jeder Vorgang mit einem längeren Schlüssel auch mehr Zeit in Anspruch nimmt als mit einem kürzeren Schlüssel. Annehmbare Werte liegen zwischen 1024 und 4096 Bit. Empfohlen werden mindestens 2048 Bit.
Klicken Sie auf (Nur Schlüssel erstellen), um den neuen Schlüssel zu erstellen, oder klicken Sie auf (Erstellen und einrichten), um den Schlüssel zu erstellen und einen anderen Computer für die Authentifizierung einzurichten.
Geben Sie den Passwortsatz für den neuen Schlüssel an und klicken Sie auf . Wiederholen Sie dann die Eingabe.
Wenn Sie einen Passwortsatz angeben, sollten Sie dieselben Kriteren anwenden wie bei der Erstellung eines sicheren Passworts. Der Hauptunterschied zwischen einem Passwort und einem Passwortsatz besteht darin, dass ein Passwortsatz auch Leerzeichen enthalten darf.
13.3 Ändern von Schlüsseleigenschaften #
Die Eigenschaften der vorhandenen OpenPGP- oder SSH-Schlüssel können bearbeitet werden.
13.3.1 Bearbeiten von OpenPGP-Schlüsseleigenschaften #
Die Beschreibungen in diesem Abschnitt gelten für alle OpenPGP-Schlüssel.
Klicken Sie auf › › .
Doppelklicken Sie auf den PGP-Schlüssel, der angezeigt oder bearbeitet werden soll.
Verwenden Sie die Optionen auf dem Karteireiter (Eigentümer), um dem Schlüssel ein Foto hinzuzufügen oder den Passwortsatz für den Schlüssel zu ändern.
Durch Foto-IDs kann der Eigentümer eines Schlüssels ein oder mehrere Fotos von sich in einen Schlüssel einbetten. Diese IDs können wie normale Benutzer-IDs signiert werden. Eine Foto-ID muss das JPEG-Format aufweisen. Die empfohlene Größe ist 120x150 Pixel.
Wenn Dateityp und Größe des ausgewählten Bilds nicht den Anforderungen entsprechen, kann das Bild von Passwörter und Verschlüsselung verkleinert und aus jedem von der GDK-Bibliothek unterstützten Format in das erforderliche Format konvertiert werden.
Klicken Sie auf den Karteireiter (Namen und Signaturen), um einem Schlüssel eine Benutzer-ID hinzuzufügen.
Weitere Informationen finden Sie unter Abschnitt 13.3.1.1, „Hinzufügen einer Benutzer-ID“.
Klicken Sie auf den Karteireiter , der die folgenden Eigenschaften enthält:
Schlüssel-ID: Die Schlüssel-ID gleicht dem Fingerabdruck; sie enthält jedoch nur die letzten acht Zeichen des Fingerabdrucks. Es ist generell möglich, einen Schlüssel nur durch die Schlüssel-ID zu identifizieren. Manchmal können jedoch zwei Schlüssel dieselbe Schlüssel-ID aufweisen.
Typ: Gibt den Verschlüsselungsalgorithmus an, der zur Erstellung des Schlüssels verwendet wurde. DSA-Schlüssel können nur signieren. ElGamal-Schlüssel werden zur Verschlüsselung verwendet.
Strength (Stärke): Gibt die Länge des Schlüssels in Bit an. Je länger der Schlüssel, desto mehr Sicherheit bietet er. Ein langer Schlüssel kann jedoch nicht die Verwendung eines unsicheren Passwortsatzes ausgleichen.
Fingerabdruck: Eine eindeutige Zeichenfolge, die einen Schlüssel exakt identifiziert.
Erstellt: Das Datum, an dem der Schlüssel erstellt wurde.
Expires (Ablauf): Das Datum, ab dem der Schlüssel nicht mehr verwendet werden kann (ein Schlüssel kann nicht mehr für Schlüsseloperationen eingesetzt werden, wenn er abgelaufen ist). Wenn das Ablaufdatum eines Schlüssels auf einen späteren Zeitpunkt verschoben wird, wird der Schlüssel reaktiviert. Eine praktische Lösung besteht in der Erstellung eines Master-Schlüssels, der niemals abläuft, und mehrerer Unterschlüssel, die ablaufen und vom Master-Schlüssel signiert sind.
