GnuPG Anleitung - Seite 1

Vorbemerkungen

Von PGP zu GnuPG

Mit Version 3.2 der „Deutschen GnuPG Anleitung“, die nun schon seit vier Jahren erscheint und der Veröffentlichung von GnuPG 1.4.1 wird gleichzeitig die weitere Pflege der „Deutschen PGP Anleitung“ eingestellt.

Ich denke, GnuPG hat mittlerweile einen ausreichenden Reifeprozess durchgemacht, so breite Verwendung gefunden und durch die Integration in zahlreiche E-Mail und Instant Messaging Programme, genauso wie durch die grafischen Benutzeroberflächen so viel an Benutzerfreundlichkeit gewonnen, dass es für keinen Nutzer des Internets mehr nötig ist, PGP einzusetzen.

Hinzu kommt, dass ich mich mittlerweile der Free Software und Freie Lizenz Bewegung so verbunden fühle, dass ich mehr Sinn darin sehe, ein Programm wie GnuPG zu unterstützen, das unter der GNU General Public License (GPL) steht. Ein Programm wie GnuPG, das so essentiell für den Schutz der eigenen Daten und der eigenen Privatsphäre im Internet ist, muss zu jeder Zeit und unter allen Umständen von allen Nutzern frei benutzt werden können.

21 Jahre nach dem Orwelljahr 1984 und 4 Jahre nach den Terroranschlägen in den USA mit dem nachfolgenden „Krieg gegen den Terror“ war es noch nie zuvor so entscheidend, die eigene, private Kommunikation mit kryptografischen Programmen wie GnuPG schützen zu können. Nie zuvor sind die Begehrlichkeiten und Überwachungsbefugnisse staatlicher Sicherheitsbehörden und Geheimdienste – national wie international – in einem Ausmaß angewachsen, dass eine generelle Gefährdung bürgerlicher, demokratischer Freiheits- und Grundrechte festzustellen ist.

Den staatlichen Überwachern stehen dabei allzu oft Konzerne und Unternehmen zur Seite, die von den wachsenden staatlichen Ausgaben für Überwachung profitieren oder selbst eigene Überwachung von Kunden betreiben.

Diese Gefahr bedroht alle Lebens- und Kommunikationsbereiche. In einigen Bereichen – wie der eigenen Wohnung oder bei Telefonaten – ist kein Schutz möglich oder nur mit sehr hohem Aufwand zu verwirklichen. Ausgeweitete Überwachungsbefugnisse und eine Überwachungsinfrastruktur auf Providerebene können diese Bereiche jederzeit zum „Freiraum“ staatlicher Überwachung werden lassen.

Dagegen ist ein Schutz im Bereich der Kommunikation mit Hilfe von GnuPG gegen staatliche und profitmotivierte Überwachung realisier- und durchsetzbar. Damit stellt GnuPG auch ein wichtiges Mittel in den Händen von Bürgern und Internetnutzern dar, die aus dem Gleichgewicht gekommene Balance zwischen dem Individuum und seinen Rechten und den Kontroll- und Überwachungsspielräumen der Regierungen und Konzerne etwas auszugleichen.

In diesem Sinne wünsche ich allen Lesern dieser Anleitung viel Erfolg bei der Anwendung von GnuPG und viele Kommunikationspartner, die aus dem Bewusstsein heraus, ein Recht auf Privatsphäre zu haben, ebenfalls GnuPG aus Prinzip anwenden und nicht nur oberflächlich meinen „nichts zu verbergen zu haben“.

Kai Raven, 17. März 2005

OpenPGP nach 9/11

Angesichts des Terroranschlags auf die USA mehren sich die Vermutungen, die Terroristen hätten zur Koordinierung und Planung ihrer Aktion PGP bzw. Verschlüsselungstechniken eingesetzt und Internetdienste zur Kommunikation benutzt. Dass es so ist, kann nicht ausgeschlossen werden. Die Frage, ob es PGP war oder ein anderes Kryptografieprogramm ist unerheblich. Im Zuge der Vermutungen und Untersuchungen werden auch die Forderungen nach einer Einschränkung oder eines Verbotes der Anwendung kryptografischer Programme wie PGP wieder laut werden, einhergehend mit Forderungen nach einer verstärkten Überwachung der Internetdienste und seiner Anwender. Dies ist angesichts der Ereignisse in den USA verständlich.

