Das Gespenst Komplexität Vb: Cyber-Sicherheit mit OpenPGP für Anfänger

Neulich habe ich einen öffentlichen OpenPGP-Schlüssel gefunden und wollte dem Schlüsselhalter eine verschlüsselte Anfrage senden. Deshalb habe ich „Howto Verschlüsseln mit PGP für Thunderbird“ in Google gesucht. Erster Link war ein Wiki der Piratenpartei. Ich habe die Einführung weggescrollt und Punkt fünf unter der Überschrift Installation und Veröffentlichen der Schlüssel getestet.

In den Punkten 1-4 des Wikis werden Thunderbird, GnuPG und Enigmail als Voraussetzungen empfohlen. Ich prüfe, dass alle Programme da sind, und starte mit der Schlüsselzuweisung für mein E-Mail-Konto in Thunderbird auf Linux. Was unter Punkt 5 der oben genannten Überschrift kurz und bündig daher kommt, hat bei mir mehrere Stunden, ja Tage gedauert.

1.Schlüsselpaar erstellen. Ich klicke in Thunderbird zwischen Nachricht und Extras auf Open PGP und wähle Schlüssel verwalten. Ein Fenster geht auf. Darin klicke ich auf Erzeugen und neues Schlüsselpaar. Ein weiteres Fenster öffnet sich. In dem Feld Benutzer ID steht meine E-Mail-Adresse, für die das Schlüsselpaar erzeugt werden soll. Ich setze ein Häkchen bei Schlüssel zum Unterschreiben verwenden. Danach denke ich mir ein Passwort aus und fülle damit die Felder Passphrase aus. Im Reiter Ablaufdatum bestimme ich, dass der Schlüssel nach einem Jahr ablaufen soll. Ich notiere das Datum in meinem Kalender, um ein rechtzeitiges Update meines Schlüssels nicht zu vergessen. Im Reiter Erweitert sollte bei Schlüsselstärke 2048 und als Algorithmus RSA ausgewählt sein. Dann klicke ich Schlüsselpaar erzeugen. Ein Nachfragefenster geht auf, in dem ich erneut Schlüssel erzeugen klicke. Ein Fortschrittsbalken zeigt mir, dass der Rechner arbeitet. Um die Wartezeit zu verkürzen, spiele ich, bis ein Fenster mit der Information aufgeht, dass die Schlüsselerzeugung abgeschlossen ist. Zudem wird mir mitgeteilt, dass ich ein Widerrufszertifikat brauche.

2. Um das Widerrufszertifikat zu erstellen, klicke ich im selben Fenster auf Zertifikat erzeugen. Ein Fenster öffnet sich, mit dessen Hilfe ich die Datei mit der asc-Endung in einem Ordner auf meinem Rechner ablegen kann. Ein Fenster öffnet sich, in das ich meine Passphrase schreibe und OK klicke. Die Info, dass mein Widerrufszertifikat erfolgreich erzeugt wurde, klicke ich mit OK weg und speichere das Zertifikat zuletzt auf meinen Stick. Für einen Papierausdruck mit dem Programm paperkey ist zu prüfen, ob es in der Paketverwaltung der eigenen Distribution verfügbar ist. Für Gentoo lag paperkey im Overlay Sunrise. Ohne Kommandozeilenkenntnisse ist der Ausdruck nicht möglich. Ich hoffe, dass ein Profi diesen Ausdruck versteht, falls eines Tages alle meine Schlüssel verloren sein sollten. Zudem muss ich damit leben, dass mein erster Schlüssel, den ich vor vielen Jahren einmal erzeugt hatte, noch immer mein Hauptschlüssel ist, obwohl ich schon längst seine Passphrase vergessen und ihn deaktiviert habe. Er war abgelaufen und ein Widerrufszertifikat hatte ich damals nicht erstellt. Das heute erstellte Schlüsselpaar für eine meiner E-Mails liegt im Fenster OpenPGP-Schlüssel verwalten.