Vertrauen in den Eigentümer überschreiben: Hier können Sie die Vertrauensstufe für den Schlüsseleigentümer festlegen. Durch Ihr Vertrauen signalisieren Sie, in welchem Maße Sie davon überzeugt sind, dass eine Person fähig ist, das Vertrauensnetzwerk zu erweitern. Wenn Sie einem Schlüssel begegnen, den Sie selbst nicht signiert haben, wird die Gültigkeit dieses Schlüssels durch die Signaturen bestimmt, die der Eigentümer des Schlüssels gesammelt hat, und durch das Maß, in dem Sie den Personen vertrauen, von denen diese Signaturen stammen.
Vollständigen Schlüssel exportieren: Exportiert den Schlüssel in eine Datei.
Subkeys (Unterschlüssel): Weitere Informationen finden Sie unter Abschnitt 13.3.1.2, „Bearbeiten der Eigenschaften von OpenPGP-Unterschlüsseln“.
Klicken Sie auf .
13.3.1.1 Hinzufügen einer Benutzer-ID #
Benutzer-IDs ermöglichen die Verwendung mehrerer Identitäten und E-Mail-Adressen mit demselben Schlüssel. Das Hinzufügen einer Benutzer-ID ist sinnvoll, beispielsweise wenn Sie eine Identität für Ihren Beruf und eine für Ihre Freunde verwenden möchten. Benutzer-IDs weisen folgende Form auf:
Name (comment) <e-mail address>
Klicken Sie auf › › .
Doppelklicken Sie auf den PGP-Schlüssel, der angezeigt oder bearbeitet werden soll.
Klicken Sie auf den Karteireiter (Namen und Signaturen) und dann auf (Namen hinzufügen).
Geben Sie im Feld (Vollständiger Name) einen Namen ein.
In dieses Feld müssen mindestens fünf Zeichen eingegeben werden.
Geben Sie im Feld eine Email-Adresse an.
Anhand Ihrer E-Mail-Adresse werden die meisten Benutzer Ihren Schlüssel auf einem Schlüsselserver oder bei einem anderen Schlüsselanbieter finden können. Vergewissern Sie sich, dass die Adresse richtig ist, bevor Sie fortfahren.
Geben Sie im Feld (Schlüsselkommentar) zusätzliche Informationen an, die im Namen Ihrer neuen ID angezeigt werden.
Nach diesen Informationen kann auf Schlüsselservern gesucht werden.
Klicken Sie auf .
13.3.1.2 Bearbeiten der Eigenschaften von OpenPGP-Unterschlüsseln #
Jeder OpenPGP-Schlüssel verfügt über einen Master-Schlüssel, der nur zum Signieren verwendet wird. Unterschlüssel werden zum Verschlüsseln und zum Signieren verwendet. Auf diese Weise müssen Sie Ihren Master-Schlüssel nicht zurücknehmen, wenn Ihr Unterschlüssel beschädigt wird.
Klicken Sie auf › › .
Doppelklicken Sie auf den zu bearbeitenden PGP-Schlüssel.
Klicken Sie auf den Karteireiter und dann auf (Unterschlüssel).
Verwenden Sie die Schaltfläche links im Dialogfeld, um Unterschlüssel hinzuzufügen, zu löschen, ablaufen zu lassen oder zu widerrufen.
Jeder Unterschlüssel weist die folgenden Informationen auf:
ID: Die Kennung des Unterschlüssels.
Typ: Gibt den Verschlüsselungsalgorithmus an, der zur Erstellung eines Unterschlüssels verwendet wird. DSA-Schlüssel können nur signieren, ElGamal-Schlüssel dienen zur Verschlüsselung und RSA-Schlüssel werden zum Signieren oder zum Verschlüsseln verwendet.
Erstellt: Gibt das Datum an, an dem der Schlüssel erstellt wurde.