Auf die Spitze getrieben, formulierte es der Kommentator John Keegan im Artikel How America can wreak vengeance der britischen Zeitung „The Telegraph“ vom 14.11.2001 so:

„…The World Trade Centre outrage was co-ordinated on the internet, without question. If Washington is serious in its determination to eliminate terrorism, it will have to forbid internet providers to allow the transmission of encrypted messages - now encoded by public key ciphers that are unbreakable even by the National Security Agency's computers - and close down any provider that refuses to comply.

Uncompliant providers on foreign territory should expect their buildings to be destroyed by cruise missiles. Once the internet is implicated in the killing of Americans, its high-rolling days may be reckoned to be over.“

Deshalb bitte ich trotzdem, folgende Punkte zu bedenken:

Neben PGP gibt es eine viele andere Möglichkeiten, verschlüsselte Kommunikation und Datentransfer durchzuführen. Wir kennen steganografische Techniken und Programme, kryptografische Chat- und Instant Messenger Programme, verschlüsselnde TLS- und VPN-Verbindungen etc. Ein Verbot bzw. selbst die Überwachung dieser Möglichkeiten mit dem Ziel, den internationalen Terrorismus (oder auch die „Organsierte Kriminalität“) zu bekämpfen, würde das Verbot bzw. Neutralisierung aller oben angeführten, bekannten Techniken bedeuten. Damit würden alle Menschen und nicht nur Kriminelle und Terroristen der Möglichkeit beraubt, ihre Privatsphäre zu schützen, ihr Recht auf freie Meinungsäußerung auszuüben und das Ausmass freizugebender, persönlicher Daten selbst zu bestimmen.

Eine Terrororganisation oder eine kriminelle Organisation wird über die nötigen finanziellen Mittel, das nötige programmiertechnische Know-How und die Human Ressources verfügen, um immer eine den Strafverfolgungsbehörden unbekannte und ohne die totale Kontrolle des Netzverkehrs nicht aufspürbare Verschlüsselungstechnik einzusetzen, so dass sich der alte Satz von P. Zimmermann „If privacy is outlawed, only outlaws will have privacy“ bewahrheiten würde.

Das FBI hat einen Tag nach dem Anschlag zahlreiche US-Provider aufgesucht und sie darum ersucht oder per Anordnung dazu verpflichtet, das geheime FBI Carnivore System zu installieren. Als Mittel der nachträglichen Aufklärung einer Straftat kann auch ein System wie Carnivore legitim sein, wenn dies unter strengen Auflagen und einer effizienten Gegenkontrolle der Kontrolleure geschieht und das Programm schon von seiner Struktur so angelegt wäre, das nur eine spezielle Person zeitlich begrenzt überwacht werden würde. Die illegale Installation von Keyloggern wie im Scarfo-Fall durch das FBI, deren Technik ebenfalls als geheim eingestuft wurde und die unkontrollierbare „Breitband-Wirkung“ des Carnivore Systems stehen dem entgegen.

Der Eindruck entsteht, dass die Geheimdienste in den USA und hierzulande die Gunst der Stunde nutzen, um Überwachungsspielraum und -befugnisse noch einmal auf Kosten aller Bürger auszuweiten, obwohl gewiss das Gelingen des Terroranschlags zum Teil auch auf das Ermittlungsversagen der Dienste zurückzuführen ist, da der Schwerpunkt zu stark auf technische Signals Intelligence (SIGINT) Komponenten gelegt wurde. Die kritische Öffentlichkeit darf nicht zulassen, dass Geheimdienste unter dem Eindruck der Ereignisse versuchen, ihren Überwachungsradius noch mehr zu vergössern, obwohl zum einen dessen Effektivität zweifelhaft ist und zum anderen nicht nur der eine Verdächtige in den Sog der Überwachungsmassnahmen gerät sondern alle, deren Daten Überwachungsschnittstellen passieren.

Der Preis für 100% Sicherheit, für 100% Kriminalitätsbekämpfung liegt in der Konstitution eines Staates und einer Gesellschaft orwellschen Charakters – darüber müssen sich alle, vom sogenannten „einfachen Bürger“ auf der Straße bis zum Staatsoberhaupt – klar sein, denn 100% Sicherheit und 100% Kriminalitätsbekämfung erfordern 100% Überwachung und 100% Datenoffenlegung. Es mag angesichts der fürchterlichen Ereignisse in den USA zynisch klingen, aber eine demokratische und auf die Wahrung der bürgerlichen Freiheitsrechte beruhende Gesellschaft, deren Ursachen für Gewalt, Kriminalität und Terrorismus nicht radikal, sprich ursächlich bekämpft werden, muss mit ihren Unsicherheiten und Verbrechen leben.

