(Der Text wurde von uns nicht verändert. Lediglich die Hyperlinks sind von uns eingefügt. A. Mulack, baumstark-online)
Pretty Good Privacy (abgek.: PGP) ist ein Verschlüsselungsprogramm für
jedermann. Es ist Freeware und deshalb für Privatanwender kostenlos in
vielen Mailboxen und von diversen Shareware-CDs zu beziehen. PGP wird
mit einer ausführlichen englischen Anleitung geliefert, auch eine deutsche
Doku und diverse weitere Texte dazu gibt es bereits. Was alle diese
Anleitungen nicht tun, ist den Anfänger, der sich ohne die geringsten
Kenntnisse dieses Programmes damit befassen möchte, schrittweise an die
Bedienung von PGP heranzuführen. Dies soll dieser Kurs tun, dafür fehlt
diesem Kurs einiges an Informationen über die Entstehung von PGP, die
juristischen Probleme, die der Programmautor durch den Export seines Programmes
hat, und einige andere PGP-Interna, die den PGP-Anfänger zunächst auch
gar nicht interessieren, die er jedoch in den anderen Texten später
nachlesen kann.
Dieser Kurs ist so aufgebaut, daß er von Anfang bis Ende
durchgearbeitet werden sollte, weil jedes Kapitel auf den erworbenen Kenntnissen der
vorhegehenden Kapitel aufbaut. Dazu ist manchmal ein wenig Vertrauen (zu
mir als Verfasser dieses Kurses) und Geduld nötig, aber mir wurde von
verschiedenen Beta-Testern dieses Kurses bestätigt, daß es sich lohnt,
konsequent von Anfang bis Ende mitzuarbeiten. Einige von ihnen hatten
vorher bereits versucht PGP anhand der Dokumentation zu verstehen, sind aber
daran gescheitert, daß die schrittweise Einführung dort nicht
stattfand. Mit diesem Kurs sollte es eigentlich jedem möglich sein, PGP zu
verstehen und anzuwenden.
Die sinnvollste Art mit diesem Kurs zu arbeiten, ist den Text
auszudrucken, um den Text immer vorliegen zu haben, egal was man gerade am
Bildschirm macht, denn praktische Übung am PC ist ein Bestandteil dieses
Kurses. Wenn man Utilities wie 4print oder Booklet zum Ausdrucken benutzt,
kostet es nicht einmal viel Papier, damit lassen sich 4 Seiten auf eine
Din-A4 Seite ausdrucken, und kleine Hefte falten, die man immer
griffbereit haben kann.
Dieser Kurs richtet sich in erster Linie an Benutzer IBM-kompatibler
PCs unter MS-DOS (oder kompatiblen Systemen), da ich zum einen selbst auf
einem solchen System zu Hause bin, und zum anderen diese Maschinen die
größte Verbreitung finden. Aber auch Benutzer anderer Systeme können an
diesem Kurs teilnehmen, sie müssen lediglich die wenigen
MS-DOS-spezifischen Hinweise (eigentlich sind es nur die Umgebungsvariablen) auf ihr
Sysem umsetzen.
Niemand ist perfekt, ich schon gar nicht, und dieser Text kann es auch
nicht sein. Ich bin für jedes Feedback offen, sei es (möglichst
konstruktive) Kritik oder Lob, die Mitteilung inhaltlicher, sachlicher oder
orthographischer Fehler, oder auch miß- oder unverständliche
Ausdrucksweise. Sachdienliche Hinweise bitte per e-mail oder per snailmail an unten
genannte Adresse.
Wer diesen Text verbreiten möchte der darf das gern tun, sollte ihn
jedoch unverändert lassen, damit die beiliegende, abgekoppelte
Unterschrift gültig bleibt (die sollte natürlich auch immer mit verbreitet werden,
weil im Text auf sie hingewiesen wird, gleiches gilt für die
mitgelieferten Beispielschlüssel). Fehler im Text korrigiere ich gern auf Hinweis.
Nun aber los, ich wünsche dir viel Erfolg beim Erlernen von PGP.
Jürgen Pötzsch <[email protected]> Am Böhnerfeld 37 41516 Grevenbroich
Besonderer Dank für Kritik und Verbesserungsvorschläge an:
Martin Gerken <[email protected]> Frank Prüfer <[email protected]>----------------------------------------------------------
[Seitenbeginn] [Zurück zur PGP Seite]
PGP ...
