| |
| yubikey4hk:funktionen:openpgp:e-mail_verschluesselung [2020-07-01 09:52] – ↷ Links adapted because of a move operation Maximilian Barger | yubikey4hk:funktionen:openpgp:e-mail_verschluesselung [2023-09-22 20:40] (current) – external edit 127.0.0.1 |
|---|
| |
| ==== Privaten Schlüssel vom YubiKey verfügbar machen ==== | ==== Privaten Schlüssel vom YubiKey verfügbar machen ==== |
| Im Ausschnitt oben hat man bereits meinen öffentlichen Schlüssel gesehen. Dieser hat die Key-ID mit der Endung "AAFAE". Wenn ich aber Enigmail auf einem neuen System installiere ist mein Schlüssel noch nicht am System. In diesem Absatz gehe ich davon aus, dass der eigene Schlüssel noch nicht am System bekannt ist. Ich sehe also nur den zuvor hinzugefügten Schlüssel von Troye:\\ | Im Ausschnitt oben hat man bereits meinen öffentlichen Schlüssel gesehen. Dieser hat die Key-ID mit der Endung "59C51". Wenn ich aber Enigmail auf einem neuen System installiere ist mein Schlüssel noch nicht am System. In diesem Absatz gehe ich davon aus, dass der eigene Schlüssel noch nicht am System bekannt ist. Ich sehe also nur den zuvor hinzugefügten Schlüssel von Troye:\\ |
| {{yubikey4hk:funktionen:openpgp:thunderbird_enigmail_privavail_troye.png?500|}} \\ | {{yubikey4hk:funktionen:openpgp:thunderbird_enigmail_privavail_troye.png?500|}} \\ |
| Da es sich bei den privaten Schlüsseln am YubiKey ausschließlich um Subschlüssel handelt, benötigen wir im lokalen Schlüsselbund zumindest den öffentlichen Schlüssel. Dieser liefert uns die notwendigen Informationen über die Struktur unseres OpenPGP-Schlüssels. Der gesamte OpenPGP-Schlüssel besteht nämlich aus dem Hauptschlüssel (dieser hat den Fingerprint mit der Endung "AAFAE") und den drei zugehörigen Subschlüsseln deren private Teile sich am YubiKey befinden. Um nun den eigenen öffentlichen Schlüssel zu importieren gibt es die gleichen Wege wie oben im Abschnitt [[#Schlüssel importieren|Schlüssel importieren]] beschrieben. Ein Import der öffentlichen Schlüssel direkt vom YubiKey auf das jeweilige System ist nicht möglich, da dafür nicht genügend Informationen über den öffentlichen Schlüssel auf dem YubiKey gespeichert sind! Eine weitere sehr praktische Variante ist die Nutzung der "URL of public key", die wir auf unserem YubiKey [[yubikey4hk:funktionen:openpgp#metadaten_auf_den_yubikey_laden|hinterlegt haben]]. Dieser Weg des Imports ist aber nur über das gpg-Kommando möglich. Einfach den YubiKey am System anstecken und in der Kommandozeile folgende Befehle ausführen: | Da es sich bei den privaten Schlüsseln am YubiKey ausschließlich um Subschlüssel handelt, benötigen wir im lokalen Schlüsselbund zumindest den öffentlichen Schlüssel. Dieser liefert uns die notwendigen Informationen über die Struktur unseres OpenPGP-Schlüssels. Der gesamte OpenPGP-Schlüssel besteht nämlich aus dem Hauptschlüssel (dieser hat den Fingerprint mit der Endung "59C51") und den drei zugehörigen Subschlüsseln deren private Teile sich am YubiKey befinden. Um nun den eigenen öffentlichen Schlüssel zu importieren gibt es die gleichen Wege wie oben im Abschnitt [[#Schlüssel importieren|Schlüssel importieren]] beschrieben. Ein Import der öffentlichen Schlüssel direkt vom YubiKey auf das jeweilige System ist nicht möglich, da dafür nicht genügend Informationen über den öffentlichen Schlüssel auf dem YubiKey gespeichert sind! Eine weitere sehr praktische Variante ist die Nutzung der "URL of public key", die wir auf unserem YubiKey [[yubikey4hk:funktionen:openpgp#metadaten_auf_den_yubikey_laden|hinterlegt haben]]. Dieser Weg des Imports ist aber nur über das gpg-Kommando möglich. Einfach den YubiKey am System anstecken und in der Kommandozeile folgende Befehle ausführen: |
