Benutzer-Werkzeuge

Webseiten-Werkzeuge


howto:howto:gpgkonfigurieren

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
howto:howto:gpgkonfigurieren [2019/10/04 19:15]
yadda parcimonie hinzugefügt
howto:howto:gpgkonfigurieren [2019/10/04 19:17] (aktuell)
yadda dirmngr.conf rausgestrichen
Zeile 26: Zeile 26:
 ---- ----
  
-===== gpg.conf ​und dirmngr.conf ​=====+===== Einstellungen in gpg.conf ​bearbeiten ​=====
   ​   ​
 Die Konfigurationsdatei für GnuPG heißt **gpg.conf** und liegt im Ordner **.gnupg** deines Home-Verzeichnisses. ​ Die Konfigurationsdatei für GnuPG heißt **gpg.conf** und liegt im Ordner **.gnupg** deines Home-Verzeichnisses. ​
Zeile 35: Zeile 35:
 <note important>​Die Veränderungen die du in gpg.conf vornimmst müssen nicht notwendigerweise Auswirkungen für grafische Frontends wie Enigmail oder Seahorse haben, die auf GnuPG zurückgreifen.</​note>​ <note important>​Die Veränderungen die du in gpg.conf vornimmst müssen nicht notwendigerweise Auswirkungen für grafische Frontends wie Enigmail oder Seahorse haben, die auf GnuPG zurückgreifen.</​note>​
   ​   ​
-==== Sichere Keyserver ====+===== Sichere Keyserver ​=====
  
 Die sogenannte SKS-Keysserver,​ die seit Jahrzehnten für die Veröffentlichung und das öffentliche Signieren von PGP-Schlüsseln verwendet wurde, bietet keinen Schutz gegen Spam. Dass es keine zentrale Autorität und keine Moderation für das hochladen von Schlüsseln gibt, war früher als Sicherheitsfeature gedacht worden: Wenn selbst die Admins kein Schlüsselmaterial entfernen können, können sie auch nicht von staatlichen Autoritäten dazu gezwungen werden. Leider sind die klassischen Keyserver dadurch anfällig für Missbrauch durch den Upload falscher Keys und böswilliger Signaturen. Das wurde bereits 2013 mit einem [[https://​github.com/​micahflee/​trollwot#​trolling-the-web-of-trust|Skript für das automatisierte Signieren öffentlicher PGP-Keys mit ASCII-Bildern]] demonstriert. Mitte 2019 wurden die öffenlichen Schlüssel zweier OpenPGP-Entwickler [[https://​sks-keyservers.net/​pks/​lookup?​op=vindex&​search=0xCC11BE7CBBED77B120F37B011DCBDC01B44427C7|mit so vielen Megabytes an Signaturen versehen]], dass GnuPG beim importieren der Schlüssel crasht und unbrauchbar wird. Seither empfehlen viele OpenPGP-Entwickler*innen,​ die modernere Schlüsselserver-Software auf https://​keys.openpgp.org zu verwenden Die sogenannte SKS-Keysserver,​ die seit Jahrzehnten für die Veröffentlichung und das öffentliche Signieren von PGP-Schlüsseln verwendet wurde, bietet keinen Schutz gegen Spam. Dass es keine zentrale Autorität und keine Moderation für das hochladen von Schlüsseln gibt, war früher als Sicherheitsfeature gedacht worden: Wenn selbst die Admins kein Schlüsselmaterial entfernen können, können sie auch nicht von staatlichen Autoritäten dazu gezwungen werden. Leider sind die klassischen Keyserver dadurch anfällig für Missbrauch durch den Upload falscher Keys und böswilliger Signaturen. Das wurde bereits 2013 mit einem [[https://​github.com/​micahflee/​trollwot#​trolling-the-web-of-trust|Skript für das automatisierte Signieren öffentlicher PGP-Keys mit ASCII-Bildern]] demonstriert. Mitte 2019 wurden die öffenlichen Schlüssel zweier OpenPGP-Entwickler [[https://​sks-keyservers.net/​pks/​lookup?​op=vindex&​search=0xCC11BE7CBBED77B120F37B011DCBDC01B44427C7|mit so vielen Megabytes an Signaturen versehen]], dass GnuPG beim importieren der Schlüssel crasht und unbrauchbar wird. Seither empfehlen viele OpenPGP-Entwickler*innen,​ die modernere Schlüsselserver-Software auf https://​keys.openpgp.org zu verwenden
Zeile 53: Zeile 53:
   keyserver-options no-honor-keyserver-url   keyserver-options no-honor-keyserver-url
   ​   ​
-==== GnuPG anonymisieren ====+===== GnuPG anonymisieren ​=====
  
 Wessen Öffentliche PGP-Keys du von Keyservern herunterlädst kann mehr Aufschluss über dich geben als du möchtest. Vielleicht willst du auch deinen eigenen öffentlichen Key auf einem Keyserver hochladen, ohne dabei deine IP-Adresse preiszugeben. Wessen Öffentliche PGP-Keys du von Keyservern herunterlädst kann mehr Aufschluss über dich geben als du möchtest. Vielleicht willst du auch deinen eigenen öffentlichen Key auf einem Keyserver hochladen, ohne dabei deine IP-Adresse preiszugeben.
  
-=== System-Tor im Hintergrund ===+==== System-Tor im Hintergrund ​====
  
 GnuPG erkennt beim Start, [[howto:​howto:​systemtor|ob Tor als Hintergrundprozess läuft]]. In diesem Fall wird sich GnuPG automatisch über Tor verbinden.  ​ GnuPG erkennt beim Start, [[howto:​howto:​systemtor|ob Tor als Hintergrundprozess läuft]]. In diesem Fall wird sich GnuPG automatisch über Tor verbinden.  ​
  
-=== Zufällige Schlüsselaktualisierung mit Parcimonie ===+==== Zufällige Schlüsselaktualisierung mit Parcimonie ​====
  
 Verbindungen werden zwar jetzt über Tor getunnelt; Durch Aktualisieren deiner PGP-Keys könntest du allerdings deine Kontaktliste und dadurch Rückschlüsse auf deine eigene Identität offenbaren. Das würde jedes Mal passieren, wenn du mit ''​gpg --refresh-keys''​ oder bei Enigmail mit //Alle öffentlichen Schlüsselaktualisieren// ​ deinen gesamten Schlüsselbund auf einmal aktualisierst. Verbindungen werden zwar jetzt über Tor getunnelt; Durch Aktualisieren deiner PGP-Keys könntest du allerdings deine Kontaktliste und dadurch Rückschlüsse auf deine eigene Identität offenbaren. Das würde jedes Mal passieren, wenn du mit ''​gpg --refresh-keys''​ oder bei Enigmail mit //Alle öffentlichen Schlüsselaktualisieren// ​ deinen gesamten Schlüsselbund auf einmal aktualisierst.
howto/howto/gpgkonfigurieren.txt · Zuletzt geändert: 2019/10/04 19:17 von yadda