Weitere PGP Keymanagementfunktionen oder "Was gibt es sonst noch ?"

Das "An- und Abschalten" (Disable/Enable) eines Keys

Mit PGP können einzelne Public Keys an- und abgeschaltet werden, wenn man nicht ständig alle fünfzig Public Keys benötigt, die sich im Pubring befinden. Dazu wird der betreffende Key im PGPkeys-Window markiert und dann über den Menüpunkt "Keys - Disable" oder durch Wahl des gleichen Menüpunktes im Kontextmenüs (Aufruf durch 1xMKrT) abgeschaltet.
Im Window werden die abgeschalteten Keys grau dargestellt, User-ID und E-mailadresse in kursiver Schrift.
Der Effekt zeigt sich beim Signieren und Verschlüsseln, denn dann werden nur die angeschalteten Keys aufgelistet, was Übersicht und Auswahl erleichtert.
Genauso werden umgekehrt die abgeschalteten Keys mit dem Menüpunkt "Enable" wieder angeschaltet.

An- und Abschalten von Public Keys bei PGP 2.6.3:

PGP 2.6.3> pgp -kd User-ID

Der "Default"-Key

Verwendest Du mehrere Public Keys oder einen RSA- und einen DSS/DH-Public Key kannst Du einen Key zu Deinem Standardschlüssel erklären.
Der Standardschlüssel ist im PGPkeys-Window daran zu erkennen, daß User-ID und E-mailadresse in fetter Schrift erscheinen.
Die Vorteile:
1. wenn Du ausgehende E-mails immer auch an Dich selbst verschlüsselst, wird Dein Standardkey automatisch in die Empfängerliste gesetzt.
2. Bei der Signierung erscheint der Standardkey im Keyauswahlmenü an erster Stelle.

Man setzt einen Public Key als Standard, indem der ausgewählte Key markiert und dann über das "Keys"-Menü oder das Kontextmenü der Eintrag "Set As Default" angeklickt wird.

Der Default Public Key bei PGP 2.6.3:
wird in der config.txt über den Eintrag MyName="Eigene User-ID" gesetzt

Abgetrennte Signaturen

Normalerweise setzt man eine PGP Signatur unter einen E-Mailtext.
Es kann aber erforderlich sein, eine PGP Signatur zu einer einzeln vorliegenden Datei zu erzeugen, ohne das diese Datei selbst verändert wird (z. B. möchte man eine HTML-Datei versenden, aber die Seite soll im Browser ohne PGP-Signatur erscheinen oder es handelt sich um Binärdateien).
Das heißt, die Erzeugung einer abgetrennten Signatur kann nur anhand einer schon vorliegenden Text- oder Binärdatei durchgeführt werden.
Über die Zwischenablage oder die E-Mailplug-Ins ist dies nicht möglich.

Vorgehensweise

  1. die Datei wird im Dateimanagerfenster (z. B. Explorer) markiert und über den PGP-Eintrag des Kontextmenüs wird die Signierfunktion ("Sign") aufgerufen
  2. Eingabe der Passphrase
  3. Unter "Options" wird die Option "Detached signature file" aktiviert.
    Soll die Signatur als Textform in ASCII-Zeichen erstellt werden, auch die Option "Text Output"
  4. Abspeichern der Signatur als eigene Datei "Signaturdatei.sig" (dabei wird als Dateiname immer der Dateiname + Endung der zu signierenden Datei vorgeschlagen)

Abgetrennte Signatur bei PGP 2.6.3:

PGP 2.6.3> pgp -sb Datei Eigene-User-ID

Der Empfänger kann jetzt anhand der Signaturdatei überprüfen, ob die Originaldatei unverfälscht und unverändert zu ihm gelangt ist und wer der Absender der Datei ist.

