Weitere PGP Keymanagementfunktionen oder "Was gibt es sonst noch ?"Das "An- und Abschalten" (Disable/Enable) eines Keys
Mit PGP können einzelne Public Keys an- und abgeschaltet werden, wenn man nicht ständig alle fünfzig Public Keys benötigt, die sich im Pubring befinden.
Dazu wird der betreffende Key im PGPkeys-Window markiert und dann über den Menüpunkt "Keys - Disable" oder durch Wahl des gleichen Menüpunktes im Kontextmenüs (Aufruf durch 1xMKrT) abgeschaltet. An- und Abschalten von Public Keys bei PGP 2.6.3:
Der "Default"-KeyVerwendest Du mehrere Public Keys oder einen RSA- und einen DSS/DH-Public Key kannst Du einen Key zu Deinem Standardschlüssel erklären.Der Standardschlüssel ist im PGPkeys-Window daran zu erkennen, daß User-ID und E-mailadresse in fetter Schrift erscheinen. Die Vorteile: 1. wenn Du ausgehende E-mails immer auch an Dich selbst verschlüsselst, wird Dein Standardkey automatisch in die Empfängerliste gesetzt. 2. Bei der Signierung erscheint der Standardkey im Keyauswahlmenü an erster Stelle. Man setzt einen Public Key als Standard, indem der ausgewählte Key markiert und dann über das "Keys"-Menü oder das Kontextmenü der Eintrag "Set As Default" angeklickt wird.
Der Default Public Key bei PGP 2.6.3:
Abgetrennte SignaturenNormalerweise setzt man eine PGP Signatur unter einen E-Mailtext.Es kann aber erforderlich sein, eine PGP Signatur zu einer einzeln vorliegenden Datei zu erzeugen, ohne das diese Datei selbst verändert wird (z. B. möchte man eine HTML-Datei versenden, aber die Seite soll im Browser ohne PGP-Signatur erscheinen oder es handelt sich um Binärdateien). Das heißt, die Erzeugung einer abgetrennten Signatur kann nur anhand einer schon vorliegenden Text- oder Binärdatei durchgeführt werden. Über die Zwischenablage oder die E-Mailplug-Ins ist dies nicht möglich. Vorgehensweise
Abgetrennte Signatur bei PGP 2.6.3:
Der Empfänger kann jetzt anhand der Signaturdatei überprüfen, ob die Originaldatei unverfälscht und unverändert zu ihm gelangt ist und wer der Absender der Datei ist. Vorgehensweise
ob Originaldatei und Signaturdatei zusammenpassen oder nicht: "Good signature from (User-ID E-mailadresse). Signature made on (Tag und Datum der Signaturerstellung)" Die Änderung der PassphraseDer Wert und die Bedeutung der Passphrase sollte an dieser Stelle bekannt sein.So ist leicht einzusehen, daß die Passphrase einer der Angriffspunkte darstellt, an denen Hacker, Geheimdienste oder Spinner ansetzen werden, um den eigenen kryptographischen Schutz zu durchbrechen. Aus diesem Grund kann es sinnvoll sein, die Passphrase in Abständen zu ändern.
Vorgehensweise
Änderung der Passphrase bei PGP 2.6.3:
Die Änderung der User-IDs des Public KeysAuch mit PGP 5./6.X ist möglich, die User-ID, also "Name <E-mailadresse>", eines Keys zu ändern.Oder es kann eine weitere, neue User-ID hinzugefügt und eine bestehende User-ID gelöscht werden.
A. Hinzufügen einer User-IDVorgehensweise
bei PGP 2.6.3:
B. Löschen einer User-IDVorgehensweise
bei PGP 2.6.3:
C. Änderung der eigenen ersten User-IDVorgehensweise
Erschien im PGPkeys Fenster zuerst »test <test@test>« als primäre User-ID und lautete die neue User-ID »test2 »test2@test2.de>«, erscheint nach dem Vorgang die neue User-ID als die primäre User-ID, die ursprüngliche User-ID wird darunter angefügt, wie alle weiteren User-IDs und die ursprünglichen Signaturen der nachfolgenden User-IDs (die auf test <test@test> lauteten) werden alle durch die Signatur der neuen User-ID ersetzt, d. h. alle nachfolgenden User-IDs sind mit test2 <test2@test2.de> signiert. Hinzufügen einer "Foto User-ID" (nur bei PGP 6 DH/DSS Keys)Um dem Key sein eigenes Foto hinzuzufügen nimmt man ein Passfoto, verkleinert es nach dem Einscannen auf 120 x 144 Pixel und speichert es als BMP oder JPG Datei. Vorgehensweise:
Hinzufügen von "Designated Revokers" (nur bei PGP 6 DH/DSS Keys)Ein Designated Revoker ist eine zweite Person, die vom Keybenutzer dazu ermächtigt (designated) ist, für den den eigenen Public Key eine Rückzugsurkunde (Revocation) auszustellen und ihn als zurückgezogen (revoked) auf dem Keyserver zu kennzeichnen.
Achtung: Natürlich setzt die Vergabe des Rechts an eine andere Person, den eigenen Public Key als ungültig zu erklären, 100% Vertrauen in diese Person voraus. Eine m. M. nach bessere und sicherere Methode, den eigenen Key bei Verlust von Secret Key und/oder Passphrase dennoch revoken zu können, findet sich im Kapitel Key Revocation Vorgehensweise:
Wiederholungsüberprüfung der Signaturen (Reverify Signatures) (nur PGP 6)Über das Menü Keys Reverify Signatures werden alle Signaturen eines Public Keys auf Gültigkeit (Validity)hin überprüft.Überprüfung der Signaturen bei PGP 2.6.3:
Das Zerlegen des Secret Keys auf mehrere Keyteilinhaber (Share Split/Key Split) (nur PGP 6)Seit PGP 6 kann der RSA oder DH Secret Key eines Key Paares in mehrere Teile (Shares) zerlegt (Splitting) und die Teile mit dem Public Key anderer Personen oder mittels Vergabe von Passphrases konventionell verschlüsselt als Datei "User-ID Share.shf" abgelegt werden (Blakely-Shamir Key Splitting).Damit die Keyteile erstellt werden können, müssen alle Keyteilinhaber anwesend sein, um ihre Passphrase festlegen oder eingeben zu können, bei Public Key Verschlüsselung müssen die Public Keys der Keyteilinhaber im Pubring vorhanden sein. Zum Entschlüsseln oder Signieren einer Datei/Nachricht werden die Keyteile nach Eingabe der Passphrases wieder temporär zusammengesetzt.
Key Splitting ist in Bereichen höherer Sicherheitsanforderungen sinnvoll: Das Prinzip kann man sich auch ähnlich vorstellen wie die mehreren Tresorschlüssel, die Bankangestellte gemeinsam benutzen müssen, um die Tresorkombination herzustellen, damit sie den Tresor öffnen oder verschließen können. Die Herstellung eines Key Splittings:
Das Verschlüsseln, Entschlüsseln und Signieren mit Split KeysVerschlüsseln:eine Datei oder Nachricht wird mit dem Split Key genauso verschlüsselt wie mit einem herkömmlichen Public KeyEntschlüsseln & Signieren:
Das Wiederherstellung des geteilten Keys
|