GNUPG / GPGDropthing

[gbyte]

Nichts zu danken, immerhin ist dieses Forum dafür da. So, hier mal der Auszug aus meiner gpg.conf unter ~/.gnupg/:

Code:

charset utf8
utf8-strings

keyserver pgp.mit.edu
sig-keyserver-url http://pgp.mit.edu
keyserver-options auto-key-retrieve,no-include-subkeys

personal-digest-preferences SHA256
cert-digest-algo SHA256
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed

default-key XXXXXXXXXXXXXXXX

Hinter default-key sollte Deine sechzehnstellige Schlüssel-ID stehen. Diese Option macht natürlich nur Sinn, wenn mehr als ein privater Schlüssel im Schlüsselbund sind.

Nach der Installation von GnuPG empfiehlt sich immer, wie auch nach der Installation im Dialogfeld erwähnt wird, ein Ab- und Anmelden des Benutzers durchzuführen. Um ganz sicher zu gehen kann man natürlich auch Neustarten, ist mir bis jetzt aber noch nicht als Notwendigkeit untergekommen.

Komisch finde ich das Verhalten Deiner Programme (GPGDropThing und GPGFileTool) allerdings schon. Die frage wäre hier wirklich: Wie viele private Schlüssel hast Du auf dem Laptop installiert? Wenn es nur einer ist, können die Programme eventuell auch ohne Verweis auf denjenigen besser funktionieren als wenn ein Verweis da ist. Bist Du Dir sicher das Du die richtige ID eingegeben hast?

Nur ein Problem habe ich noch, nämlich mit den Schlüsselservern. Kann es sein, daß die nicht immer ganz zuverlässig laufen. Oder gibt es einen Trick, wie man die Schlüssel auf die Server läd? Sollte doch eigentlich so sein, daß ich mir einen der Schlüsselserver mit den Voreinstellungen bei GPG Schlüsselbund aussuche und dann auf "An Schlüselserver senden gehe". Nach einiger Zeit müßte ich meine öffentlichen Schlüssel dann doch auf diesen Servern finden.

Es dauert mitunter schon ein wenig bevor sich der Schlüsselserver aktualisiert. Meiner Erfahrung nach aber nicht länger als bis zu einer Stunde.

Hier http://pgp.mit.edu/ finde ich aber leider nur einen uralten Schlüssel, der aus Zeiten eines älteren Versuchs stammt. Und wenn ich versuche http://wwwkeys.de.pgp.net/ aufzurufen, dann bekomme ich mal eine Seite oder (viel öfter) wird die Seite eben nicht geladen. Den Schlüssel finde ich leider nirgendwo.....

Es gibt auch Schlüsselserver-Adressen die nicht direkt mit einem Web-Browser angesprochen werden können, bzw. keine Weboberfläche zur Verfügung stellen. Dazu gehört auch wwwkeys.de.pgp.net.

Die Schlüsselserver, bzw. Adressen die mit hkp:// beginnen (z.B. hkp://subkeys.pgp.net) sind Sammelpunkte für ein ganzes Netz dieser Server, es wird dann zufällig ein konkreter Server ausgewählt.

Auf dieser Seite gibt es einen einfachen Überblick über die Funktion der Schlüsselserver.

Welche Rolle es spielt, welchen der Schlüsselserver man sich aussucht, das konnte ich leider auch noch nicht herausfinden. Werden die öffentlichen Schlüssel irgendwie in einer Datenbank zusammengeführt oder muß man dann in den verschiednen Datenbänken suchen, wenn man einen bestimmten öffentlichen Schlüssel sucht?

AFAIK spiel es keine Rolle welchen öffentlichen Schlüsselserver man wählt, da sich die Server untereinander abgleichen. Der Intervall in dem dies geschieht ist unterschiedlich. Meiner Erfahrung nach dauert es aber nicht länger als vierundzwanzig Stunden.

*** Zu bedenken gilt:

Was einmal auf einem Schlüsselserver liegt, kann nicht mehr gelöscht werden. Es kann maximal ein Widerruf-Zertifikat erstellt und dem veröffentlichtem Schlüssel angehangen werden - deshalb lieber einmal mehr über die Informationen nachdenken, die man veröffentlicht.

