PGP/GnuPG

GnuPG - Verschlüsselung und elektronische Signaturen

Wie sicher sind elektronische Unterschriften? Warum bilden OpenSource und Verschlüsselung eine untrennbare Einheit? Wie funktionieren Verschlüsselung und elektronische Signaturen? Wo kann man Verschlüsselung und Signaturen anwenden und welche Fehler kann man machen? Diese und weitere Fragen sollen im Vortrag geklärt und mit dem Publikum diskutiert werden (Sep2008+Dez2011).

Links:

URZ-Kurs vom 14.04.2004 zur EMAIL-Verschluesselung mit GnuPG
Verschluesselung/Signatur-Vortrag/Schulung 2014-04 als PDF (2h-audio-Mitschnitt leider misslungen)
GnuPG-Vortrag als PDF (MASH-Ringvorlesung 06.12.2011, 21MB/92min Audiomitschnitt als ogg, videolink folgt noch)
GnuPG-Vortrag im PDF-Format (Magdeburger OS-Tag (MOST) 11.10.2008, leider ohne Audiomitschnitt)
GnuPG at Wikipedia.org
GnuPG Homepage (deutsch)
Email-Verschluesselung (URZ-Kurs 2004)

Korrekturen:

2023-06: Meine Darstellung der digitalen Signatur als priv-key-verschluesselter Text-Hash ist nicht korrekt (lt. Wikipedia ist das "Textbook-RSA", eine naive unsichere RSA-Variante, die spezifische Manipulationen mittels Text-Signatur-Paaren erlaubt, S(x*y)=S(x)*S(y)mod n).
2023-06: einige Links zeigen mitlererweile ins Nirwana oder auf andere Webseiten, ich entschuldige mich dafuer. Bitte seit vorsichtig beim anklicken der Links. Grundregel: Keinen fremden Code ausfuehren (frueher ActiveX, Adobe-Flash, Java, heute Javascript, Ajax)! Das ist immer ein zu hohes Sicherheitsrisiko fuer Eure Systeme. Verzichtet lieber auf Infos, wenn sie nur mit aktiven Inhalten angeboten werden.

Verschlüsselungsproblem

Tja, da hielt ich gerade (2008) einen Vortrag ueber Verschluesselung und wie es der Zufall will und ich eine gute Anwendungsidee habe (Terminverschluesselung in einem eGroupWare-Server), funktioniert das Verschluesseln fuer meinen eigenen Key nicht mehr. Signieren funktioniert dagegen prima. Woran liegts?

 gpg -ea -r 0x53BDFBE3
 gpg: 0x53BDFBE3: übersprungen: unbrauchbarer öffentlicher Schüssel
 gpg: [stdin]: encryption failed: unbrauchbarer öffentlicher Schüssel

Durch zufuegen der --debug-all-Option erhaelt man folgende zusaetzliche Informationen:

 gpg: DBG: finish_lookup: checking key 53BDFBE3 (all)(req_usage=2)
 gpg: DBG:       checking subkey D1EE9467
 gpg: DBG:       subkey has expired
 gpg: DBG:       checking subkey 5AEA89EC
 gpg: DBG:       subkey has expired
 gpg: DBG:       no suitable subkeys found - trying primary
 gpg: DBG:       primary key usage does not match: want=2 have=d
 gpg: DBG:       no suitable key found -  giving up

... und folgene Signaturen sind angehaengt:

gpg --list-key -v 0x53BDFBE3
 gpg: using classic trust model
 pub   1024D/53BDFBE3 2003-10-24 [expires: 2009-09-14]
 uid                  Joerg Schulenburg (Test) 
 sub   2048g/D1EE9467 2003-10-24 [expired: 2005-10-23]
 sub   1024g/5AEA89EC 2005-10-24 [expired: 2007-03-20]

hmmm, sind da fuer Encryption (-e) notwendige Sub(?)-Schluessel abgelaufen?

gpg --edit-key -v 0x5AEA89EC
 gpg: using classic trust model
 pub  1024D/53BDFBE3  created: 2003-10-24  expires: 2009-09-14  usage: SCA 
                      trust: uneingeschränkt Gültigkeit: uneingeschränkt
 sub  2048g/D1EE9467  created: 2003-10-24  expired: 2005-10-23  usage: E   
 sub  1024g/5AEA89EC  created: 2005-10-24  expired: 2007-03-20  usage: E   
 [ultimate] (1). Joerg Schulenburg (Test) ...
expire # aendert nur expire von Key 53BDFBE3
key 1  # markiert Key D1EE9467
expire # aendert expire von Key D1EE9467
clean  # alten ungueltigen Kram entfernen
save

Jetzt gehts:

gpg -ea -v -r 0x53BDFBE3  # verschluesselt mit 0xD1EE9467
gpg --export -a 0x53BDFBE3
# siehe Joergs GPG-key 0x53BDFBE3
gpg --export -a 0x53BDFBE3 | gpg
pub  1024D/53BDFBE3 2003-10-24 Joerg Schulenburg (Test) ...
sub  2048g/D1EE9467 2003-10-24 [expires: 2010-10-14]
sub  1024g/5AEA89EC 2005-10-24 [expires: 2007-03-20]

Siehe auch http://www.gnupg.org/gph/en/manual/c481.html:

Selecting expiration dates and using subkeys

By default, a DSA master signing key and an ElGamal encryption subkey are
generated when you create a new keypair. This is convenient, because the
roles of the two keys are different, and you may therefore want the keys to
have different lifetimes. The master signing key is used to make digital
signatures, and it also collects the signatures of others who have confirmed
your identity. The encryption key is used only for decrypting encrypted
documents sent to you. Typically, a digital signature has a long lifetime,
e.g., forever, and you also do not want to lose the signatures on your key
that you worked hard to collect. On the other hand, the encryption subkey
may be changed periodically for extra security, since if an encryption key
is broken, the attacker can read all documents encrypted to that key both in
the future and from the past.

Author Joerg S .

HTML-Validator (Last Check: Apr2008,2012)