Gleiche Verschlüsselung auf zwei Rechnern ...[erl.]

  • Heute also mein erster Beitrag/Faden in diesem Forum. Und gleich hier!?!


    Kurz gleich zu Beginn: Versionen, Kontoart, Betriebssystem-Umgebung (beide Linux openSUSE 11.4) könnt Ihr meiner Signatur entnehmen.


    Auf meinem Schreibtisch-Rechner habe ich gestern OpenPG eingerichtet und zunächst für meine primäre ePost-Adresse - nennen wir sie hier zum Beispiel "feuerdrache@provider.de" - einen Schlüssel generiert und testweise eine erste verschlüsselte ePost an einen Adressaten verschickt, der ebenfalls damit arbeitet.


    Jetzt möchte ich natürlich bei meinem Klapp-Rechner nicht für die gleiche ePost-Adresse "feuerdrache@provider.de" einen neuen Schlüssel generieren. Wäre ja nicht Sinn der Sache.


    Wie gehe ich da sinnvoll vor bzw. geht das überhaupt?


    Die Dateien/Verzeichnisse im ~/.gnupg-Verzeichnis vom Schreibtisch-Rechner kopieren und dann im entsprechenden Verzeichnis des Klapp-Rechners aufspielen? Oder liege ich da komplett falsch?


    Zum öffentlichen Teil des "privaten Schlüssels" noch eine Frage:


    Muss der zwingend bei einem "Schlüsselverwalter" hinterlegt werden und wenn ja warum?


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Hallo Feuerdrache,


    und willkommen im Forum!

    Zitat von "Feuerdrache"

    Heute also mein erster Beitrag/Faden in diesem Forum. Und gleich hier!?!


    Warum auch nicht? Es doch gut, dass du dir um deine Privatsphäre Gedanken machst ... .


    Zitat

    Auf meinem Schreibtisch-Rechner habe ich gestern OpenPG eingerichtet und zunächst für meine primäre ePost-Adresse - nennen wir sie hier zum Beispiel "feuerdrache@provider.de" - einen Schlüssel generiert und testweise eine erste verschlüsselte ePost an einen Adressaten verschickt, der ebenfalls damit arbeitet.


    Gut so. Und wie es aussieht, scheint es ja auch zu funktionieren.


    Zitat

    Jetzt möchte ich natürlich bei meinem Klapp-Rechner nicht für die gleiche ePost-Adresse "feuerdrache@provider.de" einen neuen Schlüssel generieren. Wäre ja nicht Sinn der Sache.


    Stimmt ;-)


    Zitat

    Die Dateien/Verzeichnisse im ~/.gnupg-Verzeichnis vom Schreibtisch-Rechner kopieren und dann im entsprechenden Verzeichnis des Klapp-Rechners aufspielen? Oder liege ich da komplett falsch?


    Der Punkt geht an Feuerdrache ... .


    Diese Übernahme der DOT-Ordner ist ein übliches Verfahren, nicht nur bei GnuPG, sondern bei fast allen anderen Programmen. Zum Bsp. bei deinem kompletten Thunderbird-Userprofil!
    Du kannst, falls du schon andere Schlüssel dort importiert hast, deinen Schlüsselbund von einem Rechner exportieren, und dann beim anderen importieren. Aber wenn du dort noch nichts gemacht hast, reicht ein einfaches Ersetzen des gesamten Ordners aus.



    Zitat

    Zum öffentlichen Teil des "privaten Schlüssels" noch eine Frage:


    Muss der zwingend bei einem "Schlüsselverwalter" hinterlegt werden und wenn ja warum?


    Nein, das musst du keinesfalls machen.
    Ich selbst lege auch keinen Wert darauf, weder bei PGP, was ich fast 10 Jahre lang genutzt habe, noch bei S/MIME, was ich jetzt ausschließlich nutze.
    Sinn des Hinterlegens: Ein Unbekannter, der dir zum ersten mal verschlüsselt schreiben möchte, kann sich gleich deinen Schlüssel holen. Frage: Wie oft kommt das denn vor?
    Die übliche Lösung: Du sendest deinem Mailpartner eine lediglich signierte Mail, er dir auch eine - und schon habt ihr beide den entsprechenden Schlüssel des Partners.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,

    Zitat

    Die übliche Lösung: Du sendest deinem Mailpartner eine lediglich signierte Mail, er dir auch eine - und schon habt ihr beide den entsprechenden Schlüssel des Partners.


    Nanu? Wie das?
    Also ich plädiere für den Menüpunkt "Meinen öffentlichen Schlüssel anhängen" unter "OpenPGP", der beim Verfassen angezeigt wird.
    Eine signierte Mail ist signiert, enthält aber nicht den öffentlichen Schlüssel - oder ist das bei S/Mime anders?
    Grüße, muzel


    P.S. Zum Schlüsselaustausch wäre noch mehr zu sagen. Solange du dein eigenes Schlüsselpaar auf einen anderen Rechner trägst, ist das unkritisch. Ansonsten ist Mail natürlich ein unzuverlässiges Medium, und du mußt nach dem Versenden deines öffentlichen Schlüssels die Integrität des Schlüssels sichern, d.h. den Fingerprint vergleichen.