Widerruf-Zertifikate sollten bereits zum Zeitpunkt der Schlüsselerstellung erstellt werden und entweder an einem sicheren Ort gespeichert, oder ausgedruckt und an einem sicheren Ort aufgehoben werden.

Ein Widerruf-Zertifikat kannst Du folgender maßen erstellen: Terminal.app öffnen und

Code:

gpg2 --gen-revoke XXXXXXXX

eingeben. XXXXXXXX ist die entsprechende Schlüssel-ID. Obiger Befehl liefert Dir ein Widerruf-Zertifikat in Textform innerhalb des Terminal.app, welches kopiert gedruckt, oder in irgend einer Form gespeichert werden sollte.

Du solltest die angezeigten Daten genau prüfen und sicherstellen, dass es sich um den richtigen Schlüssel handelt. Du wirst auch nach einem Grund für den Widerruf gefragt. Siehe:

Grund für den Widerruf:
0 = Kein Grund angegeben
1 = Hinweis: Dieser Schlüssel ist nicht mehr sicher
2 = Schlüssel ist überholt
3 = Schlüssel wird nicht mehr benutzt
Q = Abbruch
(Wahrscheinlich möchten Sie hier 1 auswählen)
Ihre Auswahl?

Hier solltest Du für die Zertifikatserstellung Grund 1 wählen. Die Gründe 2 und 3 werden meistens eingesetzt wenn Du noch im Besitz deines Schlüssels bist, und können somit jeder Zeit bei Bedarf erstellt werden.

Mit dem Befehl:

Code:

gpg2 --output ~/Widerruf_XXXXXXXX.asc --gen-revoke XXXXXXXX

erstellst Du ein Widerruf-Zertifikat in Form einer Datei namens Widerruf_XXXXXXXX.asc in Deinem Homeverzeichnis.

Der Vorteil eines solchen Zertifikates ist, dass Du Deinen Schlüssel auch widerrufen kannst, wenn Du den Schlüssel selbst verloren haben solltest.

Gruß,

GByte

[rolandr]

Super,

jetzt scheint auch auf dem Macbook alles richtig zu funktionieren. Danke für die Hilfe.

Eigentlich könnte man das hier zusammenfassen und als kleine Hilfeanleitung ins Netz stellen. Ich habe den Verdacht, daß noch mehr Leute ähnliche Probleme wie ich haben und einiges was gnuPG betrifft erschließt sich wohl leider nicht so ganz allein.

Und weshalb man sich mit solchen Programmen genau wie z.B. Truecrypt oder TOR beschäftigten sollte ist dann ja auch eine politische Frage, aber das ist dann wieder ein anderes Thema…

Auf jeden Fall noch mal vielen Dank für die superpräzise Hilfe

Roland

[MacAlzenau]

Ich finde auch, daß eine entsprechende Anleitung im AT-Wiki sinnvoll wäre. Und zwar nicht einfach verstndlich für AT-Langzeit-Mitleser, sondern auf DAU-Niveau. Verschlüsselung bei Mails wird sich erst durchsetzen, wenn man das mit ein paar Klicks einrichten kann und es dann automatisch abläuft.
Leider gehört dazu auch, daß man uns Mac-Nutzern eine DAU-Anleitung mitgibt, wie man das bei hilflosen Windowsnutzerinnen einrichtet, wo man null Hilfe bekommen kann, wenn man sich als Macnutzer nicht mit Windows auskennt.
Meine Bekannte nutzen meistens W., haben selten wirklich Ahnung davon. wie soll ich die von Mailverschlüsselung überzeugen, wenn ich nicht bereit bin, das bei ihnen einzurichten? Und das kann ich nur mit einer DAU-Anleitung, denn sie kennen sich ja nicht mal mit Windows aus, können mir also keine Hilfe geben bei ganz simplen Fragen, die vielleicht auftauchen.
Vorher bringt es mir persönlich nichts, GnuPG oder sonst irgendwas einzurichten, wenn es vielleicht drei, vier Mac-Benutzer gibt, die ich von GPG/PGP überzeugen könnte und zwei, drei Windowsnutzer, die das von selbst tun, die restlichen x-hundert, ganz überwiegend Windows-DAUs, aber bildlich gesprochen mit offenem Mund dastehen.