... verschlüsselt Texte und Binärdateien
... unterschreibt Texte und Binärdateien
... entschlüsselt Texte und Binärdateien
... prüft Unterschriften von Texten und Binärdateien
... packt Texte und Binärdateien beim Verschlüsseln
... wandelt 8-Bit-Binärdateien in 7-Bit-ASCII
... erzeugt Schlüssel
... editiert Schlüssel
... verwaltet Schlüssel
[Seitenbeginn] [Zurück zur PGP Seite]
PGP braucht man im Allgemeinen zur Verschlüsselung privater Post, die
man per e-mail verschicken will, ganz einfach um zu verhindern, daß
andere als der Absender und der Empfänger diese Post lesen können (egal ob
der Angriff absichtlich oder versehentlich geschieht). Ein weiterer Grund
PGP zu benutzen, ist der, daß man seine öffentlichen Postings und
privaten Mails fälschungssicher signieren kann.
[Seitenbeginn] [Zurück zur PGP Seite]
Zuerst einmal besorgst du dir das PGP-Paket aus dem Filemenue einer
Mailbox, von einer Shareware-CD, oder per FTP von einem FTP-Server. Eine
gute Wahl, wenn man Mailboxen sucht, sind z.B.:
BIONIC (Bielefeld) Tel.: 0521/68000 (V.32bis) 0521/171188 (V.34) 0521/9680869 (ISDN) Login: PGP NEWSWIRE (Willich) Tel.: 02154/5011 (V.32bis) 02154/87070 (V.34) 02154/951900 (ISDN) Login: GAST
Dort findest du nicht nur die jeweils aktuellste Version von PGP (für
alle Rechnerplattformen), sondern auch die Pakete für verschiedene
Sprachversionen, Quelltexte und Hilfetexte.
Jetzt legst du ein Verzeichnis deiner Wahl für PGP an, (z.B. C:\PGP),
entpackst das Archiv in dieses Verzeichnis, und trägst in der
AUTOEXEC.BAT folgende zwei Variablen ein:
SET PGPPATH=C:\PGP (oder entsprechend deinen Gegebenheiten)
SET TZ=CET-1DST (darauf kommen wir noch im Verlauf des Kurses)
Die PATH-Variable erweiterst du durch Angabe des PGP-Verzeichnisses.
Nach einem Neustart des Rechners ist die Installation abgeschlossen.
[Seitenbeginn] [Zurück zur PGP Seite]
Wer möchte, kann seinem PGP auch Deutsch beibringen, ich werde im
weiteren Verlauf des Kurses alle Fehlermeldungen und Ausgaben der deutschen
Version wiedergeben. Die Befehle bleiben in beiden Versionen gleich und
die Meldungen sind im allgemeinen wörtlich übersetzt, so daß man die
englischen Meldungen gut mit den deutschen Meldungen vergleichen kann.
Du besorgst dir das deutsche Sprachpaket (Quellen: s.o.), und
entpackst alle darin enthaltenen Dateien in dein PGP-Verzeichnis. Eventuelle
Fragen, ob eine bereits bestehende Datei überschrieben werden soll,
beantwortest du getrost mit "j" (oder "y", je nach Packer). Das war's schon, du
arbeitest jetzt mit deutschen Hinweisen und Fehlermeldungen.
Weitere z.T. wichtige Hinweise zum deutschen Sprachkit, findest du im
mitgelieferten README.LNG.
[Seitenbeginn] [Zurück zur PGP Seite]
Jetzt generierst du dir ein Schlüsselpaar. Warum du das tust, und
warum es ein "Paar" sein muß, wird im Verlauf des Kurses von selbst klar.
Wechsele also ins PGP-Verzeichnis und geben den Befehl "PGP -kg" ein
("-kg" steht für "key" und "generate"). PGP fragt dich nach einer
Schlüssellänge und gibt einige Hinweise darauf, was es damit auf sich hat.
Theoretisch kannst du hier fast beliebige Werte für die Schlüssellänge
angeben, man sollte aber aus Kompatibilitätsgründen einen der drei
vorgeschlagenen Werte oder 2048 Bit wählen. Veraltete PGP-Versionen (z.B. 2.3a)
können diese großen Schlüssel zwar nicht lesen, aber da ohnehin
(hoffentlich) niemand mehr mit diesen Steinzeitversionen arbeitet, muß man darauf
auch keine Rücksicht nehmen, zumal kleinere Schlüssel einen Verlust
eigener Sicherheit bedeuten.
