Gpg und mutt

Aus LUGNMB

Wechseln zu: Navigation, Suche

Howto gnupg und mutt von Marco

Ziel dieser HowTo ist es, dir kurz zu zeigen, wie du mit Mutt Mails verschicken / empfangen kannst, die mit Hilfe von GnuPG verschluesselt / signiert worden.

Ich erklaehr das Ganze einfach mal unter Woody (Debian). Auf anderen Distris sollte es aenlich funktionieren...

Als Erstes installieren wir uns die noetige Software - falls nicht schon geschehen.

Erst mal mutt: 

apt-get install mutt

Dann gnupg: 

apt-get install gnupg

Tippfaule installieren alles in einem Rutsch: 

apt-get install mutt gnupg

Als naechster Schritt sollte ein eigener Key erstellt werden. (Wer beim Stammtisch dabei war, duerfte sogar schon einen passenden haben ;-) 

cd ~ 
gnupg --gen-key

Jetzt stellt gnupg ein paar Fragen, die man beantworten sollte! 

Please select what kind of key you want:
  (1) DSA and ElGamal? (default)
  (2) DSA (sign only)
Your selection?

Hier bleiben wir beim Default = 1 

DSA keypair will have 1024 bits. About to generate a new ELG-E keypair.
             minimum keysize is  768 bits
             default keysize is 1024 bits
   highest suggested keysize is 2048 bits

What keysize do you want? (1024)

Na klar nehmen wir das Kilo ;-) Paranoiker duerfen auch gern verdoppeln. Aber das bringt nur mehr Arbeit fuer den Rechner... 

Requested keysize is 1024 bits Please specify how long the key should be valid.
        0 = key does not expire
     <n>  = key expires in n days
     <n>w = key expires in n weeks
     <n>m = key expires in n months
     <n>y = key expires in n years

Key is valid for? (0)

Das ist ne Fangfrage. Wie lange soll der Key gueltig sein? Richtige Antworten liegen bei

  • 0 ==> immer gueltig
  • 1w ==> wenn du nur mal ebend probieren willst
  • 1y ==> 1 Jahr, ist wohl gaengige Praxis
  • 100y ==> OK, OK war ein Joke, so alt wird kein User 
Is this correct (y/n)?

Klar haben wir alles richtig eingegeben - also y

Als naechstes werden wir nach Realname, Mailadresse und Kommentar gefragt. Das sollte nicht allzuschwer zu beantworten sein...

Die Rueckfrage, ob alles korrekt eingegeben wurde, bestaetigen wir mutig mit OK.

Nun will er ne PassPhrase haben. Was das ist? Nun, einfach gesagt, so ne Art Passwort. Dieses Ding will er in Zukunft immer wissen, wenn er was zu signieren, zu verschluesseln oder zu entschluesseln hat.

Die PassPhrase sollte nicht zu einfach aber auch nicht zu umfangreich sein. Also etwas mehr wie ein normales Passwort und etwas weniger als ein kompletter Lebenslauf. (Nen Dreizeiler zu verschluesseln und dafuer ne 20-seitige Passphrase einzutippen, macht wohl wenig Sinn...)

Nach der Eingabe - und der Wiederholung - der PassPhrase, faengt gnupg an, den Schluessel zu generieren. Wenn das abgeschlossen ist, liegen zwei neue Dateien im Ordner ~/.gnupg

  • pubring.gpg - der oeffentliche Schluesselring
  • secring.gpg - der geheime Schluesselring

Ihr tut gut daran, beide Dateien als Backup zu sichern !!!

Kluge Koepfe erstellen jetzt mit 

gpg --gen-revoke

noch ein Widerrufszertifikat.

Damit kann man im Zweifel seinen oeffentlichen Key wiederrufen. (Z.B. Weil der private "verlohren" gegangen ist.)

Als naechsten Schritt solltet ihr den oeffentlichen Key veroeffentlichen. Das klappt per Mail oder per Keyserver. Letzteres ist natuerlich wesentlich besser, weil ihr nicht jedem den Key schicken muesst...

Um etwas auf den Keyserver zu schicken, kontrolliert ihr erst einmal die Datei options im .gnupg - Verzeichnis

Hier sollte zumindest eine Zeile mit 

keyserver wwwkeys.de.pgp.net

auftauchen.

Mit 

gpg --send-keys

sendet ihr den Key auf den Server. Damit ist er fuer alle erreichbar.

Kleine Anmerkung: Ein solcher Key ist wie ein unabgestempelter Ausweis. Er wird erst dadurch richtig vertrauenswuerdig, wenn jemand ihn beglaubigt. So etwas passiert in der Regel auf einer KeySignParty.

So, nun haben wir unseren Key. Wie geht das nun aber mit der signierten Mail?

Unter Debian ist schon alles fertig. Einfach Mutt aufrufen, Mail schreiben und den Editor verlassen. Jetzt per "ps" das Signieren aktivieren. Ihr werden nach eurer PassPhrase gefragt - die ihr euch natuerlich gemerkt habt. Dann per "y" die Mail abschicken.

Der Empfaenger wird von Mutt gefragt, ob er die Signatur ueberpruefen will. Wenn er mit "y" bestaetigt, wird - so noch nicht vorhanden - der passende Key vom Keyserver abgerufen und die Mail ueberprueft. Im Mailfenster steht dann etwas in der Art

Mail ist mit Schluessel von ... signiert. Es kann nicht garantiert werden, dass Schluessel auch echt ist.

Der zweite Satz entfaellt, sobald der Key von jemanden signiert wurde... Aber das ist eine andere Baustelle... Ich hoffe, diese HowTo hat euch etwas weitergeholfen. Wer Fragen oder Anregungen hat, schreibe mir bitte an Bishop06@gmx.net

P.S: Diese HowTo steht unter der GPL. Vervielfaeltigung ist damit ausdruecklich erwuenscht. Allerdings faende ich es nett, wenn ihr mir mitteilt, wo ihr diese HowTo veroeffentlicht. Eine kommerzielle Verwertung schliesse ich hiermit im uenbrigen voellig aus. (Es sei denn ich bekomme was vom Kuchen ab ;-)))

Von „http://lugnmb.dyndns.org/mediawiki/index.php/Gpg_und_mutt
Persönliche Werkzeuge