{"id":1901,"date":"2013-10-29T19:00:10","date_gmt":"2013-10-29T19:00:10","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=1901"},"modified":"2020-02-26T18:29:17","modified_gmt":"2020-02-26T16:29:17","slug":"gpg-starke-verschlusselung-und-digitale-signatur-ganz-einfach","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/gpg-starke-verschlusselung-und-digitale-signatur-ganz-einfach\/1901\/","title":{"rendered":"GPG \u2013 starke Verschl\u00fcsselung und digitale Signatur ganz einfach"},"content":{"rendered":"

Die Ver\u00f6ffentlichungen \u00fcber \u00dcberwachungen durch Regierungen haben die zwei Jahrzehnte alte PGP-Software<\/a> wieder ins Rampenlicht ger\u00fcckt, da sie immer noch ein robuster und sicherer Mechanismus f\u00fcr die Kommunikation ist. Doch der Fortschritt der Computer-Industrie erfordert, dass l\u00e4ngere Schl\u00fcssel benutzt werden, um Angriffe auf ein Schl\u00fcsselpaar weiterhin abwehren zu k\u00f6nnen. Darum m\u00f6chte ich Ihnen die ben\u00f6tigten Informationen geben, mit denen Sie ein neues RSA-Schl\u00fcsselpaar mit einer L\u00e4nge von \u00fcber 4.069 Bit erstellen k\u00f6nnen. Je wichtiger Ihre Daten sind und je l\u00e4nger sie ben\u00f6tigt werden, desto l\u00e4nger sollte der Schl\u00fcssel sein. Allerdings hat das auch seinen Preis, und immer wenn Sie die Schl\u00fcssell\u00e4nge verdoppeln, wird die Verschl\u00fcsselung der Daten sechs- bis siebenmal langsamer. Deshalb entscheiden wir uns f\u00fcr einen Schl\u00fcssel von 8.192 Bit L\u00e4nge.<\/p>\n

\"\"<\/p>\n

Derzeit unterst\u00fctzen nicht viele Tools standardm\u00e4\u00dfig diese Schl\u00fcssell\u00e4nge, so dass wir daf\u00fcr die aktuellste GnuPG-Version (derzeit 1.4.15) herunterladen und modifizieren m\u00fcssen. Wir verwenden f\u00fcr dieses Beispiel Ubuntu Linux, da dies heute recht beliebt ist und es Ihnen erm\u00f6glicht, die ben\u00f6tigten Schritte recht einfach und direkt durchzuf\u00fchren. Alternativ k\u00f6nnen Sie auch Cygwin<\/a> nutzen, das eine gute M\u00f6glichkeit bietet, eine einfache Linux-artige Umgebung in Windows zu bekommen.<\/p>\n

\"\"<\/div>\n
\n

Wenn Sie mit der folgenden Anleitung Ihren Schl\u00fcssel erzeugt haben, k\u00f6nnen Sie eines der vielen Tools f\u00fcr Ihr Betriebssystem nutzen, um ihn zu verwalten. Unter Mac OSX gibt es zum Beispiel GPG Suite<\/a> und unter Windows k\u00f6nnen Sie GPG4Win<\/a> herunterladen. Beide erlauben die Schl\u00fcssel-Generierung, das Schl\u00fcssel-Management und alle grundlegenden Aktionen, wie Sie sie jeden Tag mit PGP durchf\u00fchren.<\/p>\n

GPG4Win (GNU Privacy Guard for Windows) ist direkt von den Entwicklern von GnuPG und bietet Verschl\u00fcsselung und digitale Signaturen f\u00fcr Dateien und E-Mails, so dass Ihre vertraulichen Informationen und Ihre Kommunikation gesch\u00fctzt sind. Die Software ist kostenlos und kann allen Windows-Anwendern nur empfohlen werden.<\/p>\n