Vorgehensweise

  1. die Datei "Signaturdatei.sig" markieren
  2. über den PGP-Eintrag des Kontextmenüs die angezeigte Funktion "Verify Siganture" aktivieren
  3. in dem nun aufklappenden Fenster die Originaldatei markieren
PGP blendet jetzt eine Informationsmeldung ein, die abhängig davon ist,
ob Originaldatei und Signaturdatei zusammenpassen oder nicht:
"Good signature from (User-ID E-mailadresse). Signature made on (Tag und Datum der Signaturerstellung)"
 oder
"Bad signature from (User-ID E-mailadresse). Signature made on (Tag und Datum der Signaturerstellung)"

Die Änderung der Passphrase

Der Wert und die Bedeutung der Passphrase sollte an dieser Stelle bekannt sein.
So ist leicht einzusehen, daß die Passphrase einer der Angriffspunkte darstellt, an denen Hacker, Geheimdienste oder Spinner ansetzen werden, um den eigenen kryptographischen Schutz zu durchbrechen.
Aus diesem Grund kann es sinnvoll sein, die Passphrase in Abständen zu ändern.

Vorgehensweise

  1. PGPkeys aufrufen
  2. das »Key Properties« Fenster aktivieren
  3. den »Change Passphrase« Button anklicken
  4. alte Passphrase eingeben
  5. neue Passphrase eingeben
  6. neue Passphrase zur Bestätigung wiederholen
  7. OK

Änderung der Passphrase bei PGP 2.6.3:

PGP 2.6.3> pgp -ke Eigene-User-ID

Die Änderung der User-IDs des Public Keys

Auch mit PGP 5./6.X ist möglich, die User-ID, also "Name <E-mailadresse>", eines Keys zu ändern.
Oder es kann eine weitere, neue User-ID hinzugefügt und eine bestehende User-ID gelöscht werden.

A. Hinzufügen einer User-ID

Vorgehensweise

  1. PGPkeys aufrufen
  2. Key markieren
  3. 1xMKrT oder Aufruf des Menüs "Keys"
  4. Menüpunkt "Add Name" wählen
  5. Eingabe von "Name <E-mail-Adresse>"
  6. Eingabe der Passphrase

bei PGP 2.6.3:

PGP 2.6.3>pgp -ke Eigene-User-ID

B. Löschen einer User-ID

Vorgehensweise

  1. PGPkeys aufrufen
  2. Key über 1xMKlT auf das + Zeichen vor dem Key
  3. Betreffende User-ID markieren
  4. 1xMKrT oder Aufruf des Menüs "Keys"
  5. Menüpunkt "Delete" wählen

bei PGP 2.6.3:

PGP 2.6.3> pgp -kr User-ID LW:\keyring.pgp

C. Änderung der eigenen ersten User-ID

Vorgehensweise

  1. Neue User-ID erzeugen wie unter A. beschrieben
  2. 1xMKrT oder Aufruf des Menüs "Keys"
  3. Menüpunkt "Set As Primary Name (User-ID)" wählen
Anmerkung

Erschien im PGPkeys Fenster zuerst »test <test@test>« als primäre User-ID und lautete die neue User-ID »test2 »test2@test2.de>«, erscheint nach dem Vorgang die neue User-ID als die primäre User-ID, die ursprüngliche User-ID wird darunter angefügt, wie alle weiteren User-IDs und die ursprünglichen Signaturen der nachfolgenden User-IDs (die auf test <test@test> lauteten) werden alle durch die Signatur der neuen User-ID ersetzt, d. h. alle nachfolgenden User-IDs sind mit test2 <test2@test2.de> signiert.

Hinzufügen einer "Foto User-ID" (nur bei PGP 6 DH/DSS Keys)

Um dem Key sein eigenes Foto hinzuzufügen nimmt man ein Passfoto, verkleinert es nach dem Einscannen auf 120 x 144 Pixel und speichert es als BMP oder JPG Datei.