| <code bash> | <code bash> |
| kali@kali:~$ gpg --edit-card | kali@kali:~$ gpg --edit-card |
| ----------------------------- | ----------------------------- |
| sec# rsa4096 2020-04-16 [C] [expires: 2025-04-15] | sec# rsa4096 2020-04-16 [C] [expires: 2025-04-15] |
| A662724593E61256E4ADB82E1E360B1A218AAFAE | 3E0F0BA9061396B9302767F860E2EB9A7EF59C51 |
| uid [ unknown] Kristoffer Dorfmayr <kristoffer.dorfmayr@gmail.com> | uid [ultimate] Kristoffer Dorfmayr <kristoffer.dorfmayr@hagenbergerkreis.at> |
| uid [ unknown] Kristoffer Dorfmayr <S1810239005@students.fh-hagenberg.at> | |
| uid [ unknown] Kristoffer Dorfmayr <kristoffer.dorfmayr@hagenbergerkreis.at> | |
| ssb> rsa4096 2020-04-16 [E] [expires: 2025-04-15] | ssb> rsa4096 2020-04-16 [E] [expires: 2025-04-15] |
| ssb> rsa4096 2020-04-16 [S] [expires: 2025-04-15] | ssb> rsa4096 2020-04-16 [S] [expires: 2025-04-15] |
| * Besitzervertrauen setzen im //Enigmail Key Management//: Mit einem Rechtsklick auf den gewünschten Schlüssel öffnet man das Menü //Key Properties// und setzt das Vertrauen auf "Ultimate" \\ {{yubikey4hk:funktionen:openpgp:thunderbird_enigmail_certify_keys.png?500|}} | * Besitzervertrauen setzen im //Enigmail Key Management//: Mit einem Rechtsklick auf den gewünschten Schlüssel öffnet man das Menü //Key Properties// und setzt das Vertrauen auf "Ultimate" \\ {{yubikey4hk:funktionen:openpgp:thunderbird_enigmail_certify_keys.png?500|}} |
| * Besitzervertrauen setzten in der Kommandozeile: <code> | * Besitzervertrauen setzten in der Kommandozeile: <code> |
| kali@kali:~$ gpg --edit-key kristoffer.dorfmayr@gmail.com | kali@kali:~$ gpg --edit-key kristoffer.dorfmayr@hagenbergerkreis.at |
| gpg> trust | gpg> trust |
| Please decide how far you trust this user to correctly verify other users' keys | Please decide how far you trust this user to correctly verify other users' keys |
| Mit einem Rechtsklick auf den Schlüssel "Sign Key" öffnet sich das Fenster zum Signieren des Schlüssels: \\ | Mit einem Rechtsklick auf den Schlüssel "Sign Key" öffnet sich das Fenster zum Signieren des Schlüssels: \\ |
| {{yubikey4hk:funktionen:openpgp:enigmail_sign2.png?600|}} \\ | {{yubikey4hk:funktionen:openpgp:enigmail_sign2.png?600|}} \\ |
| Wenn man mehrere Schlüssel im privaten Schlüsselbund hat, welche die "Certify" Eigenschaft besitzen, kann man diese über das "Key for signing" Drop-Down Menü auswählen. Ich habe nur den einen Hauptschlüssel mit der Endung "AAFAE" und werde mit diesem, den öffentlichen Schlüssel von Troye signieren. \\ Die Abfrage, wie genau man die Authentizität des Schlüssels überprüft hat, hat Auswirkung auf den Signaturtyp<sup>[[#Quellen|[4, Kapitel 5.2.1]]]</sup>, der im Signaturpaket vermerkt ist. Im Grunde ist das für Enigmail aber unerheblich - signiert ist signiert. \\ Die Auswahl "Local signature" ermöglicht es, schlüssel lokal, also nicht exportierbar zu signieren. Das heißt, dass sich Enigmail die Signatur merkt, das Signaturenpaket aber nicht im GPG-Schlüsselbund an den jeweiligen Schlüssel angehängt wird. Exportiert man diesen signierten öffentlichen Schlüssel wird eine