Grundsatzfrage: Email Signatur

[Cyberbob73]

Moin moin ...

Ich hab da mal eine Frage zur Email Signatur und hoffe das ich auch hier im richtigen Unterforum bin.

Ich habe die letzten 2 Tage mich zwar schon ausgibig im Internet sowie in diversen Wikis sowohl auch hier im Forum Infos versucht zu sammeln, aber irgendwie versteh ich das nicht wirklich mehr. Manchmal ist zuviel "Input" einfach etwas verwirrend, für mich jedenfalls im Moment.

Deswegen möchte ich nun doch etwas gezielter auf meine Fragen einige Antworten finden und hoffe, der eine oder auch andere von Euch wird mir da behilflich sein.

Signieren & Verschlüsseln

Eine Email Signatur kann man ja mittels eines Zertifikates (z.B. Trust,Thwate...) erstellen oder über Private & Öffentliche Schlüssel (z.B. mit gpg,kgpg, etc...), jedenfalls hab ich das gelesen und auch so probiert.
Habe mich bei Thrust und auch Thwate mal angemeldet wegen so einem EMail Zertifikat, aber das funktioniert ja nur in den verschiedenen Browsern bzw. deren eigenen email Programme. Irgendwie hab ich es nicht auf die Reihe gebracht, das in KMail oder Evolution zu integrieren. Habs dann auch erstmal bei beiden o.g wieder rückgängig machen lassen, auch weil ich keine hilfreichen Infos dazu im Netz gefunden habe. Leider bin ich eben auch kein Linux Profi... und mein englisch ist auch schlechter als die vielleicht ganzen Rechtschreibfehler hier...

Das zweite was ich dann probiert habe war, das ich mir mit dem KDE Appz Kgpg zwar einen Schlüssel erstellt habe und auch auf einen dieser KeyServer geladen habe. Was ich aber hätte sein lassen sollen, so wie ich einige Stunden später nachlesen mußte. Denn man kann die erstellten Schlüssel ja nicht wieder löschen (irgendwas mit revkove o.s.ä.).

Diese erstellten Schlüssel wurden mir auch von Kmail erkannt und die emails wurden dann auch versendet. Jedoch konnte ich auf meinem zweit Rechner (beide mit debian bestückt - was denn sonst) die emails sowohl in Kmail als auch in Evolution problemlos lesen. das einzige was war, das mir die Signatur als ungültig (roter rahmen drumm) anzeigte wurde.

...

Was ist eigentlich, wenn der Empfänger der email kein solches Programm zur Entschlüsselung einsetzt - dann kann er oder sie die email ja nicht lesen - was mir ja sogar einleuchet. Sind ja anscheinend auch sehr wenige, die ihre email`s und deren Verkehr verschlüsseln, so konnte ich das ebenfalls herrausfinden, was ich aber ganz ehrlich auch ein wenig schade finde. Vielleicht sollte man solch Verfahren in jedes BS integrieren...

Da ja wie gesagt eben nur wenige diese Möglichkeit der Verschlüsselung nutzten, sei es aus Faulheit (so wie ich bisher ja auch) oder aus Bequemlichkeit oder des nicht einscätzbaren Risikos oder wie auch immer, kann ich persönlich keine verschlüsselten emails versenden, da diese sonst kein einzigster lesen könnte.

Da bleibt mir dann wenigstens nur noch die Möglichkeit, die emails zu Signieren. Aber nur wie ??? Muß der email Empfänger dann trotzdem ein solches GPG Programm einsetzten oder wie funktioniert das ??? Ich habe das hier auf meinen beiden Rechner mal probiert, aber in der ankommenden email wird mir die Signatur immer als ungültig angezeigt.
Oder muß erst irgendeiner diese email bzw. Signatur bestätigen, damit diese dann immer als bestätigt angezeit wird, also auch bei Leuten die eigentlich kein GPG Programm einsetzten ?

