von Andrea Müller und Elisabeth Bauer
Wer sich auf das Abenteuer GnuPG auf der Kommandozeile einlassen will, nimmt beim erstem Blick in dessen umfangreiche Manpage von diesem Vorhaben meist schnell wieder Abstand. Mehrere dutzend Bildschirmseiten gilt es zu lesen, obwohl man doch nur ein eigenes Schlüsselpaar haben möchte. Dabei braucht man für die Grundausstattung nur einige wenige Befehle. Ein eigenes Schlüsselpaar erzeugen Sie so:
Öffnen Sie über [Alt-F2] ein Schnellstartfenster und geben Sie dort konsole ein, um ein Terminal-Fenster zu öffnen.
Tippen Sie gpg --gen-key ein und drücken Sie auf [Enter].
Sofern Sie noch nie mit GnuPG gearbeitet haben, erzeugt das Programm zunächst das Verzeichnis .gnupg in ihrem Home-Verzeichnis und legt dort seine Konfigurationsdatei ab. Danach beendet es sich sofort wieder. Zaubern Sie den eben eingegebenen Befehl durch die [Pfeil hoch]-Taste wieder hervor und senden Sie ihn mit [Enter] ab.
In einer Art Frage-Antwort-Spiel verlangt GnuPG von Ihnen die Informationen, die zur Schlüsselerzeugung nötig sind. Netterweise beherrscht das Programm die deutsche Sprache und zeigt bei Fragen, deren Antwort nicht selbsterklärend ist, an, welche Option Sie wählen sollten.
Zunächst will GNuPG wissen, welche Art von Schlüssel erzeugt werden soll. Übernehmen Sie die Voreinstellung, indem Sie einfach auf [Enter] drücken.
Jetzt müssen Sie über die Schlüssellänge entscheiden. Voreingestellt ist 1024 Bit. Auch diese Vorgabe können Sie durch Druck auf [Enter] übernehmen. Alternativ geben Sie 2048 für einen längeren Schlüssel ein.
Bei der nächsten Frage legen Sie fest, wie lange der Schlüssel gültig sein soll. Per default wird der zu erzeugende Schlüssel unbegrenzt gültig sein. Wollen Sie erst mal nur ein wenig mit GnuPG experimentieren, setzen Sie den Wert herab. Durch Eingabe einer Zahl legen Sie fest, wieviel Tage der Schlüssel gültig sein soll. Um diese Dauer in Wochen, Monaten oder Jahren anzugeben, hängen Sie den entsprechenden Buchstaben an die Zahl an. 3w entspricht drei Wochen, 3m drei Monaten und 3y (y für years) drei Jahren. Angst vor einem Vertipper brauchen Sie nicht haben, GnuPG zeigt Ihnen nach Ihrer Antwort das Verfallsdatum des Schlüssels und fragt nach, ob es damit seine Richtigkeit hat. Ist alles ok, beantworten Sie die Frage durch Eingabe von j.
Danach benötigt GnuPG einige persönliche Daten. Geben Sie zunächst Ihren Namen ein. In der nächsten Zeile teilen Sie dem Programm Ihre E-Mail-Adresse und schließlich noch einen Kommentar mit. GnuPG speichert die Informationen nicht sofort, sondern zeigt Ihnen die vollständige Benutzer-ID an und gibt Ihnen die Möglichkeit, noch etwas zu ändern. Mit Eingabe von N können Sie etwa einen Tippfehler bei der Namenseingabe ausbügeln. Hat alles seine Richtigkeit, bestätigen Sie das durch Eingabe von F (Fertig).
Jetzt wird es ernst: GnuPG will Ihr geheimes Mantra wissen, also die Passphrase, mit der Sie verschlüsselte Nachrichten wieder lesbar machen. Denken Sie sich etwas aus, das Sie sich leicht merken können, das für andere aber schwer zu erraten ist. Wie von Passwörtern gewohnt, müssen Sie auch ihr Mantra zweimal eingeben, damit GnuPG Tippfehler ausschließen kann.