lokale Signatur also nicht mit-exportiert. Sollte man später von einer lokalen Signatur auf eine "normale" Signatur umsteigen wollen, kann man den Schlüssel einfach erneut signieren, nur ohne die Auswahl der lokalen Signatur. \\ Nach Bestätigen des Dialoges und Eingabe der Passphrase wird meine Signatur dem öffentlichen Schlüssel angehängt. Ersichtlich ist diese Signatur in den Schlüsseleigenschaften des signierten Schlüssels (//rechtsklick/Key Properties/Certifications//): \\ | Wenn man mehrere Schlüssel im privaten Schlüsselbund hat, welche die "Certify" Eigenschaft besitzen, kann man diese über das "Key for signing" Drop-Down Menü auswählen. Ich habe nur den einen Hauptschlüssel mit der Endung "59C51" und werde mit diesem, den öffentlichen Schlüssel von Troye signieren. \\ Die Abfrage, wie genau man die Authentizität des Schlüssels überprüft hat, hat Auswirkung auf den Signaturtyp<sup>[[#Quellen|[4, Kapitel 5.2.1]]]</sup>, der im Signaturpaket vermerkt ist. Im Grunde ist das für Enigmail aber unerheblich - signiert ist signiert. \\ Die Auswahl "Local signature" ermöglicht es, schlüssel lokal, also nicht exportierbar zu signieren. Das heißt, dass sich Enigmail die Signatur merkt, das Signaturenpaket aber nicht im GPG-Schlüsselbund an den jeweiligen Schlüssel angehängt wird. Exportiert man diesen signierten öffentlichen Schlüssel wird eine lokale Signatur also nicht mit-exportiert. Sollte man später von einer lokalen Signatur auf eine "normale" Signatur umsteigen wollen, kann man den Schlüssel einfach erneut signieren, nur ohne die Auswahl der lokalen Signatur. \\ Nach Bestätigen des Dialoges und Eingabe der Passphrase wird meine Signatur dem öffentlichen Schlüssel angehängt. Ersichtlich ist diese Signatur in den Schlüsseleigenschaften des signierten Schlüssels (//rechtsklick/Key Properties/Certifications//): \\ |
| {{yubikey4hk:funktionen:openpgp:enigmail_sign3.png?500|}} \\ | {{yubikey4hk:funktionen:openpgp:enigmail_sign3.png?500|}} \\ |
| Hier können ohne weiteres auch mehrere Signaturen aufscheinen. Einerseits die Signaturen des Hauptschlüssels über sich selbst und seine Subschlüssel, andererseits Signaturen von den Schlüsseln anderer Nutzer. Mithilfe des Kommandozeilenprogrammes //pgpdump// kann man sich den genauen Aufbau eines Schlüssels sehr gut ansehen. Man sieht hier das hinzugefügte Signaturpaket (Zeile 13), das mit meinem Schlüssel mit der Endung "AAFAE" (Zeile 19) über den öffentlichen Schlüssel (Paket beginnt in Zeile 2) und die Identität (Paket beginnt in Zeile 8) erstellt wurde: | Hier können ohne weiteres auch mehrere Signaturen aufscheinen. Einerseits die Signaturen des Hauptschlüssels über sich selbst und seine Subschlüssel, andererseits Signaturen von den Schlüsseln anderer Nutzer. Mithilfe des Kommandozeilenprogrammes //pgpdump// kann man sich den genauen Aufbau eines Schlüssels sehr gut ansehen. Man sieht hier das hinzugefügte Signaturpaket (Zeile 13), das mit meinem Schlüssel mit der Endung "59C51" (Zeile 19) über den öffentlichen Schlüssel (Paket beginnt in Zeile 2) und die Identität (Paket beginnt in Zeile 8) erstellt wurde: |
| <code bash [enable_line_numbers="true"]> | <code bash [enable_line_numbers="true"]> |
| kali@kali:~$ pgpdump "Troye_Finnegan_finnegan.troye@gmail.com_0x2885B7BE8060F8B3_pub.asc" | kali@kali:~$ pgpdump finnegan.troye_pub.asc |
| Old: Public Key Packet(tag 6)(525 bytes) | Old: Public Key Packet(tag 6)(525 bytes) |