Also ich hoffe/wünsche, das mir jemand etwas Licht in mein Dunkel bringen kann (aufklären) und Sorry, ich bin nicht der beste Problembeschreiber...,denke aber das Ihr versteht was ich hier meine

Danke

[Stratovarius]

Also grade gnupg arbeitet ja mit dem 2-Schlüssel-Prinzip - einem öffentlichen und einem privatem Schlüssel. Mit

Code: Alles auswählen

gpg --list-keys

kannst du dir deine beiden Schlüssel auf der Konsole anzeigen lassen. Das sollte in etwas so aussehen:

Code: Alles auswählen

pub   1024D/DB5B7218 2004-10-28
uid   Martin Ritter (Knightnet) <mail@adres.se>
sub   xxxxx/xxxxxxxx 2004-10-28

pub ist dabei der öffentliche Schlüssel, wobei es auf DB5B7218 in der ersten Zeile ankommt.

Das Prinzip nun ist: Willst du jemanden eine verschlüsselte Email schicken, dann brauchst du seinen öffentlichen Schlüssel. Damit nämlich verschlüsselst du die Nachricht. Dein Gegenüber kann diese Nachricht dann mit seinem privaten Schlüssel wieder entschlüsseln.

Es muss also erst mal zu einem Schlüsseltausch kommen. Das kannst du auch ganz einfach auf der Konsole machen mit

Code: Alles auswählen

gpg --export -a -o ~/MAILADRESSE.asc DB5B7218

(MAILADRESSE oder irgend ein anderer Name - ist dir überlassen)
Damit legst du in deinem Homeverzeichnis eine Datei an die jede menge kryptischer Zeilen enthält.
Diese Datei kannst du jetzt auf (d)einem Webserver veröffentlichen, oder per Email verschicken - ist ja ohnehin ein öffentlicher Schlüssel.
Dein Gegenüber muss diesen Schlüssel jetzt mit

Code: Alles auswählen

gpg --import /pfad/zum/key/MAILADRESSE.asc

importieren.
Wenn du jetzt auch seinen öffentlichen Schlüssel hast, dann kannst du mit z.B. Evolution die Mail verschlüsseln - aber nur an die Mailadresse, dessen Schlüssel du hast - und das erkennt und macht Evolution dann auch automatisch.
Dafür einfach vorm abschicken der Email im Menüpunkt Sicherheit auf Mit PGP verschlüsseln klicken.

Zum Signieren deiner Emails fügst du einfach den Schlüssel bei dem entsprechenden Konto ein.
Unter Evolution ist das im Menüpunkt Bearbeiten -> Einstellungen -> Konto auswählen -> Bearbeiten -> Register Sicherheit.
Hier fügst du bei der PGP/GPG Schlüsselkennung den Schlüssel ein. In meinem Beispiel wäre es DB5B7218.
Dann kannst du noch den Haken setzen ob alle Emails signiert werden sollen.

Wie das unter Kmail funktioniert kann ich dir nicht sagen, da ich es nicht kenne.

Wenn dein Gegenüber Windows benutzt und dazu auch noch Outlook, kannst du dir das Ganze aber auch sparen, da gpg und Outlook (Outlook Express ebenfalls) damit nicht umgehen können.
Ich glaube aber Thunderbird kann das, hier ist dann aber auch jemand anderes gefragt, da ich keine Ahnung davon habe

Hoffe das hilft dir erst mal

Gruß
Strato

Edith hat mal lieber die Email entfernt - man muss Spam ja nicht herausfordern

[Ogion]

Um auf einen Denkfehler/Verständnissfehler zu antworten:
Bei gnupg (also pgp Schlüsseln/allgemein bei asymetrischen Verfahren) gibt es zwei Schlüssel: einen öffentlichen und einen privaten. Wenn du nun eine verschlüsselte Mail an jemanden schicken willst, dann musst du dessen! öffentlichen Schlüssel haben. Dann wird in deinem Programm die Mail mit dessen öffentlichen Schlüssel verschlüsselt, und nur noch er kann sie wieder lesen. Eine Signatur deiner Mail wird von deinem! privaten Schlüssel angefertigt. Die Signatur ist ein verschlüsselter Hash deiner Mail, sodass, wenn dein gegenüber deinen öffentlichen Schlüssel von einem Schlüssöeserver runtergeladen hat, er diesen Anhang entschlüsseln kann, und dann vergelicht das Programm den verschlüsselten Hash mit einem selbst erstellten Hash und kann dir somit sagen, ob die Mail nach dem verschicken nochmal verändert wurde (also kompromittiert/manipuliert). Diese Sigantur kann jeder entschlüsseln (da sie ja mit dem öffentlichen Schlüssel entschlüsselt wird und mit dem privaten erstellt), aber niemand kann die Signatur manipulieren, denn den privaten Schlüssel hat ja (hoffentlich) nur der Eigner des Schlüssels.

