GPG Tutorial: E-Mails & Dateien sicher verschlüsseln und signieren
GPG, oder auch GNU Privacy Guard, ist ein Werkzeug, mit dem du deine Kommunikation und Daten sicher schützen kannst.
Es basiert auf einem Prinzip, das als Public-Key-Kryptografie bekannt ist und mit 2 Arten von Schlüsseln arbeitet: einem privaten Schlüssel, der nur dir gehört und niemals geteilt wird, und einem öffentlichen Schlüssel, den du anderen weitergeben kannst. Mit dem öffentlichen Schlüssel können dir andere Nachrichten senden oder Daten verschlüsseln, die nur du mit deinem privaten Schlüssel entschlüsseln kannst.
GnuPG wurde als Open-Source-Alternative zu PGP entwickelt und ist unter der GNU General Public License verfügbar, was es zu einer beliebten Wahl für Benutzer macht, die Wert auf Datenschutz und Sicherheit legen.
Die Hauptfunktion von GnuPG besteht darin, vertrauliche Informationen zu schützen und die Authentizität von Nachrichten oder Dateien zu gewährleisten.
Es ermöglicht Benutzern, ihre E-Mails, Dokumente und andere sensible Daten zu verschlüsseln, sodass nur die beabsichtigten Empfänger sie lesen können. Darüber hinaus können Benutzer mit GnuPG digitale Signaturen erstellen, um die Integrität und Herkunft ihrer Nachrichten zu bestätigen.
Ein wesentlicher Vorteil von GnuPG ist seine Vielseitigkeit. Es kann auf verschiedenen Betriebssystemen eingesetzt werden, darunter Linux, macOS und Windows, was es zu einer plattformübergreifenden Lösung für sichere Kommunikation macht. Zudem unterstützt GnuPG verschiedene Verschlüsselungsalgorithmen und Schlüssellängen, sodass Benutzer die für ihre Bedürfnisse am besten geeignete Sicherheitsstufe wählen können.
Die Verwendung von GnuPG bietet mehrere Vorteile
- gewährleistet es ein hohes Maß an Privatsphäre und Sicherheit für digitale Kommunikation.
- ist als Open-Source-Software frei verfügbar und kann von der Community überprüft werden, was das Vertrauen in seine Sicherheit erhöht.
- ermöglicht das dezentrale Vertrauensmodell von GnuPG, das sogenannte Web of Trust, Benutzern, die Authentizität von Schlüsseln ohne zentrale Autorität zu verifizieren.
Herausforderungen bei der Nutzung von GnuPG
Die Einrichtung und Verwaltung von Schlüsseln kann für Anfänger komplex erscheinen. Zudem erfordert die effektive Nutzung von GnuPG, dass auch die Kommunikationspartner das System verwenden, was nicht immer der Fall ist.
Dennoch überwiegen für viele Benutzer die Vorteile der verbesserten Sicherheit und Privatsphäre diese Nachteile.
GnuPG auf Ubuntu installieren:
sudo apt update
sudo apt install gnupg
Installation überprüfen, indem du die Version von GnuPG abfragst:
gpg --version
Um GnuPG nutzen zu können, solltest du noch eine Konfigurationsdatei erstellen.
gpg -qk echo "use-agent" >> ~/.gnupg/gpg.conf
Für eine grundlegende Konfiguration des GPG-Agenten kannst du folgende Befehle ausführen:
echo -e "default-cache-ttl 18000\nmax-cache-ttl 86400\nignore-cache-for-signing" >> ~/.gnupg/gpg-agent.conf chmod 600 ~/.gnupg/gpg-agent.conf
echo -e: Aktiviert die Interpretation von Escape-Sequenzen (z. B.\nfür Zeilenumbrüche).default-cache-ttl 18000: Legt fest, wie lange (in Sekunden) eine Passphrase im Cache bleibt (hier 5 Stunden).max-cache-ttl 86400: Gibt die maximale Dauer (in Sekunden) an, die eine Passphrase im Cache gespeichert werden kann (hier 24 Stunden).ignore-cache-for-signing: Ignoriert den Cache beim Signieren von Daten und fordert immer die Eingabe der Passphrase an.
