SlideShare une entreprise Scribd logo
1  sur  25
Télécharger pour lire hors ligne
ORR 2010: E-Mail-Verschlüsselung mit GPG
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
E-Mail-Verschlüsselung mit
GPG. Von der Key-Erzeugung
zur verschlüsselten E-Mail.
OpenRheinRuhr 2010.
13.November 2010 | Vortrag
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Public Key
Private Key
Public Key
Web of Trust
E-Mail signieren
E-Mail verschlüsseln
Schlüssel signieren
Key Server
Schlüsselbund
Key Signing Party
Private KeySchlüssel signieren
Key Server
Key Signing Party
E-Mail verschlüsseln
Web of Trust
Schlüsselbund
E-Mail signieren
???
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Verschlüsselungsverfahren
• Symmetrische Verschlüsselung
– Zum Ver- und Entschlüsseln wird der gleiche Schlüssel genutzt
• Hohe Anzahl benötigter Schlüssel (1 pro Paar)
• Problem des Schlüsselaustausches
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Verschlüsselungsverfahren
• Asymmetrische Verschlüsselung
– Verschlüsselung mit Public Key
– Entschlüsselung mit Private Key
• Geringere Anzahl benötigter Keys (1 pro Person)
• Austausch von Schlüsseln vereinfacht
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Verschlüsselungsverfahren
• Hybride Verschlüsselung
– Nachricht wird mit Zufallsschlüssel symmetrisch verschlüsselt
– Schlüssel wird asymmetrisch verschlüsselt und mitgeliefert
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
E-Mails verschlüsseln
Absender Empfänger
• Absender verschlüsselt mit Public Key des Empfängers
• Empfänger entschlüsselt mit eigenem Private Key
• Empfänger muss Private Key besitzen
• Absender muss Public Key des Empfängers haben
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
E-Mails signieren
Absender Empfänger
• Absender signiert mit eigenem Private Key
• Empfänger verifiziert mit Public Key des Absenders
• Absender muss Private Key besitzen
• Empfänger muss Public Key des Absenders haben
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Was braucht man für gesicherte E-Mail?
• Beide Teilnehmer der E-Mail-Kommunikation müssen einen Key besitzen
• Veröffentlicht wird nur der Public Key!
• Private Key muss geheim bleiben!
• Eigener Private Key durch „Mantra“ geschützt
„Mantra“ ist die „Schwachstelle des Systems“, kann aber beliebig lang sein
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Verwaltung von Schlüsseln
• Verwaltung der Keys im Schlüsselbund
• Steuerung über Kommandozeile oder grafische Tools
• Besteht aus
– Eigenem Schlüssel (privat und öffentlich)
– Fremden Schlüsseln (öffentliche)
– Angaben zu Vertrauen und Gültigkeit
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Einen Key erzeugen
• Kommandozeile mit gpg
gpg --gen-key
Schritt-für-Schritt geführte Erzeugung des Keys
• Grafische Tools, z.B. KGpg
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Was dann?
• Schlüssel selbst signieren, um Echtheit des Schlüssels sicherzustellen
gpg --edit-key Key-ID sign
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Was dann?
• Schlüssel selbst signieren, um Echtheit des Schlüssels sicherzustellen
• Widerrufsurkunde erstellen
gpg --output revoke.asc --gen-revoke Key-ID
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Was dann?
• Schlüssel selbst signieren, um Echtheit des Schlüssels sicherzustellen
• Widerrufsurkunde erstellen
• Key exportieren
gpg --armor --export Key-ID
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Was dann?
• Schlüssel selbst signieren, um Echtheit des Schlüssels sicherzustellen
• Widerrufsurkunde erstellen
• Key exportieren
• Fingerprint und Key-ID bekannt machen
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Einen Key veröffentlichen
• Persönliche Weitergabe
• Veröffentlichung auf eigener Homepage, als Text oder Download
• Auf Key-Servern, z.B.
– wwwkeys.de.pgp.net
– wwwkeys.eu.pgp.net
– gpg-keyserver.de
Die Keyserver synchronisieren sich untereinander!
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Andere Keys suchen, finden und importieren
• Suche nach Key-ID oder nach Namen auf Keyservern
• Direkter Import von persönlich erhaltenen oder von Webseiten importierten Keys
gpg --search-keys Key-ID
gpg --recv-keys Key-ID
gpg --import Key-File
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Das „Web of Trust“
• Importierte Schlüssel können signiert werden
• Jedem Schlüssel kann eine (Eigentümer-)Vertrauensstufe zugewiesen werden:
– Unbekannt (q)
– Kein Vertrauen (n)
– Teilweises Vertrauen (m)
– Volles Vertrauen (f)
• Davon abhängig ist das Vertrauen in den Schlüssel selbst
Vertrauen ist vollständig, wenn
– Der Schlüssel selbst oder
– Von einem Schlüssel vollsten Vertrauens oder
– Von min. 3 Schlüsseln teilweisen Vertrauens unterzeichnet wurde und
– Die so entstandene Kette nicht zu lang ist (5 Schritte)
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Das „Web of Trust“
K
C
J
I
A
ICH
E
F
G
D
B
H
m
f
n
m
m
m
f
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Andere Keys signieren
• Wichtig! Eigentümer authentifizieren
– Über Fingerprint
– Über Ausweisdokumente
z.B. bei Key-Signing-Partys
• Signierten Key an Eigentümer zurückgeben
Veröffentlichung sollte durch Eigentümer selbst erfolgen!
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Signatur durch CAcert
• Voraussetzungen:
– eigenes CAcert-Zertifikat
– mindestens 50 Assurance Points
– Namen im Schlüssel und im Cacert-Zertifikat müssen überein stimmen!
(Quelle: http://wiki.cacert.org/PgpSigning)
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
E-Mails verschlüsseln und signieren
• Text auf Kommandozeile verschlüsseln und als E-Mail versenden
• Verschiedene Hilfsprogramme zur Signierung und Verschlüsselung, z.B.
– Kmail / Kontact (KDE) → Kgpg
– Gnome → Seahorse
– Thunderbird → enigmail
– Div. Webmailer → Browser Add-Ons, wie FireGPG für Firefox
Entwicklung eingestellt
----------------------------
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Fragen? Anmerkungen?
Danke für die Aufmerksamkeit!
Folien bei Slideshare
http://www.slideshare.net/birgithuesken
OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken |
Impressum
Birgit Hüsken
HS Niederrhein
KIS – IT Servicemanagement
Reinarzstr.49
47805 Krefeld
E-Mail birgit.huesken@hs-niederrhein.de
Tel. +49-2151-822-3225
Fax +49-2151-822-85-3225
ORR 2010: E-Mail-Verschlüsselung mit GPG