Vorgehensweise:

  1. PGPkeys aufrufen
  2. DH/DSS Key markieren
  3. über das Menü "Keys" oder durch 1 MKrT im Kontextmenü "Add...Photo" aufrufen
  4. die Bilddatei aus dem Explorer in den Rahmenbereich ziehen oder über den Button "Select File" die Bilddatei öffnen
  5. Passphrase eingeben
Die gleiche Vorgehensweise wird zum Löschen und Ändern einer Foto User-ID gewählt

Hinzufügen von "Designated Revokers" (nur bei PGP 6 DH/DSS Keys)

Ein Designated Revoker ist eine zweite Person, die vom Keybenutzer dazu ermächtigt (designated) ist, für den den eigenen Public Key eine Rückzugsurkunde (Revocation) auszustellen und ihn als zurückgezogen (revoked) auf dem Keyserver zu kennzeichnen.

Achtung:
Wenn einmal einem Public Key ein Designated Revoker hinzugefügt wurde, ist der Prozess nicht mehr umkehrbar, der Designated Revoker kann nicht wieder vom Key entfernt werden.

Natürlich setzt die Vergabe des Rechts an eine andere Person, den eigenen Public Key als ungültig zu erklären, 100% Vertrauen in diese Person voraus.

Eine m. M. nach bessere und sicherere Methode, den eigenen Key bei Verlust von Secret Key und/oder Passphrase dennoch revoken zu können, findet sich im Kapitel Key Revocation

Vorgehensweise:

  1. PGPkeys aufrufen
  2. den eigenen DH/DSS Key markieren
  3. über Menü "Keys" oder 1MKrT im Kontextmenü "Add...Revoker" auswählen
  4. die Key User-ID der zu ermächtigenden Person auswählen
  5. den Bestätigungsdialog bejahen
  6. die Passphrase eingeben
  7. Kopie des Public Keys an den Revoker und an den Keyserver senden

Wiederholungsüberprüfung der Signaturen (Reverify Signatures) (nur PGP 6)

Über das Menü Keys Reverify Signatures werden alle Signaturen eines Public Keys auf Gültigkeit (Validity)hin überprüft.

Überprüfung der Signaturen bei PGP 2.6.3:

PGP 2.6.3> pgp -kc oder -km User-ID

Das Zerlegen des Secret Keys auf mehrere Keyteilinhaber (Share Split/Key Split) (nur PGP 6)

Seit PGP 6 kann der RSA oder DH Secret Key eines Key Paares in mehrere Teile (Shares) zerlegt (Splitting) und die Teile mit dem Public Key anderer Personen oder mittels Vergabe von Passphrases konventionell verschlüsselt als Datei "User-ID Share.shf" abgelegt werden (Blakely-Shamir Key Splitting).
Damit die Keyteile erstellt werden können, müssen alle Keyteilinhaber anwesend sein, um ihre Passphrase festlegen oder eingeben zu können, bei Public Key Verschlüsselung müssen die Public Keys der Keyteilinhaber im Pubring vorhanden sein.
Zum Entschlüsseln oder Signieren einer Datei/Nachricht werden die Keyteile nach Eingabe der Passphrases wieder temporär zusammengesetzt.

Key Splitting ist in Bereichen höherer Sicherheitsanforderungen sinnvoll:
Zum Beispiel gibt es die bekannte Taktik von Guerillagruppen, sich in mehrere Zellen aufzuteilen, damit bei einer Verfolgung oder Verhaftung nicht die gesammte Gruppe und ihre Materialien in die Hände der Gegenpartei fallen. Würde PGP in einer Guerillagruppe eingesetzt werden, so würde jeder Zellenführer einen Keyteil erhalten. Wenn jetzt ein Zellenführer verhaftet und sein Keyteil in die Hände der Verfolger fallen würde, könnte die gesammte Gruppe weiterhin Dokumente signieren und entschlüsseln, die Verfolger aber nicht.

Das Prinzip kann man sich auch ähnlich vorstellen wie die mehreren Tresorschlüssel, die Bankangestellte gemeinsam benutzen müssen, um die Tresorkombination herzustellen, damit sie den Tresor öffnen oder verschließen können.