Unter Mac OSX gibt es GPG Suite, das sich gut in das Betriebssystem einf\u00fcgt und ein Open-Source-Plugin f\u00fcr Apple Mail bietet, mit dem Sie Ihre Nachrichten ganz einfach verschl\u00fcsseln und signieren k\u00f6nnen. Und es gibt ein Modul, mit dem Sie Ihre Schl\u00fcssel verwalten k\u00f6nnen, sowie eine Command-Line-Version von GPG.<\/p>\n

\"\"<\/p>\n

Beginnen wir mit dem Download der GnuPG-Quellen und deren Entpacken in einen Ordner auf der Festplatte. Es wird empfohlen, zuerst die SHA1-Signatur f\u00fcr die Datei zu pr\u00fcfen, um sicherzustellen, dass die verifizierte Version der Software heruntergeladen wurde. Daf\u00fcr k\u00f6nnen Sie das bereits installierte Tool \u201esha1sum\u201c verwenden. Wenn der berechnete Hash-Wert dem auf der GnuPG-Webseite ver\u00f6ffentlichtem entspricht, k\u00f6nnen wir weitermachen.<\/p>\n

\"\"<\/p>\n

In unserem Beispiel modifizieren wir ein paar Quelldateien, doch ich verspreche, dass das nicht zu kompliziert ist und sich der Aufwand wirklich lohnt.<\/p>\n

Ich lade die gzip-komprimierte Quelldatei von GnuPG 1.4.15 herunter und entpacke den Ordner mit den Originaldateien mithilfe des Kommandos \u201etar xvzf [dateiname]\u201c. Sie m\u00fcssen in dem Kommando einfach nur [dateiname] mit dem eigentlichen Namen des heruntergeladenen Archivs ersetzen. Bei der Eingabe des Kommandos werden die eckigen Klammern nicht ben\u00f6tigt.<\/i><\/p>\n

\"\"<\/p>\n

Dann m\u00fcssen wir mit dem Kommando \u201ecd [gnupg-folder]\u201c zu dem entpackten Verzeichnis wechseln und finden dort die Dateien, die wir f\u00fcr die Erstellung unseres eigenen GnuPG ben\u00f6tigen. Im ersten Schritt wird die \u201ekeygen.c\u201c-Datei modifiziert, die im Unterordner \u201eg10\u201c zu finden ist.<\/p>\n

\"\"<\/p>\n

Sie k\u00f6nnen die \u201ekeygen.c\u201c-Datei zum Beispiel mit \u201egedit\u201c \u00e4ndern: Wenn ihr Inhalt angezeigt wird, suchen Sie nach dem Begriff \u201e4096\u201c, der die aktuelle Maximall\u00e4nge des Sch\u00fcssels von GnuPG als Standard festlegt. Wir \u00e4ndern diesen Wert in Zeile 1572 f\u00fcr unseren Zweck auf \u201e8192\u201c. Vergessen Sie nicht, die \u00c4nderungen zu speichern. Stellen Sie zudem sicher, dass Sie nicht versehentlich noch andere Dinge ge\u00e4ndert haben!<\/p>\n

\"\"<\/p>\n

Nachdem wir diese einfache \u00c4nderung gemacht haben, k\u00f6nnen wir unsere neue Version von GnuPG kompilieren. Daf\u00fcr sollten die \u00fcblichen \u201e.\/configure\u201c- und \u201emake\u201c-Befehle ausreichen. Und wenn wir die mit Ubuntu mitgelieferte GPG-Version ersetzen m\u00f6chten, m\u00fcssen wir noch ein \u201esudo make install\u201c ausf\u00fchren. Doch zun\u00e4chst nutzen wir unsere selbst erstellte Version lokal, um unser RSA- 8192-Bit-Schl\u00fcsselpaar zu erstellen.<\/p>\n

\"\"<\/p>\n

Befor wir \u201egpg\u201c ausf\u00fchren, modifizieren wir noch die gpg.conf-Datei im Home-Verzeichnis \u2013 in unserem Beispiel \u201e\/home\/Giuliani\/.gnupg\/gpg.conf\u201c. In der Standardeinstellung hat sie keinen Inhalt, doch wir f\u00fcgen unsere gew\u00fcnschte Voreinstellung f\u00fcr die Algorithmen cipher (Codieren), digest (Decodieren) und compression (Kompression), sowie den Hashing-Mechanismus hinzu.<\/p>\n