| Ver 4 - new | Ver 4 - new |
| Old: User ID Packet(tag 13)(41 bytes) | Old: User ID Packet(tag 13)(41 bytes) |
| User ID - Troye Finnegan <finnegan.troye@gmail.com> | User ID - Troye Finnegan <finnegan.troye@gmail.com> |
| | |
| - Zeilen gekürzt - | - Zeilen gekürzt - |
| |
| Old: Signature Packet(tag 2)(563 bytes) | Old: Signature Packet(tag 2)(563 bytes) |
| Ver 4 - new | Ver 4 - new |
| Sig type - Generic certification of a User ID and Public Key packet(0x10). | Sig type - Positive certification of a User ID and Public Key packet(0x13). |
| Pub alg - RSA Encrypt or Sign(pub 1) | Pub alg - RSA Encrypt or Sign(pub 1) |
| Hash alg - SHA512(hash 10) | Hash alg - SHA256(hash 8) |
| Hashed Sub: issuer fingerprint(sub 33)(21 bytes) | Hashed Sub: issuer fingerprint(sub 33)(21 bytes) |
| v4 - Fingerprint - a6 62 72 45 93 e6 12 56 e4 ad b8 2e 1e 36 0b 1a 21 8a af ae | v4 - Fingerprint - a6 62 72 45 93 e6 12 56 e4 ad b8 2e 1e 36 0b 1a 21 8a af ae |
| | |
| - Zeilen gekürzt - | - Zeilen gekürzt - |
| </code> | </code> |
| Durch das Signieren des Schlüssels ist die Autzentizität des Schlüssels (Gültigkeit) auf "trusted" gewechselt: \\ | Durch das Signieren des Schlüssels ist die Autzentizität des Schlüssels (Gültigkeit) auf "trusted" gewechselt: \\ |
| \\ \\ | \\ \\ |
| ====== FairEmail & OpenKeychain ====== | ====== FairEmail & OpenKeychain ====== |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/0_fairemail_playstore.jpg?200}}\\ | {{yubikey4hk/funktionen/openpgp/0_fairemail_playstore.jpg?200}}\\ |
| FairEmail ist ein open-source Email Client für Android-Geräte. Dieser unterstützt unter anderem die Ver- und Entschlüsselung von Emails mittels OpenPGP und S/MIME. Nach der Einrichtungsanleitung der App wird werden wir auch die Verwendung mit dem YubiKey erklären. | FairEmail ist ein open-source Email Client für Android-Geräte. Dieser unterstützt unter anderem die Ver- und Entschlüsselung von Emails mittels OpenPGP und S/MIME. Nach der Einrichtungsanleitung der App wird werden wir auch die Verwendung mit dem YubiKey erklären. |
| |
| Der FairEmail-Client kann gratis über denn Google Playstore bezogen werden. Die Einrichtung ist sehr simpel und wird hier in wenigen Schritten gezeigt.\\ | Der FairEmail-Client kann gratis über denn Google Playstore bezogen werden. Die Einrichtung ist sehr simpel und wird hier in wenigen Schritten gezeigt.\\ |
| Beim ersten Start wird man mit einer Einrichtungsseite begrüßt.\\ | Beim ersten Start wird man mit einer Einrichtungsseite begrüßt.\\ |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/1_fairemail_schnelleinrichtung.jpg?200}}\\ | {{yubikey4hk/funktionen/openpgp/1_fairemail_schnelleinrichtung.jpg?200}}\\ |
| Hier empfielt es sich die Schnelleinrichtung zu verwenden. Im Optimalfall hat man dadurch in nur einem Schritt ein Email-Konto hinzugefügt:\\ | Hier empfielt es sich die Schnelleinrichtung zu verwenden. Im Optimalfall hat man dadurch in nur einem Schritt ein Email-Konto hinzugefügt:\\ |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/2_fairemail_einrichtung.jpg?200}}\\ | {{yubikey4hk/funktionen/openpgp/2_fairemail_einrichtung.jpg?200}}\\ |
| Hier müssen ein Name, die Email Adresse und das zugehörige Passwort eingegeben werden. Die Servereinstellungen versucht die App eigenständig zu abzuleiten. Sie werden dann zur Kontrolle im unteren Bereich angezeigt.\\ | Hier müssen ein Name, die Email Adresse und das zugehörige Passwort eingegeben werden. Die Servereinstellungen versucht die App eigenständig zu abzuleiten. Sie werden dann zur Kontrolle im unteren Bereich angezeigt.\\ |
