Öffentlichen Schlüssel exportieren und importieren
Aus Ubuntu-Forum Wiki
Dieser Artikel bedarf einer Aktualisierung. |
Inhaltsverzeichnis |
1 Schlüssel exportieren
Freunde un Bekannte möchten nun den öffentlichen Schlüssel haben. Wie exportiert man diesen?
Das erledigt der folgende Befehl im Terminal:
# gpg --export --armor Schlüsselname > Schlüsselname.asc
Beispiel:
# gpg --export --armor dunkelangst > dunkelangst.asc
Als Resultat erhält man eine ASCII Datei, die man seinen Bekannten nun per E-Mail schickt. Der Inhalt von der Datei sieht in etwa so aus:
-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.6 (GNU/Linux) mQGhBEblzOwRBADQ5GkBUD4jz2KY6m/4b8MpuC3Giml9vKUL7X9LDJjXcFwAy05e 8I1nZ3k2WpgOsMB5+o5AEDIm2YmpLmCLiquayD8b5aYifn4ceKwXQa/GSUjmi12d yAVfvKQZnbcdhgyAGy6IDfdQXin8MG47x2VuiDT8yWUzKhmCQM07WJtmDwCg5Ok/ Kp8vYN6dmoVakTNxtf5C990EAKqm323YZiEr8lPvWY4thpbvntHlkTXK9BAVCTVN mg/3emxjrEKTHqf4XzmqqwqzMH5BG1t83QN0vz0mCobTs0VOrjhVTNoNuef4Lsbc 8bVaUFOtqbDdo/v7kCJPi0U5dR1Wp7oFF0LQom/kbDzzI+yOBjT2R9ilfXg4ll8H +426A/YhDvzUXl1EVtHOALbtvgf6Hn0ECbAcrdwmGIVZyfVjuoZmGYCk5fknTAZM 2SzdRUvoNYfADgbaEX5kv9SbrO70bAUxFvISmVjYne1zNrhnQ23jXbeuATuYQj/i th6eYRkbtr+17WzioItSx3OPK3x7sqAWQB7KPKtFhOWr8J34tHtEdW5rZWxhbmdz dCBOYWNobmFtZSAoRGllcyBpc3QgZGVyIEtvbW1lbnRhciBkZXIgdW52ZXJzY2hs w7xzc2VsdCBmw7xyIGplZGVuIHNpY2h0YmFyIGlzdCkgPEJlaXNwaWVsbmFtZUBi ZWlzcGllbGRvbWFpbi5kZT6IYAQTEQIAIAUCRuXM7AIbAwYLCQgHAwIEFQIIAwQW AgMBAh4BAheAAAoJEKZnSs7Iwwf740oAoNg0iwWaBYGrcVkTrWNMD+pA2Gt7AKCF jii66aoOej+knAp0YyanFFrurbkEDQRG5c0aEBAAhllcyP7i0AeArQ87HpHEulv9 EpgkPBGWDJ8cOUJ/PqKfKALr8EijtkIx1G9fpofTKdyMmte9Y3gWuNVNVeyOdujg vP6OKgMZHHnw0R7L1KXYlqO2Q+gXZPZhaGihO/idauLx/tCJyN3MUE813fFpOO1E 9kZdQJjlKteAXNa+bogYx6T0gOVemLNKDwQy2j8a8kkPGgLlQ61myPusEOF/Fjc+ Z/NVMox0mcG4jdlc1KXZIeL2RhNJAYJ0Py1coyrnGUdYLDytSLZrY3WyZL+R+gMi roAx5hHw9AOKXQExTdSRxUM1bLlW1z81jiH5r7eLP9MXNpBSHpsA9btVJa1Op5Zm p5QLFe7Z9XXgZVB71bNURGkzG3kpmMF+jc95W0vOMVBcRKz8oPeEqEtCbQsEruMF 9jdpEvElmCrvTWgDoe21Cs56Vs/SeuAbfioYOXRbbim1U877f1FUKDPgxhwhv+RQ JcFYpDDVXe6CzwY9KdkI2MTgRZKmfa/+v1y38BNpcVhFz2ont41y/Y+wiTUG0Mp0 JCl0/mxsD5ZHbeRTqDm3TdsCy1NJC/VFTk9VblchuJZXIeHYTnPRQ/5wEZFkmU2y HjUMjXeXV/r3tImNBmSn5Y1mTDsMvPj/mFsQUmrc4rckClfxypPJgDOCQnI5gzXy f6jgBaEJe2bE3bnBfwMAAwUP/jHtwQUfBtDy+bHyM7Jq8zYqkTQmqgf1P9xjlxD3 1bCGenKb4jOMFCSfpfwLyq6XOQ3gS2JkM11qrZZT7dg6LSiFf/nrXxGDIYeiNINt uFLzBuLdPuuJn2J2owVZPHYpNb7ZZZALJwNoaes8/I8VGBj5O193/CwhFsMN/ksv LHHD868fwPOXZSWh+DAOz0u9ogv/k9o+5eATylCxx3LX2UmFn8OIFOZAlyKEuKXw bjEV0BnNpzr7slr4cwDqBvjLVXjyCIW1F5QEiKnT0teWcwCuwh4UWpUjq1qs1q19 3OjVn12rY50+21+R3kjAkXU0+ZUzd4BTg72qBAr8HDQ3JKw2/VavZL4Vwh0KqeY4 71U/SQCPxp8UA9/OAyEEyZ2KJssoal8iRhFUgxIuxvr/6vDeY4D1qW+poysMr5wT DmGYdWZPD0j5GR0L5VXGf9mso5rDbyXPpkmoUdkLBPIyHP8MInRJxgAfL1l00K3D aY4AhtsteXJG+yv5KfF4+28hc/pBJhyKMJJ/xVaynkCYzjjG2y3FqOVMc0MbBUJg OShSImqEP5KIomqiJN0jfgI3XY2iDiNr2nC8Wa4ZIU165kgDjbzZFsw5Z6VSJGfK sjXG6grDgxeINqudR4lNeX3Z7SGwUgr6HJeUni264gIAMcvQprTsZdn4HgA2VmUU 9njCiEkEGBECAAkFAkblzRoCGwwACgkQpmdKzsjDB/skAQCgmEDruAPeJqv4CCqE ncaUhYm56xYAn13mhATFJYQJJ37esas2bVcrtF+w =yTAF -----END PGP PUBLIC KEY BLOCK-----
2 öffentlichen Schlüssel importieren
Bekommt man selbst so eine Datei ist diese mit dem folgenden Befehl auf der Konsole zu importieren:
# gpg --import Schlüsselname.asc
Beispiel:
