PowerPoint-Prsentation

E-Mail-Verschlsselung mit GPG. Von der Key-Erzeugung zur verschlsselten E-Mail.

OpenRheinRuhr 2010.13.November 2010 | Vortrag

Public Key

Private Key

Public Key

Web of Trust

E-Mail signieren

E-Mail verschlsseln

Schlssel signieren

Key Server

Schlsselbund

Key Signing Party

Private Key

Schlssel signieren

Key Server

Key Signing Party

E-Mail verschlsseln

Web of Trust

Schlsselbund

E-Mail signieren

???

Verschlsselungsverfahren

Symmetrische VerschlsselungZum Ver- und Entschlsseln wird der gleiche Schlssel genutzt

Hohe Anzahl bentigter Schlssel (1 pro Paar)

Problem des Schlsselaustausches

Verschlsselungsverfahren

Asymmetrische VerschlsselungVerschlsselung mit Public Key

Entschlsselung mit Private Key

Geringere Anzahl bentigter Keys (1 pro Person)

Austausch von Schlsseln vereinfacht

Verschlsselungsverfahren

Hybride VerschlsselungNachricht wird mit Zufallsschlssel symmetrisch verschlsselt

Schlssel wird asymmetrisch verschlsselt und mitgeliefert

E-Mails verschlsseln

Absender

Empfnger

Absender verschlsselt mit Public Key des Empfngers

Empfnger entschlsselt mit eigenem Private Key

Empfnger muss Private Key besitzen

Absender muss Public Key des Empfngers haben

E-Mails signieren

Absender

Empfnger

Absender signiert mit eigenem Private Key

Empfnger verifiziert mit Public Key des Absenders

Absender muss Private Key besitzen

Empfnger muss Public Key des Absenders haben

Was braucht man fr gesicherte E-Mail?

Beide Teilnehmer der E-Mail-Kommunikation mssen einen Key besitzen

Verffentlicht wird nur der Public Key!

Private Key muss geheim bleiben!

Eigener Private Key durch Mantra geschtztMantra ist die Schwachstelle des Systems, kann aber beliebig lang sein

Verwaltung von Schlsseln

Verwaltung der Keys im Schlsselbund

Steuerung ber Kommandozeile oder grafische Tools

Besteht aus Eigenem Schlssel (privat und ffentlich)

Fremden Schlsseln (ffentliche)

Angaben zu Vertrauen und Gltigkeit

Einen Key erzeugen

Kommandozeile mit gpggpg --gen-keySchritt-fr-Schritt gefhrte Erzeugung des Keys

Grafische Tools, z.B. KGpg

Was dann?

Schlssel selbst signieren, um Echtheit des Schlssels sicherzustellengpg --edit-key Key-ID sign

Was dann?

Schlssel selbst signieren, um Echtheit des Schlssels sicherzustellen

Widerrufsurkunde erstellengpg --output revoke.asc --gen-revoke Key-ID

Was dann?

Schlssel selbst signieren, um Echtheit des Schlssels sicherzustellen

Widerrufsurkunde erstellen

Key exportierengpg --armor --export Key-ID

Was dann?

Schlssel selbst signieren, um Echtheit des Schlssels sicherzustellen

Widerrufsurkunde erstellen

Key exportieren

Fingerprint und Key-ID bekannt machen

Einen Key verffentlichen

Persnliche Weitergabe

Verffentlichung auf eigener Homepage, als Text oder Download

Auf Key-Servern, z.B.wwwkeys.de.pgp.net

wwwkeys.eu.pgp.net

gpg-keyserver.de

Die Keyserver synchronisieren sich untereinander!

Andere Keys suchen, finden und importieren

Suche nach Key-ID oder nach Namen auf Keyservern

Direkter Import von persnlich erhaltenen oder von Webseiten importierten Keysgpg --search-keys Key-IDgpg --recv-keys Key-ID

gpg --import Key-File

Das Web of Trust

Importierte Schlssel knnen signiert werden

Jedem Schlssel kann eine (Eigentmer-)Vertrauensstufe zugewiesen werden:Unbekannt (q)

Kein Vertrauen (n)

Teilweises Vertrauen (m)

Volles Vertrauen (f)

Davon abhngig ist das Vertrauen in den Schlssel selbstVertrauen ist vollstndig, wennDer Schlssel selbst oder

Von einem Schlssel vollsten Vertrauens oder

Von min. 3 Schlsseln teilweisen Vertrauens unterzeichnet wurde und

Die so entstandene Kette nicht zu lang ist (5 Schritte)

Das Web of Trust

K

C

J

I

A

ICH

E

F

G

D

B

H

m

f

n

m

m

m

f

Andere Keys signieren

Wichtig! Eigentmer authentifizierenber Fingerprint

ber Ausweisdokumente

z.B. bei Key-Signing-Partys

Signierten Key an Eigentmer zurckgebenVerffentlichung sollte durch Eigentmer selbst erfolgen!

Signatur durch CAcert

Voraussetzungen:eigenes CAcert-Zertifikat

mindestens 50 Assurance Points

Namen im Schlssel und im Cacert-Zertifikat mssen berein stimmen!

(Quelle: http://wiki.cacert.org/PgpSigning)

E-Mails verschlsseln und signieren

Text auf Kommandozeile verschlsseln und als E-Mail versenden

Verschiedene Hilfsprogramme zur Signierung und Verschlsselung, z.B.Kmail / Kontact (KDE) Kgpg

Gnome Seahorse

Thunderbird enigmail

Div. Webmailer Browser Add-Ons, wie FireGPG fr Firefox

Entwicklung eingestellt----------------------------

Fragen? Anmerkungen?

Danke fr die Aufmerksamkeit!

Folien bei Slidesharehttp://www.slideshare.net/birgithuesken

Impressum

Birgit HskenHS NiederrheinKIS IT ServicemanagementReinarzstr.4947805 Krefeld

E-Mail birgit.huesken@hs-niederrhein.deTel. +49-2151-822-3225Fax +49-2151-822-85-3225

OpenRheinRuhr 2010 | 13.11.2010 |E-Mail-Verschlsselung mit GPG | Birgit Hsken |