Sofern dein gegenüber keinen Schlüssel hat, kannst du ihm gar keine verschlüsselte Mail schicken...
Sofern dein gegenüber kein Programm hat, mit dem er gpg bearbeiten kann, dann kann er zwar deine Signatur nicht entschlüsslen, die Mail kann er aber trotzdem lesen. Er kann dann natürlich auch nicht überprüfen ob die Mail wirklich von dir ist (aber das kann er ja dann sowieso nicht, denn normale Mails sind ja völlig unsicher.)


Hoffe klar geworden zu sein
Ogion

P.S.: Ein ganz gutes HowTo:
http://hp.kairaven.de/pgp/gpg/index.html

EDIT: Da ist mir wohl jemand zuvor gekommen
Naja, doppelt hält besser

[Cyberbob73]

Danke Euch beiden für die raschen und ausführlichen Antworten.

Also hab ich das jetzt richtig verstanden, da ich keinen einzigen kenne der irgendein GPG Programm verwendet (leider), kann ich somit auch keine emails mit Signatur versenden, verschlüsselte emails ja sowieso nicht, das leuchtet mir ein.

Dann wäre aber zu erklären, warum hab ich gestern eine email bekommen, die mir eine gültige (überprüfte oder heist das bestätigte) Signatur in dieser email anzeigte, obwohl ich ja gar keinen Schlüssel hatte ....

Sorry, wenn ich Euch vielleicht etwas nervig erscheine, aber das Thema und deren Funktionweise interessiert mich doch sehr (nicht nur der anstehenden gesetzesänderung). Klar es gibt viele Tutorials im Netz wo man nachlesen kann (wobei ich fast alle schon durch habe), aber die meisten sind in englisch und da verstehe ich nichts und die deutschen erklären die Einrichtung von diesen Schlüsseln, aber eben nicht die eigentliche Funktionsweise.

Mir geht es primär ja auch nicht mehr um verschlüsselte emails allgemein, da ja wie gesagt nur sehr wenige die entsprechenden Programme dafür einsetzten, sondern um die Signierung.

Also kurz gesagt und auch gefragt, selbst wenn ich eine offene nicht verschlüsselte aber dafür eine signierte email versenden möchte, brauch mein gegenüber auf alle Fälle ein GPG Programm, damit meine Signatur als echt bzw. bestätigt und nicht als ungültig angezeigt wird - richtig ???

Gibt es denn Alternativen um die Echtheit des Absenders zu bestätigen ?

[Stratovarius]

Also hab ich das jetzt richtig verstanden, da ich keinen einzigen kenne der irgendein GPG Programm verwendet (leider), kann ich somit auch keine emails mit Signatur versenden

Du kannst deine Emails schon signieren - das machst du ja mit deinem Schlüssel.

Also kurz gesagt und auch gefragt, selbst wenn ich eine offene nicht verschlüsselte aber dafür eine signierte email versenden möchte, brauch mein gegenüber auf alle Fälle ein GPG Programm, damit meine Signatur als echt bzw. bestätigt und nicht als ungültig angezeigt wird - richtig ???

Ja

Gibt es denn Alternativen um die Echtheit des Absenders zu bestätigen ?

Nicht das ich wüsste.

Gruß
Strato

[Cyberbob73]

Vielen herzlichen Dank "Strato" & Ogion

Dann hat sich wohl leider vorerst dieses Thema von selbst erledigt, bis die Leute anfangen zu schätzen wissen, (meine Meinung) das/wie wichtig (Privatsphäre) das verschlüsseln von email`s sein wird.

Schade eigentlich...

Ich danke trotzdem für die Erklärungen und Hilfestellungen ===> Danke.