Die Inhalte des CDU-Leitantrages Sicherheit 21 - Was zur Bekämpfung des Internationalen Terrorismus jetzt zu tun ist und des Anti-Terrorpakets II von Innenminister Otto Schily stellen das genaue Gegenteil dieser Erklärung dar und gehen weit über ein Verbot kryptografischer Programme hinaus (siehe auch: Schily schießt weit übers Ziel hinaus). Die Inhalte sind dazu geeignet, das Recht auf informationelle Selbstbestimmung vollständig zu beseitigen und alle Grundrechte, die sich auf das Persönlichkeitsrecht und die freie Meinungsäusserung beziehen, zu erodieren.

Deshalb ist m. M. nach überlegenswert, ob Artikel 20 GG (4) zur Anwendung kommt, wenn die Beseitigung dieser Gefahr für die freiheitlich-demokratische Grundordnung nicht noch abgewendet werden kann. Ein Verbot von Techniken und Programmen, die dem Schutz der Freiheitsrechte und des Datenschutzes dienen und die ausbordende Überwachung können nur mit Widerstand und der fortgesetzten Nutzung und Propagierung eben dieser Techniken und Programme beantwortet werden. Ich rufe deshalb alle Leute, die der gleichen Auffassung sind, dazu auf, ähnliche Informationswebsites zu gründen, in die Newsgroups zu posten, sich an Mailinglisten zu beteiligen, Freunde, Bekannte und Verwandte aufzuklären, Druck auf unsere parlamentarischen Vertreter auszuüben oder geeigneten außerparlamentarischen Organisationen beizutreten oder diese zu gründen.

Kai Raven, 12.09.2001/18.10.2001

Danksagungen

Ich danke…

Patrick Jansen und Hauke Laging, dessen OpenPGP/GnuPG Einführung auch zu empfehlen ist, für ihre Korrekturhinweise.

Werner Koch & dem GnuPG Entwicklerteam für ihre unermüdliche Arbeit, Internetnutzern weltweit eine freie und sichere Verschlüsselungsanwendung zu bieten.

GnuPG

GnuPG ist ein Programm, das der Verschlüsselung von Inhalten im Klartext in Geheimtext („Ciphertext“) dient, so dass nur Sender und Empfänger einer Nachricht, die im Besitz der passenden Schlüssel sind, den Geheimtext wieder in lesbaren Klartext entschlüsseln können. Neben der Nachrichtenverschlüsselung wird GnuPG auch zur Verschlüsselung von Dateien verwendet, die zum Beispiel lokal auf der eigenen Festplatte gespeichert sind.

Darüber hinaus kann man mit GnuPG Klartexte, Dateien oder Programme mit einer digitalen Signatur versehen, um auch im elektronischen Bereich, in dem eine handschriftliche Unterschrift nicht möglich ist, die Überprüfung der Authentizität elektronisch vorliegender Texte und Daten zu gewährleisten.

Sowohl zur Verschlüsselung als auch zur Signierung setzt GnuPG mathematische Verschlüsselungsfunktionen ein – kryptografische Algorithmen, die in der Welt der Kryptografie als anerkannt sicher vor Entschlüsselung bzw. Errechnen des Klartextes aus dem Geheimtext durch nicht autorisierte, dritte Parteien eingestuft werden. Ein kurzer Blick auf die Struktur und Funktionsweise des Internets reicht aus, um sich die Notwendigkeit der Verschlüsselung und Signierung vor Augen zu führen.

Beispiel E-Mail Überwachung

Wenn eine E-Mail versendet wird, werden Datenpakete der E-Mail zum Mailserver des eigenen Providers oder E-Mail Anbieters übertragen, der sie an den Mailserver des Empfängers weitersendet. Dabei wird die E-Mail meistens mehrere Rechner im Internet passieren, bis sie über den Mailserver auf Seiten des Empfängers schließlich von der E-Mail Anwendung des Empfängers entgegegenommen wird. Auf dem gesamten Transportweg werden mit Ausnahme des TLS verschlüsselten Transports zum E-Mail Provider die Datenpakete stets in lesbarem Klartext übertragen.

