Moin
Warst zufällig kürzlich im Kino
Noe, hab da bloß ein Buch drüber im Regal stehen über das ich kürzlich mal wieder gestolpert bin.
Gibt es eigentlich eine deutschsprachige Erklärung zu PGP/GPG, wie komme ich übehaupt an so einen Schlüssel, wer vergibt den?
zu a) google und das web sind schon was tolles. Da wärst du beim ersten google-Ergebnis bei http://www.gnupg.org/ gelandet, hättest dort auf das nicht grade unscheinbare "German" geklickt um zu http://www.gnupg.org/de/gnupg.html zu kommen, von wo aus du dich dann in aller Ruhe aus zu http://www.gnupg.org/de/docs.html weiterklicken kannst. Nicht immer ist die Doku die sich auf den Originalseiten befindet so schlecht, dass man zwingend irgendeine geheime Alternativdoku kennen muß ;-)
zu b) den machst du selbst. Du generierst dir mit gpg --gen-key einen Schlüssel (je nach deinen Systemeinstellungen ist die Benutzerführung komplett auf Deutsch! auch wenn ich bei der Übersetzung von "passphrase" mit "mantra" eher Bauchschmerzen kriege) indem du ihm ein paar einfache Fragen beantwortest (sowas wie "wie heisst du ?" :) und ihn ein bisschen rechnen lässt. Wenn du was nicht verstehst, einfach den default-Wert nehmen oder in der Doku nachlesen (empfohlen).
Du kannst als Mantra ruhig etwas schwieriges und sicheres nehmen! Es wird nachher auf dem Server nicht zum Verschlüsseln gebraucht, wohl aber zum Entschlüsseln.
Mit gpg --list-keys überzeugst du dich jetzt, dass der Schlüssel erfolgreich angelegt wurde, um daraufhin den öffentlichen Schlüssel mit gpg --export --armor userid zu exportieren (bei userid setzt du einfach deinen Namen, deine Emailaddresse oder sonstwas ein, was nur in deinem grade erzeugten Schlüssel und in keinem anderen deines Schlüsselbundes vorkommt). Wie du siehst gibt gpg den Schlüssel auf der Standardausgabe aus, also wenn du nicht vorher dran gedacht hast, wiederholst du den letzten Schritt und leitest die Ausgabe mit > in eine Datei um. Wie das geht, weisst du ja jetzt :)
Diese Datei kopierst du jetzt auf den Server (hab ich erwähnt, dass du alle bisherigen Schritte tunlichst auf einer subjektiv als sicher eingeschätzten Maschine, also deinem Rechner zu Hause und nicht dem Server machen solltest?) und importierst sie dort mit gpg --import dateiname in den dortigen Schlüsselbund (gpg speichert den Schlüsselbund im Homeverzeichnis des jeweiligen Users, du solltest das also als der User ausführen der später auch die Skripte starten wird).
Jetzt kannst du mit gpg -e -r deinname --yes anfangen Daten zu verschlüsseln. Vorsicht: Er nimmt die Daten auf der Standardeingabe und schickt sie an die Standardausgabe. Da kommen Binärdaten raus, also solltest du immer die Standardausgabe in eine Datei umleiten oder mit -o ausgabedatei eine Ausgabe in eine Datei erzwingen. (Binärdaten neigen dazu manche Terminalprogramme zu verwirren).
Das --yes ist übrigens dazu da, dass er alle Fragen automatisch mit ja beantwortet. Ansonsten gibt es evt. Probleme weil er die Echtheit des Schlüssels nicht bestätigen kann. (Kann dir aber hier eigentlich egal sein)
Solltest du keinen User haben, unter dessen Homeverzeichnis gpg den Schlüsselbund anlegen kann, dann lass das mit dem exportieren und importieren sein und kopier gleiche deinen ganzen Schlüsselbund (sollten noch nicht allzu viele Schlüssel drin sein :) namens pubring.gpg (bei mir liegt der in meinem Heimatverzeichnis in einem Verzeichnis namens .gnupg, kA wo er bei dir landet) und gib gpg diese Datei bei jeder Operation mit der Option --keyring Dateiname an.
Entschlüsseln kannst du den ganzen Spaß dann mit gpg -d dateiname. Evt. erkennt gpg automatisch was du tun willst, und du kannst dir das -d sparen (das tut es jedenfalls, wenn der Dateiname auf .gpg endet). Natürlich kann er erst entschlüsseln nachdem du das richtige Mantra eingegeben hast, dafür ist es ja da.
Ein Hinweis noch: Du solltest das Komprimieren _vor_ dem Verschlüsseln erledigen. Ein guter Verschlüsselungsalgorithmus (und das was gpg benutzt, ist in der Regel gut) erzeugt nämlich Daten die sich nicht mehr weiter komprimieren lassen.
PS: Das meiste sollte auch bei http://aktuell.de.selfhtml.org/artikel/internet/signatur/index.htm stehen.
PPS: Sorry, wenn ich mir evt. nicht ganz einig war, ob gpg nun ein er oder ein es ist.
PPPS: Mist, schon spät, muss ich auch immer so viel schreiben...
--
Henryk Plötz
Grüße aus Berlin