HowTo PGP mit Evolution

GnuPGP-Key erzeugen

Allgemein

Um GnuPGP verwenden zu können, müssen Sie zuerst ein Schlüsselpaar erzeugen. Ein solches Schlüsselpaar besteht aus einem Public- und einem Private-Key. Dabei handelt es sich jeweils um Dateien von einigen Kilobyts Größe. Den Public Key geben sie ihrem gegenüber, er kann mit diesem Nachrichten an Sie verschlüsseln und ihre Signaturen überprüfen. Um Signaturen zu erzeugen oder zu entschlüsseln brauchen sie den Private-Key. Diesen behalten sie also Sicher auf ihrer Festplatte und zusätzlich wir er mit einem Passwort verschlüsselt. Der Vorteil dieser Methode ist das sie ihrem Gegenüber kein Passwort oder ähnliches bekannt geben müssen - er braucht lediglich den Public-Key, welchen sie frei veröffentlichen können, da er nicht missbraucht werden kann.

Bei Erzeugen des Schlüssels können Sie einige Einstellungen vornehmen:

  • Den Typ des Schlüssels
Wählen sie ihr einfach die Standardvorgabe
  • Die Länge des Schlüssels
Desto länger desto sicherer ist ihr Schlüssel, allerdings wird er damit auch etwas unhandlicher. 1024 Bits reichen aus, wenn sie jedoch Zukunftssicher sein wollen, wählen sie 2048 Bits und wenn es sehr sicher sein soll 4096 Bits.
  • Ablaufdatum
Hiermit können sie einstellen, dass ihr Schlüssel nach einiger Zeit automatisch ungültig wird. Danach ist er nicht mehr verwendbar und sie müssen einen neuen anlegen. Dies erhört die Sicherheit, falls sie ihren Private-Key verlieren - alternativ können sie ihn aber auch mit ihrem Revoke-Zertifikat manuell zurückziehen.

Terminal

To be written

Grafisch: Kleopatra

Zu erst installiert man das Programm Kleopatra - oft als Teil der GnuPG-Installation bereits vorhanden - und, wenn nicht schon geschehen, GnuPG (GPG). Danach starten wir es. Wenn Sie es nicht finden, starten Sie es von der Kommandozeile mit

kleopatra

Über die entsprechende Schaltfläche können wir einen neuen Schlüssel anlegen. Wir wählen PGP als Schlüsseltyp aus. Im folgendem tragen sie ihren Namen und die E-Mail-Adresse für welchen sie den Schlüssel verwenden wollen ein (Wenn sie mehrere Mail-Adressen haben, geben sie die wichtigste an). Stellen Sie gegebenenfalls die Schlüssellänge und das Ablaufdatum ein. Danach sehen Sie im Hauptfenster ihren neu generierten Key. Die Schlüsselkennung (ID) werden sie später noch brauchen.

Wenn sie noch weitere E-Mail-Adressen oder Namen (unterschiedliche Schreibweisen, Künstlernamen, etc.) zu dem Key hinzufügen wollen, klicken sie doppelt auf den neu Erzeugten Key, gehen sie auf "Namen und Signaturen" und fügen diese mit "Name hinzufügen" hinzu. Dabei sollten sie jedoch nur Adressen- und Namenskombinationen hinzufügen, welche sie auch wirklich verwenden.

Für den Fall das etwas mit ihrem Schlüssel passiert, sollten sie ein Widerrufs-Zertifikat (Revocation-Zertifikat) erstellen und an einem Sicherem Ort aufbewahren (Jeder der dieses Zertifikat hat, kann damit ihren Key für ungültig erklären). Dies geht leider noch nicht grafisch mit Seahorse, also führen sie folgendes im Terminal aus:

gpg --gen-revoke <userID>

Wobei sie "<userID>" durch die ID ihres Schlüssels ersetzen. Im folgenden können sie eine Begründung für den Zugrückzug auswählen, wählen sie hier "Dieser Schlüssel ist nicht mehr sicher". Den Textblock speichern sie dann in eine einfache Textdatei. Die neue Datei ist ihr Wiederrufszertifikat - speichern sie es sicher (Sowohl im Sinne das niemand dran kommt, als auch im Sinne, dass es nicht verloren geht). Am besten Analog auf Papier und digital auf einem externem Speicher-Medium.

Damit ihr gegenüber nun den Schlüssel verwenden kann, muss er ihren Public Key erhalten. Die einfachste und verbreitetste Methode ist ihn auf einen Key Server zu lagern. Achtung: Keyserver können nach Mail-Adressen durchsucht werden, wenn sie Spam vermeiden wollen müssen sie hierauf verzichten. Um den Schlüssel auf einem Keyserver zu veröffentlichen gehen sie auf Bearbeiten -> Einstellungen. Mit dem Button "Hinzufügen" können sie beliebige Server hinzufügen. Da die Server mit einander vernetzt sind, reicht es aus ein oder zwei Server hinzuzufügen. Bekannte Server sind zum Beispiel:

hkp://pgp.mit.edu:11371
hkp://keys.nayr.net:80
hkp://keys.nayr.net:11371

Im Feld "Schlüssel veröffentlichen auf:" wählen sie einen der Server als Standard aus, auf diesen wird dann ihr Key hoch geladen.

Die beiden folgenden Haken sollten sie auf jeden Fall aktivieren, damit PGP sich fremde Schlüssel vom Server hohlen kann. Schliessen sie das Fenster wieder.

Wenn sie ihren Schlüssel veröffentlichen wollen markieren sie ihren PGP Schlüssel und gehen sie auf Entfernt -> Schlüssel abgleichen und veröffentlichen und bestätigen sie mit "Abgleichen".

Nun können sie Evolution konfigurieren.

Evolution einrichten

In Evolution, gehe auf "Bearbeiten" und wähle "Einstellungen". Im neu geöffneten Fenster, markiere dein E-Mail-Konto und klicke auf "Bearbeiten". Wechsle nun in den Reiter "Sicherheit". Im oberen Feldt trägst du die ID (Schlüsselkennung) deines PGP-Schlüssels ein.
Schon kannst du PGP auch verwenden. Es empfiehlt sich jedoch noch einige Einstellungen zu ändern:

  • [x] "Aus diesem Konto ausgehende Nachrichten immer signieren"
  • [ ] "Besprechungsanfragen nicht signieren (Kompatibilität mit Outlook)
  • [x] "Beim verschicken verschlüsselter E-Mails immer für mich selbst verschlüsseln" Aktiviere diess, damit du deine verschlüsselten E-Mails im "Verschickt"-Ordner auch selber wieder entschlüsseln kannst.
  • [x] "Schlüssel am Schlüsselbund beim Verschlüsseln immer vertrauen"

Evolution verwenden

Wenn sie eine Nachricht geschrieben haben, können sie im Menü unter Sicherheit die PGP-Signatur und die PGP-Verschlüsselung ein und ausschalten. Wenn sie eine Mail verschlüsseln, solten sie sie immer auch signieren. Zum Verwenden ihres Schlüssels müssen sie ihr Passwort eingeben. Sie können dies auch merken lassen, was jedoch die Sicherheit verringert.


Links


Vorlage:HowTo