Hi Leute!
Am Samstag ist wieder Arche-Treffen und da wir dort unsere eigene GnuPG-Certification-Authority (CA) aus der Taufe heben wollen, wird es sicherlich einige unter euch geben, die dort gleich ihre öffentlichen Schlüssel certifizieren lassen wollen.
Ich werde dann für alle Interessierten auf dem Treffen um 14:00 Uhr auch eine kleine Einführung zu GnuPG, OpenPGP und PGP machen.
Um 15:00 Uhr soll dann der offizielle Teil (mit Jahreshauptversammlung) stattfinden.
Für alle, die noch kein Schlüsselpaar haben, hier noch eine kurze Anleitung zum Zusammenbau von GnuPG und zur Schlüsselerzeugung:
Zusammenbau (private Nutzung, mit IDEA-Support):
Unter http://www.sbellon.de/gnupg.html die Dateien gnupg/zip, gnupgpart/zip, gnupgidea/zip und gnupgintl/zip herunterladen, sowie dem Link auf Theo Markettos' Seite folgen und dort das CryptRandom Modul herunterladen.
Den Inhalt der ersten drei Dateien (in der genannten Reihenfolge) in ein leeres Verzeichnis mit langen Dateinamen (nennen wir es temp) entpacken und einen Doppelklick erst auf temp.!GnuPG, dann auf temp.!GnuPGUser und zuletzt auf temp.link machen.
Nun den Inhalt der vierten Datei nach temp kopieren und per Shift-Doppelklick auf temp.!GnuPG das Applikations-Verzeichnis öffnen.
Aus der fünften Datei das CryptRandom Modul nach temp.!GnuPG kopieren und dort nach CryptRand umbennen.
Zuletzt noch die Datei temp.!GnuPGUser.!Boot in einen Editor laden und das erste Zeichen der letzten Zeile entfernen. Die Datei speichern und schließen.
Als letztes die beiden Applikationen temp.!GnuPG und temp.!GnuPGUser nach !Boot.Resources verschieben, die Dokumentation (in temp.orig_docs) an eine geeignete Stelle kopieren und das Verzeichnis temp mit seinem gesamten verbliebenen Inhalt löschen.
Nach einem Neustart des Rechners kann es dann mit der Schlüssel-Erzeugung weitergehen.
Zusammenbau (kommerzielle Nutzung, ohne IDEA-Support):
Unter http://www.sbellon.de/gnupg.html die Dateien gnupg/zip und gnupgintl/zip herunterladen, sowie dem Link auf Theo Markettos' Seite folgen und dort das CryptRandom Modul herunterladen.
Den Inhalt der ersten beiden Dateien (in der genannten Reihenfolge) in ein leeres Verzeichnis mit langen Dateinamen (nennen wir es temp) entpacken und einen Doppelklick erst auf temp.!GnuPG und dann auf temp.!GnuPGUser machen.
Nun per Shift-Doppelklick auf temp.!GnuPG das Applikations-Verzeichnis öffnen.
Aus der dritten Datei das CryptRandom Modul nach temp.!GnuPG kopieren und dort nach CryptRand umbennen.
Zuletzt noch die Datei temp.!GnuPGUser.!Boot in einen Editor laden und das erste Zeichen der letzten Zeile entfernen. Die Datei speichern und schließen.
Als letztes die beiden Applikationen temp.!GnuPG und temp.!GnuPGUser nach !Boot.Resources verschieben, die Dokumentation (in temp.orig_docs) an eine geeignete Stelle kopieren und das Verzeichnis temp mit seinem gesamten verbliebenen Inhalt löschen.
Nach einem Neustart des Rechners kann es dann mit der Schlüssel-Erzeugung weitergehen.
Schlüsselerzeugung:
Die Bedienung von GnuPG erfolgt z. Z. noch komplett an der Kommandozeile, also als erstes mit STRG+F12 ein TaskWindow öffnen. Mit dem Befehl gpg -h beommt man eine kurze Befehlsübersicht. Um ein neues Schlüsselpaar zu erzeugen, gibt man den Befehl gpg --gen-key ein.
Daraufhin wird man nach der Art des zu erzeugenden Schlüssels gefragt - einfach mit Enter die Voreinstellung akzeptieren.
Dann wird man nach der Schlüssellänge gefragt. Je länger der Schlüssel, um so sicherer. Aber je länger der Schlüssel, um so länger auch die Unterschriften und die Schlüsselerzeugung. 768-Bit-Schlüssel gelten heute nicht mehr als sicher, 1024-Bit-Schlüssel dürften in etwa fünf Jahren auch nicht mehr als sicher gelten. Ich empfehle 2048. Hat man mehr als 1024 gewählt, wird man nochmal gefragt ob man sich auch sicher ist. Hier einfach mit einem j antworten.