Prinzipiell gilt:
- je länger ein Schlüssel ist, desto sicherer sind die damit
verschlüsselten Daten,
- mit zunehmender Länge steigt aber auch die Zeit, die dein Rechner
braucht um damit Nachrichten zu verschlüsseln.
Hast du dich für eine Schlüsselgröße entschieden, mußt du eine User-ID
angeben. Hier kann man theoretisch angeben was man will, sollte sich
aber an einen de facto Standard halten und seine ID in der Form ...
Vorname Nachname <[email protected]>
... angeben, wer keine e-mail Adresse hat, gibt seine Telefonnummer,
oder ein sonstiges eindeutiges und persönliches Merkmal an. Umlaute
akzeptiert PGP hier nicht, damit erledigt sich die Frage nach deren
Schreibweise. Man hat später jederzeit die Möglichkeit, weitere User-IDs
anzufügen. Eine User-ID muß einen Realnamen tragen, um eindeutig und überprüfbar
einer Person zugeordnet werden zu können, darauf komme ich später noch
zurück.
Die nächste Frage gilt der "pass phrase". Eine pass phrase ist
dasselbe wie ein "password", nur daß man hier wirklich ganze Sätze inclusive
Sonderzeichen und Leerzeichen angeben kann. Im Umgang mit PGP wird diese
pass phrase auch gern als "Mantra" bezeichnet, damit ist auch schon
erklärt, was damit gemeint ist. (Vorschlag: für den Anfang, zum Testen der
Funktionen von PGP, kann man auch "abc" als Mantra angeben, das läßt sich
schneller eintippen und später leicht ändern, man sollte es aber nicht
vergessen.) Hat man das Mantra eingegeben, bittet PGP zur Sicherheit, um
Tippfehler auszuschließen, um nochmalige Eingabe des Mantras.
Um den Schlüssel zu erzeugen, braucht PGP jetzt ein paar wirklich
zufällige Zahlen, und bittet Dich, um ein paar Tastaturanschläge. Hier
kannst du deinen Fingern freien Lauf lassen und solange tippern (egal was),
bis es piept. Das Zufällige an dieser Eingabe ist nicht der Text, sondern
der zeitliche Abstand zwischen den Anschlägen. Der ist so zufällig, daß
es nicht einmal dir gelingen wird, zweimal exakt dieselben Zeiten zu
erreichen. Es kann nicht schaden, hier einen normalen Text einzugeben,
Tasten gedrückt halten zählt eh nicht, weil PGP jede Taste höchstens
zweimal hintereinander akzeptiert.
PGP berechnet nun deine beiden Schlüssel und meldet nach wenigen
Sekunden (bei langsamen Rechnern und langen Schlüsseln kann es auch bis zu
einer Stunde dauern!), während derer es ein paar Punkte und Sternchen am
Bildschirm anzeigt, daß es die Schlüssel generiert hat.
Herzlichen Glückwunsch, du besitzt jetzt dein eigenes Schlüsselpaar,
und damit die erste Tür zur Teilnahme am Mailverkehr mit PGP geöffnet.
Warum man diese Schlüssel braucht, und was man damit macht, erfährst
du in den nächsten Abschnitten dieses Kurses.
[Seitenbeginn] [Zurück zur PGP Seite]
Du hast dir jetzt also ein Schlüsselpaar erzeugt. Daß es wirklich zwei
Schlüssel sind, kannst du z.B. daran erkennen, daß PGP im
PGP-Verzeichnis zwei neue Dateien angelegt hat, nämlich SECRING.PGP und PUBRING.PGP.
Secring steht für "secret key ring" (geheimer Schlüsselbund), pubring
steht für "public key ring" (öffentlicher Schlüsselbund). Ein "key ring"
ist tatsächlich so etwas wie ein Ring, an den man Schlüssel anhängen
und auch wieder davon entfernen kann. Wie die Namen schon sagen, enthält
SECRING.PGP alle deine gesammelten geheimen Schlüssel, während du in
PUBRING.PGP alle deine gesammelten öffentlichen Schlüssel findest. Momentan
befinden sich in beiden Dateien natürlich nur deine beiden eigenen
Schlüssel, und das wollen wir jetzt kontrollieren.
