Tutorial: Einrichten von GnuPG unter Mac OS X

GnuPG/PGP ist eine Methode, E-Mails zu signieren und zu verschlüsseln. Ich persönlich versende meine E-Mails immer mit meiner Signatur, damit der Empfänger überprüfen kann, ob diese E-Mail tatsächlich von mir stammt, und ob diese auf dem Weg zu ihm verändert wurde oder nicht.

Die technischen Details könnt ihr auf Wikipedia nachlesen. (openPGP bei Wikipedia)

PGP kann also Daten Signieren und damit die Unverfälschtheit und die Echtheit der Quelle sicher stellen (Wenn die Daten verändert wurden, oder der Absender nicht mit dem richtigen Schlüssel signiert hat, gibt es eine Fehlermeldung und der Empfänger muss davon ausgehen, dass der Inhalt der Mail nicht echt ist).

Es ist im Allgemeinen überhaupt nicht schwierig fremde E-Mails zu lesen. Entweder wird der Datenstrom von eurem Rechner zum Gateway (z.B. Router) belauscht, oder im Internet mitgeschnitten. Die für einen solchen “Lauschangriff” einzusetzenden Programme sind kinderleicht zu bedienen (selbst ich kann soetwas) und frei im Internet erhältlich. Alternativ kann jemand Zugang zu euren E-Mails erhalten, in dem er sich unberechtigter Weise Zugriff auf euren Mailserver verschafft. Kann er den Server z.B. durch das Ausnutzen einer bekannten Sicherheitslücke oder durch Ausspähen eines Administrator-/Rootpasswortes mit den nötigen Rechten ausgestattet nutzen, so kann er alle E-Mails die dort im Klartext abgelegt sind, lesen.

Wenn ihr nicht möchtet, dass irgendwer durch Abfangen eurer gesendeten Daten, oder den unberechtigten Zugriff auf den E-Mail Server z.B. geschäftliche Absprachen oder die E-Mails an die Liebste zu Hause lesen kann, könnt ihr die E-Mails zusätzlich zur Signierung auch noch verschlüsseln.

Zusätzlich könnt ihr auch eure Daten verschlüsseln. Zum Beispiel ist dies bei Backups sinnvoll. In der Regel enthalten diese sehr sensible Daten und sollten geschützt sein. Dafür gibt es natürlich mehrere Alternativen: Die Medien könnte man in einen Safe einschließen, oder sie, was einfacher ist, einfach verschlüsseln. Hat man erst einmal Zugriff auf fremde Backups die nicht verschlüsselt sind, kann man nach Belieben darin herumstöbern. Eine DVD mit gesicherten Daten achtlos auf dem Schreibtisch liegen gelassen, und schon könnte der Chef, Kollege, Nachbar oder Einbrecher eure Urlaubsbilder, Liebesbriefe, Tagebücher, gespeicherte Passwörter und was weiss ich nicht was lesen. Sind diese Daten aber verschlüsselt abgelegt, wird das fast unmöglich.
Nachem ich euch erklärt habe, wofür Ihr GnuPG einsetzen könnt, geht es jetzt ans Eingemachte: Die Installation und Verwendung.

Um Loszulegen brauchen wir erst einmal einige Programme:

• MacPG – GnuPG Quelldateien mit einem Installer für Mac OS X (Direktdownload für Mac OS X 10.4)
• GPG Schlüsselbund – Analog zum Mac OS X internen Schlüsselbund ein Tool mit dem die GPG Schlüssel bequem verwaltet werden können.
• GPGFileTool – Programm zum Verschlüsseln und Signieren von Dateien (Für Backups, etc.)
• GPGPreferences – Plugin für die Systemeinstellungen zum einfachen konfigurieren von GnuPG

Sowie eines der folgenden Plugins für euer Mailprogramm:

• GPGMail – Plugin für Apples “Mail”
• EntourageGPG – Plugin für Mircosofts Entourage
• Enigmail – Plugin für Mozilla Thunderbird

Habt ihr alles heruntergeladen, ist die Vorarbeit getan. Jetzt geht es wirklich los. GnuPG ist ein reines konsolenbasiertes Programm. Da wir aber ein wenig tippfaul sind, und die Konsole noch nie genutzt haben, hätten wir gern alles simpel und wie wir es gewohnt sind. Dafür die ganzen Programme. Die nun folgenden Schritte sollten in Etwa 10-20 Minuten in Anspruch nehmen. Danach kann man E-Mails signieren und, sofern man die Schlüssel mit dem anderen ausgetauscht hat, auch Verschlüsseln.

