Benutzer-Werkzeuge

Webseiten-Werkzeuge


howto:howto:gpgkonfigurieren

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
howto:howto:gpgkonfigurieren [2019/08/20 21:45]
yadda hagrid statt SKS
howto:howto:gpgkonfigurieren [2019/10/04 19:17] (aktuell)
yadda dirmngr.conf rausgestrichen
Zeile 26: Zeile 26:
 ---- ----
  
-===== gpg.conf ​und dirmngr.conf ​=====+===== Einstellungen in gpg.conf ​bearbeiten ​=====
   ​   ​
-Die Konfigurationsdatei für GnuPG heißt **gpg.conf** und liegt im Ordner **.gnupg** deines Home-Verzeichnisses. Im selben Verzeichnis liegt die Konfigurationsdatei für ''​dirmngr'',​ dem Programm das für GnuPG das Herunterladen und Aktualisieren von Schlüsseln auf öffentlichen Keyservern regelt.+Die Konfigurationsdatei für GnuPG heißt **gpg.conf** und liegt im Ordner **.gnupg** deines Home-Verzeichnisses. ​
  
 Um die Dateien zu bearbeiten: Um die Dateien zu bearbeiten:
   xdg-open ​ ~/​.gnupg/​gpg.conf   xdg-open ​ ~/​.gnupg/​gpg.conf
-Oder  
-  xdg-open ​ ~/​.gnupg/​dirmngr.conf 
  
-<note important>​Die Veränderungen die du in gpg.conf und dirmngr.conf vornimmst müssen nicht notwendigerweise Auswirkungen für grafische Frontends wie Enigmail oder Seahorse haben, die auf GnuPG zurückgreifen.</​note>​+<note important>​Die Veränderungen die du in gpg.conf vornimmst müssen nicht notwendigerweise Auswirkungen für grafische Frontends wie Enigmail oder Seahorse haben, die auf GnuPG zurückgreifen.</​note>​
   ​   ​
-==== Sichere Keyserver ====+===== Sichere Keyserver ​=====
  
-Die sogenannte SKS-Keysserver,​ die seit Jahrzehnten für die Veröffentlichung und das öffentliche Signieren von PGP-Schlüsseln verwendet wurde, bietet keinen Schutz gegen Spam. Dass es keine zentrale Autorität und keine Moderation für das hochladen von Schlüsseln gibt, war früher als Sicherheitsfeature gedacht worden: Wenn selbst die Admins kein Schlüsselmaterial entfernen können, können sie auch nicht von staatlichen Autoritäten dazu gezwungen werden. Leider sind die klassischen Keyserver dadurch anfällig für Missbrauch durch den Upload falscher Keys und böswilliger Signaturen. Das wurde bereits 2013 mit einem [[https://​github.com/​micahflee/​trollwot#​trolling-the-web-of-trust|Skript für das automatisierte Signieren öffentlicher PGP-Keys mit ASCII-Bildern]] demonstriert. ​Seit im Juni 2019 die öffenlichen Schlüssel zweier OpenPGP-Entwickler [[https://​sks-keyservers.net/​pks/​lookup?​op=vindex&​search=0xCC11BE7CBBED77B120F37B011DCBDC01B44427C7|mit so vielen Megabytes an Signaturen versehen]], dass GnuPG beim importieren der Schlüssel ​crashen ​und unbrauchbar ​werden würde, ​empfehlen viele OpenPGP-Entwickler*innen die modernere Schlüsselserver-Software ​Hagrid zu verwenden, die auf https://​keys.openpgp.org ​gehostet wird:+Die sogenannte SKS-Keysserver,​ die seit Jahrzehnten für die Veröffentlichung und das öffentliche Signieren von PGP-Schlüsseln verwendet wurde, bietet keinen Schutz gegen Spam. Dass es keine zentrale Autorität und keine Moderation für das hochladen von Schlüsseln gibt, war früher als Sicherheitsfeature gedacht worden: Wenn selbst die Admins kein Schlüsselmaterial entfernen können, können sie auch nicht von staatlichen Autoritäten dazu gezwungen werden. Leider sind die klassischen Keyserver dadurch anfällig für Missbrauch durch den Upload falscher Keys und böswilliger Signaturen. Das wurde bereits 2013 mit einem [[https://​github.com/​micahflee/​trollwot#​trolling-the-web-of-trust|Skript für das automatisierte Signieren öffentlicher PGP-Keys mit ASCII-Bildern]] demonstriert. ​Mitte 2019 wurden ​die öffenlichen Schlüssel zweier OpenPGP-Entwickler [[https://​sks-keyservers.net/​pks/​lookup?​op=vindex&​search=0xCC11BE7CBBED77B120F37B011DCBDC01B44427C7|mit so vielen Megabytes an Signaturen versehen]], dass GnuPG beim importieren der Schlüssel ​crasht ​und unbrauchbar ​wird. Seither ​empfehlen viele OpenPGP-Entwickler*innendie modernere Schlüsselserver-Software auf https://​keys.openpgp.org ​zu verwenden
  
-Füge in gpg.conf ein: +Der neue Schlüsselserver wird standardmäßig von der neuesten Version von Enigmail verwendet.  
-  keyserver ​   keys.openpgp.org+ 
 +Um ihn auch standardmäßig vom Terminal aus zu verwenden, füge in gpg.conf ein: 
 +  keyserver ​   ​hkps://keys.openpgp.org
   ​   ​
-==== Schlüssel anonym ​mit Tor suchen ​und aktualisieren ====+Falls du GnuPG mit Tor verwendest, kannst stattdessen den Onion-Service nutzen: 
 +  keyserver ​   hkp://​zkaan2xfbuxia2wpf7ofnkbz6r5zdbbvxbunvp5g2iebopbfc4iqmbad.onion 
 +   
 +<note important>​Verbindungen mit Onion-Services verlassen nie das Tor-Netzwerk ​und sind daher ende-zu-ende-verschlüsselt. In solchen Fällen ist es kein Problem, Verbindungen mit ''​%%hkp://​%%''​ aufzubauen. Andernfalls solltest solltest du Verbindungen immer mit ''​%%hkps://​%%''​ (HKP over TLS) verschlüsseln.</​note>​
  