Du gibst nacheinander die Befehle ...
PGP -kvv <userid> pubring.pgp
und
PGP -kvv <userid> secring.pgp
ein, wobei "<userid>" ein Teil deiner User-ID ist, der keine
Leerzeichen enthalten darf, oder sonst in Anführungszeichen zu setzen ist.
Wir erhalten eine Ausgabe wie diese (hier für meinen Key):
---------------------------------------------------------------------
Typ Bits ID Datum Benutzer
öff 512/0D0AC4D9 1994/04/03 Juergen Poetzsch <[email protected]>
prv 512/0D0AC4D9 1994/04/03 Juergen Poetzsch <[email protected]>
Es wurde ein passender Schlüssel gefunden.
---------------------------------------------------------------------
(Einige Meldungen wurden hier weggelassen!)
Die Angaben bedeuten:
Typ: (engl.: Type)
öff - es handelt sich um einen public key (eine öffentlichen
Schlüssel)
prv - es handelt sich um einen secret key (einen privaten Schlüssel)
Bits:
Die Schlüssellänge in Bit (hier handelt es sich um einen
512-Bit-Schlüsel)
ID (engl.: keyID)
Eine (wahrscheinlich weltweit) eindeutige 32 Bit breite
Identifikationsnummer.
Datum: (engl.: Date)
Das Erstellungsdatum des Schlüssels
Benutzer: (engl.: User ID)
Eben die gewählte User-ID
Den secret Key (der Name spricht für sich) hütest du ab sofort wie
deinen Augapfel, während du den public Key so weit verbreiten solltest, wie
möglich (Halt! Noch nicht, da fehlt noch was, und wie man ihn am besten
verbreitet, erfährst du auch noch).
[Seitenbeginn] [Zurück zur PGP Seite]
Gib deinen secret key niemals weiter und achte auch darauf, daß
niemand in seinen Besitz gelangt, der Zugriff auf deinen Rechner hat! Der
secret Key ist zwar durch dein Mantra zusätzlich geschützt, aber dieses
Mantra ist nur so sicher, wie Du es machst! Wenn Du z.B. ein sinnvolles Wort
oder den Namen einer bekannten Person wählst (was leider viel zu oft
vorkommt), dann kann ein Programm, das eine lexikalische Suche beherrscht,
oder jemand der Dich persönlich kennt, dieses Mantra recht leicht
herausfinden. Wie ein gutes Passwort aufgebaut wird, erfährst Du später in
diesem Kurs.
Jeder, der in den Besitz deines secret keys (mit dem dazugehörenden
Mantra) gelangt, kann Nachrichten in deinem Namen unterschreiben, wobei du
Probleme haben wirst zu beweisen, daß die Unterschrift nicht von dir
stammt, und er kann alle an dich gerichteten Nachrichten entschlüsseln.
Bevor du deinen public key verbreitest, unterschreibst du ihn! "Warum
denn das?" wirst du vielleicht jetzt fragen, aber das ist schnell
beantwortet. Stellen wir uns vor, ein "Freund" von dir erzeugt einen Schlüssel
mit deiner User ID. Das ist, wie wir wissen, kein Problem, jeder kann
einen Schlüssel unter beliebigem Namen erzeugen, das kann PGP nicht
kontrollieren. Dabei erhält sein falscher Schlüssel eine andere key-ID, als
dein echter Schlüssel. Diese key-ID ist aber für einen Amateur innerhalb
der PUBRING.PGP editierbar, er kann also seine falsche ID durch deine
echte ID ersetzen. Verbreitet er diesen falschen Schlüssel, ist dieser
Schlüssel auf den ersten Blick durch nichts von deinem echten Schlüssel zu
unterscheiden. Was der "Freund" aber nicht kann, er kann seinen falschen
Schlüssel nicht mit deiner echten ID unterschreiben, das kannst nur du
mit deinem secret key! Mit der Unterschrift unter deinem public key
bestätigst Du, daß du im Besitz des passenden secret keys bist, und diese
Unterschrift ist (im Gegensatz zur Key-ID) nicht editierbar, der Versuch
eine Unterschrift zu fälschen, fällt PGP sofort auf.
Wenn Du mit der PGP-Version 2.6.3i arbeitest, brauchst Du Deinen Key
nach der Erstellung nicht zusätzlich zu unterschreiben, PGP tut das
automatisch und ohne Dein Zutun.