Nun wird man nach der Gültigkeitsdauer des Schlüsselpaares gefragt. Hier muß wohl jeder selbst entscheiden, ob er seinen Schlüssel regelmäßig wechseln will. Sollte man seinen Schlüssel verlieren oder der private Schlüssel in die falschen Hände geraten, gibt es aber auch noch eine andere Möglichkeit das Schlüsselpaar ungültig werden zu lassen. Ich habe meinem Schlüssel keine Zeitbegrenzung verpaßt, da mir der Aufwand zur Schlüsselerneuerung zu groß ist. Nun wird man wieder zur Bestätigung aufgefordert.
Nun wird die User-ID des Schlüssels abgefragt. Hat man mehrere eMail-Adressen, so kann man dem Schlüsselpaar auch später noch weitere User-IDs hinzufügen.
Hat man Name, eMail-Adresse und Kommentar (z.B. im Falle einer privaten eMail-Adresse privat) eingegeben, hat man noch einmal die möglichkeit der Korrektur. Wenn alles richtig ist, kann man mit f weitermachen.
Nun wird man zur Eingabe eines Mantras (Paßwort, bzw. Paßsatz) aufgefordert, welches man jedesmal eingeben muß, wenn man den Schlüssel benutzen will. Es dient als eine letzte Barriere, falls der private Schlüssel in die falschen Hände geraten sollte.
Nun wird der Schlüssel erzeugt, wobei man möglichst viel mit dem Rechner machen sollte, also z.B. Menüs und Fenster von Programmen öffnen, in der Textverarbeitung einen Text schreiben, eine kleine Draw-Datei erzeugen, ...
Am Ende bekommt man die Meldung, daß der Schlüssel erzeugt und signiert wurde und das Programm beendet sich.
Änderungen am Schlüsselpaar vornehmen:
Wenn man nun Änderungen am Schlüsselpaar vornehmen will, kann man das mit gpg --edit-key eMail-Adresse (Email-Adresse durch die eMail-Adresse der User-ID ersetzen) machen.
Um dem Schlüsselpaar weitere User-IDs hinzuzufügen, gibt man nun adduid ein. Was nun kommt, dürfte bereits bekannt sein.
Eine bestehende User-ID kann man durch Eingabe ihrer Nummer selektieren und mit dem Befehl deluid löschen.
Um die Änderungen zu speichern und GnuPG zu verlassen, gibt man save ein.
Um die Änderungen zu verwerfen und GnuPG zu verlassen, gibt man quit ein.
Widerrufs-Zertifikat erzeugen:
Schließlich sollte man noch ein Widerrufs-Zertifikat erzeugen, mit dem der Zertifikats-Inhaber dem Rest der Welt erklären kann, daß das dazu passende Schlüsselpaar ab sofort ungültig ist. Dieses Zertifikat sollte man mindestens so sicher aufbewahren, wie seinen privaten Schlüssel. Am besten man verschiebt es auf eine schreibgeschützte Diskette, macht einen Ausdruck und deponiert beides in einem Schließfach.
Sollte durch irgendwelche unglücklichen Umstände der private Schlüssel in fremde Hände geraten oder man ihn selbst nicht mehr nutzen können, weil man z.B. das Mantra vergessen hat, dann kann man damit der Welt erklären, daß sie diesen Schlüssel künftig als ungültig betrachten soll.
Ein solches Zertifikat erzeugt man mit dem Befehl gpg --output dateiname --gen-revoke eMail-Adresse.
Daraufhin soll man den Grund für den Widerruf angeben. Am wahrscheinlichsten dürfte wohl Punkt eins sein, da in den anderen Fällen wohl noch ein neues Zertifikat erstellt werden könnte. Anschließend kann man seine Gründe noch einmal in freien Worten darlegen.
Das Zertifikat wird nach der Mantra-Abfrage auf dem Bildschirm ausgegeben. Nun nur noch das Zertifikat markieren und Abspeichern.
Export des öffentlichen Schlüssels:
Um den öffentlichen Schlüssel nun zum Arche-Treffen mitbringen zu können, muß er erst noch exportiert werden.
Der Befehl lautet gpg --output dateiname --export eMail-Adresse. Diese Datei dann zum Arche-Treffen mitbringen.
|
|
GnuPG Installation