Installiere folgende Programme: MacPG (GnuPG), GPG Schlüsselbund, GPGFileTool und GPGPreferences.

Ist dies geschehen, rufst du GPGPreferences über deine Systemeinstellungen>Sonstiges auf. Die Einstellungen kannst du ungesehen übernehmen. Zur Sicherheit solltest du aber prüfen, ob 1. Die öffentlichen Schlüssel zum Prüfen einer Signatur automatisch vom Schlüsselserver heruntergeladen werden und ob du einen Schlüsselserver ausgewählt hast. (Register “Server”)

Nun kannst du mit dem GPG Schlüsselbund ein Schlüsselpaar erzeugen. Über “Schlüssel>Erzeugen” rufst du einen selbsterklärenden Assistenten auf, der dich durch den Prozess der Schlüsselerzeugung führt. Ich empfehle eine Schlüssellänge von 4096 Byte. Das ist zwar etwas rechenintensiver, hat jedoch den Vorteil einer stärkeren Verschlüsselung.

Wärend der Einrichtung muss eine Phassphrase eingegeben werden. Diese sollte wenn möglich nicht aus einem einzigen Wort bestehen. Sinnvoll sind längere Sätze in denen Zeichen z.B. Zahlen ausgetauscht werden. Eine mögliche Passphrase wäre also: 1ch b3nutze zum 3rsten M@l GPG/PGP und b1n sch0n ganz gespannt wie es läuft! (Diese Phassphrase natürlich bitte nicht nutzen!)

Hast du alle Angaben gemacht, werden die Schlüssel erzeugt. Hierfür benötigt der Rechner eine Menge Zufallszahlen und einiges an Zeit. Du solltest dich also nicht wundern, wenn der Prozess etwas länger dauert. Inzwischen kannst du dich im Internet ein wenig über PGP bzw. openPGP informieren.

Nun muss dein Schlüssel auf einen Schlüsselserver hochgeladen werden. Dies geht am einfachsten über das Programm “GPG Schlüsselbund”. Wenn du den Schlüssel auswählst, und “Schlüssel>Zum Schlüsselserver senden” ausführst, öffnet sich wieder eine Konsole die dir die Tipparbeit abnimmt.

Indem ihr das Plugin für eure favorisierte Mailing Anwendung installiert, macht ihr GnuPG für euer E-Mail Programm nutzbar. Hier könnt ihr noch diverse Einstellungen machen. Zum Beispiel, ob eure E-Mails generell digital signiert werden, ob immer dann, wenn es möglich ist, verschlüsselt gesendet werden soll, und wie lange eure Passphrase gespeichert werden soll. Die Möglichkeit, sie generell zu speichern, sollte mit Vorsicht genossen werden. Sie macht euren Schlüssel nicht unbedingt sicher. Jeder, der auf irgendeine Weise Zugriff auf euren Rechner hat, könnte den Schlüssel kompromitieren, da er neben dem geheimen Schlüssel nun auch die dazugehörige Passphrase hat. Ein guter Mittelweg ist es, den Key für die aktuelle Sitzung zu speichern. So kann niemand euren Key nutzen, ohne dass ihr vorher die Passphrase eingegeben habt.

Im allgemeinen ist die Anwendung z.B. zusammen mit “Mail” recht unkompliziert, simpel und selbsterklärend. Sollte ich mal wieder etwas Zeit haben, werde
ich diese kleine Anleitung auch mit diversen Screenshots würzen und noch etwas ausbauen.

Für alle, die genau wissen wollen, was hinter den ganzen Programmen abgeht, habe ich hier noch einen kleinen Text über die Erzeugung eines Schlüssels über die Konsole zusammengeschrieben. So schwer wie es vielleicht aussieht, ist es gar nicht. Ausserdem findet ihr so vielleicht Gefallen an der Konsole und deren Möglichkeiten.