GnuPG: Passphrase-Fragen

A

Amin

Well-Known Member
Hallo! Ich will GnuPG nutzen, aber irgendwie steig ich da bei der Passphrase nicht durch. Erst dachte ich, das diese dafür da ist, damit ich damit meinen privaten Key schützen kann. Jetzt sieht und liest es sich in der GnuPG-FAQ aber so, als ob die Passphrase auch von meinen Kommunukationspartnern benötigt wird. Ist das richtig?

Weiterhin frage ich mich, ob ich auf meinem PC (auf dem ich meine Schlüssel verwalte), auch die Passphrase nachträglich raus finden kann? Also was ist, wenn ich meine Passphrase vergessen habe und ich ja selber auf dem PC arbeite, auf dem ich meine Keys verwalte? Kann ich nie mehr meine Mails lesen, wenn ich meine Passphrase vergesse?
 
Nein, die Passphrase wird von deinen Kommunikationspartnern nicht benötigt. Sie schützt wirklich bloß den private key.

Zur zweiten Frage, du kannst versuchen die Passphrase mittels Brute-Force oder Wörtebuch-Attacke herauszufinden. Ansonsten kannst du tatsächlich nie mehr deine Mails lesen.

Allerdings werden Mails normalerweise für die Empfänger und für den Absender verschlüsselt (mit GPG kannst du Mails mit mehreren Schlüsseln verschlüsseln, so können mehrere Person eine Mail lesen ohne einen gemeinsamen Schlüssel zu benötigen). Wenn dir also die Person die die Mail geschrieben hat ihren Private-Key zur Verfügung stellt (was eher unwahrscheinlich ist), könntest du die Mails wieder lesen.
 
Selbiges trifft übrigens auch zu, wenn du den private key verlierst, also gut darauf aufpassen (und am besten ein Ablaufdatum setzen!).

Auch wenn ich dafür wohl geschlagen werde:
Wenn dir die Mails so wichtig sind, dann schreib das Passwort auf, leg es in einen Safe und sorg dafür, dass niemand an deinen Private Key kommt (eventuell OpenPGP card besorgen). Die alternative wäre wichtige Mails unverschlüsselt zu lagern bzw. mit einem Key ohne Passwort zu speichern.

Du musst dich entscheiden: Ist es dir wichtiger, den Inhalt rekonstruieren zu können oder, dass niemand den Inhalt der Mail kennt.
 
Naja, die Passphrase meines ersten generierten Schlüsselpaares habe ich tatsächlich vergessen. :grumble: Aber zum Glück habe ich noch keinen Mail-Austausch damit gehabt, da ich bisher niemanden dazu "überreden" konnte. Bei meinem nächsten Key werde ich es mir aber tatsächlich auf Papier aufschreiben. Das ich die Passphrase vergesse bzw. nicht mehr aufs Zeichen genau weiß, hätte ich nicht gedacht. :D

Aber das nächste Mal bin ich schlauer! :p

Mir geht es aber hauptsächlich nur darum, die kommunikation zu sichern. D.h. solange die Mail unterwegs ist und im POP3-Fach auf ihre Abholung wartet. Sobald die Mails lokal auf meinem PC sind, können sie dort unverschlüsselt lagern.
 
Private Keys gehören grundsätzlich gesichert - aber eine einfache Lösung (USB-Stick) tut's dafür auch ;)
 
Abend

Für saubere Kryptographie im sinne des Privat Anwenders, währe es klug, einen Safe bei einer Bank einzurichten, wo man heikle Wertsachen wie bsp. ein dublikat eines Passwort sichert.
Klar ist es aufwendig, doch ist dieses aber im endeffekt eine gute anlage.
Genauso ist es eine gute idee, als Privater Anwender, seine Schlüssel für Kryptographie Access wie bsp. GELI im sinne eines USB-Sticks oder so dort zu archivieren.

Gruss
bsdagent
 
Was IMO, vor allem von GPG-Neulingen unterschätzt wird ist, dass man IMMER ein Revoke-Zertifikat haben sollte.
Es wird, so finde ich ein bisschen mit der Sicherheit des Zerifikates übertrieben. Vielleicht meinen sie auch nur, die Sicherheit an das Zerifikat zu kommen, aber ich würde ein revoke-cert generieren und überall, wo es nicht zu allzu öffentlich ist backupen (am Besten noch zehn mal ausducken und zu Hause und im Bankschließfach/Safe, sonstwo lagern).
Der Sinn des Zertifikates ist, dass man dem Kommunikationspartnern zeigt, dass irgendetwas passiert ist und man sich u.U. um einen neuen Schlüssel bemühen sollte. Das gilt vor allem für den Verlust des private Key oder der Passphrase.
Was noch wichtig ist: Setzt immer ein Ablaufdatum! Ihr könnt es immer verlängern, bzw. einen neuen Key generieren. Sollte es zum Totalverlust von private Key und revoke Zertifikat kommen löst sich das Problem nach einer Weile von selbst.
Last, but not least: Kontrolliert Fingerprints und vertraut Keys nicht, weil sie die richtige Mailadresse oder den richtigen Namen haben. Jeder kann einen Key mit diesen Daten generieren. Keys bleiben (theoretisch) für immer auf den Keyservern, also versucht möglichst überlegt vorzugehen!

@Ogion: Mein USB-Stick war dann tot.
 
Athaba schrieb:
Was IMO, vor allem von GPG-Neulingen unterschätzt wird ist, dass man IMMER ein Revoke-Zertifikat haben sollte.
Es wird, so finde ich ein bisschen mit der Sicherheit des Zerifikates übertrieben. Vielleicht meinen sie auch nur, die Sicherheit an das Zerifikat zu kommen, aber ich würde ein revoke-cert generieren und überall, wo es nicht zu allzu öffentlich ist backupen (am Besten noch zehn mal ausducken und zu Hause und im Bankschließfach/Safe, sonstwo lagern).
Der Sinn des Zertifikates ist, dass man dem Kommunikationspartnern zeigt, dass irgendetwas passiert ist und man sich u.U. um einen neuen Schlüssel bemühen sollte.
Zum Vergrößern anklicken....
Und wie benutze ich das Rückrufzertifikat? Ich hatte dieses zum Glück gleich nach der Key-Erzeugung generiert. (weil Enigmail gleich den Vorschlag gemacht hat). Jetzt liegt dieses Rückruf-Zerti auf meiner Platte, aber was mache ich damit?

In Enigmail gibts so nen Menüpunkt, der nennt sich glaube ich "Ungültig machen" oder so ähnlich (habe gerade kein Enigmail im Büro). Aber für das Ungültig machen des Keys, brauchte ich auch die Passphrase. Die ich natürlich vergessen habe.
 
Importieren:
gpg --import <revoke_cert>
und dann an den/die Keyserver senden:
gpg --keyserver <keyserver> --send-keys <Key>
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben