Frage nach älteren Schlüsselringen

Falls du aber zum ersten mal PGP installierst, musst du die Frage verneinen und im nächsten Schritt mit dem Key Generation Wizard ein neues Schlüsselpaar generieren. Startet der Wizard nicht automatisch, starte das Programm PGPkeys ueber die Programmleiste (meist Programme - PGP - PGPkeys) und suche dort im Menü den Befehl zum Erzeugen eines neuen Schlüsselpaars.

Zunächst aber einiges zum Grundprinzip der PGP-Verschlüsselung mit Schlüsselpaaren. PGP basiert auf der Technologie der Public Key Cryptography. Bei diesem Verfahren wird ein Schlüsselpaar aus einem privatem und einem öffentlichem Schlüssel (Private Key und Public Key) benötigt, um codierte Informationen zu ver- und entschlüsseln.

PGP-verschlüsselte Informationen kannst du immer nur an Personen verschicken, die ebenfalls PGP benutzen und deren Public Key du besitzt. Umgekehrt kannst du PGP-verschlüsselte Mails nur von Personen empfangen, denen du zuvor deinen Public Key zukommen ließt.

Sobald du selbst ein Schreiben verschlüsseln willst, musst du angeben, von wem es wieder geöffnet werden darf. Wird der Public Key eines Empfängers nicht angegeben, dann kann er oder sie den Inhalt auch nicht entschlüsseln. Hast du dagegen den Public Key bei der Verschlüsselung korrekt angegeben, kann der Empfänger die Mail mit seinem Private Key entschlüsseln.

In der Praxis musst du daher bei der ersten Benutzung von PGP sowohl einen eigenen privaten als auch einen öffentlichen Schlüssel erzeugen. Dazu wird nach der Installation der Version 6.0.2i für Windows das Programm PGPkeys gestartet, daß oben bereits erwähnten Key Generation Wizard aufruft.

Start des Key Generation Wizard

Du wirst nach deinem Namen und deiner E-Mail-Adresse gefragt, die einen integralen Bestandteil des Schlüssels darstellen. Als Schlüsselgrosse kannst du im nächsten Schritt ruhig getrost 2048-Bit angeben. Im Interesse der Kompatibiltät mit älteren PGP-Versionen solltest du einen RSA-Schlüssel erzeugen. Die nächste Abfrage nach dem Verfallsdatum des Schlüssels solltest du mit 'never' (niemals) beantworten.   

öTOP

Eingabe der Passphrase

Diese Passphrase erfüllt sehr wichtige Aufgaben. Wenn deine Kommunikation wirklich geheim bleiben soll, solltest du auf jeden Fall vermeiden, diese Zeichenfolge irgendwo niederzuschreiben oder sie so einfach zu gestalten, daß sie mehr oder weniger leicht zu erraten ist.

Die Phrase ist der Schlüssel zu deinem PGP-Schlüsseln und zu deiner PGP-Identität, die gesamte PGP-Kommunikation ist also nur so sicher, wie deine Passphrase! Wer diese kennt, kann deine verschlüsselten Mails und Files lesen und scheinbar authentische Nachrichten in deinem Namen mit deiner verizifierten Identität verschicken. Denn die Passphrase wird bei PGP dazu verwendet, um verschlüsselte Mails zu entschlüsseln und um E-Mails mit einer PGP-Signatur zu unterschreiben (authentifizieren).

Bei der Erzeugung der Passphrase gilt: je länger, desto sicherer, aber auch schwerer zu merken. Die Leiste "passphrase qualtity" zeigt dir die relative Sicherheit der eingebenen Phrase an. Wie der Ausdruck "Phrase" schon nahelegt, musst du dich nicht auf Wort beschränken. Im Gegenteil! Mehrere Worte mit Zahlen und Leerzeichen erhöhen die Sicherheit enorm. Deine Passphrase sollte mindestens folgende Merkmale besitzen:

• Nur du kennst die Phrase, sie ist nicht niedergeschrieben
• Sie ist lang genug, um sicher zu sein (mindestens 4 Wörter)
• Sie ist sehr schwer zu erraten - auch für jemanden, der dich und deine Gewohnheiten gut kennt und für Cracker, die über ausgefeilte Wörterbücher verfügen. Wenn du Start Trek Fan bist, ist "Live long and prosper" als Passphrase eine schlechte Idee.;}
• Sie ist leicht für dich zu merken und gut korrekt zu tippen

Mehr Informationen zur Sicherheit und Bedeutung von Passphrasen erhältst du in der englischsprachigen Passphrase FAQ (http://www.stack.nl/~galactus/remailers/
passphrase-faq.html).

Eine sichere (weil zufällige) Erzeugung von Passphrasen erreichst du zum Beispiel mit Diceware (http://world.std.com/~reinhold/diceware.html). Ein weiterer Trick zur Einrichtung einer sicheren Passphrase wird als Methode des 'schockierenden Unsinns' beschrieben (http://www.unix-ag.uni-kl.de/~conrad/krypto/
passphrase-faq.html).

Weitere Informationen dazu und zu anderen PGP-Fragen findest du übrigens in den deutschsprachigen Newsgroups

• z-netz.alt.pgp.allgemein (http://netnews.web.de/action/?cmd=xover&group=
  z-netz.alt.pgp.allgemein),
• z-netz.alt.pgp.schluessel (http://netnews.web.de/action/?cmd=xover&group=
  z-netz.alt.pgp.schluessel) und
• z-netz.alt.pgp.tools.sonstige (http://netnews.web.de/action/?cmd=xover&group=
  z-netz.alt.pgp.tools.sonstige)

und in der ebenfalls deutschsprachigen Datei PGP-FAQ (http://www.iks-jena.de/mitarb/lutz/security/pgpfaq.html), die die Antworten auf die häufigsten Fragen zu PGP enthält.

Aber zurück zur Erzeugung der Passphrase: Denkst du bei aller Sicherheit auch daran, daß du später diese Passphrase bei jedem Verschlüsselungsvorgang wieder eingeben und dich vor allem daran erinnern musst. Vielleicht fluchst du dann über deine eigenen Sicherheitsansprüche, wenn du gar zu lange Romane schreibst. Und: Wenn du die Passphrase einmal vergessen solltest, bist du wirklich angeschmiert. Du kannst dann weder deine verschlüsselten und/oder signierten Nachrichten weiterhin bearbeiten noch den nicht mehr benutzbaren öffentlichen Schlüssel auf dem Keyserver zurückziehen. Denn dafür musst du als Bestätigung deine Passphrase angeben. (Weitere Informationen dazu: PGP Faq, Frage 7.2: Ich habe meinen Paßphrase vergessen. Kann ich meinen Schlüssel zurückziehen? (http://www.iks-jena.de/mitarb/lutz/security/pgpfaq.html#7.2)

Schliesse nach Eingabe des Mantra den Vorgang ab, zunächst ohne den öffentlichen Schlüssel an den Keyserver zu senden. Das Schlüsselpaar wird daraufhin in ihren eigenen Schlüsselbund aufgenommen, den du nun im Fenster von PGPkeys sehen kannst.   

öTOP