Die Herstellung eines Key Splittings:
  1. zuerst wird ein vorhandener Key ausgewählt oder ein neuer Key hergestellt.
  2. der aufzuteilende Key wird markiert
  3. Aufruf von "Share Split" über das Menü "Keys" oder über das Kontextmenü mit 1MKrT
  4. es öffnet sich das "Split Key" Konfigurationsfenster:
    • im Feld "Split Key" ist die User-ID des ausgewählten Keys zu sehen
    • unter "Shareholders" (Keyteilinhaber) werden die User-IDs der Keyteilinhaber angezeigt, wenn die Keyteile mit vorhandenen Public Keys der Keyteilinhaber verschlüsselt werden oder die Namen der Keyanteilinhaber bei rein konventioneller Verschlüsselung der Keyteile.
    • unter "Total Shares Required to Decrypt or Sign" (Anzahl der Keyteile, die zum Entschlüsseln oder Signieren nötig sind) wird die gewünschte Anzahl der Keyteile (bis zu 99) eingegeben.
      Es können auch mehr Keyteilinhaber als Keyteile selbst angegeben werden.
      Wenn man z. B. den Key auf drei Keyteilinhaber aufteilt, die erforderliche Anzahl der Keyteile zum Entschlüsseln/Signieren jedoch auf zwei beschränkt, bietet das den Vorteil, daß eine Datei/Nachricht immer noch entschlüsselt oder signiert werden kann, obwohl ein Keyteilinhaber seine Passphrase vergessen hat oder eine Keyteildatei abhanden gekommen ist.
  • Aufteilen an Public Key Besitzer
    1. die entsprechenden User-IDs der Keys per Drag and Drop aus dem PGPkeys Fenster in das Shareholders Fenster ziehen
    2. auf den Button "Split Key" klicken
    3. Verzeichnis auswählen, in dem die Keyanteildateien abgelegt werden sollen
    4. ursprüngliche Passphrase des zu teilenden Keys eingeben
    5. Bestätigungsmeldung bejahen
    6. anschließend befinden sich die Keyanteildateien im angegebenen Verzeichnis
  • Aufteilen an Personen ohne Public Key (konventionelle Verschlüsselung der Keyteildateien)
    1. über den Button "Add" den Namen des Keyteilinhabers eingegeben
    2. anschließend muß jeder Keyteilinhaber eine Passphrase für seinen Keyanteil eingeben
    3. sind alle Keyteilinhaber aufgelistet, den Button "Split Key" anklicken
    4. Verzeichnis für die Keyanteildateien auswählen
    5. ursprüngliche Passphrase des Keys eingeben
    6. Bestätigungsdialog bejahen
Das Verschlüsseln, Entschlüsseln und Signieren mit Split Keys
Verschlüsseln:
eine Datei oder Nachricht wird mit dem Split Key genauso verschlüsselt wie mit einem herkömmlichen Public Key
Entschlüsseln & Signieren:
  1. Aufruf der Entschlüsselungs- oder Signierfunktion von PGP nach bekannter Weise
  2. im Fenster "Key Share Collection" über den Button "Select Share File" die Keyteildateien öffnen
  3. jeder Keyteilinhaber gibt seine Passphrase ein
    • bei Entschlüsselung kann das Chiffrat entschlüsselt als Datei abgespeichert, bzw. als Clipboardinhalt eingefügt werden
    • bei Signierung kann das Chiffrat als signierte Datei abgespeichert, bzw. als Clipboardinhalt eingefügt werden
Das Wiederherstellung des geteilten Keys
  1. über das Menü "Keys", "Properties" den Button "Join Key" anklicken
  2. für jeden Keyteil über "Select Share File" die Keyteildatei öffnen
  3. Keyteilinhaber muß seine Passphrase eingeben
  4. anschließend die ursprüngliche oder neue Passphrase für den wieder zusammengefügten Key eingeben
Index Top Back Next