Das bedeutet, an verschiedenen Stationen des Wegs kann die E-Mail abgefangen und auch verändert werden: auf dem Weg vom eigenen Rechner zum Mailserver während des Versands, zwischen den einzelnen Rechnern während des Transports und vom Mailserver zum Empfänger während des Empfangs. Verschafft sich ein Angreifer einen illegalen Zugang zu einem der beteiligten Rechner, kann auch dort direkt die E-Mail abgefangen werden. Zu diesem Zweck gibt es spezielle Programme wie die Paket Sniffer, mit denen Datenpakete abgefangen werden können. Die abgefangenen Pakete können auch in ihrem Inhalt verändert und wieder in den Datenstrom eingespeist werden.

Zusätzlich können Geheimdienste und Polizeibehörden aufgrund gesetzlicher Befugnisse und mit richterlicher Erlaubnis E-Mails von dem Provider, der das Mailkonto zur Verfügung stellt, zu Überwachungszwecken anfordern.

Open Source Verschlüsselung aus Deutschland

GnuPG ist ein Verschlüsselungsprogramm, das die Spezifikationen für Pretty Good Privacy (OpenPGP) nach RFC 4880 des Internet Standardisierungsgremiums IETF (Internet Engineering Task Force) implementiert.

GnuPG bedient sich eines hybriden Verschlüsselungsverfahrens, das aus der Weitergabe eines öffentlichen Schlüssels zur Verschlüsselung und eines privaten Schlüssels zur Entschlüsselung besteht. Zur Verschlüsselung werden eine Reihe symmetrischer Kryptoalgorithmen mit asymmetrischen Public-Key Kryptoalgorithmen kombiniert. Zur Authentifizierung können Daten digital signiert werden. Für den Zweck existiert eine Reihe verschiedener Hashalgorithmen zur Erzeugung von Prüfsummen. Hinzu kommt die rein symmetrische Verschlüsselung. Eine genauere Beschreibung des Konzepts und der Funktionsweise folgt auf der Seite Kryptografische Verfahren bei GnuPG, im Verlauf der GnuPG Anleitung wird aber auch darauf eingegangen.

Damit stellt GnuPG nicht nur eine der sichersten Verschlüsselungslösungen dar, sondern auch einen vollwertigen Ersatz für PGP, der sich strenger am OpenPGP Standard orientiert, aber gleichzeitig zu PGP kompatibel ist.

GnuPG wurde Mitte der 90er Jahre von Werner Koch in Deutschland entwickelt und 1997 zum ersten Mal veröffentlicht. In der Anfangszeit trugen Keith Ray (Nullify) und der leider im Jahr 2002 bei einem Bergsteigerunglück verstorbene Janis Jagars (Disastry) mit eigenen GnuPG Versionen zur Verbreitung von GnuPG unter Windows bei. Mittlerweile wird die Weiterentwicklung von GnuPG neben Werner Koch von einem Programmierer Team betreut, die sich für Krytografie interessieren und von einer großen Anwendergemeinde benutzt und begleitet, die über Entwickler- und Anwender-Mailinglisten im ständigen Austausch stehen.

Für alle GnuPG Komponenten ist der Quellcode frei verfügbar und deshalb für jeden zu kontrollieren. Im Gegensatz zu PGP wird er durch eine offene Entwicklergemeinde gepflegt und unterliegt der GNU General Public License (GPL), d. h. GnuPG wird immer frei von patentrechtlich geschützten Verfahren und Algorithmen sein und jeder kann den Quelltext ohne einschränkende, kommerzielle Lizenzbestimmungen, aber nach den Prinzipien der GPL, frei verwenden.