    Einmal editiert, zuletzt von muzel ()

  • Hallo Peter,


    na das ging ja schnell - und falsch gelegen habe ich auch nicht! :eek:


    Zur Zeit bin ich nicht an einem meiner heimischen Rechner, deswegen kann ich Dir bezüglich des Kopierverfahrens noch keine Rückmeldung geben. Wird aber nicht vergessen! ;)


    Noch zwei Fragen:


    Was empfiehlst Du als Signaturanhang beim Verschicken von verschlüsselter/signierter ePost?
    Welche Angaben sollte ein solcher Signaturanhang auf jeden Fall haben und welche auf keinen Fall?


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • muzel : Soll dieses das GnuPG nicht beherrschen? Vielleicht bin ich mit S/MIME nur verwöhnt ... .
    Nun, zumindest kann man das ja mal versuchen (und berichten, ob es funktioniert hat.)
    Bei S/MIME ist das der übliche Weg.


    Feuerdrache : Was verstehst du hier mit "Signatur"?
    - die per GnUPG oder auch S/MIME erzeugte "elektronische Signatur", oder
    - die gern genutzte Signatur als "Textabspann" unter der Mail?


    Wenn du eine per S/MIME oder GnuPG signierte Mail an jemand schickst, der das noch nie gesehen hat, dann führt das nur zur Verwirrung. Manche (sogar manche Firmen!) löschen eine derartige "gefährliche" Mail sogar. Hier sind einige wenige (!) erklärende Worte unter deiner Mail nicht verkehrt. Aber Vorschriften für private Signaturen kenne ich keine.


    Was du auf keinen Fall machen solltest, sind so genannte "Angstklausenl" ("Disclaimer") unter deinen Mails. Warum du diesen Blödsinn nicht machen solltest, kannst du hier nachlesen: http://www.causse.de/recht/angstklauseln.html
    Ich antworte darauf immer mit:
    "Diese Mail enthält vertrauliche ... BLA BLA BLA. Ich verschlüssele Mails mit vertraulichem Inhalt"!



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    da habe ich mich wohl etwas missverständlich ausgedrückt.


    Ich meinte das:


    Zitat

    Öffentlichen Schlüssel anhängen... öffnet einen Dialog mit allen gespeicherten öffentlichen Schlüsseln Ihrer Kontakte. Sie können dann beliebige Schlüssel auswählen, um diese als Anhang im Format *.asc mitzusenden.


    (Quelle: http://www.thunderbird-mail.de…enPGP_-_OpenPGP-Men%C3%BC)


    Sollte so der öffentliche Teil des "eigenen Schlüssels" angehängt werden? :gruebel: Oder ist damit auch eher sparsam umzugehen; nach dem Motto "Weniger ist mehr"?


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Zitat von "Feuerdrache"

    ... Zur Zeit bin ich nicht an einem meiner heimischen Rechner, deswegen kann ich Dir bezüglich des Kopierverfahrens noch keine Rückmeldung geben. Wird aber nicht vergessen! ;) ...


    Hat alles prima geklappt! :)

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Zitat von "Feuerdrache"

    ... Sollte so der öffentliche Teil des "eigenen Schlüssels" angehängt werden? :gruebel: Oder ist damit auch eher sparsam umzugehen; nach dem Motto "Weniger ist mehr"?


    Hallo Feuerdrache,


    *grundsätzlich* darf und kann JEDER Deine public-keys [öffentliche Schlüssel] haben. ~ Darum heißen sie ja so.
    (Ich sage immer: "Die darf man unter's Volk streuen wie Konfetti!")


    Natürlich erhält der Betreffende die sichtbaren Daten Deines keys: {Name, e-mail-Adresse, ID des keys, Erstellungs- & Ablaufdatum, Größe des Keys}.
    All dies dürfte als unkritisch betrachtet werden.
    Ein Sicherheitsleck stellt es also nicht dar.


    Ich befürchte schlimmstenfalls eine mögliche Verwirrung, wenn Du einem mail-Partner alle Deine public-keys sendest; dann weiß er ja nicht mehr welchen er nutzen soll.


    Eine signierte e-mail (solitär) reicht nicht aus um den public-key "mitzusenden". Diesen also ggfs. anhängen.
    Ich wiederhole muzels Hinweis, daß der Fingerprint-Vergleich unverzichtbar ist.
    [Er stellt den VERTRAUENSANKER dar!] ;)


    MfG ... Vic


    Meine Bemerkungen beziehen sich auf PGP bzw. GPG. ;)