-Wessen Öffentliche GPG-Keys du von Keyservern herunterlädst kann mehr Aufschluss über dich geben als du möchtest. Vielleicht willst du auch deinen eigenen öffentlichen Key auf einem Keyserver ​hochladen, ohne dabei deine IP-Adresse preiszugebenUm das runterund hochladen von Schlüsseln zu anonymisieren,​ kannst du jedes Mal bei der Benutztung von ''​gpg''​ die Option ''​--use-tor''​ angeben, oder die Option in ''​dirmngr.conf''​ festhalten:​ +Manche PGP-Keys enthalten einen Hinweis darauf, ​von welchem ​Keyserver ​sie aktualisiert werden solltenSicherheitshalber sollte GnuPG solche Hinweise ignorieren:​ 
-  use-tor+ 
 +  keyserver-options no-honor-keyserver-url
   ​   ​
-Für den Keyserver kannst du dann auch einen //Onion Service// angeben. Im Wiki vom Tor Projekt sind einige festgehalten:​ https://​trac.torproject.org/​projects/​tor/​wiki/​doc/​TorifyHOWTO/​GnuPG+===== GnuPG anonymisieren =====
  
 +Wessen Öffentliche PGP-Keys du von Keyservern herunterlädst kann mehr Aufschluss über dich geben als du möchtest. Vielleicht willst du auch deinen eigenen öffentlichen Key auf einem Keyserver hochladen, ohne dabei deine IP-Adresse preiszugeben.
 +
 +==== System-Tor im Hintergrund ====
 +
 +GnuPG erkennt beim Start, [[howto:​howto:​systemtor|ob Tor als Hintergrundprozess läuft]]. In diesem Fall wird sich GnuPG automatisch über Tor verbinden.  ​
 +
 +==== Zufällige Schlüsselaktualisierung mit Parcimonie ====
 +
 +Verbindungen werden zwar jetzt über Tor getunnelt; Durch Aktualisieren deiner PGP-Keys könntest du allerdings deine Kontaktliste und dadurch Rückschlüsse auf deine eigene Identität offenbaren. Das würde jedes Mal passieren, wenn du mit ''​gpg --refresh-keys''​ oder bei Enigmail mit //Alle öffentlichen Schlüsselaktualisieren// ​ deinen gesamten Schlüsselbund auf einmal aktualisierst.
 +
 +Um das zu vermeiden kannst du [[https://​gaffer.ptitcanardnoir.org/​intrigeri/​code/​parcimonie/​|Parcimonie]] installieren. Parcimonie ist ein Programm, dass bei jedem Start deines Computers automatisch als Hintergrundprozess gestartet wird und deine Schlüssel einzeln und in zufälligen Zeitabständen über Tor aktualisiert. Diese zufälligen Zeitabstände zugleich lang genug, dass sich Tor in der Zwischenzeit eine neue Exit-Node suchen kann. Dadurch können die IP-Adressen und Zeitpunkte, zu denen verschiedene Schlüssel abgerufen werden, nicht miteinander in Verbindung gebracht werden
 +
 +<hidden Installation auf Ubuntu, Mint, Debian>
 +
 +  sudo apt install parcimonie
   ​   ​
 +Debian wird Parcimonie nach der Installation automatisch starten. Andernfalls kannst du es manuell zu den Startprogrammen hinzufügen.
 +
 +</​hidden>​
 +
 +
 +----
 +
 +
 +<hidden Installation auf Arch und Arch-Derivaten>​
 +Die ursprüngliche Implementation von Parcimonie ist in den Arch-Repositories nicht verfügbar. Du kannst stattdessen die leichtgewichtige Neuimplementation [[https://​github.com/​EtiennePerot/​parcimonie.sh|Parcimonie.sh]] aus dem [[https://​aur.archlinux.org/​packages/​parcimonie-sh-git/​|Arch User Repository]] installieren.
 +
 +Nach der Installation kannst du Parcimonie.sh als Systemd-Service im Hintergrundlaufen lassen:
 +  sudo systemctl enable --now parcimonie.sh@all-users
   ​   ​
 +Ob Parcimonie.sh läuft, kannst du nachprüfen mit:
 +  sudo systemctl status parcimonie.sh@all-users
 +</​hidden>​
 +
 +----
   ​   ​
 Weiterführend: ​ Weiterführend: ​
   * [[https://​riseup.net/​de/​security/​message-security/​openpgp/​best-practices#​einen-schl%C3%BCsselserver-ausw%C3%A4hlen-und-den-eigenen-rechner-so-konfigurieren-dass-der-schl%C3%BCsselbund-aktualisiert-wird|Best Practices für OpenPGP vom Riseup Kollektiv (DE)]]   * [[https://​riseup.net/​de/​security/​message-security/​openpgp/​best-practices#​einen-schl%C3%BCsselserver-ausw%C3%A4hlen-und-den-eigenen-rechner-so-konfigurieren-dass-der-schl%C3%BCsselbund-aktualisiert-wird|Best Practices für OpenPGP vom Riseup Kollektiv (DE)]]
howto/howto/gpgkonfigurieren.1566330300.txt.gz · Zuletzt geändert: 2019/08/20 21:45 von yadda