OpenPGP Einsteiger Setup, Fragen zu Terminology (Passphrase vs passwort), Schlüsselsetup Schlüsselaustausch, Schlüsselverwaltung

Sarif.Industries-DeusEx's Avatar

Sarif.Industries-DeusEx

18 May, 2019 01:21 PM

Hello Community,

As far as PGP encryption etc. is concerned, I am a total newcomer and after days I managed to send an encrypted and signed e-mail.

If I have created keys for one of my existing e-mail addresses and uploaded them with a secure password (all boxes are green). Now I want the public key (to send to friends for example) and the private (so that I can safely save this and the encrypted e-mail of my friend can also read / decrypt). I want to use Apple Mail.

Now the question: When exporting the private key from the GPG Keychain is required for a "passphrase". And here I just can not continue ... I read a lot, but I did not understand it :-(

Would any one of you be so kind and considerate and really explain step by step what this passphrase is, where I get it from or where it stands. I have reinstalled the "GPG-Suite" software on my Mac several times but could never set or read a "passphrase" ...

I would be really happy if someone would explain that to a newbie. Very much in German :-) I have improved the contribution by Google Translate.

THANK YOU in advance

  1. Support Staff 1 Posted by Steve on 20 May, 2019 10:40 AM

    Steve's Avatar

    Hi,

    willkommen im GPGTools Support-Forum. Entschuldigung, dass es Probleme bei der Benutzung von GPG Suite gibt.

    Das Getting Started Tutorial ist ein guter Einstiegspunkt.

    Die Passphrase oder auch Passwort für deinen OpenPGP Schlüssel wird bei der Schlüsselerstellung vergeben. Kennst du das Passwort zu deinem Schlüssel noch?

    Bei den Fragen zu den Schlüssel bin ich nicht ganz sicher, ob ich diese korrekt verstehe. Kannst du diese einfach nochmal auf deutsch stellen? Ich verstehe nicht, was genau du mit dem geheimen Schlüsselteil vorhast.

    Grundsätzlich kannst du die Schlüsselserver zum Verteilen deines öffentlichen Schlüssels verwenden.

    Eine längere Einführung (leider auf englisch) zu OpenPGP findest du hier.

    Viele Grüße,
    Steve

  2. 2 Posted by Sarif.Industrie... on 20 May, 2019 05:42 PM

    Sarif.Industries-DeusEx's Avatar

    No content.

  3. 3 Posted by Sarif.Industrie... on 20 May, 2019 05:43 PM

    Sarif.Industries-DeusEx's Avatar

    Hi Steve,

    danke für deine Antwort - Endlich jemand der Deutsch spricht: Juhu!  Also: Ich bin was dieses ganze Verschlüsselungs-Dings-Bums -sprich PGP- noch ein absoluter Neuling und mir fällt ein Einstieg schwer, da 99% von brauchbaren Anleitungen fachenglisch sind.

    ---> Ich dachte, man muss den/die Schlüssel nach der Erstellung nochmals lokal zu exportieren um beide Schlüssel dann nochmals in den lokalen Schlüsselbund (Mac) zu importieren.

    ---> öffentlicher Schlüssel (lasse ich auch immer automatisch hochladen) geht ja ohne Probleme. Aber beim privaten, fragt er immer nach einer Passphrase und ich wusste/weiss einfach nicht was das ist, wo man die findet. Beim herumprobieren bin ich nun auch folgenden gestoßen, bzw. aktuell folgender Meinung. Beispiel:


    Liege ich damit richtig? Ist DAS da oben im grünen Kasten die sog. Phassphrase? Manchmal wurde ich auch beim E-Mail-Versand danach gefragt…

    —> Wenn ich jetzt einem Freund eine verschlüsselte E-Mail schicken will und er noch nie was mit PGP etc. gemacht hat, geht das so nicht, oder?

    —> Wenn ich erstmals einem Freund verschlüsselt schreiben möchte, muss ich ihm vorher ja erstmals unverschlüsselt meinen öff. Key schicken… Könnte ich also eine nicht verschlüsselte E-Mail an den Freund schicken: „Hallo Thomas, anbei ist mein öffentlicher PGP-Key, bitte schick mir deinen, dann können wir verschlüsselt schreiben!" - Er muss also meinen öff. Schlüssel bei sich dann gut speichern und sich selbst irgendwo (z.B. GPG-Suite) ein Schlüsselpaar mit einem öffentlichen und einem privaten Schlüssel generieren. Den privaten muss er natürlich gut bei sich verstecken. Dann schickt er mir seinen öff. Key unverschlüsselt zurück: „Hallo Dan, dass hier ist mein öffentlicher Schlüssel!“. Seinen neuen öff. Schlüssel muss ich dann meinem lokalen Schlüsselbund hinzufügen, oder?

    —> Nun die erste verschlüsselte E-Mail an meinen Freund: So sollte / muss das ganze ja dann aussehen, damit es verschlüsselt ist, oder?