Im Rahmen des Projekts zur Weiterentwicklung und Vermarktung des GNU Privacy Guard (GnuPG) wurde im November 1999 der Entwicklergruppe – bestehend aus dem German Unix User Group (GUUG) e.V., der G-N-U GmbH, LinuxLand International, dem DFN-PCA-Projekt und Werner Koch Softwaresysteme – vom Bundesministerium für Wirtschaft und Technologie eine Förderung in Höhe von 318.000 DM zuerkannt. Die Unterstützung sollte der Förderung von Open Source in Deutschland dienen, aber auch, um GnuPG mit einer grafischen Benutzeroberfläche auszustatten, so dass langfristig gesehen ein vollwertiger Ersatz zum kommerziellen PGP bestehen würde. Aus dieser Förderung war das GNU Privacy Projekt (GnuPP) hervorgegangen. Mittlerweile wurde die Förderung seitens des Ministeriums eingestellt und daraufhin die weitere Pflege des GnuPP Pakets beendet. Ab 2005 wurde die Arbeit am Gpg4win Projekt aufgenommen, das GnuPG für Windows als Paket bereitstellt.

Der "Crypto War"

Gründe für die Entwicklung von GnuPG finden sich in den Vorgängen rund um PGP und dessen Erfinder Phil Zimmermann, die sich Mitte der 90er Jahre in den USA ereigneten und den „Crypto War“ gegen Geheimdienste und Regierungen.

PGP wurde von dem amerikanischen Programmierer Phil Zimmermann geschrieben und im Jahr 1991 als Freeware veröffentlicht. Weil es kurz darauf von unbekannten Personen aus den USA nach Europa gelangte, wurde ab 1993 drei Jahre lang gegen Zimmermann wegen Verstosses gegen die amerikanischen Exportkontrollgesetze ermittelt, denn PGP wurde wegen seiner starken Verschlüsselung in den USA als „Waffe“ eingestuft, die nicht in andere Staaten exportiert werden durfte.

Gleichzeitig gab es Mitte der 90er Jahre starke Bestrebungen seitens der U. S. Regierung und des Geheimdienstes National Security Agency (NSA), Kryptografie zu verbieten, zu reglementieren, ihre Verbreitung durch den Internetboom zu verhindern oder nur in verkrüppelter Form zu erlauben, die es Geheimdiensten ermöglicht hätte, jedes verschlüsselte Datum im Nachhinein zu entschlüsseln. So war z. B. ein Bestandteil des amerikanischen „Capstone“ Programms der Clipper-Chip, mit dem die NSA Verschlüsselung mit einer Hintertür („Backdoor“) für Geheimdienste durchsetzen wollte.

Eine weitere Gefahr ging Mitte der 90er Jahre von der Key Recovery Idee aus, als deren Urheber das den US-Geheimdiensten nahestehende Unternehmen Trusted Information Systems (TIS) gilt, die von amerikanischen und japanischen IT-Konzernen als vorbeugende Antwort auf die staatlichen Versuche der Kryptoregulierung verfolgt wurde. Zu diesem Zweck hatten sich die Unternehmen im Oktober 1996 im Key Recovery Alliance (KRA) Verband organisiert. Der Verband, zu dem u. a. AOL, Compaq, Apple, DSI, Entrust, Fujitsu, Hewlett-Packard, IBM, Mitsubishi, Motorola, NEC, Novell und VeriSign gehörten, hatte sich zum Ziel gesetzt, die Entwicklung, Implementation und den Aufbau einer globalen Infrastruktur von Technologien zu fördern, die es dritten Parteien ermöglicht, über Key Recovery (Möglichkeit einer dritten Partei den geheimen Schlüssel wiederherzustellen) und Key Escrow (Hinterlegung des geheimen Schlüssels an zentraler Stelle) verschlüsselte Daten zu rekonstruieren.

Die KRA stimmte damit mit der Politik der US-Regierung überein, den Export starker Kryptografie zu verbieten oder zu verhindern, es sei denn, sie beinhaltet Vorkehrungen (Backdoors), die es amerikanischen Geheimdiensten ermöglicht hätte, die verschlüsselten Daten wiederherzustellen. Gleichzeitig versuchte sie, einem staatlich vorgeschriebenen, zwingendem Key Recovery („mandatory key recovery“) durch ein marktwirtschaftlich begründetes Key Recovery zuvorzukommen. Neben den technischen stellte die KRA auch politische Überlegungen zu einem staatlichen Key Recovery Szenario an. Die KRA meinte, dass die Politik Key Recovery Gesetze verfassen muss, die festgelegt hätten:

  • unter welchen Umständen staatliche Behörden gesetzlich ermächtigt auf die Rekonstruktion verschlüsselter Daten zugreifen dürfen
  • dass ein Key Recovery Zugriff nur unter gerichtlicher Aufsicht und nach gerichtlicher Anweisung erfolgen darf und der Zugriff streng an die gerichtlichen Vorgaben gebunden ist
  • wie die Kontrolle und Dokumentation über Aufbewahrung und Vernichtung rekonstruierter Daten geregelt ist
  • dass der Dateninhalt nach seiner Rekonstruktion nicht durch staatliche Einwirkung verändert wird

Als PGP.inc im Dezember 1997 an Network Associates (NAI) verkauft und PGP Security wurde, war NAI bereits Mitglied der KRA, verkündete aber ein paar Tage nach dem Kauf von PGP.inc den Austritt aus der KRA. Drei Monate später kaufte NAI das aktive Gründungsmitglied der KRA TIS und trat im November 1998 der KRA wieder bei. Danach wurde die Mitgliedschaft nicht mehr verlängert.

Die Umsetzung der Absichten der Geheimdienste in internationale Vereinbarungen und Standards zur staatlichen Reglementierung und Durchsetzung von Kryptografie, die den Geheimdiensten genehm ist, konnte aufgrund einer internationalen Gegenbewegung und der offensichtlichen Bedeutung der Kryptografie für den beginnenden „E-Commerce“ Ende der 90er Jahre gestoppt werden. Das Resultat der Gegenbewegung bestand in Deutschland aus der Veröffentlichung der Eckpunkte der deutschen Kryptopolitik des Bundesministeriums des Innern und des Bundesministeriums für Wirtschaft und Technologie.

Die Exportrestriktionen, die es nicht erlaubten, die PGP Version 5.0 in elektronischer Form ohne Lizensierung seitens der amerikanischen Regierung aus den USA zu exportieren, führten zur Gründung des PGP International Projekts, an dem u. a. Stale Schumacher beteiligt war. Das PGPi Projekt exportierte den Quelltext von PGP 5.0 in Buchform – was legal war – aus den USA und kompilierte von 1997 bis 1999 aus dem Scan und der OCR-Erkennung des Quellcodes die internationalen Versionen von PGP und stelte den Quellcode zur Verfügung. Ein Jahr zuvor hatte Stale Schumacher bereits PGP 2.6.3i veröffentlicht, das auf PGP 2.6.2 basierte.

Scannen der PGP 5 Quellcodebücher beim PGPi Projekt für die Verbreitung und freie Nutzung von PGP.

Bezugnehmend auf den Verkauf von PGP an NAI, den Stop der Veröffentlichung des PGP Quellcodes nach PGP 6.5.8 bis PGP 8.0 und die Einstellung von PGP durch NAI merkte Phil Zimmermann 2002 in dem Salon Artikel "Pretty geeky privacy" an:

„… It is dangerous to put all your eggs in one basket, and we can clearly see now how bad it can be to allow PGP to be buried by a company that owns it exclusively,…We are all fortunate that GPG was developed.“

GnuPG Komponenten und Versionen

Ein Anwender, der GnuPG auch grafisch bedienen und mit grafischen Anwendungen für Internetdienste einsetzen möchte, benötigt:

  • GnuPG
  • GPG-Agent
  • pinentry
  • dirmngr
  • grafische GnuPG Oberfläche (GUI)
  • Internet Anwendungen, die GnuPG direkt oder über Erweiterungen unterstützen

Der GNU Privacy Guard (TOS), abgekürzt GnuPG oder GPG, ist an sich ein eigenständiges Kommandozeilenprogramm, das man in der Konsole ausführt und über Kommandos, Kommandoargumente und Optionen, die man in der Konsole eintippt, manuell bedient. Die Optionen können auch in der gpg.conf GnuPG Konfigurationsdatei hinterlegt werden, um Präferenzen und Funktionsweisen dauerhaft festzulegen. Der GPG-Agent ist eine Anwendung, die im Hintergrund läuft, um Passphrases zu verwalten und zwischenzuspeichern. Optionen für den GPG-Agent werden in der gpg-agent.conf Konfigurationsdatei hinterlegt. Die pinentry Anwendungen dienen der grafischen Eingabe der Passphrase („PIN“).