Nach dem Befehl...
PGP -ks <name>
... sieht unser Schlüssel z.B. so aus:
----------------------------------------------------------------------
öff 512/0D0AC4D9 1994/04/03 Juergen Poetzsch <[email protected]>
unt 0D0AC4D9 Juergen Poetzsch <[email protected]>
----------------------------------------------------------------------
Die Unterschrift (Type: unt, in der englischen Version heißt sie
"sig") gehört ab sofort fest zu diesem Schlüssel, damit ist bestätigt, daß
der Eigentümer (hier ich) seinen eigenen Schlüssel mit seinem secret key
beglaubigt hat, es sich also um keine Fälschung handelt.
Merke: ein Schlüssel, der nicht von seinem Besitzer selbst
unterschrieben ist, ist wertlos!
Nun sorgst du noch dafür, daß deine Schlüssel nicht verloren gehen
können, z.B. durch einen Festplattendefekt. Dazu brauchst du nur deine
beiden nagelneuen Schlüsselbunde (PUBRING.PGP und SECRING.PGP) auf eine
leere Diskette zu kopieren und diese an einem sicheren Ort aufzubewahren
(siehe dazu obige Hinweise zum secret key). Abgesehen vom Plattencrash gibt
es noch eine Reihe von Fällen, in denen man diese Sicherheitskopie
brauchen kann, denken wir nur wieder an deinen "guten Freund". Stellen wir
uns vor, dein "Freund" nutzt einen unbeobachteten Moment an deinem
Rechner und kopiert deine Schlüssel auf eine Diskette. Er ist sogar ein so
"guter Freund", daß er die Schlüssel von deiner Platte löscht. Von nun an
kann er unter deinem Namen verschlüsselte Nachrichten empfangen und mit
deinem guten Namen Nachrichten unterschreiben. Das allein wäre schon
schlimm, aber du könntest deinen Schlüssel nicht einmal für ungültig
erklären. Bist du aber im Besitz einer Sicherheitskopie, kannst du (mit Hilfe
von PGP) ein sogenanntes "key revokation certifikate" (ein
Schlüsselrückrufszertifikat, das übrigens die Typbezeichung "zur" besitzt) erzeugen,
und dies genau wie deinen öffentlichen Schlüssel verbreiten. Damit wird
dein Schlüssel *weltweit* in allen key rings als zurückgerufen erklärt,
und jedes PGP auf der Welt wird dann davor warnen, diesen Schlüssel zu
benutzen. Zu all dem später mehr.
[Seitenbeginn] [Zurück zur PGP Seite]
Als ich im vorigen Absatz davon gesprochen habe, daß du deinen
Schlüssel "weltweit" für ungültig erklären kanst, dann mag das etwas weit
hergeholt klingen, ist es aber nicht. Es gibt ein Brett namens
/Z-NETZ/ALT/PGP/SCHLUESSEL, das jedem die Möglichkeit gibt, seinen Schlüssel dort zu
veröffentlichen. Damit ist er für jeden (der das Brett bezieht)
deutschlandweit verfügbar. Aber damit nicht genug, es gibt mindestens einen User
(wahrscheinlich mehrere), die sich ein Hobby daraus machen, diese
Schlüssel zu sammeln, und regelmäßig an einen Keyserver weiterzuleiten. Von
diesen Keyservern gibt es weltweit eine ganze Reihe, und sie
synchronisieren sich täglich! Ein Schlüssel, der heute z.B. an
[email protected] geschickt wird, wird morgen auch auf den Keyservern in
Australien verfügbar sein, gleiches gilt natürlich auch über oben
genanntes Rückrufszertifikat.
Du kannst deinen Schlüssel natürlich auch selbst an einen Keyserver
schicken, um das zu tun, mußt du ihn erst einmal aus seinem Schlüsselbund
extrahieren, und das geht mit dem Befehl:
PGP -kxa <userid> [filename]
das "-kxa" steht dabei für "Key eXtract Ascii" und du erhälst damit
eine kleine ASCII-Datei, mit dem public key der zu "<userid>" gehört.
Diese Datei kannst du jetzt entweder in /Z-NETZ/ALT/PGP/SCHLÜSSEL posten
(Betreff ist beliebig), oder per PM an Freunde schicken, oder selbst per PM
an o.g. Keyserver schicken, du erhälst dann eine Bestätigung des
Servers, daß der Schlüssel aufgenommen wurde.