    —> Wenn ich jetzt von meinem Freund erstmals eine verschlüsselte E-Mail erhalte oder er von mir erhält, bekomme ich/er dann den typischen:

    -----BEGIN PGP PUBLIC KEY BLOCK——
    Version: BCPG C# v1.6.1.0
      mQENBFzi3psBCACLCoAEz0c86rEn/eYYL8
    RjZnVjRZbYYb8g9p0SHUfxMrK1STJ 5HGfKLmlx
    ATwb8I4F1wTLzJaUUTvnk6CdAZt/Q56Dzav3F3Y
    ZsnjLmdM+uSUSnAa X92BjblO2yaOc2n5CF1G+
    BbI7yHQLp24JYFdrQx/aAyc+rOKB3IK/evoduV1zyV
    Efw9mcaWDH+BO84keOBh9afb1MrVdLZU+zrzeyz
    UU2sIAHY6YxZ5YZGjb5wbDKT VTuM =p00/
    -----END PGP PUBLIC KEY BLOCK——

    Kram und muss die E-Mail erst mit einem Programm/Webseite (Kennst du ein gutes für Mac?) entschlüsseln? Bliebt dies immer so? Oder erhalte ich sowie er den Textinhalt direkt lesbar und entschlüsselt, da wir ja beide die Keys ausgetauscht haben?

    —> So, nun zur vorletzten Frage: Ich habe bzw. musste mir ja irgendwann selbst einen öff./priv - Schlüsselpaar erzeugen. Bleibt mein privater Schlüssel bei allen verschlüsselten E-Mail oder Wen-Mails IMMER gleich? Oder brauche ich pro Freund / Unterhaltung einen neuen priv. Schlüssel? Sprich ich habe 30 Mail-Kontakte und müsste 30 private Schlüssel anlegen… Hoffe dem ist nicht so…. 

    —> Wozu ist denn diese „Passphrase“ gut bzw. wann benötige ich diese unbedingt? Wo genau muss ich diese einsetzen? Um an Inhalte zu kommen? Oder was genau ist das?

    So, das wäre es soweit mal… Hoffe ich konnte es so besser und verständlicher rüber bringen. Es wäre echt super mega nett von Dir, wenn du mir da weiterhelfen kannst, damit ich das endlich mal kapiere und mir nicht selbst andauernd den Scheiss zerschieße weill ich falsch Schlüssel eingebe und so…. Also vielen vielen vielen Dank vorab!

    Wenn du Rückfragen hast - Jederzeit!

    DANKE und Viele liebe Grüße!

    Dan

  4. Support Staff 4 Posted by Steve on 24 May, 2019 03:24 PM

    Steve's Avatar

    Hi Dan,

    ich werde versuchen alle Fragen zu beantworten.

    ---> Ich dachte, man muss den/die Schlüssel nach der Erstellung nochmals lokal zu exportieren um beide Schlüssel dann nochmals in den lokalen Schlüsselbund (Mac) zu importieren.

    Nein, die macOS Schlüsselbundverwaltung kann mit OpenPGP keys nichts anfangen. Für die Verwaltung von OpenPGP Schlüssel kannst du GPG Keychain verwenden.

    ---> öffentlicher Schlüssel (lasse ich auch immer automatisch hochladen) geht ja ohne Probleme. Aber beim privaten, fragt er immer nach einer Passphrase und ich wusste/weiss einfach nicht was das ist, wo man die findet. Beim herumprobieren bin ich nun auch folgenden gestoßen, bzw. aktuell folgender Meinung.

    Der geheime Schlüssel wird niemals hochgeladen. Das wäre fatal. Den geheimen Schlüssel benötigst du zum signieren, sowie zum entschlüsseln von Nachrichten. Daher wirst du möglicherweise auch zwei mal nach deinem Passwort gefragt - selbst wenn du die Option, das Passwort in macOS Schlüsselbund zu speichern, verwendest. Danach solltest du dann nicht mehr gefragt werden.

    Dein Screenshot zeigt genau den Ort, wo du das Passwort für deinen OpenPGP Schlüssel vergibst. Und genau danach wirst du gefragt, wenn du den geheimen Schlüssel verwenden oder auch exportieren möchtest.

    Die Benennung ist leider inkonsistent. Wir haben das bereits öfters bei gnupg angesprochen. Von gnupg kommt der pinentry Dialog, in welchem leider noch die Terminologie "Passphrase" verwendet wird. Es gibt zu diesem Problem ein Ticket bei gnupg: https://dev.gnupg.org/T3902

    Es wäre sicher hilfreich, wenn dort berichtest, dass die aktuelle Unstimmigkeit sehr verwirrend ist. Dazu müßtest du dir ein Konto erstellen auf dem bug tracker dort.

    —> Wenn ich jetzt einem Freund eine verschlüsselte E-Mail schicken will und er noch nie was mit PGP etc. gemacht hat, geht das so nicht, oder?