Der dirmngr ist ein Zertifikats-Manager, der wie der GPG-Agent im Hintergrund läuft. Er übernimmt bei GnuPG 2 die Verwaltung und Prüfung von TLS bzw. S/MIME Zertifikaten, CRL-Listen und OSCP-Antworten, was auch die TLS-verschlüsselte Kommunikation mit OpenPGP Schlüsselservern per HKPS-Protokoll betrifft. Darüber hinaus wurden mit GnuPG 2.1 alle einzelnen Schlüsselserver-Hilfsprogramme (wie z. B. gpg2keys_hkp) entfernt und die Aufgaben aller Hilfsprogramme dem dirmngr übertragen. D. h., alle Aktionen wie z. B. die Schlüsselsuche und Datenverbindungen mit Schlüsselservern werden ab GnuPG 2.1 vom dirmngr gemanaged. Optionen für den dirmngr werden in der dirmngr.conf Konfigurationsdatei hinterlegt.

Für Anwender, die eine grafische Bedienung und Nutzung von GnuPG bevorzugen, existieren verschiedene grafische Benutzeroberflächen (GUIs) und Internet Anwendungen, die GnuPG unterstützen. Trotz GUIs kann es vorkommen, dass man GnuPG in der Konsole bedienen muss. Dafür stellt die Anleitung eine Übersicht der wichtigsten Kommandos bereit.

Mit GnuPG 2 können E-Mail Anwendungen, die GnuPG 2 unterstützen, zusätzliche Verschlüsselungsfunktionen mit S/MIME/X.509 Zertifikaten nutzen. Ab GnuPG 2.1 können u. a. ECC Schlüssel eingesetzt werden. In der Anleitung wird GnuPG 2 „modern“, also die aktuellste GnuPG 2 Version und nicht die „stable“ oder „classic“ Veriante verwendet, aber nicht auf die S/MIME Verschlüsselung eingegangen.

GPGME und Plugins

Für Entwickler, speziell von E-Mail Anwendungen, wird die GPGME (GnuPG Made Easy) Bibliothek bereitgestellt. Die Bibliothek liefert eine High-Level Crypto API für Verschlüsselung, Entschlüsselung, Signierung, Signaturprüfung und Schlüsselmanagement. Anwender von GnuPG müssen die GPGME Bibliothek installieren, wenn sie eine Anwendung zum Schlüsselmanagement oder eine E-Mail Anwendung einsetzen, die GnuPG über die GPGME Schnittstelle einbindet. Das ist z. B. bei der E-Mail Anwendung Claws Mail und bei GnuPG GUIs wie GPA und Seahorse der Fall.

Da die Hauptanwendung von GnuPG die Verschlüsselung von Nachrichten ist, ein paar Worte zu E-Mail Anwendungen. Je nach verwendetem Betriebssystem und eingesetzter E-Mail Anwendung kann sie GPGME, ein eigenes oder externes Plugin nutzen oder die Unterstützung von GnuPG ist direkt in der E-Mail Anwendung eingebaut. Wenn überhaupt keine Unterstützung von GnuPG gegeben ist, müssen E-Mails zuerst extern in einer GnuPG Anwendung verschlüsselt werden, um sie dann per Copy & Paste in den Nachrichteneditor einzufügen.

GnuPG GUIs

Wenn man das Management seiner Schlüsselringe und der Schlüssel nicht manuell über die Kommandozeile durchführen möchte, kann man verschiedene grafische Benutzeroberflächen (GUIs) verwenden. Möchte man die Funktionsweise von GnuPG über die Standardeinstellungen hinaus beeinflussen, ist auch die Kenntnis der wichtigsten GnuPG Optionen notwendig, die man in der GnuPG Konfigurationsdatei gpg.conf setzen kann, da die GUIs die Konfigurationsdatei auswerten. Die meisten GUIs bieten neben der Schlüsselverwaltung weitere Funktionen, über die man Dateien und Texte von GnuPG signieren, ver- und entschlüsseln lassen kann.

GPA - GNU Privacy Assistant

Der GNU Privacy Assistant (GPA) ist die Standard GUI, die auf den unter Linux gebräuchlichen GTK (The Gimp Toolkit) Grafikbibliotheken und GPGME basiert.

GPA Schlüsselverwaltung

Die Windowsversion des GPA ist auch im Gpg4Win Paket enthalten. Der GPA wird stellvertretend für alle GnuPG GUIs in der Anleitung verwendet.

Ergänzungen zu GnuPG

Neben GnuPG gibt es eine Reihe weiterer Anwendungen und Methoden, die mittels Kryptografie zum Schutz lokaler Daten oder zum Schutz von Daten und Informationen, die über das Internet transportiert werden, beitragen.