Nun wird Ihr Schlüsselpaar erzeugt, was ein wenig dauern kann. Danach beendet GnuPG seine Arbeit, und Sie können in dem Terminal wieder normale Befehle eingeben.
Nutzen Sie die Gelegenheit und exportieren Sie Ihren öffentlichen Schlüssel mit dem Befehl gpg --export mail@adresse > public_key. Statt mail@Adresse geben Sie die Adresse an, die Sie auch bei der Erzeugung Ihres Schlüsselpaares verwendet haben. Das > leitet die Ausgabe des Befehls in die Datei public_key um. Ihren so exportierten öffentlichen Schlüssel können Sie nun Freunden und Bekannten zukommen lassen.
Haben Sie selbst schon einen öffentlichen Schlüssel von jemandem erhalten, importieren Sie ihn mit dem Befehl gpg --import /pfad/zu/public_key. Falls Ihr Bekannter die Datei nicht ebenfalls public_key genannt hat, passen Sie den Namen entsprechend an. Da KMail und Evolution nur vertrauenswürdige Schlüssel akzeptiert, sollten Sie den eben importierten öffentlichen Schlüssel selbst signieren. Geben Sie zunächst gpg --list-public-keys ein und notieren sich von der Ausgabe des Befehls die E-Mail-Adresse, die zur Erstellung des Schlüssels verwendet wurde. Mit Eingabe von gpg --sign-key mail@adresse teilen Sie GnuPG mit, dass Sie den Schlüssel beglaubigen wollen. Das Programm fragt Sie, wie genau Sie überprüft haben, ob der Schlüssel wirklich dem Eigentümer gehört. Sind Sie sich der Identität des Schlüsselbesitzers sicher, geben Sie eine 3 ein. Beantworten Sie die nochmalige Nachfrage von GnuPG mit Eingabe von j. Geben Sie Ihr Mantra ein, GnuPG signiert dann den Schlüssel -- nun können Sie ihn in KMail und Evolution zur Verschlüsselung verwenden.
Um die Mail-Korrespondenz zu verschlüsseln, eignen sich die eingebauten Funktionen der Mail-Programme wesentlich besser als der manuelle Aufruf von gpg. Wenn man jedoch Dateien auf der Festplatte verschlüsseln will, ist das Kommandozeilen-Tool sehr praktisch. Mit gpg -e -r ihremail@adresse dateiname erzeugt GnuPG eine mit Ihrem öffentlichen Schlüssel verschlüsselte Datei dateiname.gpg. Die Option -e weist GnuPG an, die Datei zu verschlüsseln, hinter -r sollte die E-Mail-Adresse oder der Name desjenigen stehen, der sie wieder entschlüsseln können soll -- in diesem Fall Sie selbst. Um die Datei wieder lesbar zu machen, rufen Sie gpg dateiname.gpg auf. GnuPG fordert Sie nun auf, Ihr Mantra einzugeben, und stellt das Original wieder her.
Wer die Schlüssel seiner Korrespondenzpartner bequem über öffentliche Keyserver (siehe Artikel auf Seite ##) beziehen will, wird natürlich auch auf der Kommandozeile fündig: Mit gpg --keyserver blackhole.pca.dfn.de --search-keys "Andrea Mueller" spüren Sie auf dem Keyserver blackhole.pca.dfn.de den Testschlüssel der Autorin auf. Statt per Namen lassen sich Schlüssel natürlich auch über die E-Mail-Adresse aufspüren. GnuPG präsentiert nun eine Liste passender Schlüssel. Durch Eingabe der Nummer neben einem Treffer importieren Sie den betreffenden Schlüssel, mit q verlassen Sie den Dialog.
Der Schlüsselexport auf den Keyserver ist genauso einfach: gpg --keyserver blackhole.pca.dfn.de --send-keys ihremail@adresse stellt den Schlüssel auf den Keyserver, auf den ihremail@adresse passt. Dies kann Ihr eigener sein, aber auch ein Schlüssel von Freunden, den Sie signiert haben und mit diesem neu hinzugekommenen Vertrauensbeweis erneut auf den Keyserver hochladen. (eba)