    Richtig. Um eine verschlüsselte Nachricht zu versenden benötigst du immer den öffentlichen Schlüssel des Empfängers. Öffentiche Schlüssel können direkt oder über die Schlüsselserver ausgetauscht werden. Wenn du uns eine Test-Nachricht schicken möchtest, kannst du das gerne machen. Der öffentliche Schlüsssel für team AT gpgtools PUNKT org ist bereits in GPG Keychain hinterlegt.

    https://gpgtools.tenderapp.com/kb/gpg-keychain-faq/how-do-i-find-my... erklärt wie du deinen öffentlichen Schlüssel teilen kannst. Da gibt es eine Option, mit der du eine neue Mail mit deinem öffentlichen Schlüssel erstellst. Da ist dann schon ein vorformulierter Text dabei usw.

    ----> - Er muss also meinen öff. Schlüssel bei sich dann gut speichern und sich selbst irgendwo (z.B. GPG-Suite) ein Schlüsselpaar mit einem öffentlichen und einem privaten Schlüssel generieren. Den privaten muss er natürlich gut bei sich verstecken. Dann schickt er mir seinen öff. Key unverschlüsselt zurück: „Hallo Dan, dass hier ist mein öffentlicher Schlüssel!“. Seinen neuen öff. Schlüssel muss ich dann meinem lokalen Schlüsselbund hinzufügen, oder?

    Der öffentliche Schlüssel wäre im OpenPGP Schlüsselbund abzulegen. Auf macOS kannst du dafür GPG Keychain verwenden. Es gibt in Systemeinstellung > GPG Suite > Einstellungen eine option "öffentliche Schlüssel automatisch laden". Sobald du eine Signierte E-Mail erhälst, wird dann nach dem öffentlichen Schlüssel gesucht, der benötigt, um die Signatur zu verifizieren. Wenn dieser am Keyserver ist, ist das alles sehr einfach. Du kannst dann die signatur verifizieren. Und auch eine Verschlüsselte Antwort senden, da du ja eben den öffentlichen Schlüssel des Empfängers dann bereits hast.

    Diese Option ist sehr angenehm. Aber denke daran, dass jeder für jeden Namen einen schlüssel erstellen kann.

    Es gibt Methoden, die den Schlüsselaustausch weiter vereinfachen. Und es steht bei uns auch auf dem Plan, dieses zu unterstüzen. Allerdings ist das alles andere als trivial in der Umsetzung.

    Versteckt werden muss der geheime Schlüssel nicht. Der ist sozusagen versteckt, da er ja mit dem Passwort geschützt ist. Wenn dein Rechner in öffentlichen Räumen steht, aber auch grundsätzlich, wäre zu überlegen, den Rechner mit einem Passwort zusätzlich zu schützen.

    —> Wenn ich jetzt von meinem Freund erstmals eine verschlüsselte E-Mail erhalte oder er von mir erhält, bekomme ich/er dann den typischen Kram?

    Nein, wenn er ein Plug-In wie GPG Mail für Mail.app verwendet, sollte er den verschlüsselten Text im Idealfall nie zu Gesicht bekommen, sondern am Ende vor einer bereits entschlüsselten Nachricht sitzen. Genau das ist ja das schöne an GPG Mail.

    Sowohl dein geheimer als auch den öffentlicher Schlüssel bleiben zunächst mal immer gleich. Da ändert sich so lange nichts, bis du einen neuen Schlüssel erstellst. Das will aber gut überlegt sein und grundsätzlich gibt es dafür keine Notwendigkeit, so lange nicht z.b. dein Rechner mit deinem geheimen Schlüssel geklaut wird o.ä.

    Alle deine 30 Kontakte hätten dann deinen Öffentlichen Schlüssel. Da dieser immer gleich ist, macht die Verwendung der Schlüsselserver sinn.

    Die Passphrase (die eigentlich Passwort heißt und auch in pinentry Passwort heißen sollte) wird benötigt zum signieren und entschlüsseln. Außerdem ist dein geheimer Schlüssle damit geschützt. Du wirst also bei Export oder Import des geheimen Schlüssels danach gefragt.

    Die Lernkurve bei OpenPGP ist zu beginn anstrengend. Aber glaub mir, je länger du es verwendest, umso einfacher und unkomplizierter wird es. Irgendwann hast du mit deinen wichtigsten Kontakten die Schlüssel getauscht. Wenn der Setup einmal steht, läuft OpenPGP sehr zuverlässig. Und dann bietet es großen Mehrwert, ohne großen Zusatzaufwand in der Kommunikation zu erzeugen.

    Ich hoffe, die Antworten helfen dir weiter. Und bei Rückfragen, melde dich gern jederzeit.

    Ein schönes Wochenende und viele Grüße,
    Steve

Reply to this discussion

Internal reply

Formatting help / Preview (switch to plain text) No formatting (switch to Markdown)

Attaching KB article:

»

Attached Files

You can attach files up to 10MB

If you don't have an account yet, we need to confirm you're human and not a machine trying to post spam.

Keyboard shortcuts

Generic

? Show this help
ESC Blurs the current field

Comment Form

r Focus the comment reply box
^ + ↩ Submit the comment

You can use Command ⌘ instead of Control ^ on Mac