Für die Verschlüsselung des gesamten Dateisystems bieten sich unter Windows das auf TrueCrypt basierende VeraCrypt oder DiskCryptor und unter Linux dm-crypt/LUKS an. Unter Linux kann man mit zuluCrypt über GUIs und in der Konsole – basierend auf dm-crypt, LUKS und tcplay – einzelne Dateien und Dateisysteme verschlüsseln oder LUKS, dm-crypt, TrueCrypt und VeraCrypt kompatible, verschlüsselte Containerdateien erstellen und einbinden.

zuluCrypt-gui

Mit VeraCrypt kann man verschlüsselte Containerdateien, Festplattenpartitionen, USB-Sticks und Disketten erstellen. Eine Containerdatei ist im Gegensatz zu einer Partition eine Datei, in der andere Dateien verschlüsselt abgelegt werden. Die Containerdatei wird von VeraCrypt nach der Entschlüsselung als virtuelles Laufwerk eingebunden. VeraCrypt verwendet wahlweise die symmetrischen Algorithmen Twofish, AES-256, Serpent, Blowfish-448, CAST5 oder Triple-DES. Als Hash-Algorithmen stehen Whirlpool, RIPE-MD/160 oder SHA-1 zur Verfügung.

Mit LUKS/dm-crypt, der bestehenden Kernel CryptoAPI ab 2.6 und device-mapper werden unter Linux bestehende Block Devices oder das Loop Device auf ein virtuelles dm-crypt Device gemappt und darüber verschlüsselt. Zur Verfügung stehen alle symmetrischen Algorithmen und Hashalgorithmen, die Bestandteil der CryptoAPI sind. Bei einigen Distributionen ist die Verschlüsselung per dm-crypt automatisch integriert bzw. kann bei Installation einer Distribution durchgeführt werden.

Für die Verschlüsselung von „Telefonaten“ per IP-Telefonie (VoIP) hat Phil Zimmermann, der Erfinder von PGP, in Zusammenarbeit mit Alan Johnston und Jon Callas das Zfone/ZRTP Verschlüsselungsprogramm und -protokoll für VoIP Softphones und Hardware-Telefone entwickelt.

Das ZRTP (Extensions to RTP for Diffie-Hellman Key Agreement for SRTP) Protokoll basiert auf den offenen SIP (Session Initiation Protocol) und RTP (Real-Time Transport Protocol) Standards. Mit ZRTP wird per RTP und Diffie-Hellmann Schlüsselaustausch über 3072/4096-bit Schlüssel ein gemeinsamer AES-128/256 Sitzungsschlüssel zwischen den Kommunikationspartnern ausgehandelt. Anschließend wird mit dem Schlüssel eine verschlüsselte SRTP (Secure Real-time Transport Protocol) Verbindung aufgebaut. Im Gegensatz zum geschlossenen und propietären Verschlüsselungsverfahren bei Skype und anderen VoIP Angeboten ist ZRTP Protokoll quelloffen und wurde bei der IETF als Standard vorgeschlagen.

Für die Instant Messaging Kommunikation per XMPP (Jabber) bieten eine Vielzahl von Anwendungen neben der Transportverschlüsselung per TLS die Ende-zu-Ende Verschlüsselung mittels Off-the-record (OTR) Verschlüsselung an, während Dateitransfers neben dem unverschlüsselten FTP auch per FTPS oder SSH/SFTP verschlüsselt durchgeführt werden können, sofern man entsprechende Konten auf den Dateiservern hat und die Dateiserver die Protokolle anbieten.

OpenPGP lernen & lehren

Wer die Benutzung von OpenPGP erlernen oder lehren und mehr Hintergrundwissen zu Kryptografie erlangen oder weitergeben will, erhält weitere Informationen auf der Seite Crypto für alle – kostenlose OpenPGP-Schulungen oder kann als Interessierter oder Dozent an einer CryptoParty in Deutschland teilnehmen. Daneben bieten u. U. einzelne Volkshochschulen ebenfalls Kurse an, in den die Benutzung von OpenPGP Inhalt ist und in einer Linux User Group oder regionalen CCC Gruppierung vor Ort dürfte die Verschlüsselung mit OpenPGP ebenfalls thematisiert werden.

Verweise auf aktuelle Seite