3. Im Folgenden stelle ich drei Varianten zur Veröffentlichung eines öffentlichen Schlüssel vor.
3.1 Ich habe meinen öffentlichen Schlüssel im Impressum meiner Webseite veröffentlicht. Mit der rechten Maustaste öffne ich das Menu zu meinem Schlüssel und wähle in Datei exportieren. Eine Auswahlbox fragt mich, ob ich auch geheime Schlüssel in die Datei speichern möchte. Mit dem Knopf nur öffentliche Schlüssel exportieren, stelle ich sicher, dass nur mein öffentlicher Schlüssel gespeichert wird. Ein Fenster geht auf, in dem ich der asc-Datei einen Namen zuweise und in mein Impressum hochlade.
3.2 Öffentliche Schlüssel können per E-Mail ausgetauscht werden. Das geht in der Schlüsselverwaltung OpenPGP-Schlüssel verwalten per rechtem Mausklick. In dem so geöffneten Menu klicke ich den Eintrag öffentliche Schlüssel per E-Mail senden. Das Mail-Fenster öffnet sich mit einer asc-Datei im Anhang. Bevor die Mail verschickt wird geht ein Nachfragefenster auf, in dem ich auswähle, dass nur der Haupttext verschlüsselt und unterschrieben werden soll. Am Ende mache ich kein Häkchen bei dem Angebot, dass diese Methode immer gelten soll.
3.3 Es besteht die Möglichkeit einen öffentlichen Schlüssel auf einen Server hochzuladen. Das hat den Nachteil, dass diese Entscheidung schwer wieder rückgängig zu machen ist, aber den Vorteil, dass das Prozedere eines Schlüsselaustauschs komfortabler wirkt. Empfehlungen für Schlüsselserver bietet das KDE UserBase Wiki unter Punkt 12 Preferred key server. Um meinen Schlüssel bei einem Server hochzuladen, gehe ich in die Auswahlbox, die ich mit der rechten Maustaste von meinem Schlüsselpaar erzeugt hatte. Ich klicke auf Schlüssel in Zwischenablage exportieren. Die Infobox, dass der Schlüssel in der Zwischenablage liegt, klicke ich mit OK weg. Dann surfe ich zu einem Server und klicke submit a key. In das große, leere Fenster kopiere ich meinen Zwischenspeicher mit der Tastenkombination ctrlV, also einfügen. Dann klicke ich den Knopf submit this key to keyserver. Zuletzt werde ich informiert, dass ein key erfolgreich hinzugefügt wurde.

4. Testmail mit einer asc-Datei. Zunächst downloade ich mir die Datei pubkey-nicobeuermann.asc des freundlichen Privatsphäre-Verteidigers Nico auf meinen Rechner. Im Fenster OpenPGP-Schlüssel verwalten klicke ich auf Datei und Importieren. Ein Fenster öffnet sich, in dem ich die asc.-Datei mit Nicos öffentlichen Schlüssel per Mausklick auswähle und öffnen klicke. Die Meldung, dass der Schlüssel importiert wurde, klicke ich mit OK weg. Dann verfasse ich eine neue Mail an Nicos Adresse, klicke bei S/MIME die Häkchen Nachricht verschlüsseln und Nachricht unterschreiben weg oder prüfe, dass dort keine Häkchen sind. Bei OpenPGP setze ich die Häkchen bei Nachricht verschlüsseln und Nachricht unterschreiben. Dann klicke ich senden. Ein Fenster öffnet sich, in das ich meine Passphrase schreibe und OK klicke. Ich erhalte die Fehlermeldung: „Das Senden wurde abgebrochen“ und folgende Fehlermeldung:
USERID_HINT 8201FBD03D1FCA9C claudia pfeffer <clap201342@yahoo.de>
NEED_PASSPHRASE 8201FBD03D1FCA9C 8201FBD03D1FCA9C 1 0
GOOD_PASSPHRASE
INV_RECP 10 0xBF3E980509BB4259

Bei mir gab es zwei mögliche Lösungen für das Problem:

  • Bei mehreren Konten ist zu prüfen, dass jedem Konto das passende Schlüsselpaar zugeordnet ist. Das geht in den verschiedenen Konten in Thunderbird mit den Einträgen Konteneinstellungen bearbeiten und OpenPGP-Sicherheit.
  • In der Schlüsselverwaltung muss unter Schlüsselgültigkeit des importierten Schlüssels vertraut stehen. Ist der Schlüsselbesitzer noch nicht vertraut ist per rechtem Mausklick im Menu der Eintrag Unterschreiben anzuklicken. Ein Fenster öffnet sich, in dem der Fingerabdruck des Schlüsselhalters steht. Ich vergleiche den Fingerabdruck mit dem auf der Webseite und wähle meinen Schlüssel zum Unterschreiben bei Übereinstimmung der Fingerabdrücke. Dann setzte ich ein Häkchen bei ich habe es sehr genau geprüft und bei lokal unterschreiben. Ich klicke OK und tippe meine Passphrase. Der Schlüssel ist jetzt gültig.

Fazit: Das Einrichten schien anfangs leicht und selbst erklärend. Wenige Arbeitsschritte und Übersichtlichkeit bei den Fenstern gaben mir immer das Gefühl, auf dem richtigen Weg zu sein. Leider klappte der Mailversand nicht auf Anhieb. Schwierig gestaltete sich die Fehlersuche, die mir nicht allein geglückt ist. Insofern wäre ich nicht in der Lage gewesen mit PGP eine verschlüsselte Mail zu senden, um meine Privatsphäre zu schützen. Schade, denn die Schlüssel-Einrichtung hatte so einfach und nett angefangen.
#clapf ehemals clap!

Logo: geprüfter Artikel
kunstprofil_com.2.odt
signature

Für alle: Kostenlose Schulungen
KDE User Base Wiki: Weiterführende Informationen

2 Comments

  1. Pingback: Das Gespenst Komplexität V: Die Ich-habe-nichts-zu-verbergen-Laier | #clapf

  2. Pingback: Die Vision einer Trinitarischen Formel von Informationsfaktoren oder vom Sinn einer Verschlüsselungs-Pflicht | #clapf

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.