Expires (Ablauf): Gibt das Datum an, ab dem der Schlüssel nicht mehr verwendet werden kann.
Status: Gibt den Status des Schlüssels an.
Strength (Stärke): Gibt die Länge des Schlüssels in Bit an. Je länger der Schlüssel, desto mehr Sicherheit bietet er. Ein langer Schlüssel kann jedoch nicht die Verwendung eines unsicheren Passwortsatzes ausgleichen.
Klicken Sie auf .
13.3.2 Bearbeiten der Secure Shell-Schlüsseleigenschaften #
Die Beschreibungen in diesem Abschnitt gelten für alle SSH-Schlüssel.
Klicken Sie auf › › .
Doppelklicken Sie auf den Secure-Shell-Schlüssel, der angezeigt oder bearbeitet werden soll.
Verwenden Sie die Optionen auf dem Karteireiter (Schlüssel), um den Namen des Schlüssels oder den zugehörigen Passwortsatz zu ändern.
Klicken Sie auf den Karteireiter , der die folgenden Eigenschaften enthält:
Algorithm (Algorithmus): Gibt den Verschlüsselungsalgorithmus an, der zur Erstellung des Schlüssels verwendet wurde.
Strength (Stärke): Gibt die Länge eines Schlüssels in Bit an. Je länger der Schlüssel, desto mehr Sicherheit bietet er. Ein langer Schlüssel kann jedoch nicht die Verwendung eines unsicheren Passwortsatzes ausgleichen.
Standort: Das Verzeichnis, in dem der private Schlüssel gespeichert wurde.
Fingerabdruck: Eine eindeutige Zeichenfolge, die einen Schlüssel exakt identifiziert.
Vollständigen Schlüssel exportieren: Exportiert den Schlüssel in eine Datei.
Klicken Sie auf .
13.4 Importieren von Schlüsseln #
So importieren Sie Schlüssel:
Klicken Sie auf › › .
Klicken Sie auf › .
Wählen Sie eine Datei aus, die mindestens einen ASCII-geschützten öffentlichen Schlüssel enthält.
Klicken Sie auf (Öffnen), um den Schlüssel zu importieren.
In Passwörter und Verschlüsselung können Sie auch Schlüssel einfügen:
Wählen Sie einen ASCII-geschützten öffentlichen Textblock aus und kopieren Sie ihn in die Zwischenablage.
Klicken Sie auf › › .
Klicken Sie auf › .
13.5 Exportieren von Schlüsseln #
So exportieren Sie Schlüssel:
Klicken Sie auf › › .
Markieren Sie die zu exportierenden Schlüssel.
Klicken Sie auf › .
Geben Sie einen Dateinamen und ein Verzeichnis für den exportierten Schlüssel an.
Klicken Sie auf (Speichern), um den Schlüssel zu exportieren.
Sie können Schlüssel auch in einem ASCII-geschützten Textblock in die Zwischenablage exportieren:
Klicken Sie auf › › .
Markieren Sie die zu exportierenden Schlüssel.
Klicken Sie auf › .
13.6 Signieren eines Schlüssels #
Durch das Signieren des Schlüssels einer anderen Person geben Sie an, dass Sie dieser Person vertrauen. Bevor Sie einen Schlüssel signieren, sollten Sie den Fingerabdruck des Schlüssels sorgfältig überprüfen, um sicherzustellen, dass der Schlüssel tatsächlich dieser Person gehört.
Durch Ihr Vertrauen signalisieren Sie, in welchem Maße Sie davon überzeugt sind, dass eine Person fähig ist, das Vertrauensnetzwerk zu erweitern. Wenn Sie einem Schlüssel begegnen, den Sie selbst nicht signiert haben, wird die Gültigkeit dieses Schlüssels durch die Signaturen bestimmt, die der Eigentümer des Schlüssels gesammelt hat, und durch das Maß, in dem Sie den Personen vertrauen, von denen diese Signaturen stammen. Ein unbekannter Schlüssel erfordert standardmäßig drei Signaturen mit geringem Vertrauenswert oder eine voll verbürgte Signatur.
Klicken Sie auf › › .