| Es können noch viele weitere Einstellungen getroffen werden. Interessant ist für dieses Kapitel nur der //Verschlüsselung//-Tab. Hier kann die gewünschte Verschlüsselungsmethode gewählt werden. Außerdem kann festgelegt werden, ob jede Email standardmäßig signiert und verschlüsselt werden soll. Abgesehen davon sind hier keine weiteren Einstellungen zu tätigen.\\ | Es können noch viele weitere Einstellungen getroffen werden. Interessant ist für dieses Kapitel nur der //Verschlüsselung//-Tab. Hier kann die gewünschte Verschlüsselungsmethode gewählt werden. Außerdem kann festgelegt werden, ob jede Email standardmäßig signiert und verschlüsselt werden soll. Abgesehen davon sind hier keine weiteren Einstellungen zu tätigen.\\ |
| |
| Doch bevor man mit dem Verschlüsseln loslegen kann, benötigt man noch eine weitere App: //OpenKeychain//.\\ | Doch bevor man mit dem Verschlüsseln loslegen kann, benötigt man noch eine weitere App: //OpenKeychain//.\\ |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/4_openkeychain_playstore.jpg?200}}\\ | {{yubikey4hk/funktionen/openpgp/4_openkeychain_playstore.jpg?200}}\\ |
| Diese übernimmt die Kommunikation mit dem YubiKey und ermöglicht das Verschlüsseln von Dateien und der Email-Kommunikation. Nach der Installation von OpenKeychain trägt FairEmail automatisch im Abschnitt //OpenPGP-Anbieter// den Schlüsselbund von OpenKeychain ein. Die Option //Autocrypt verwenden// sollte auf alle Fälle deaktiviert werden! Infos dazu sieheauch in den Thunderbird [[#Konfigurationsempfehlungen|Konfigurationsempfehlungen]]\\ | Diese übernimmt die Kommunikation mit dem YubiKey und ermöglicht das Verschlüsseln von Dateien und der Email-Kommunikation. Nach der Installation von OpenKeychain trägt FairEmail automatisch im Abschnitt //OpenPGP-Anbieter// den Schlüsselbund von OpenKeychain ein. Die Option //Autocrypt verwenden// sollte auf alle Fälle deaktiviert werden! Infos dazu sieheauch in den Thunderbird [[#Konfigurationsempfehlungen|Konfigurationsempfehlungen]]\\ |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/3_fairemail_pgp_einstellungen.jpg?200}}\\ | {{yubikey4hk/funktionen/openpgp/3_fairemail_pgp_einstellungen.jpg?200}}\\ |
| Die App kann man natürlich wieder über dem Playstore beziehen. Beim Start der App wird gleich ein Setup Bildschirm angezeigt. Natürlich müssen sich erst OpenPGP Schlüssel auf dem Gerät befinden, bevor man mit ihnen arbeiten kann. Man kann Schlüssel am Smartphone erzeugen, aus einer Datei importieren oder die Schlüssel auf einem Security Token nutzen. Letzteres wird für den YubiKey benötigt.\\ | Die App kann man natürlich wieder über dem Playstore beziehen. Beim Start der App wird gleich ein Setup Bildschirm angezeigt. Natürlich müssen sich erst OpenPGP Schlüssel auf dem Gerät befinden, bevor man mit ihnen arbeiten kann. Man kann Schlüssel am Smartphone erzeugen, aus einer Datei importieren oder die Schlüssel auf einem Security Token nutzen. Letzteres wird für den YubiKey benötigt.\\ |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/5_openkeychain_start.jpg?200}}\\ | {{yubikey4hk/funktionen/openpgp/5_openkeychain_start.jpg?200}}\\ |