Contenu connexe

Similaire à ORR 2010: E-Mail-Verschlüsselung mit GPG

ORR 2009: E-Mail-Verschlüsselung mit GPG
ORR 2009: E-Mail-Verschlüsselung mit GPGORR 2009: E-Mail-Verschlüsselung mit GPG
ORR 2009: E-Mail-Verschlüsselung mit GPGBirgit Hüsken
 
CLT 2010: E-Mail-Verschlüsselung mit GPG
CLT 2010: E-Mail-Verschlüsselung mit GPGCLT 2010: E-Mail-Verschlüsselung mit GPG
CLT 2010: E-Mail-Verschlüsselung mit GPGBirgit Hüsken
 
2004 | Kryptographie in Theorie und Praxis: Only the Paranoids Survive
2004 | Kryptographie in Theorie und Praxis: Only the Paranoids Survive2004 | Kryptographie in Theorie und Praxis: Only the Paranoids Survive
2004 | Kryptographie in Theorie und Praxis: Only the Paranoids SurviveJutta Horstmann
 
CLT 2011: E-Mail-Verschlüsselung mit GPG
CLT 2011: E-Mail-Verschlüsselung mit GPGCLT 2011: E-Mail-Verschlüsselung mit GPG
CLT 2011: E-Mail-Verschlüsselung mit GPGBirgit Hüsken
 
E-Mail-Verschlüsselung mit GnuPG
E-Mail-Verschlüsselung mit GnuPGE-Mail-Verschlüsselung mit GnuPG
E-Mail-Verschlüsselung mit GnuPGB1 Systems GmbH
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)tschikarski
 
Kryptographie – Einführung und Anwendungsmöglichkeiten
Kryptographie – Einführung und AnwendungsmöglichkeitenKryptographie – Einführung und Anwendungsmöglichkeiten
Kryptographie – Einführung und AnwendungsmöglichkeitenDigicomp Academy AG
 

