orr 2010: e-mail-verschlüsselung mit gpg
TRANSCRIPT
PowerPoint-Prsentation
E-Mail-Verschlsselung mit GPG. Von der Key-Erzeugung zur verschlsselten E-Mail.
OpenRheinRuhr 2010.13.November 2010 | Vortrag
Public Key
Private Key
Public Key
Web of Trust
E-Mail signieren
E-Mail verschlsseln
Schlssel signieren
Key Server
Schlsselbund
Key Signing Party
Private Key
Schlssel signieren
Key Server
Key Signing Party
E-Mail verschlsseln
Web of Trust
Schlsselbund
E-Mail signieren
???
Verschlsselungsverfahren
Symmetrische VerschlsselungZum Ver- und Entschlsseln wird der gleiche Schlssel genutzt
Hohe Anzahl bentigter Schlssel (1 pro Paar)
Problem des Schlsselaustausches
Verschlsselungsverfahren
Asymmetrische VerschlsselungVerschlsselung mit Public Key
Entschlsselung mit Private Key
Geringere Anzahl bentigter Keys (1 pro Person)
Austausch von Schlsseln vereinfacht
Verschlsselungsverfahren
Hybride VerschlsselungNachricht wird mit Zufallsschlssel symmetrisch verschlsselt
Schlssel wird asymmetrisch verschlsselt und mitgeliefert
E-Mails verschlsseln
Absender
Empfnger
Absender verschlsselt mit Public Key des Empfngers
Empfnger entschlsselt mit eigenem Private Key
Empfnger muss Private Key besitzen
Absender muss Public Key des Empfngers haben
E-Mails signieren
Absender
Empfnger
Absender signiert mit eigenem Private Key
Empfnger verifiziert mit Public Key des Absenders
Absender muss Private Key besitzen
Empfnger muss Public Key des Absenders haben
Was braucht man fr gesicherte E-Mail?
Beide Teilnehmer der E-Mail-Kommunikation mssen einen Key besitzen
Verffentlicht wird nur der Public Key!
Private Key muss geheim bleiben!
Eigener Private Key durch Mantra geschtztMantra ist die Schwachstelle des Systems, kann aber beliebig lang sein
Verwaltung von Schlsseln
Verwaltung der Keys im Schlsselbund
Steuerung ber Kommandozeile oder grafische Tools
Besteht aus Eigenem Schlssel (privat und ffentlich)
Fremden Schlsseln (ffentliche)
Angaben zu Vertrauen und Gltigkeit
Einen Key erzeugen
Kommandozeile mit gpggpg --gen-keySchritt-fr-Schritt gefhrte Erzeugung des Keys
Grafische Tools, z.B. KGpg
Was dann?
Schlssel selbst signieren, um Echtheit des Schlssels sicherzustellengpg --edit-key Key-ID sign
Was dann?
Schlssel selbst signieren, um Echtheit des Schlssels sicherzustellen
Widerrufsurkunde erstellengpg --output revoke.asc --gen-revoke Key-ID
Was dann?
Schlssel selbst signieren, um Echtheit des Schlssels sicherzustellen
Widerrufsurkunde erstellen
Key exportierengpg --armor --export Key-ID
Was dann?
Schlssel selbst signieren, um Echtheit des Schlssels sicherzustellen
Widerrufsurkunde erstellen
Key exportieren
Fingerprint und Key-ID bekannt machen
Einen Key verffentlichen
Persnliche Weitergabe
Verffentlichung auf eigener Homepage, als Text oder Download
Auf Key-Servern, z.B.wwwkeys.de.pgp.net
wwwkeys.eu.pgp.net
gpg-keyserver.de
Die Keyserver synchronisieren sich untereinander!
Andere Keys suchen, finden und importieren
Suche nach Key-ID oder nach Namen auf Keyservern
Direkter Import von persnlich erhaltenen oder von Webseiten importierten Keysgpg --search-keys Key-IDgpg --recv-keys Key-ID
gpg --import Key-File
Das Web of Trust
Importierte Schlssel knnen signiert werden
Jedem Schlssel kann eine (Eigentmer-)Vertrauensstufe zugewiesen werden:Unbekannt (q)
Kein Vertrauen (n)
Teilweises Vertrauen (m)
Volles Vertrauen (f)
Davon abhngig ist das Vertrauen in den Schlssel selbstVertrauen ist vollstndig, wennDer Schlssel selbst oder
Von einem Schlssel vollsten Vertrauens oder
Von min. 3 Schlsseln teilweisen Vertrauens unterzeichnet wurde und
Die so entstandene Kette nicht zu lang ist (5 Schritte)
Das Web of Trust
K
C
J
I
A
ICH
E
F
G
D
B
H
m
f
n
m
m
m
f
Andere Keys signieren
Wichtig! Eigentmer authentifizierenber Fingerprint
ber Ausweisdokumente
z.B. bei Key-Signing-Partys
Signierten Key an Eigentmer zurckgebenVerffentlichung sollte durch Eigentmer selbst erfolgen!
Signatur durch CAcert
Voraussetzungen:eigenes CAcert-Zertifikat
mindestens 50 Assurance Points
Namen im Schlssel und im Cacert-Zertifikat mssen berein stimmen!
(Quelle: http://wiki.cacert.org/PgpSigning)
E-Mails verschlsseln und signieren
Text auf Kommandozeile verschlsseln und als E-Mail versenden
Verschiedene Hilfsprogramme zur Signierung und Verschlsselung, z.B.Kmail / Kontact (KDE) Kgpg
Gnome Seahorse
Thunderbird enigmail
Div. Webmailer Browser Add-Ons, wie FireGPG fr Firefox
Entwicklung eingestellt----------------------------
Fragen? Anmerkungen?
Danke fr die Aufmerksamkeit!
Folien bei Slidesharehttp://www.slideshare.net/birgithuesken
Impressum
Birgit HskenHS NiederrheinKIS IT ServicemanagementReinarzstr.4947805 Krefeld
E-Mail [email protected]. +49-2151-822-3225Fax +49-2151-822-85-3225
OpenRheinRuhr 2010 | 13.11.2010 |E-Mail-Verschlsselung mit GPG | Birgit Hsken |