Daf\u00fcr f\u00fcge ich am Ende der Datei folgenden Inhalt hinzu (Sie k\u00f6nnen die Werte nat\u00fcrlich nach Ihren W\u00fcnschen\/Anforderungen \u00e4ndern):<\/p>\n

personal-cipher-preferences AES256 TWOFISH AES192 AES<\/p>\n

personal-digest-preferences SHA512 SHA384 SHA256<\/p>\n

personal-compress-preferences ZLIB ZIP<\/p>\n

\"\"<\/p>\n

Nach all dieser harten Arbeit k\u00f6nnen wir nun endlich unseren Schl\u00fcssel generieren. Daf\u00fcr f\u00fchren wir das Kommando \u201e.\/gpg \u2013gen-key\u201c aus dem \u201eg10\u201c-Verzeichnis aus (in diesem Verzeichnis haben wir vorher die \u201ekeygen.c\u201c-Datei ver\u00e4ndert) und folgen dann den Anweisungen auf dem Bildschirm. Der Prozess ist recht einfach: Wir w\u00e4hlen die erste M\u00f6glichkeit, um ein Schl\u00fcsselpaar zu erstellen, dass f\u00fcr das Signieren und die Verschl\u00fcsselung genutzt wird, und dann als Schl\u00fcssell\u00e4nge 8192 Bit.<\/p>\n

\"\"<\/p>\n

Um das Beispiel realistisch zu gestalten, f\u00fcge ich auch noch ein Verfallsdatum f\u00fcr den Schl\u00fcssel hinzu. Wir verwenden \u201e5y\u201c, um \u201egpg\u201c mitzuteilen, dass der Schl\u00fcssel in f\u00fcnf Jahren ung\u00fcltig werden soll.<\/p>\n

\"\"<\/p>\n

Dann f\u00fcgen wir Name, E-Mail-Adresse und einen (optionalen) Kommentar f\u00fcr diese Identit\u00e4t hinzu. Sp\u00e4ter k\u00f6nnen weitere Identit\u00e4ten hinzugef\u00fcgt werden, also keine Sorge, wenn Sie mehrere E-Mail-Adressen einrichten m\u00fcssen, die sp\u00e4ter in diesem Schl\u00fcsselpaar enthalten sein sollen.<\/p>\n

\"\"<\/p>\n

Anschlie\u00dfend werden Sie aufgefordert, Ihr Passwort oder Ihre Passphrase einzugeben (je nach Ihren pers\u00f6nlichen Vorlieben sollten Sie eines davon w\u00e4hlen). Es gibt einige gute Richtlinien f\u00fcr die Passwort-Auswahl<\/a>, mit denen Ihr Schl\u00fcssel sicher ist und die das Merken des Passworts ganz einfach machen. Wenn Sie dazu mehr wissen m\u00f6chten, finden Sie im Internet gute Tipps<\/a>.<\/p>\n

Denken Sie daran, dass Sie Ihr Passwort oder Ihre Passphrase sp\u00e4ter auch \u00e4ndern k\u00f6nnen, ohne den Schl\u00fcssel neu erstellen und ihn erneut an Ihre Kontakte verteilen zu m\u00fcssen.<\/p>\n

Nachdem alle Informationen eingegeben wurden, startet die Generierung des Schl\u00fcsselpaars: GPG beginnt, zuf\u00e4llige Bytes zu sammeln, um die Generierung der zuf\u00e4lligen Zahl zu verbessern. Arbeiten Sie mit Ihrem PC, bis dieser Prozess beendet ist (das kann je nach Computer etwas dauern \u2013 auf meinem i5-PC mit 8 GB RAM dauerte es etwa 15 Minuten).<\/p>\n