Similaire à ORR 2010: E-Mail-Verschlüsselung mit GPG (9)

ORR 2009: E-Mail-Verschlüsselung mit GPG
ORR 2009: E-Mail-Verschlüsselung mit GPGORR 2009: E-Mail-Verschlüsselung mit GPG
ORR 2009: E-Mail-Verschlüsselung mit GPG
 
CLT 2010: E-Mail-Verschlüsselung mit GPG
CLT 2010: E-Mail-Verschlüsselung mit GPGCLT 2010: E-Mail-Verschlüsselung mit GPG
CLT 2010: E-Mail-Verschlüsselung mit GPG
 
2004 | Kryptographie in Theorie und Praxis: Only the Paranoids Survive
2004 | Kryptographie in Theorie und Praxis: Only the Paranoids Survive2004 | Kryptographie in Theorie und Praxis: Only the Paranoids Survive
2004 | Kryptographie in Theorie und Praxis: Only the Paranoids Survive
 
PGP/GPG Einführung
PGP/GPG EinführungPGP/GPG Einführung
PGP/GPG Einführung
 
E-Mail-Sicherheit
E-Mail-SicherheitE-Mail-Sicherheit
E-Mail-Sicherheit
 
CLT 2011: E-Mail-Verschlüsselung mit GPG
CLT 2011: E-Mail-Verschlüsselung mit GPGCLT 2011: E-Mail-Verschlüsselung mit GPG
CLT 2011: E-Mail-Verschlüsselung mit GPG
 
E-Mail-Verschlüsselung mit GnuPG
E-Mail-Verschlüsselung mit GnuPGE-Mail-Verschlüsselung mit GnuPG
E-Mail-Verschlüsselung mit GnuPG
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)
 
Kryptographie – Einführung und Anwendungsmöglichkeiten
Kryptographie – Einführung und AnwendungsmöglichkeitenKryptographie – Einführung und Anwendungsmöglichkeiten
Kryptographie – Einführung und Anwendungsmöglichkeiten
 

