Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Kryptographie mit GnuPG unter Mac OS X

2,513 views

Published on

Ein Vortrag über das Aufsetzen von GnuPG auf Mac OS X für die Verschlüsselung von E-Mail. Gehalten auf einem Chaos Computer Club (CCC) Treffen am 2005-06-02.

Published in: Technology
  • Be the first to comment

Kryptographie mit GnuPG unter Mac OS X

  1. 1. Kryptographie mit GnuPG unter MacOS X Thomas Witt mail (at) thomas-witt [dot] com MacHackers-Treffen am 2005-06-02 http://www.thomas-witt.com/papers/050602.gpg.pdf
  2. 2. Kryptographie There are two kinds of cryptography in this world: cryptography that will stop your sister from reading your files, and cryptography that will stop major governments from reading your files. Bruce Schneier, Applied Cryptography Wir reden heute über zweiteres.
  3. 3. Anforderungen an Kryptographie Sicherer Nachrichtenaustausch über unsichere Kanäle
  4. 4. Anforderungen an Kryptographie Geheimhaltung Integrität Nachweisbarkeit / Authentizität
  5. 5. Methodik: Symmetrische Cipher • Vorteil: Klartext Schnell • Nachteil: Verschlüsselung Schlüssel Nur ein Schlüssel • Klartext Anwendung: Verschlüsselung des eigentlichen Inhaltes Entschlüsselung Schlüssel • Beispiele: Klartext Blowfish, DES
  6. 6. Methodik: Asymmetrische Cipher • Vorteil: Klartext Zwei Schlüssel • Public und Private Key Öffentl. Verschlüsselung Schlüssel • Nachteil: Langsam Klartext • Anwendung: Privater Austausch Session Keys Entschlüsselung Schlüssel • Beispiele: Klartext RSA, Diffie-Hellmann
  7. 7. Und wieso ist das sicher? Symmetrisch • Abhängig von der Schlüssellänge • Zuviele Kombinationen, um es in sinnvoller Zeit auszuprobieren Asymmetrisch • Wir wissen es nicht • Schlaue Mathematiker sagen es wäre so • Sie können aber jeden Moment das Gegenteil beweisen
  8. 8. Was ist GnuPG? Basierend auf PGP • 1991 geschrieben von Phil Zimmermann OpenPGP • Verschlüsselungsstandard nach RFC 2440 GNU Privacy Guard (GnuPG) • Freie Implementation von OpenPGP
  9. 9. Möglichkeiten von GnuPG Verschlüsseln/Entschlüsseln • Nachricht wird mit einem symmetrisch verschlüsselt und komprimiert • Der Schlüssel besteht aus einem mit dem Public Key des Empfängers asymetrisch verschlüsselten Session-Key Digitale Signaturen • überprüfbar mit dem Public Key
  10. 10. Möglichkeiten von GnuPG Schlüsselverwaltung • Erstellen • Verwalten • Überprüfen • Zertifizieren • Zurückziehen
  11. 11. Okay - was brauche ich? GnuPG Plug-In für Mail-Client Sen:te GPGMail (Apple Mail) EntourageGPG (Entourage) Enigmail (Thunderbird/Mozilla) Terminal
  12. 12. Vorgehen Software downloaden Installieren Sign- und Encryption-Key generieren Revocation Certificate generieren Los geht’s!
  13. 13. GnuPG installieren Download www.gnupg.org macgpg.sf.net (vorkompiliert) Installieren $HOME/.gnupg/gpg.conf anpassen expert no-allow-non-selfsigned-uid no-greeting no-secmem-warning #default-key 0xAAAAAAAA #encrypt-to 0xAAAAAAAA keyserver wwwkeys.de.pgp.net
  14. 14. Schlüssel generieren Erzeugen des Sign-Keys gpg --gen-key Schlüssel-Typ RSA: Langjährig erprobt, längere Signaturen DSA: Neuer, kürzere Signaturen (Empfehlung: RSA) Generierung des Sign-Keys Länge: Mindestens 2048 Bit (Empfehlung: 4096 Bit)
  15. 15. Schlüssel generieren Expiry-Datum Ein Sign-Key sollte möglichst lange gültig sein Eingabe von Realname, E-Mail und Kommentar (optional) Verschlüsselung des Keys durch ein Paßwort kann später geändert werden
  16. 16. Schlüssel generieren Encryption-Key erzeugen: gpg --edit-key <ID> "addkey" Schlüssel-Typ RSA: Encrypt only Länge wie gehabt Expiry-Datum Sinnvollerweise ein Jahr
  17. 17. Schlüssel überprüfen und sichern gpg --list-keys listet den Schlüsselbund Schlüssel sichern (!) USB-Stick, CD-ROM, … Wichtig: physikalische Sicherheit! Verzeichnis .gnupg secring.gpg enthält die privaten Schlüssel pubring.gpg die öffentlichen Schlüssel
  18. 18. Revocation Certificate generieren gpg --gen-revoke Ermöglicht späteres Zurückziehen auch bei Verlust des Originalschlüssels. Revocation Certificate sichern ausdrucken (!) und an einem sicheren Ort verstauen - am besten außerhalb der eigenen Wohnung
  19. 19. Importieren von Schlüsseln Import direkt aus einer Datei gpg --import Import von einem Keyserver gpg --recv-keys Fingerprint des Keys anschauen gpg --fingerprint <keyid> Unbedingt auf sicherem Wege vergleichen! (Telefon, in persona, ...)
  20. 20. Signieren von Schlüsseln Zunächst: Stimmt der Fingerprint und wurde er persönlich verglichen? Wenn ja: gpg --edit-key <keyid> "sign" Mein Key (0x5D239994) hat den Fingerprint: 7C3F 2E61 51B1 BE90 AA24 EF96 F294 3519 5D23 9994
  21. 21. Installation von GPGMail Download http://www.sente.ch/software/GPGMail/ Mail.app beenden Installieren Bundles aktivieren defaults write com.apple.mail EnableBundles 1
  22. 22. Installation von GPGMail MacOS X 10.4 Tiger defaults write com.apple.mail BundleCompatibilityVersion 2 MacOS X 10.3 Panther defaults write com.apple.mail BundleCompatibilityVersion 1 Anschließend Mail.app starten
  23. 23. Herzlichen Glückwunsch!
  24. 24. Zusammenfassung der wichtigsten Befehle Encrypt gpg -r <empfänger> -a -o <output> -e <input> Sign gpg -a --sign <input> Decrypt gpg -d <input>
  25. 25. Zusammenfassung der wichtigsten Befehle Schlüsselmanagement gpg --refresh-keys (regelmäßig ausführen) gpg --list-keys / --list-sigs / --fingerprint gpg --edit-key gpg --import <input> gpg --send-keys / --recv-keys alternativ: “GPGKeys” als GUI Public Keyserver (DFN-CERT) http://wwwkeys.de.pgp.net/
  26. 26. Vielen Dank! Thomas Witt mail (at) thomas-witt [dot] com URL dieses Vortrags: http://www.thomas-witt.com/papers/050602.gpg.pdf

×