\"\"<\/p>\n

Wenn die Schl\u00fcsselgenerierung abgschlossen ist, zeigt GPG den Fingerabdruck f\u00fcr den Schl\u00fcssel an, sowie das Verfallsdatum und alle von Ihnen vorher eingegebenen Informationen. Stellen Sie sicher, dass alles korrekt ist, bevor Sie den \u00f6ffentlichen Schl\u00fcssel an Ihre Kontakte weitergeben.<\/p>\n

\"pgp-screenshot-13\"Sie k\u00f6nnen auch das GPG-Kommando \u201elist\u201c verwenden (\u2013list-keys), um alle verf\u00fcgbaren Schl\u00fcssel zu \u00fcberpr\u00fcfen und die ben\u00f6tigten zu exportieren. Wir exportieren den \u00f6ffentlichen Schl\u00fcssel f\u00fcr unsere angelegte Identit\u00e4t \u201eJoe Doe\u201c. Die dadurch erhaltene Schl\u00fcsseldatei k\u00f6nnen Sie sp\u00e4ter manuell auf einen der verf\u00fcgbaren PGP-Key-Server hochladen oder direkt an Ihre Kontakte geben. Am einfachsten ist, den Befehl \u201egpg \u2013export -a [username] > [public-key-filename]\u201c einzugeben.<\/p>\n

\"\"<\/p>\n

Wenn Sie den \u00f6ffentlichen Schl\u00fcssel direkt hochladen m\u00f6chten, k\u00f6nnen Sie das mit dem Befehl \u201egpg \u2013keyserver [serverurl] \u2013send-keys [keyID]\u201c tun.<\/p>\n

\"\"<\/p>\n

Sie k\u00f6nnen zudem \u00f6ffentliche Schl\u00fcssel importieren, und zwar mit \u201e\u2013recv-keys\u201c. All das direkt im Command Line Interface.<\/p>\n

Zuletzt legen wir noch eine Sicherungsdatei unseres \u00f6ffentlichen Schl\u00fcssels an. Passen Sie gut auf diese Datei auf und geben Sie sie an niemanden weiter. Das Sichern ist allen bisherigen Aktionen sehr \u00e4hnlich: Geben Sie einfach \u201egpg export-secret-key \u2013a [username] > [private-key-filename]\u201c ein.<\/p>\n

\"\"<\/p>\n

Jetzt haben Sie Ihr brandneues PGP-Schl\u00fcsselpaar, das Ihnen eine neue Welt der sicheren Kommunikation und Datensicherheit er\u00f6ffnet. Willkommen!<\/p>\n

\u201eEine Reise von tausend Meilen beginnt mit dem ersten Schritt.\u201c \u2013 Lao Tzu<\/div>\n

Nachdem Sie nun den ersten Schritt mit PGP gemacht haben, hoffe ich, dass Sie immer wieder mal hier hereinschauen und unsere weiteren Beitr\u00e4ge zu diesem Thema lesen. In der Zwischenzeit k\u00f6nnen Sie mit einem der zahlreichen GPG Cheat Sheets<\/a> herumspielen, die Ihnen erm\u00f6glichen, mit der Verschl\u00fcsselungs-\/Entsschl\u00fcsselungsfunktion, dem Signieren von Dateien und Nachrichten und vielem anderen zu arbeiten.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Durch die dauernde \u00dcberwachung r\u00fcckt die PGP-Verschl\u00fcsselung wieder ins Rampenlicht. Mit unserer Anleitung machen Sie Ihren Schl\u00fcssel noch sicherer.<\/p>\n","protected":false},"author":313,"featured_media":1895,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[122,741,740,735,156],"class_list":{"0":"post-1901","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-datenschutz","9":"tag-gnupg","10":"tag-gpg","11":"tag-pgp","12":"tag-verschlusselung"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/gpg-starke-verschlusselung-und-digitale-signatur-ganz-einfach\/1901\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/datenschutz\/","name":"Datenschutz"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/1901","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/313"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=1901"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/1901\/revisions"}],"predecessor-version":[{"id":22615,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/1901\/revisions\/22615"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/1895"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=1901"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=1901"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=1901"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}