Verschlüsselt oder Signiert eigentlich überhaupt jemand seinen email Verkehr - oder sind das wirklich nur ne Handvoll an leuten die das nutzen ... (?)

[Duff]

Ich habe es z.B. noch nicht probiert.

Dann kommt noch das Problem mit dem Enschlüsseln der Mails.

Was müssen denn die Windows-User (oftmals Empfänger von Emails) machen?
...dass müsste ich denen ja dann auch bestimmt noch erklären, wenn ich es denn rausgefunden habe...

[Ogion]

Also ich signiere sämtliche meiner Emails, auch wenn der größte Teil der Empfänger gpg nicht haben, und das so nicht nutzen können. Stört ja auch nicht groß, denn dann sehen sie zwar ein wenig Buchstabensalat oder nen Anhang mit Buchstabensalat, aber die eigentlich Mail können sie doch lesen.
Ich hab ein paar (naja, sehr wenige), denen ich auch mal verschlüsselte Mails schicke.

Und ich jabber mit einem über gpg (also die einzelnen Nachrichten werden vom Jabberprog verschlüsselt, und bei ihm wiede rentschlüsselt und andersrum.)

Aber ja, du hast Recht, es ist sehr schade, dass die meisten da einfach nicht drüber nachdenken...
Dabei ist nach der Einrichtung die einzige 'Unbequemlichkeit' das Eingeben der Passphrase^

Ogion

[Ogion]

Ja also naja, man muss halt unter Windoofs dann auch gpg installieren. Aber danach, da ja viele Thunderbird nehmen, da kann man einfach über das Plugin Enigma arbieten, das ist eigentlich recht bequem.
Aber ne genaue Anleitung kann ich dir nicht geben, da das letzte Windoofs das ich benutzt habe Win98 war

Ogion

[Cyberbob73]

Aber ja, du hast Recht, es ist sehr schade, dass die meisten da einfach nicht drüber nachdenken...
Dabei ist nach der Einrichtung die einzige 'Unbequemlichkeit' das Eingeben der Passphrase^

Viele der Windows User die ich kenne, sind durch das Windows total verblödet. Sorry, wenn das jetzt vielleicht etwas hart klingt, aber in der Praxis schaut es wohl so aus. Die meisten müssen doch nur ne CD einlegen und mit der Maus irgendwelche Buttons mit wenigen Klicks bestätigen. Das wars auch schon - aber was was dabei eigentlich gemacht wurde, ist vielen unklar bzw. viele wollen es auch gar nicht wissen. Klar, hat bestimmt auch seine Vorteile. Aber der Nachteil ist dadurch, das viele zwar wissen wie man den Rechner einschaltet und wie man im Internet surft, das war`s dann aber auch schon. Jedenfalls kenne ich nen Haufen solcher Leute, die ich privat kenne. Von Linux wollen die NIX wissen und schwören auf Ihr Windows - obwohl die eigentlich gar keine Ahnung haben.

Aber zurück zum Thema, denn so schnell werd ich dann wohldoch nicht aufgeben. Werde mir wohl doch eine ganz private email anlegen - für die Leute die das GPG verwenden oder bald werden. Vielleicht kann ich damit ja den einen oder auch anderen User (zumindest die ich kenne) dazu bewegen, ebenfalls auf einen sicheren email Versand umzusteigen.

Also, wenn ich noch Fragen hab zu diesem Thema wende ich mich wieder an Euch - darf ich doch oder ???
Geht schneller - als das ich erst wieder zwei Tage im Netz nach Infos zu meinen Fragen suchen muß, um am Ende dennoch mit leeren Händen dazu stehen.

[Stratovarius]

Ich signiere auch jede meiner Emails - wie Ogion schon schrieb: es stört ja nicht weiter.
Der überwiegende Teil meiner Bekannten und Freunde nutzt natürlich auch Windows, bei denen man meist ohnehin auf taube Ohren stößt.

Was mich allerdings sehr nervt: Diejenigen welchen die schon Linux nutzen (in meinem Kreise jetzt), die nutzen meist auch kein gpg - das finde ich schon traurig.

Ich habe zwar nichts zu verstecken, aber schon aus Prinzip würde ich liebend gerne alles verschlüsseln.

Naja - Kampf gegen Windmühlen und so ...