So sollte die Datei aussehen, die den Schlüssel enthält:
Typ Bits ID Datum Benutzer
öff 512/0D0AC4D9 1994/04/03 Juergen Poetzsch <[email protected]>
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.6.3i
mQBNAi2fDI4AAAECANsCGkhLlXSXMgjq0NgzSt56Pd/Qho8s5NYIayyHgR2w9D6J
VBqyXLfeSq0tynurxdPcedW/rmQIBpmZ2Q0KxNkABRG0J0p1ZXJnZW4gUG9ldHpz
CsTZAQHzlgH9Ek0BGmsNnZ9EmOlZz2pZX9yxj33iqaDwwjRi3vXtOiFWs5gBVDOG
TKlDt09PDdRjdv2jSz0zGpxSkzFOKwA7/A==
=naUN
-----END PGP PUBLIC KEY BLOCK-----
Sie kann kürzer sein als diese hier (aber auch länger, das hier ist
ohnehin nur ein gekürztes Beispiel, kein echter Schlüssel), wichtig ist
die Zeile mit "BEGIN PGP PUBLIC KEY BLOCK" und "END PGP PUBLIC KEY BLOCK",
denn nur wo public key draufsteht, ist auch public key drin. ;-)
[Seitenbeginn] [Zurück zur PGP Seite]
Nachdem du jetzt sicher fleißig deine Schlüssel erzeugt und
unterschrieben hast, kannst du daran gehen sie eventuell noch etwas zu erweitern.
Vielleicht hast du mehrere e-mail Adressen, und da PGP dazu dienen soll,
verschlüsselte Nachrichten per e-mail auszutauschen, ist es eine gute
Idee deine verschiedenen User-IDs in deinem Schlüssel zu dokumentieren.
Versuche es, und gib den Befehl "PGP -ke <userid>" ein ("-ke" steht für
"Key Edit", was "<userid>" bedeutet, dürfte mitlerweile klar sein). Da du
einen Schlüssel bearbeitest, der auch in deinem geheimen Schlüsselbund
(SECRING.PGP) vorhanden ist, wirst du nach der pass phrase gefragt
(deshalb vorher der Hinweis, das Mantra für diese Probierphase möglichst kurz
zu halten). Nach Eingabe des richtigen Mantras wird dir deine User-ID
angezeigt und gefragt, ob du eine neue User-ID eingeben willst. Du willst
(auch wenn du keine zweite e-mail Adresse hast solltest du hier zur
Übung einfach eine erfundene Adresse eingeben), und bestätigst die Frage
mit "j" für "Ja", in der englischen Version wäre es "y" für "yes". Für die
neue User-ID hälst du dich wieder an die oben beschriebene Konvention.
Es folgt die Frage, ob du diese ID zur primären ID machen willst. Da
du dich aber (hoffentlich) in deiner Stammbox zu Hause fühlst, bzw. gar
keine zweite User-ID hast und das hier nur zur Übung machst, verneinst du
diese Frage, damit wird die neue ID zur sekundären User-ID. Die Frage
ob du eine neue pass phrase eingeben willst, verneinst du ebenfalls,
weißt aber jetzt auch schon, wie du das Mantra ändern kannst. Du erhälst
noch kurz eine Bestätigung, daß SECRING.PGP und PUBRING.PGP aktualisiert
wurden, und kannst dir jetzt deinen erweiterten Schlüssel ansehen (wir
erinnern uns: PGP -kvv userid), er sieht jetzt z.B. so aus:
öff 512/0D0AC4D9 1994/04/03 Juergen Poetzsch <[email protected]>
unt 0D0AC4D9 Juergen Poetzsch <[email protected]>
Juergen Poetzsch
<100540,[email protected]>
Die neue User-ID wurde unten angehängt, für sie gibt es keine
Typangabe und keine eigene Key-ID, da für sie Typ und ID gesamten Keys gilt, sie
ist eben nur ein Teil dieses Schlüssels.