# gpg --import dunkelangst.asc
2.1 WICHTIG!! Vertrauensstatus festlegen
2.1.1 Warum ?
Dies ist die *Schwäche* von GnuPG. Denn man muss sich beim erhalten von einem öffentlichen Schlüssel folgende Fragen stellen:
- Stammt der Schlüssel tatsächlich von dem Bekannten?
- Traut man dem Urheber des Schlüssels den richtigen Umgang mit dem Schlüssel zu?
Die Sache ist die: Es ist für einen Angreifer leicht, sich für einen Kollegen auszugeben, ohne einer zu sein. Wie man schon gelernt hat (siehe: Netikette für E-Mails) sind E-Mails so etwas wie Postkarten. Sie können von dritten genauso leicht wie Postkarten gelesen werden. Beispiel:
Zwei Personen möchten miteinander kommunizieren. Er heißt Erwin und sie heißt Eva (Namen frei erfunden). Ein Angreifer möchte nun an Informationen herankommen die diese beiden sich so per E-Mail schicken.
Eva bezieht nun den öffentlichen Schlüssel von Erwin - ohne zu überprüfen, ob es wirklich Erwins Schlüssel ist. Der Schlüssel, den Eva allerdings per E-Mail bekommen hat, stammt in Wirklichkeit nicht von Erwin, sondern von dem Angreifer. Eva würde nun brav die E-Mails verschlüsseln und sich in Sicherheit wiegen, während nur der Angreifer diese E-Mails entschlüsseln würde und diese evtl. verändert mit dem Schlüssel von Erwin an Erwin weiter schicken.
Diese Angriffsmethode nennt man auch "Man in the middle".
2.1.2 Wie ?
Um genau dieses Szenario zu vermeiden und wirklich sichere E-Mails zu schreiben, muss man den Fingerabdruck des Schlüssels vergleichen. Zu diesem Zweck ruft man folgendes Kommando im Terminal auf:
# gpg --fingerprint Schlüsselname
in diesem Beispiel wäre das:
# gpg --fingerprint dunkelangst
Das Resultat im Terminal sieht wie folgt aus; das fett markierte ist der Fingerprint:
dunkelangst@betriebssystem:~$ gpg --fingerprint dunkelangst pub 1024D/C8C307FB 2007-09-10 Schl.-Fingerabdruck = 39C9 509F 05FF 28C2 4071 8D68 A667 4ACE C8C3 07FB uid Dunkelangst Nachname (Dies ist der Kommentar der unverschlüsselt für jeden sichtbar ist) <Beispielname@beispieldomain.de> sub 4096g/3B20B90D 2007-09-10 dunkelangst@betriebssystem:~$
Nun ruft man den Bekannten per Telefon an: Man erkennt seine Stimme und weiß, dass es auch er ist den man anruft und nicht etwa der potentielle Angreifer. Kann man ihn nicht zu 100% identifizieren, so bleibt einem nichts anderes übrig, als sich mit dem Bekannten persönlich zu treffen.
Der Bekannte ruft nun ebenfalls seinen Fingerprint auf und nun vergleicht man diese beiden Fingerabdrücke am Telefon. Stimmen diese nicht überein, so ist es nicht der Schlüssel vom Bekannten! Der Schlüssel ist in diesem Fall nicht zu verwenden.
Möchte man bei einer unbekannten Person sicherstellen, dass die E-Mail Adresse *wirklich* im gehört, überzeugt man sich durch ein amtliches Dokument wie etwa einem Personalausweis oder Führerschein von der Identität davon, dass der Name in der User ID wirklich korrekt ist.
Erst wenn man diesen Vergleich durchgeführt hat, wird der Vertrauenswert festgelegt. Dies geschieht mit dem folgenden Befehl:
# gpg --edit-key Schlüsselname
Der Kommandoprompt verändert sich zu Befehl>
.
Hier gibt man das Kommando
Befehl> trust
ein. Die folgende Ausgabe erscheint:
1 = Don't know 2 = I do NOT trust 3 = I trust marginally 4 = I trust fully 5 = I trust ultimately m = back to main menu
Eva kennt Erwin ganz gut und ist sich einigermaßen sicher, dass er mit GnuPG umgehen kann. Aus diesem Grund schänkt sie ihm volles vertrauen. Ihre Wahl ist daher: 4, die sie mit ENTER bestätigt.
Der Schlüsseleditor wird nun wieder mit dem Befehl
Befehl> quit
beendet und die Angaben dabei gespeichert.
3 Lizenz
Diese Seite steht unter dieser Creative Commons Lizenz und wird gemäß Lizenz Vorschrift Ordnungsgemäß zu dem Original Beitrag verlinkt.
Zurück zur GnuPG Hauptseite.