| Im nächsten Schritt wird man aufgefordert, den YubiKey an das Smartphone zu halten, da die App die NFC-Funktion verwendet.\\ | Im nächsten Schritt wird man aufgefordert, den YubiKey an das Smartphone zu halten, da die App die NFC-Funktion verwendet.\\ |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/6_openkeychain_karte_anhalten.jpg?200}}\\ | {{yubikey4hk/funktionen/openpgp/6_openkeychain_karte_anhalten.jpg?200}}\\ |
| Wenn der YubiKey erkannt wird, wird anhand der [[yubikey4hk:funktionen:openpgp#metadaten_auf_den_yubikey_laden|hinterlegten URL]] der zugehörige öffentlichen Schlüssel importiert. Dies muss noch mit dem grünen Button //Import// bestätigt werden.\\ | Wenn der YubiKey erkannt wird, wird anhand der [[yubikey4hk:funktionen:openpgp#metadaten_auf_den_yubikey_laden|hinterlegten URL]] der zugehörige öffentlichen Schlüssel importiert. Dies muss noch mit dem grünen Button //Import// bestätigt werden.\\ |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/7_openkeychain_key_hinzufuegen.jpg?200}}\\ | {{yubikey4hk/funktionen/openpgp/7_openkeychain_key_hinzufuegen.jpg?200}}\\ |
| Der Schlüssel wird nun importiert:\\ | Der Schlüssel wird nun importiert:\\ |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/8_openkeychain_key_hinzugefuegt.jpg?200}}\\ | {{yubikey4hk/funktionen/openpgp/8_openkeychain_key_hinzugefuegt.jpg?200}}\\ |
| Wenn man nun auf //Schlüssel ansehen// klickt, kann man den Schlüsselstatus überprüfen. Hier sollte stehen, das der Schlüssel //stripped// ist und zum Signieren und Verschlüsseln geeignet ist. //Stripped// heißt, dass der Hauptschlüssel fehlt. Dieser befindet sich nicht am YubiKey, sondern nur die drei Unterschlüssel. Das hat den Nachteil, dass man fremde öffentliche Schlüssel nicht signieren kann.\\ | Wenn man nun auf //Schlüssel ansehen// klickt, kann man den Schlüsselstatus überprüfen. Hier sollte stehen, das der Schlüssel //stripped// ist und zum Signieren und Verschlüsseln geeignet ist. //Stripped// heißt, dass der Hauptschlüssel fehlt. Dieser befindet sich nicht am YubiKey, sondern nur die drei Unterschlüssel. Das hat den Nachteil, dass man fremde öffentliche Schlüssel nicht signieren kann.\\ |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/9_openkeychain_keystatus.jpg?200}}\\ | {{yubikey4hk/funktionen/openpgp/9_openkeychain_keystatus.jpg?200}}\\ |
| |
| Die generelle Einrichtung der App ist nun abgeschlossen. Nun müssen noch die öffentlichen Schlüssel der Kommunikationspartner hinzugefügt werden. | Die generelle Einrichtung der App ist nun abgeschlossen. Nun müssen noch die öffentlichen Schlüssel der Kommunikationspartner hinzugefügt werden. |
| * Schlüssel suchen | * Schlüssel suchen |
| * Aus Datei importieren | * Aus Datei importieren |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/10_openkeychain_fremden_schluessel_import.jpg?200}}\\ | {{yubikey4hk/funktionen/openpgp/10_openkeychain_fremden_schluessel_import.jpg?200}}\\ |
| Den QR-Code eines Schlüssels erhält man, indem man unter //Meine Schlüssel// auf den Schlüsseleintrag klickt. Der QR-Code wird dann am Bildschirm angezeigt und kann mithilfe der //QR-Code einscannen// Option auf einem anderen Gerät hinzugefügt werden.\\ | Den QR-Code eines Schlüssels erhält man, indem man unter //Meine Schlüssel// auf den Schlüsseleintrag klickt. Der QR-Code wird dann am Bildschirm angezeigt und kann mithilfe der //QR-Code einscannen// Option auf einem anderen Gerät hinzugefügt werden.\\ |