Was schon für die primäre User-ID galt, gilt auch für die alternative
User-ID: du solltest sie unterschreiben um fälschungssicher zu
dokumentieren daß du selbst diese ID erstellt hast (auch hier gilt: ab Version
2.6.3i unterschreibt PGP eine alternative User-ID automatisch). Du gibst
wieder ein "PGP -ks userid" ein, wobei diesmal "userid" ein eindeutiger
Teil der neuen User-ID sein muß, sonst beschwert sich PGP, daß dieser
Schlüssel (damit meint es die primäre User-ID) bereits von dir
unterschrieben sei.
[Seitenbeginn] [Zurück zur PGP Seite]
öff 512/0D0AC4D9 1994/04/03 Juergen Poetzsch <[email protected]>
unt 0D0AC4D9 Juergen Poetzsch
Juergen Poetzsch
<100540,[email protected]>
unt 0D0AC4D9 Juergen Poetzsch
Zu beachten ist hier, daß die zweite "sig", also die zweite
Unterschrift *nur* für die User-ID gilt, unter der sie steht, nicht für den
gesamten Schlüssel. Das ist hier noch nicht wichtig, aber wir kommen später
darauf zurück, da wird es wichtig sein.
Zur Übung (und zur Abwechslung) änderst du zwischendurch einmal kurz
dein Mantra. Auch dafür eignet sich, wie wir mittlerweile wissen, der
Befehl PGP -ke name. Die Frage nach der neuen User-ID kannst du hier
verneinen, dafür bejahst du die Frage nach Änderung der pass phrase. Du gibst
ein neues Mantra ein (das aber auch gleich mit dem alten sein darf),
bestätigst es noch einmal zur Sicherheit und bekommst angezeigt, daß
SECRING.PGP aktualisiert wurde, zur Änderung von PUBRING.PGP aber kein Anlaß
bestand. Das ist verständlich, denn das Mantra schützt nur den secret
key, auf den public key hat es keinen Einfluß.
Das Mantra ist das wichtigste Sicherheitsmerkmal deines secret keys,
sollte er irgendwann einmal in falsche Hände gelangen, schützt ihn nur
das Mantra vor Mißbrauch. Ein Mantra sollte deshalb möglichst schwer zu
"erraten" sein. Dazu gibt es verschiedene Kriterien ein sicheres Mantra zu
erzeugen, dabei geht es darum einem Angreifer das Ausprobieren deines
Passwortes (Besser gesagt des "Pass-Satzes") weitgehend schwer zu machen:
1. je länger, desto besser, (macht Computern mehr Arbeit beim
Ausprobieren) es kann gar nicht lang genug sein,
2. je kryptischer, desto besser, also besser Sätze mit wild gemischten
Buchstaben ohne Sinn, als sinnvolle Wörter (macht Menschen das Erraten
schwerer),
Ideal sind Mantras, die keinen Sinn ergeben, und möglichst lange
Ketten zufälliger Zeichen enthalten, bunt gemischt in Groß- und
Kleinschreibung.
Beispiele für schlechte Mantras:
"Passwort",
"Mantra",
"pgp",
"abc",
<Name der Freundin, Ehefrau, Geliebten>
Beispiele für gute Mantras:
"$%# GrMbl? ,\! SchOKol#d& ...=63 |&&"
oder:
"raTe#mal/wIemeinBa??worD_H*jsst}"
Noch ein Wort zu User-IDs: wie du gesehen hast, ist es sehr leicht,
eine User-ID zu erzeugen. Es ist zwar ebenso leicht sie wieder zu löschen
(das tun wir gleich), dabei gibt es aber ein kleines Problem. Wenn du
deinen Key mit einer neuen User-ID versehen hast, und ihn verbreitest,
später aber diese User-ID wieder entfernst, dann ist sie nur in deinem
eigenen Keyring entfernt. Alle anderen Keyrings (z.B. auf den weltweit
verstreuten Keyservern) erfahren davon nichts. Und selbst wenn du deinen
neuen Key dann an einen der Keyserver schickst, nimmt der davon keine Notiz,
er registriert nur hinzukommende User-IDs und neue Unterschriften,
entfernt aber keine User-IDs. Man sollte deshalb keine e-mail-Adressen in
seinen Key aufnehmen, die man nur kurzzeitig vorhat zu nutzen.
Nun aber zum Entfernen einer User-ID aus unserem Keyring: dazu dient
der Befehl "PGP -kr User-ID" ("kr: Key Remove"). Damit läßt sich sowohl
der gesamte Key aus dem Keyring entfernen, als auch nur