Wählen Sie den zu signierenden Schlüssel auf dem Karteireiter oder aus.
Klicken Sie auf › .
Wählen Sie aus, wie sorgfältig der Schlüssel überprüft wurde, und geben Sie dann an, ob die Signatur für Ihren Schlüsselring lokal gelten soll und ob Ihre Signatur widerrufen werden kann.
Klicken Sie auf (Signieren).
13.7 Passwort-Schlüsselbunde #
Sie können die Einstellungen für Passwort-Schlüsselbunde verwenden, um Schlüsselbunde zu erstellen oder zu entfernen, einen Standardschlüsselbund für Anwendungspasswörter festzulegen oder um das Passwort zum Entsperren eines Schlüsselbunds zu ändern. Gehen Sie folgendermaßen vor, um einen neuen Schlüsselbund zu erstellen:
Klicken Sie auf › › .
Klicken Sie auf › › und anschließend auf .
Geben Sie den neuen Namen für den Schlüsselbund ein und klicken Sie auf .
Geben Sie ein neues für den Schlüsselbund ein, bestätigen Sie es und klicken Sie auf .
Um das Passwort zum Entsperren eines vorhandenen Schlüsselbunds zu ändern, klicken Sie auf den Karteireiter und dann auf . Sie müssen das alte Passwort angeben, um es ändern zu können.
Klicken Sie zum Ändern des Standard-Schlüsselbunds für Anwendungspasswörter auf den Schlüsselbund im Karteireiter und dann auf .
13.8 Schlüsselserver #
Sie können Ihre Schlüssel auf dem neuesten Stand halten, indem Sie diese regelmäßig mit entfernten Schlüsselservern synchronisieren. Durch die Synchronisierung stellen Sie sicher, dass all Ihre Schlüssel stets die neuesten Signaturen aufweisen und das Vertrauensnetzwerk wirksam ist.
Klicken Sie auf › › .
Klicken Sie auf › und klicken Sie dann auf den Karteireiter (Schlüsselserver).
Passwörter und Verschlüsselung bietet Unterstützung für HKP- und LDAP-Schlüsselserver.
HKP-Server: HKP-Schlüsselserver sind gewöhnliche webbasierte Schlüsselserver wie der populäre Server hkp://pgp.mit.edu:11371, auf den auch unter http://pgp.mit.edu (http://pgp.mit.edu) zugegriffen werden kann.
LDAP-Schlüsselserver: LDAP-Schlüsselserver kommen seltener vor, verwenden jedoch das standardmäßige LDAP-Protokoll zur Bereitstellung von Schlüsseln. ldap://keyserver.pgp.com ist ein guter LDAP-Server.
Sie können die zu verwendenden Schlüsselserver mithilfe der Schaltflächen auf der linken Seite oder . Legen Sie zum Hinzufügen eines neuen Schlüsselservers dessen Typ, Host und, falls nötig, dessen Port fest.
Legen Sie fest, ob Ihre öffentlichen Schlüssel automatisch veröffentlicht werden sollen und welcher Schlüsselserver verwendet werden soll. Legen Sie fest, ob Schlüssel automatisch von Schlüsselservern abgerufen und ob geänderte Schlüssel mit den Schlüsselservern synchronisiert werden sollen.
Klicken Sie auf .
13.9 Schlüsselfreigabe #
Die Schlüsselfreigabe wird durch DNS-SD bereitgestellt, das auch als Bonjour oder Rendezvous bezeichnet wird. Durch die Aktivierung der Schlüsselfreigabe werden die öffentlichen Schlüsselringe der lokalen Benutzer von Passwörter und Verschlüsselung dem Dialogfeld für die entfernte Suche hinzugefügt. Die Verwendung dieser lokalen Schlüsselserver erfolgt generell schneller als der Zugriff auf entfernte Server.
Klicken Sie auf › › .
Klicken Sie auf › und klicken Sie dann auf den Karteireiter (Schlüsselserver).
Wählen Sie (Geänderte Schlüssel automatisch mit Verschlüsselungsservern synchronisieren).
Klicken Sie auf .