| Die zweite Option //Schlüssel suchen// ermöglicht es Schlüssel von einem Schlüsselserver heruntergeladen. Mithilfe dieser Option können wir beispielsweise den Schlüssel von //finnegan.troye@gmail.com// hinzufügen. Auch hier gilt, wie schon bei Thunderbird: unbedingt den Fingerprint des Schlüssels überprüfen! Der Fingerprint lässt sich nach dem Hinzufügen des Schlüssels anzeigen. Dazu navigiert man auf //Schlüssel auswählen/.../Erweitert/Teilen//. \\ | Die zweite Option //Schlüssel suchen// ermöglicht es Schlüssel von einem Schlüsselserver heruntergeladen. Mithilfe dieser Option können wir beispielsweise den Schlüssel von //finnegan.troye@gmail.com// hinzufügen. Auch hier gilt, wie schon bei Thunderbird: unbedingt den Fingerprint des Schlüssels überprüfen! Der Fingerprint lässt sich nach dem Hinzufügen des Schlüssels anzeigen. Dazu navigiert man auf //Schlüssel auswählen/.../Erweitert/Teilen//. \\ |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/11_openkeychain_key_suche.jpg?200}}\\ | {{yubikey4hk/funktionen/openpgp/11_openkeychain_key_suche.jpg?200}}\\ |
| Bevor man jedoch Schlüssel finden kann, muss ein Schlüsselserver eingestellt werden. Dafür navigiert man in den Einstellungen, die oben rechts mit den drei vertikalen Punkten aufrufbar sind. Hier findet man folgendes Menü vor:\\ | Bevor man jedoch Schlüssel finden kann, muss ein Schlüsselserver eingestellt werden. Dafür navigiert man in den Einstellungen, die oben rechts mit den drei vertikalen Punkten aufrufbar sind. Hier findet man folgendes Menü vor:\\ |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/12_openkeychain_keyserver_menu.jpg?200}}\\ | {{yubikey4hk/funktionen/openpgp/12_openkeychain_keyserver_menu.jpg?200}}\\ |
| Der Keyserver wird nun unter //OpenPGP Schlüsselserver verwalten// eingestellt. Hier findet man ein paar voreingestellte Server. Wir empfehlen, wie bereits bei Thunderbird die Nutzung von Schlüsselservern, welche die Email-Adresse verifizieren. Die von uns empfohlenen Server (siehe [[#Verteilen von Schlüsseln|Verteilen von Schlüsseln]]) haben leider auf unserem Testtelefon (Android 8.0) nicht funktioniert. Immer wieder gibt es deswegen auch Bug-Reports auf github wie auch [[https://github.com/open-keychain/open-keychain/issues/2499|hier]] und [[https://github.com/open-keychain/open-keychain/issues/2469|hier]]. Am besten man importiert die bereits signierten Schlüssel aus einem File, das man auf das Telefon kopiert. Der oberste Schlüsselserver ist grün hinterlegt. Es wird immer dieser Server befragt.\\ | Der Keyserver wird nun unter //OpenPGP Schlüsselserver verwalten// eingestellt. Hier findet man ein paar voreingestellte Server. Wir empfehlen, wie bereits bei Thunderbird die Nutzung von Schlüsselservern, welche die Email-Adresse verifizieren. Die von uns empfohlenen Server (siehe [[#Verteilen von Schlüsseln|Verteilen von Schlüsseln]]) haben leider auf unserem Testtelefon (Android 8.0) nicht funktioniert. Immer wieder gibt es deswegen auch Bug-Reports auf github wie auch [[https://github.com/open-keychain/open-keychain/issues/2499|hier]] und [[https://github.com/open-keychain/open-keychain/issues/2469|hier]]. Am besten man importiert die bereits signierten Schlüssel aus einem File, das man auf das Telefon kopiert. Der oberste Schlüsselserver ist grün hinterlegt. Es wird immer dieser Server befragt.\\ |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/13_openkeychain_keyserver_settings.jpg?200}}\\ | {{yubikey4hk/funktionen/openpgp/13_openkeychain_keyserver_settings.jpg?200}}\\ |