Gruß
Strato

[duese]

Vielleicht sollte man damit anfangen, zumindest seine E-Mails standardmäßig zu signieren. Irgendwann kommt dann vielleicht wer, der fragt, "Hey, was soll dieser Buchstabensalat™ am Anfang Deiner Mails?"...

Vielleicht kann man ja so den ein oder anderen für Verschlüsselung gewinnen...

[Duff]

Werde meine Mails wohl auch demnächst mal verschlüsseln und schauen, was dann so passiert

...bin schon sehr gespannt...

[Cyberbob73]

Hab mir gerade einen Test Schlüssel angelegt, damit ich wenigstens meine emails Signieren kann.

Und wie stelle ich den öffentlich Schlüssel nun zum Beispiel in der Signatur meines Forums bereit ?

Bzw. was muß ich dann machen, wenn ich z.B. eine ebenfalls Signierte oder gar verschlüsselte email erhalten sollte ?

Könnte mir jemand nicht einmal eine Signierte oder verschlüsselte email senden - damit ich mir den Vorgang besser anschauen kann bzw. verstehe ...

[duese]

Kennst Du schon die folgenden Wiki-Einträge?
http://wiki.debianforum.de/GnuPG?highlight=%28gpg%29
http://wiki.debianforum.de/Drizzt_Do%27 ... =%28gpg%29

Ich habe Dir mal eine signierte PN geschickt.

Gruß,
Thomas

[Cyberbob73]

Ok, hab die PN erhalten.

Aber wo finde ich meinen Öffentlichen Schlüssel überhaupt ??? Hab mein Schlüsselbund mit dem KDE Appz Kgpg erstellt und da finde ich ausser dem Fingerprint, Scklüsselkennung nichts anderes ...

Sorry, bin ja auch gerade erst dabei diese Funktionweise zu verstehen und zu erlernen.

PS: Wo muß ich denn deinen Schlüssel (aus deiner PN) eintragen ?

[duese]

Auf einer Konsole Deiner Wahl gibts Du ein:

Code: Alles auswählen

gpg --list-public-keys

Dies zeigt Dir alle öffentlichen Schlüssel an, die Du besitzt, einschließlich Deiner eigenen.

Wenn Du nur gpg eingibst, wirst Du aufgefordert, einen Text einzugeben. Dort fügst Du den signierten Text ein und schließt mit Strg+D ab. Wenn Du mit C&P arbeitest, wird gpg sagen, dass der Text "schlecht" signiert ist, da das Forum den Quelltext nicht anzeigt, ich aber jenen verschlüsselt habe.

Ich habe den Text beispielsweise mit FireGPG [1] siginiert.

Ich schick's nochmal an die E-Mail-Adresse.

Ich denke, dass das KDE Programm auch eine Möglichkeit bietet, Deinen (öffentlichen) Schlüssel zu exportieren, beziehungsweise anzuzeigen. Das kannst Du machen und mir den Schlüssel bspw. per E-Mail schicken. Einfacher ist natürlich ein Schlüsselserver, aber lege dazu vorher ein Widerrufsschlüssel [2] an.

Auf der Konsole kannst Du mit der --export Option arbeiten, um Schlüssel zu exportieren. Siehe dazu "man gpg".

Gruß,
Thomas

[1]: http://firegpg.tuxfamily.org/
[2]: http://de.wikibooks.org/wiki/GnuPG

[Cyberbob73]

Ahh so geht das

Dann müste mein Öffentlicher Schlüssel also B6173891 sein.

pub 4096R/B6173891 2007-12-12 [expires: 2008-12-11]

Wenn Du nur gpg eingibst,

Was für ein Text muß man denn da eingeben ?

Und wo muß ich nun Deinen Schlüssel eintragen ?

[duese]

Ahh so geht das

Dann müste mein Öffentlicher Schlüssel also B6173891 sein.

pub 4096R/B6173891 2007-12-12 [expires: 2008-12-11]

Stimmt.

Wenn Du nur gpg eingibst,

Was für ein Text muß man denn da eingeben ?

Da gibst Du den Text ein, dessen Signatur Du überprüfen willst. Oder Du gibst dort einen verschlüsselten Text ein.