ORR 2010: E-Mail-Verschlüsselung mit GPG

  • 2. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | E-Mail-Verschlüsselung mit GPG. Von der Key-Erzeugung zur verschlüsselten E-Mail. OpenRheinRuhr 2010. 13.November 2010 | Vortrag
  • 3. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Public Key Private Key Public Key Web of Trust E-Mail signieren E-Mail verschlüsseln Schlüssel signieren Key Server Schlüsselbund Key Signing Party Private KeySchlüssel signieren Key Server Key Signing Party E-Mail verschlüsseln Web of Trust Schlüsselbund E-Mail signieren ???
  • 4. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Verschlüsselungsverfahren • Symmetrische Verschlüsselung – Zum Ver- und Entschlüsseln wird der gleiche Schlüssel genutzt • Hohe Anzahl benötigter Schlüssel (1 pro Paar) • Problem des Schlüsselaustausches
  • 5. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Verschlüsselungsverfahren • Asymmetrische Verschlüsselung – Verschlüsselung mit Public Key – Entschlüsselung mit Private Key • Geringere Anzahl benötigter Keys (1 pro Person) • Austausch von Schlüsseln vereinfacht
  • 6. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Verschlüsselungsverfahren • Hybride Verschlüsselung – Nachricht wird mit Zufallsschlüssel symmetrisch verschlüsselt – Schlüssel wird asymmetrisch verschlüsselt und mitgeliefert
  • 7. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | E-Mails verschlüsseln Absender Empfänger • Absender verschlüsselt mit Public Key des Empfängers • Empfänger entschlüsselt mit eigenem Private Key • Empfänger muss Private Key besitzen • Absender muss Public Key des Empfängers haben
  • 8. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | E-Mails signieren Absender Empfänger • Absender signiert mit eigenem Private Key • Empfänger verifiziert mit Public Key des Absenders • Absender muss Private Key besitzen • Empfänger muss Public Key des Absenders haben
  • 9. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Was braucht man für gesicherte E-Mail? • Beide Teilnehmer der E-Mail-Kommunikation müssen einen Key besitzen • Veröffentlicht wird nur der Public Key! • Private Key muss geheim bleiben! • Eigener Private Key durch „Mantra“ geschützt „Mantra“ ist die „Schwachstelle des Systems“, kann aber beliebig lang sein
  • 10. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Verwaltung von Schlüsseln • Verwaltung der Keys im Schlüsselbund • Steuerung über Kommandozeile oder grafische Tools • Besteht aus – Eigenem Schlüssel (privat und öffentlich) – Fremden Schlüsseln (öffentliche) – Angaben zu Vertrauen und Gültigkeit
  • 11. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Einen Key erzeugen • Kommandozeile mit gpg gpg --gen-key Schritt-für-Schritt geführte Erzeugung des Keys • Grafische Tools, z.B. KGpg
  • 12. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Was dann? • Schlüssel selbst signieren, um Echtheit des Schlüssels sicherzustellen gpg --edit-key Key-ID sign
  • 13. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Was dann? • Schlüssel selbst signieren, um Echtheit des Schlüssels sicherzustellen • Widerrufsurkunde erstellen gpg --output revoke.asc --gen-revoke Key-ID
  • 14. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Was dann? • Schlüssel selbst signieren, um Echtheit des Schlüssels sicherzustellen • Widerrufsurkunde erstellen • Key exportieren gpg --armor --export Key-ID
  • 15. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Was dann? • Schlüssel selbst signieren, um Echtheit des Schlüssels sicherzustellen • Widerrufsurkunde erstellen • Key exportieren • Fingerprint und Key-ID bekannt machen
  • 16. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Einen Key veröffentlichen • Persönliche Weitergabe • Veröffentlichung auf eigener Homepage, als Text oder Download • Auf Key-Servern, z.B. – wwwkeys.de.pgp.net – wwwkeys.eu.pgp.net – gpg-keyserver.de Die Keyserver synchronisieren sich untereinander!
  • 17. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Andere Keys suchen, finden und importieren • Suche nach Key-ID oder nach Namen auf Keyservern • Direkter Import von persönlich erhaltenen oder von Webseiten importierten Keys gpg --search-keys Key-ID gpg --recv-keys Key-ID gpg --import Key-File
  • 18. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Das „Web of Trust“ • Importierte Schlüssel können signiert werden • Jedem Schlüssel kann eine (Eigentümer-)Vertrauensstufe zugewiesen werden: – Unbekannt (q) – Kein Vertrauen (n) – Teilweises Vertrauen (m) – Volles Vertrauen (f) • Davon abhängig ist das Vertrauen in den Schlüssel selbst Vertrauen ist vollständig, wenn – Der Schlüssel selbst oder – Von einem Schlüssel vollsten Vertrauens oder – Von min. 3 Schlüsseln teilweisen Vertrauens unterzeichnet wurde und – Die so entstandene Kette nicht zu lang ist (5 Schritte)
  • 19. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Das „Web of Trust“ K C J I A ICH E F G D B H m f n m m m f
  • 20. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Andere Keys signieren • Wichtig! Eigentümer authentifizieren – Über Fingerprint – Über Ausweisdokumente z.B. bei Key-Signing-Partys • Signierten Key an Eigentümer zurückgeben Veröffentlichung sollte durch Eigentümer selbst erfolgen!
  • 21. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Signatur durch CAcert • Voraussetzungen: – eigenes CAcert-Zertifikat – mindestens 50 Assurance Points – Namen im Schlüssel und im Cacert-Zertifikat müssen überein stimmen! (Quelle: http://wiki.cacert.org/PgpSigning)
  • 22. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | E-Mails verschlüsseln und signieren • Text auf Kommandozeile verschlüsseln und als E-Mail versenden • Verschiedene Hilfsprogramme zur Signierung und Verschlüsselung, z.B. – Kmail / Kontact (KDE) → Kgpg – Gnome → Seahorse – Thunderbird → enigmail – Div. Webmailer → Browser Add-Ons, wie FireGPG für Firefox Entwicklung eingestellt ----------------------------
  • 23. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Fragen? Anmerkungen? Danke für die Aufmerksamkeit! Folien bei Slideshare http://www.slideshare.net/birgithuesken
  • 24. OpenRheinRuhr 2010 | 13.11.2010 | E-Mail-Verschlüsselung mit GPG | Birgit Hüsken | Impressum Birgit Hüsken HS Niederrhein KIS – IT Servicemanagement Reinarzstr.49 47805 Krefeld E-Mail birgit.huesken@hs-niederrhein.de Tel. +49-2151-822-3225 Fax +49-2151-822-85-3225