| Nachdem man den richtigen Server ausgewählt und eventuell auch hinzugefügt hat, kann man nach einen fremden Schlüssel suchen.\\ | Nachdem man den richtigen Server ausgewählt und eventuell auch hinzugefügt hat, kann man nach einen fremden Schlüssel suchen.\\ |
| \\ | \\ |
| |
| Wenn man eine Email in FairEmail senden möchte, muss man nur auf das Stift-Symbol im unteren Bereich des Bildschirms drücken. Nun sieht man diesen Bildschirm:\\ | Wenn man eine Email in FairEmail senden möchte, muss man nur auf das Stift-Symbol im unteren Bereich des Bildschirms drücken. Nun sieht man diesen Bildschirm:\\ |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/14_fairemail_email_senden.jpg?200}}\\ | {{yubikey4hk/funktionen/openpgp/14_fairemail_email_senden.jpg?200}}\\ |
| Wenn man eine durch OpenPGP geschützte Email versenden möchte, muss man im oberen Bereich das Schloss-Symbol antippt, bis es grün wird. Dies ist im vorherigen Screenshot rot umrandet. Das kann auch beim Sende-Symbol kontrolliert werden, indem darunter //Verschlüsseln// steht. Dieses "Verschlüsseln" sagt aber nichts darüber aus, ob verschlüsselt und/oder signiert wird, sondern lediglich, dass OpenPGP zum Einsatz kommt.\\ | Wenn man eine durch OpenPGP geschützte Email versenden möchte, muss man im oberen Bereich das Schloss-Symbol antippt, bis es grün wird. Dies ist im vorherigen Screenshot rot umrandet. Das kann auch beim Sende-Symbol kontrolliert werden, indem darunter //Verschlüsseln// steht. Dieses "Verschlüsseln" sagt aber nichts darüber aus, ob verschlüsselt und/oder signiert wird, sondern lediglich, dass OpenPGP zum Einsatz kommt.\\ |
| Nun muss man noch einen Empfänger eintragen und einen netten Text schreiben und man kann die Email versenden. Vor dem Senden, werden zur Kontrolle noch einmal die Einstellungen ausgegeben::\\ | Nun muss man noch einen Empfänger eintragen und einen netten Text schreiben und man kann die Email versenden. Vor dem Senden, werden zur Kontrolle noch einmal die Einstellungen ausgegeben::\\ |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/15_fairemail_email_settings.jpg?200}}\\ | {{yubikey4hk/funktionen/openpgp/15_fairemail_email_settings.jpg?200}}\\ |
| |
| Hier sieht man, dass unter //Verschlüsselung// //PGP signieren und verschlüsseln// ausgewählt ist. Wenn man möchte kann man hier auch auswählen, dass die Email nur signiert werden soll. Wenn die Einstellungen korrekt sind, drückt man auf //Senden//. Es wird dann automatisch OpenKeyChain gestartet und die Kommunikation mit dem YubiKey initialisiert. Man muss diesen an das Smartphone halten und mit dem PIN entsperren, damit die NFC-Funktion genutzt werden kann. Durch diesen Vorgang wird man visuell begleitet. Bei Erfolg wird die Email automatisch versendet!\\ | Hier sieht man, dass unter //Verschlüsselung// //PGP signieren und verschlüsseln// ausgewählt ist. Wenn man möchte kann man hier auch auswählen, dass die Email nur signiert werden soll. Wenn die Einstellungen korrekt sind, drückt man auf //Senden//. Es wird dann automatisch OpenKeyChain gestartet und die Kommunikation mit dem YubiKey initialisiert. Man muss diesen an das Smartphone halten und mit dem PIN entsperren, damit die NFC-Funktion genutzt werden kann. Durch diesen Vorgang wird man visuell begleitet. Bei Erfolg wird die Email automatisch versendet!\\ |