Und wo muß ich nun Deinen Schlüssel eintragen ?

Du kannst den Schlüssel sicherlich mit Deinem KDE-Programm importieren. Da musst Du mal in die entsprechende Doku gucken.

Über die Konsole kannst Du das mit den Optionen "--import" und eventl. "--keyserver" machen. Siehe dazu die man-Page von gpg.

Als Keyserver kannst Du z.B. keyserver.noreply.org nehmen.

Gruß,
Thomas

[crazyed]

Mal 'ne grundsätzliche Klärung:

Eine mit einer Signatur versehene Email kann jeder lesen. Sie enthält lediglich die Kennung des öffentlichen Teil deines Schlüssels. Mit dieser Kennung kann jeder deinen öffentlichen Schlüssel beziehen und Emails an dich verschlüsseln. Nur du kannst mit deinem nichtöffentlichen Teil des Schlüssels und dem dazugehörigen Passwort diese Email entschlüsseln und damit auch öffnen und im Klartext lesen.

Im Gegenzug kannst du Emails verschlüsselt an jemand nur versenden, wenn du seinen öffentlichen Teil des Schlüssels bei dir auf dem PC abgespeichert(importiert) hast. Und nur der Empfänger kann diese Email mit seinem nichtöffentlichen Teil des Schlüssels und dem dazugehörigen Passwort öffnen.

In diesem Post werden bislang Verschlüsselung und Signatur durcheinander gewürfelt. Die Signatur ist der einfachste Weg jemand auf das Vorhandensein eines öffentlichen Schlüssels hinzuweisen. Aus meiner Erfahrung heraus wissen aber nur verschwindend wenige Empfänger damit etwas anzufangen...

Man kann seinen öffentlichen Teil des Schlüssels auch als Textdatei verschicken oder auf seiner Webseite zum herunterladen anbieten.

[duese]

In diesem Post werden bislang Verschlüsselung und Signatur durcheinander gewürfelt.

Meinst Du mich?

Aus meiner Erfahrung heraus wissen aber nur verschwindend wenige Empfänger damit etwas anzufangen...

Ja, leider.

Gruß,
Thomas

[crazyed]

Meinst Du mich?

Nein, es kommt aber in diesem Beitrag nicht klar heraus was was ist.

[Cyberbob73]

In diesem Post werden bislang Verschlüsselung und Signatur durcheinander gewürfelt. Die Signatur ist der einfachste Weg jemand auf das Vorhandensein eines öffentlichen Schlüssels hinzuweisen. Aus meiner Erfahrung heraus wissen aber nur verschwindend wenige Empfänger damit etwas anzufangen...

Aus diesem Grunde möchte ich ja auch wenigstens all meine ausgehenden emails Signieren (nicht verschlüsseln), um so die Leute wenigstens darauf aufmerksam zu machen, das man seine emails auch verschlüsseln kann.

Hab ja Dank Eurer Hilfe in den letzten Stunden schon mehr gelernt, als in den vergangenen 2 Tagen, wo ich nur nach Infos zu diesem Thema gesucht habe um mir ein Bild über die Funktionsweise und Handhabung zu machen.

Eine Frage die mir noch unklar ist, wie importiere ich einen Schlüssel wenn ich seine Datei.asc nicht habe ???

Man sieht ja manchmal so einen ellenlangen Code der der öffentliche Schlüssel ist - aber wie zum Geier importiere ich das ganze ?

[Cyberbob73]

Ahhhh - einfach den ganzen Text kopieren, in die Zwischenablage und dann per KGPG importieren.

Jetzt hab ichs geschnallt ... und wieder ein Problem weniger

[crazyed]

Man sieht ja manchmal so einen ellenlangen Code der der öffentliche Schlüssel ist - aber wie zum Geier importiere ich das ganze ?

Entweder als ganz gewöhnliche Textdatei, oder mit dem von dir verwendeten Programm. Ich verwende(aus Gewohnheit) gpgkeys, in KDE oder Gnome gibt es bestimmt ein vergleichbares. Dort muss es die Option geben entweder eine gespeicherte Textdatei oder einen Import von einem Schlüsselserver durchzuführen.

EDIT: zu spät gepostet