Schlüssel erstellen oder importieren
Um einen neuen Schlüssel zu erstellen, gib im Terminal folgendes ein:
gpg --full-generate-key
Folge den Anweisungen, wähle z. B. RSA und die Schlüssellänge (4096 wird empfohlen), sowie eine Gültigkeitsdauer (z. B. 1 Jahr). Gib deinen Namen und deine E-Mail-Adresse ein, damit andere deinen Schlüssel erkennen können. Am Ende legst du eine Passphrase fest, die deinen privaten Schlüssel schützt.
Wenn du bereits einen Schlüssel von einem anderen Gerät hast, kannst du ihn importieren:
gpg --import <pfad-zur-keydatei>
Ersetze <pfad-zur-keydatei> mit dem Dateinamen deines Schlüssels, z. B. private-key.asc.
Schlüssel verwalten
Um sicherzustellen, dass alles korrekt eingerichtet ist, kannst du deine Schlüssel anzeigen lassen:
gpg -k
Wenn du deinen öffentlichen Schlüssel an jemanden senden möchtest, exportiere ihn so:
gpg --export -a <deine-email> > mein-schluessel.asc
Dadurch wird die Datei mein-schluessel.asc erstellt, die du anderen geben kannst. Sie können damit Nachrichten für dich verschlüsseln.
Dateien verschlüsseln
Um eine Datei zu schützen, kannst du sie mit einem öffentlichen Schlüssel verschlüsseln. So kann nur die Person mit dem dazugehörigen privaten Schlüssel die Datei entschlüsseln.
Beispiel: Du möchtest die Datei geheim.txt für jemanden verschlüsseln, dessen E-Mail hildegard@example.com lautet:
gpg -e -r hildegard@example.com geheim.txt
Das erzeugt eine verschlüsselte Datei geheim.txt.gpg. Nur Hildegard kann diese Datei öffnen.
Dateien signieren
Manchmal möchtest du anderen zeigen, dass eine Datei wirklich von dir stammt. Dazu kannst du sie digital signieren:
gpg --sign geheim.txt
Das erzeugt eine Datei namens geheim.txt.gpg. Die Signatur beweist, dass die Datei von dir stammt und nicht verändert wurde.
Passphrase-Cache nutzen
Damit du nicht bei jedem Befehl deine Passphrase eingeben musst, speichert der gpg-agent sie eine Zeit lang im Cache. Die Konfiguration, die du oben eingerichtet hast, sorgt dafür, dass der Cache z. B. für 5 Stunden aktiv bleibt. Danach wirst du erneut nach der Passphrase gefragt.
Falls du den Cache manuell leeren möchtest, kannst du das so tun:
gpgconf --kill gpg-agent
E-Mails mit GPG sichern
Du brauchst einen E-Mail-Client, der GPG unterstützt. Eine der besten Optionen ist Thunderbird (kostenlos und Open Source).
Falls nicht installiert:
sudo apt install thunderbird
Öffne Thunderbird und richte dein E-Mail-Konto ein. Folge dabei den Anweisungen, um deine E-Mail-Adresse und dein Passwort einzugeben.
Enigmail (für GPG-Unterstützung)
Thunderbird hat GPG-Support eingebaut
- Öffne Thunderbird.
- Gehe in die Einstellungen: Einstellungen → Konten-Einstellungen → Ende-zu-Ende-Verschlüsselung.
- Dort kannst du deinen GPG-Schlüssel hinzufügen. Wähle entweder "Neuen Schlüssel erstellen" oder "Vorhandenen Schlüssel importieren".
- Wenn du einen Schlüssel erstellt/importiert hast, wähle diesen als Standard für dein Konto aus.
E-Mails signieren und verschlüsseln
- E-Mail signieren: Beim Verfassen einer E-Mail kannst du die Option aktivieren, um die Nachricht zu signieren. Das zeigt dem Empfänger, dass die Nachricht wirklich von dir stammt.
- E-Mail verschlüsseln: Aktiviere die Verschlüsselung. Dafür braucht der Empfänger jedoch deinen öffentlichen Schlüssel. Verschlüsselte Nachrichten können nur mit deinem privaten Schlüssel geöffnet werden.
GPG stellt sicher, dass deine E-Mails privat und unverändert bleiben.